大多数恶意软件是平凡的,但这些创新技术是利用系统和网络的精明的用户
数百万的恶意软件和成千上万的恶意的黑客团伙在今天的网络世界掠夺容易受骗的人。重用相同的战术已经很多年了,如果不是几十年的话,他们什么都不做新的或者有趣的利用我们的懒惰,在判断失误,或纯白痴。
但是每年防病毒研究人员遇到几个技术,引人侧目。使用恶意软件或者黑客,这些启发技术延伸恶意黑客的界限。认为创新异常。像任何创新,许多人简单的措施。
(自己节14个肮脏的IT安全顾问的技巧,9流行的IT安全实践只是不工作,10个疯狂的安全技巧。|学习如何保护您的系统Web浏览器深潜水PDF的特别报道和安全中心通讯信息世界。]
默默地把1990年代Microsoft Excel宏病毒,随机取代零资本O的电子表格,立即将数字转换为文本标签值为零——改变了,在大多数情况下,未被发现,直到在备份系统包含错误数据。
当今最巧妙的恶意软件和黑客只是隐形和纵容。这里有一些最新的技术作为安全研究人员注意,激发了我的兴趣和经验教训。一些站在历史的肩膀上恶意创新者,但是今天非常流行甚至扯掉最精明的用户的方法。
隐形攻击1号:假的无线访问点没有比一个假的攻击更容易实现WAP(无线接入点)。任何人使用的软件和无线网卡可以宣传他们的计算机作为一个可用的WAP,然后连接到真实,合法的WAP在公共位置。
认为所有的时候你或你的用户去当地的咖啡店,机场,或公共聚会场所和连接到“免费无线网络。黑客在星巴克谁叫他们假WAP在亚特兰大机场“星巴克无线网络”或者称之为“亚特兰大机场免费无线”有各种人们连接到计算机在几分钟内。黑客可以嗅不受保护的数据从发送的数据流之间的不知情的受害者和他们的远程主机。你会吃惊地发现多少数据,甚至密码,仍以明文发送。
更邪恶的黑客会问他们的受害者来创建一个新的访问账户使用WAP。这些用户将更有可能使用一个通用的登录名称或一个电子邮件地址,连同密码他们在别处使用。WAP黑客可以尝试使用相同的登录凭证在流行网站,Facebook, Twitter,亚马逊,iTunes,等等——受害者永远不会知道这是怎么发生的。
教训:你不能相信公共无线接入点。总是保护机密信息通过无线网络发送。考虑使用VPN连接,保护你所有的通信和不回收密码之间的公共和私人网站。
隐形攻击2号:Cookie盗窃浏览器cookie是一个奇妙的发明,保留了“状态”当用户导航网站。这些小文本文件,发送到我们的机器的一个网站,帮助网站或服务追踪我们在访问中,或在多个访问,使我们能够更容易地购买牛仔裤,例如。不喜欢什么?
答:当黑客窃取我们的饼干,通过这样做,变成了我们——这些天越来越频繁的发生。相反,他们成为我们的网站就像我们验证,并提供一个有效的登录名和密码。
当然,cookie盗窃网络的发明以来已经存在,但这些天工具使这个过程尽可能简单点击,点击,点击只Firesheep例如,Firefox浏览器插件,允许人们偷别人的不受保护的饼干。当使用一个假的WAP或者在一个共享的公共网络,饼干可以相当成功劫持。Firesheep将显示所有cookie的名称和位置发现,用一个简单的点击鼠标,黑客可以接管会话(见Codebutler博客的一个例子是多么容易使用Firesheep吗)。
甚至更糟的是,黑客可以盗取SSL / TLS-protected饼干和嗅他们从稀薄的空气中。2011年9月,一个标签为“野兽”的攻击由其创造者甚至证明了SSL / TLS-protected饼干可以获得。进一步改进和细化今年,包括命名良好犯罪,偷窃和重用加密饼干更容易。
每次发布饼干攻击,网站和应用程序开发人员被告知如何保护他们的用户。有时答案是使用最新的加密密码;其他时候禁用一些模糊的特性,大多数人是不使用。关键是所有Web开发人员必须使用安全开发技术来减少cookie盗窃。如果你的网站还没有更新其加密保护几年后,你可能面临风险。
教训:即使加密可以偷了饼干。连接到网站,利用安全开发技术和最新的加密。应该使用最新的加密HTTPS网站,包括TLS 1.2版。
隐形攻击3号:文件名技巧黑客使用文件名技巧来让我们执行恶意代码从一开始的恶意软件。早期的例子包括命名文件将鼓励毫无戒心的受害者点击它的东西(比如AnnaKournikovaNudePics)和使用多个文件扩展名(比如AnnaKournikovaNudePics.Zip.exe)。直到今日,微软Windows和其他操作系统容易隐藏文件扩展名“知名”,这将使AnnaKournikovaNudePics.Gif。Exe AnnaKournikovaNudePics.Gif的样子。
年前,恶意软件病毒程序称为“双胞胎”,“已成熟的雌鱼,”或“同伴病毒”依赖于Microsoft Windows的一个名不见经传的特性/ DOS,即使你输入的文件名开始。exe, Windows会寻找,如果找到,执行Start.com。同伴病毒会寻找你的硬盘上的所有. EXE文件,并创建一个具有相同名称的病毒EXE,但文件扩展名. com。这早已被微软固定,但早期的发现和开发创新的方式隐藏病毒黑客奠定了基础,今天继续发展。
在更复杂的文件重命名技巧目前使用Unicode字符的使用影响用户给出的输出文件名。例如,Unicode字符(U + 202 e),称为右到左覆盖,可以骗很多系统显示一个文件实际AnnaKournikovaNudeavi命名。exe AnnaKournikovaNudexe.avi。
教训:只要有可能,确保你知道真正的、完整的名称在执行之前的任何文件。
隐形攻击4:位置,位置,位置另一个有趣的秘密技巧,使用一个操作系统对本身就是一个文件位置的技巧称为“相对与绝对”。In legacy versions of Windows (Windows XP, 2003, and earlier) and other early operating systems, if you typed in a file name and hit Enter, or if the operating system went looking for a file on your behalf, it would always start with your current folder or directory location first, before looking elsewhere. This behavior might seem efficient and harmless enough, but hackers and malware used it to their advantage.
