蠕虫、木马、病毒、拒绝服务攻击……,这些看起来好像都是近5年内出现的网络威胁。但是,今年1月,离史上第一个可以自我复制并传播的PC病毒,巴基斯坦智能病毒(Pakistani Brains virus)的出现,整整20年了。
和20年前相比,大多数情况下,现今的病毒和木马都更加智能、也更加迂回。更重要的是,现在的蠕虫和病毒多数属于犯罪及盗窃行为,威胁到了公司的声誉和个人的信誉。
在仔细研究的基础上,我们来看一下这些破坏性的代码是怎样发展到今天这些威胁的。我想,这个话题还是很吸引人的。
第一代:DoS病毒(1986-1995)
始于1986年,第一代恶意代码由DoS病毒组成,感染PC上的操作系统和程序。
您可能还记得Brain、Lehigh和Form,这些病毒感染软驱和硬驱,通过sneaker nets或没有联网的计算机传播。随着导入病毒(Boot-virus)的成熟,可以感染数据磁盘的导入向量,在几年内缓慢传播,直到感染数量达到顶峰。Boot-virus很快就发展为可感染被广泛使用的程序文件,比如WordPerfect等。
1986年到1995年间,病毒作者写出各种形式的病毒,使得迷惑性更强;努力逃避反病毒方案的追杀;更加隐蔽;并且,双向传播――通过导入和文件两种方式。
到第一代结束时止,一共写出了12,000个DoS病毒,其中大约150感染范围遍及全球,波及到全世界95%的PC。
第二代:宏病毒(1995-2000)
随着Windows 95在1995年的出现,第一代的DoS病毒结束了。Windows 95对启动时执行的应用程序代码和代码检测要求更加严格。
病毒作者们不能写Win32汇编码,他们就转向了Microsoft Office广泛采用的宏语言,这样,Word文档开始了自我复制病毒。这一变化导致了第二代恶意攻击的出现――通过宏病毒攻击。
在1995和2000年间,写出了成千上万的宏病毒。不过,真正感感染PC和系统的只有不到100例。
名声最大的是出现在1995年7月的Concept病毒,只花了9个月便达到了顶峰,速度之快,是彼时传播最快的DoS病毒速度的3到4倍。不过,随着Microsoft Office的层层加固,并在几乎所有反病毒软件中加入可靠启发算法,短暂的宏病毒时代走到了尽头。
第三代:冲击力加大,蠕虫病毒(1999-2005)
恶意代码的第三代是以冲击力大、高姿态的群发垃圾邮件的蠕虫为标志的:1999年的Melissa、2000年的“I Love You”、2001年的Anna Kournikova、2003年的SoBig和2004年的Mydoom。除此之外,还有一些高姿态的网络蠕虫也是这个年代的典型代表:2001年的Code Red、2003年的Slammer、Blaster和Sasser等。
第三代的蠕虫导致很多单位在近几年内遭受破坏,每一个蠕虫都对20%-60%的企业造成或严重或普通的冲击。第三代蠕虫平均在1到2个小时内就使得感染用户数量翻番,在出生后的12到18个小时内达到顶峰。迄今为止传播最快的SQL Slammer,仅仅在10分钟内就感染了预计目标的90%。
群发垃圾邮件的蠕虫基本上都是通过社会工程,或欺骗用户双击邮件附件开始的。好在大多数机构现在都阻止三种主要的邮件类型:EXE、PIF和SCR,可以成功地阻止这些第三代攻击的发生。许多公司也安装了标志配置,在路由器的入口默认阻止访问,把网络分段管理,安装了策略和学习程序。这样可以把许多蠕虫的攻击行为扼杀在萌芽状态。
第四代:利益驱动的恶意代码(2004年至今)
前面三代恶意代码作者编写并散布恶意代码主要是为了赢得同侪的赞扬、获得名声。但是,进入第四代,恶意代码作者的目的变了,变成为了经济利益。更为可怕的是,攻击数量越来越多。恶意代码作者发现了各种各样赢利的途径,从点击广告获得收入,到窃取信用卡密码,甚至技术高手出售恶意代码资源给罪犯。
第四代病毒在很多方面也更加邪恶,因为其作者通过无线的方式工作。Bot制造者控制着数以百万计的僵尸计算机,让它们执行各种不同的邪恶的任务,这已经成了这个时代的标志。比如说,2005年,一共产生了300多个不同的Mytob病毒的变种,每一个变种都不去大范围地感染,都只是获得1-2%的增长。
半数以上的文件附件都是.ZIP文件,包括加密的.ZIP文件,这样就更难检测。一旦感染,这些机器就会被用来做各种形式的二次攻击,网络钓鱼、pharming、传播恶意代码、发动进攻、扫描漏洞计算机、发送垃圾邮件、为其它攻击作代理,或者把技术和服务卖给有组织的罪犯等。
去年,网络钓鱼给很多消费者带来危害,欺骗消费者通过一个虚假的网站或者电子邮件透露自己的账号密码,从而盗取现金。公司和个人吃一堑、长一智,变得聪明起来。而黑客也是道高一尺、魔高一丈,更加老练、攻击手段更隐蔽且不断翻新。
总结
在过去的20年间,蠕虫病毒用尽了各种复制向量,随着技术的进步,向量也在增加。恶意代码作者坚持不懈地工作,使得他们的蠕虫的木马可以躲过监测程序、传染更多用户。比如说,在第四代,我们就见到了后门、木马、rootkits、僵尸网络等,传播速度非常快的。
一代比一代复杂、一代比一代破坏性大,CIO们就更加需要知道谁在自己的网络上、谁在试图访问自己的网络。
我们没有一劳永逸的方法,可以把所有恶意代码编写者扫出地球。但我们可以应用最好的安全策略,帮助企业躲过网络攻击,保护信息安全、保证生产正常。CIO和CSO们必须齐心协力,不仅要保护网络免受现有病毒的侵袭,还要预防将要出现的攻击。