早自过去的档案型、开机型或宏型病毒,即开始采用加密、压缩、自我编码、变体引擎(McTation Engine或Polymorphic Engine)、更名感染等技术,藉此逃避防毒软件的侦测及追捕。这些病毒自我防御技术,仍为目前流行的恶性程序所沿用。
除此之外,一些恶性程序还具备自我检查及反防毒软件(Anti-Antivirus)的能力,他们会在计算机被启动的同时,卸载系统中的防毒软件或防火墙软件。
不过,目前恶性程序的发展趋势似乎有了转变,虽然过去的自我防御功能仍继续沿用,但已非关注的重点。因为反病毒公司针对新病毒的解决方案的推出迅速及时,所以他们追求的重点已转变成「快、狠、准」,也就是尽可能地在最短的时间内,预期造成一定的影响或达到一定的目的。更有甚者,许多恶意程序甚至设定自我毁灭时间。
2.令人眼花撩乱的庞大变种
变种的老祖宗应该可以上溯自1997、98年间甚为流行的千面人病毒。如今的恶性程序除了展开全球性传播的"水平繁衍"外,并藉由不断的变种进行延绵好几十代的"垂直繁衍"。更可怕的是,这些恶性程序还结合不同的混合式攻击技术,让每代的变种各具不同"邪恶"特性及破坏力,或是每隔一代海纳百川地加入新的"毒术"。
如今恶意程序传宗接代的能力一个比一个强,动辄几十代,甚至打破30代大关,像Bagle、MyDoom、NetSky及Korgo等蠕虫,平均不到10天就推出新的变种。其中,最可怕的莫过于Korgo蠕虫,在短短三个月多内,就接连繁衍出高达27代的变种,换句话说,其不到3天就变种一次。
(病毒家族对照表)
3.乱"件"齐发的垃圾邮件
为了达到最终感染及传播的目的,黑客多半会采用社交工程学(Social Engineering)来引诱收信者打开附件或连结,进而启动或下载攻击程序。此外,过去也有不少病毒邮件,进而发展出不用开启邮件及附件,只要浏览就会中毒的技术。
在信件传播方面,由于采用微软讯息应用程序接口(MAPI)来发病毒邮件,很容易会被防毒软件拦截到,所以黑客多半都会改用专属的SMTP外寄邮件服务器,绕过防毒软件的拦截网来发送病毒信。
自从Melissa宏病毒开启恶意程序搭乘电子邮件的首例之后,许多恶意程序,尤其是造成重大影响的蠕虫几乎都是以垃圾邮件为作恶的工具,垃圾邮件的问题也开始被广泛注意。
史上利用垃圾邮件最彻底、最成功的蠕虫当推Sobig.F,该蠕虫每隔几秒钟就会自动向受害计算机中的所有通讯簿名单发出毒件,因而登上史上传播最迅速的宝座,莫怪乎有人称其为史上最强力的超级邮件发送机(Mass Mailer)。
4.难以抗拒的诱惑-社会工程
社交工程是利用人性弱点,并透过威胁、利诱的手法来进行骗取对方信任或遵从某个动作的技术。这种诈骗手法,对于该手法读者应该不致于太陌生,因为之前没多久,相信很多人应该曾接到一些诈骗电话,像是谎称自己是警察人员,并告知接听者的银行账号被盗领,或是"你儿子现在在我手上,快拿两百万过来"等云云,这些就是运用社交工程的显例。
基本上,对于大部分的企业而言,技术面的问题好解决,但是牵涉到人性面的问题就相当棘手难防了,也因为如此,社交工程已成为蠕虫、特洛伊木马等恶意程序惯用的技术之一。
尤其对个人而言,面对每日眼花瞭乱的邮件实在很难防,而网上琳琅满目的MP3音乐、共享软件或图文件的诱惑力更难扺挡,偏偏这些东西是黑客运用社交工程的最佳试炼场。
5.有洞就钻
在过去,软件上的臭虫(Bug)顶多会造成软件或系统稳定性或兼容性上的问题,但如今却成为黑客攻击的主力目标。赛门铁克亚太区技术安全顾问林育民表示,如今许多软件及平台都存在许多漏洞,而后一版本的软件大多仍会继续沿用之前版本的组件,所以漏洞有可能也会流传到不同版本之中。如此一来,便成为黑客及蠕虫攻击的目标。所以系统弱点及软件漏洞已成为目前计算机安全上的重大课题。
根据Gartner Group今年4月的分析报告指出,2003年有25%的网络攻击事件来自于已知漏洞。面对漏洞问题,唯一最直接的解决方法就是下载厂商提供的修补程序(Patches)。对于企业而言,由于软件系统种类繁多、数量庞大,所以必须搭配漏洞及弱点管理工具,以进行固定的扫描、侦测及修补作业。对于个人而言,修补漏洞一直是件不得不做,但又极其困扰的事情。最主要是因为操作系统会随着软件、游戏或硬件的安装、解除,档案的进进出出或其它不当的操作而终至变慢、甚至当机的地步,换句话说,为求系统稳定,操作系统每隔一段时间是要重灌的。也因为如此,重灌计算机也意味着要重灌之前所有安装过的修补程序。
事实上,黑客也最爱利用旧漏洞。根据Gartner Group今年4月的分析报告指出,2003年有25%的网络攻击事件来自于已知漏洞。所以凡是系统或软件有任何漏洞,都是非补不可的。
6.就是要你消受不起-DDoS
所谓DDoS就是在网络上透过搜寻、扫描漏洞及殖入后门等方式,以整合更多的攻击来源,以对主要目标展开更猛烈持久的服务封锁。阻断式服务攻击(Denial-of-Service;DoS)已成为目前黑客及蠕虫的主要攻击方式之一,这种手段的好处在于,可以结合更大的攻击能量,同时真正发号司令的黑客不容易被抓到。透过DoS攻击,网站会被大量而密集的封包所淹没,结果导致网站用户无法正常进入网站,享受应有的内容或服务。
如今的蠕虫、特洛伊木马或BOT遥控程序则采用更大规模的分布式阻断服务攻击(Distributed DoS;DDoS)手法,形成对企业、网站更长时间的"封锁"及更大的损失。
2004年1月底,Yahoo、Google等搜寻引擎网站更受到MyDoom蠕虫的DDoS攻击,而造成相当大的损失。
7.混合式攻击
通过不同攻击技术的结合,恶意程序得以用更快的传播速度、更多样化的管道及更强的破坏力展开突击。目前"纯纯"的恶意程序已经愈来愈少,即使是也多半会在变种的下几代中不断添加新的攻击技术及特性。
不同种类的恶意程序有其自身的特性,比如病毒具备其它恶意程序所没有的感染力,蠕虫则提供无人能敌的主动散播能力,至于远程摇控能力最强的当推特洛伊木马。而混合式攻击就是截长补短地整合病毒、蠕虫、木马、间谍程序或网络钓鱼的特性,以及网络漏洞、系统弱点扫描的新一代恶意程序技术。而单靠传统单一的防毒软件是无法有效应对的,目前资安厂商则主张多层次的主动防御方案以为因应。