例如,假设您想运行内置的,无害的Windows计算器(calc.exe)。它足够简单(通常比使用几个鼠标点击),打开一个命令提示符,键入calc.exe然后回车。但恶意软件可能会创建一个名为calc.exe和隐藏的恶意文件在当前目录或你家文件夹;当你试图执行calc.exe,将虚假的副本而不是运行。
我喜欢这个故障渗透试验器。通常,闯入电脑后,需要提升我的权限管理员,我将一个一个已知的应用补丁的版本,以前脆弱的软件,并将其在一个临时文件夹中。大部分的时间我要做的就是一个脆弱的可执行文件或DLL,同时让整个,之前安装的补丁程序。我会输入程序可执行文件的文件名在我临时文件夹,和Windows加载我的脆弱,木马执行从我的临时文件夹而不是最近的补丁。我喜欢它,我可以利用一个完全修补系统与一个错误的文件。
Linux、Unix和BSD系统已经有了十多年的固定这个问题。固定问题在2006年版本的微软Windows Vista / 2008,尽管这个问题仍然遗留版本是因为向后兼容性问题。微软也被警告和教学开发人员使用绝对的(而不是相对的)文件/路径名多年来在他们自己的项目。不过,成千上万的遗留项目很容易定位技巧。黑客比任何人都知道这个。
教训:使用操作系统执行绝对目录和文件夹路径,并寻找文件在系统默认的地区。
隐形攻击5号:主机文件重定向不知道今天的大多数计算机用户是DNS-related文件命名为主机的存在。坐落在C:\Windows\System32\Drivers\Etc在Windows中,主机文件可以包含条目输入域名链接到相应的IP地址。DNS使用的主机文件最初作为主机的方式在当地解决name-to-IP地址查找无需接触DNS服务器并执行递归名称解析。在大多数情况下,DNS功能很好,和大多数人从未与宿主文件,尽管它的存在。
黑客和恶意软件喜欢编写自己的恶意主机条目,这样当有人在一个受欢迎的类型的域名,比如bing.com,他们被重定向到其他地方更多的恶意。恶意重定向通常包含一个近乎完美的原始副本所需的网站,这样用户不知道开关的影响。
这个利用是至今仍在广泛使用。
教训:如果你不知道你为什么被恶意重定向,请查看您的主机文件。
隐形攻击6号:小袋鼠的攻击小袋鼠的攻击收到他们的名字从他们的巧妙方法。在这些攻击中,黑客们利用他们的目标受害者经常见面或工作在一个特定的物理或虚拟的位置。然后他们“毒药”,实现恶意目标位置。
例如,大多数大公司有一个咖啡店,酒吧或餐厅很受公司员工的欢迎。攻击者将创建假wap为了得到尽可能多的公司凭证。或攻击者恶意修改频繁访问网站来做同样的事情。受害者往往更轻松,毫无戒心的,因为目标位置是一个公共门户或社会。
水坑边攻击成为大新闻今年几个知名的科技公司,包括苹果、Facebook和微软,等他们妥协,因为流行的应用程序开发网站开发人员访问。网站已经安装了恶意JavaScript重定向的毒恶意软件开发人员的电脑上(有时是零)。妥协开发人员工作站被用于访问公司内部网络的受害者。
教训:确保你的员工意识到受欢迎的“酒吧”是常见的黑客的目标。
隐形攻击7号:诱饵和开关最有趣的一个正在进行的黑客技术叫做诱饵。受害者被告知他们是下载或运行一件事,和暂时,但切换与恶意。例子比比皆是。
是常见的恶意传播者在流行网站上购买广告空间。网站确认订单时,nonmalicious链接或内容所示。网站通过广告,需要钱。坏人然后开关更恶意的链接或内容。他们常常将代码新恶意网站重定向观众回到原来的链接或内容如果被某人从一个IP地址属于原审批人。这使快速检测和可拆卸的。
最有趣的偷梁换柱的伎俩攻击我视为后期涉及坏家伙创建“免费”内容,任何人都可以下载并使用的。(想想管理控制台或访客计数器对Web页面的底部。)通常这些免费applet和元素包含一个许可条款,大意说,“可能是自由的重用,只要原始链接仍然存在。”Unsuspecting users employ the content in good faith, leaving the original link untouched. Usually the original link will contain nothing but a graphics file emblem or something else trivial and small. Later, after the bogus element has been included in thousands of websites, the original malicious developer changes the harmless content for something more malicious (like a harmful JavaScript redirect).
教训:谨防任何链接内容不低于你的直接控制,因为它可以切换在没有你的同意的。