瞬時攻擊,也就是我們常看到的“零時差攻擊”、“零時攻擊”、“0-day”、“Zero-Day”。主要就是指,黑客利用剛剛發現的系統漏洞尚未被修補上的時機發起的攻擊。
無論你如何勤勉地修補系統和保護你的電腦,它仍然有可能在未曾預見到的攻擊出現後的數個小時內中招。這篇文章將爲您講述零時差攻擊的危險性以及它是如何利用安全漏洞的。
在電腦安全方面你並不曾懈怠。你隨時更新應用程序,確保它們都是最新的版本,你也安裝了反病毒軟件。你很在意你瀏覽的是什麼樣的網站,在電腦上安裝的是什麼樣的軟件。
但是去年九月,如果你訪問過由HostGator(位於佛羅里達州的一家頂級主機託管商)託管的博客站點,你的瀏覽器就會立即被重定向到一個受病毒感染的網站,這利用的是一種古老的微軟圖形格式中存在的漏洞。
在幾秒鐘內,惡意軟件就侵入了你的電腦
遭遇到這一切,是因爲你已經淪爲零時差攻擊的受害者——這種攻擊往往針對某種軟件的漏洞,當漏洞剛被發現不久,還沒有任何補丁文件被髮布並對已 知問題進行修復時發起的攻擊就叫做零時差攻擊。這個術語最初用來描述那些 “非正式”(也就是在研究實驗室外)發現的漏洞在補丁發佈的當天就被利用來發起的惡意攻擊,這使得IT專家們沒有時間來堵上這個漏洞。
現在,零時差攻擊對於網上罪犯們的價值正在飛漲中,因爲這種攻擊可以侵入最新的、保護得當的系統。例如,去年十月,趨勢科技的首席技術官 Raimund Genes在一個網絡聊天室裏注意到一條滾動出現的廣告。一個黑客想出售測試版的Windows Vista裏一個不爲人知的漏洞,要價是令人瞠目的5萬美元,雖然Genes無從得知是否有人購買了那些代碼。
“現在有了不少有組織的地下機構,”McAfee公司的安全研究經理Dave Marcus說道,“網上罪犯們已經領會到他們能夠靠惡意軟件來發財了。”
有利可圖的惡意軟件
惡意軟件可以是個“機器人程序”。例如,它能夠讓你的電腦傳播垃圾郵件,或者加入到拒絕服務式攻擊,把某個網站弄得崩潰而不能提供正常服務。 “這比把一位老太太打倒在地,並搶走她的錢包要容易多了,”Marcus說,“這也是非常隱匿的,而且攻擊者可以舒服地坐在星巴克裏發動這一切,卻不會被 絲毫察覺。”
多虧改進後病毒掃描技術不再完全依賴病毒定義文件,McAfee出品的反病毒軟件和其它安全軟件在保護計算機免受未知威脅的攻擊時變得更加出色了。此外許多新出現的免費與收費軟件都提供了針對零時差攻擊的主動性保護,並儘可能地限制攻擊帶來的損失與破壞。
Jeff Moss,每年一度的BlackHat安全大會的發起者,認爲正確的安全設置能最大限度地保護你的電腦。但有目的的攻擊有時能夠突破重重防線。“你可以買 一大堆防火牆、安全軟件和其它東西,”他說,“但只要某個軟件裏存在着可以爲零時差攻擊利用的漏洞,那麼再多的防護也是無濟於事的。”
在補丁發佈之前就發起攻擊的各種程序裏,最危險的是會偷偷地在後臺下載惡意軟件的那些。你只是很平常地瀏覽了某個被植入惡意代碼的頁面,或者是打開了一封受感染的HTML格式電子郵件,就會遭到入侵,你的電腦裏會悄無聲息地被塞入各種間諜軟件,木馬程序或者其它惡意軟件。在2005年底到2006年底之間,網絡罪犯們利用一種不常被人們使用的微軟圖片格式中的漏洞,發動了至少兩起這樣的零時差攻擊,並感染了數百萬臺電腦。
在HostGator遭到入侵的案例中,被黑客所利用的是IE瀏覽器在處理矢量標記語言(VML)格式的圖片時出現的漏洞,這個漏洞一直沒有引起注意。VML是一種不常見的、用來創建3D圖像的標準格式。
在九月份,Sunbelt Software公司發現了這種類型的攻擊並向人們發出警告,它在俄羅斯的一家色情圖片站點上發現了這個漏洞。漏洞本身就足夠危險:如果你瀏覽過任何含有 中毒圖片的網站,你的電腦就會被植入惡意程序。而攻擊者們清楚地知道如何讓危害擴散得更大更廣。
利用網站管理工具cPanel裏的一種未知漏洞,攻擊者們劫持了由HostGator託管的成千上萬個網站。訪問者瀏覽過這些完全合法卻中了毒的網站後,會被重定向到一些惡意網站,這些網站會利用VML漏洞發起零時差攻擊。
微軟的產品,如IE瀏覽器、Office辦公套件和Windows操作系統,是最常受到零時差攻擊(和其它類型的攻擊)的目標。部分原因是它們 佔據了大部分的軟件領域。但是微軟過去犯下的沒能在產品開發時對安全性進行充分考慮的錯誤,也導致了它的軟件產品成爲普遍的(也是容易攻入的)攻擊目標。 然而,Vista在安全方面有了長足的進步,至少在現在看來是這樣。
僅在2006年,就有四種直接或者間接針對IE 6瀏覽器的零時差攻擊。首先出現的針對IE 6的持續不斷的攻擊利用了在2005年底發現的漏洞。這種漏洞存在於Windows圖元文件格式(WMF),當IE呈現WMF圖片時就有可能受到攻擊。
在針對WMF漏洞的攻擊事件層出不窮並廣爲人知後,微軟首先宣佈隨着正常的補丁發佈週期,它將在數週後發佈一個補丁來修復此漏洞 —— 但是由於攻擊事件的不斷出現和公衆的反對聲不斷上漲,它最終不得不在一月初發佈一個計劃外的修復補丁。
然而補丁並沒有讓攻擊停止,這表示出零時差攻擊也可以有着很長的時間效應。與VML文件漏洞一樣,WMF漏洞也會導致電腦被暗中植入惡意程序, 這是網上罪犯們最喜歡的攻擊方式之一,受害者無需點擊受感染的圖片就會中招。如果你通過Windows的自動升級功能打上了微軟發佈的補丁,那麼你會沒 事。但是很明顯,許多Windows用戶並沒有這樣做。
去年七月份,通過一家爲上千個網站服務的廣告發行網絡公司,一幅藏匿着有害代碼、爲Deckoutyourdeck.com網站做宣傳的廣告出 現在MySpace和Webshots這樣的知名網站裏。藏匿在旗幟廣告裏的惡意程序會把木馬下載到訪問者的電腦裏,它會帶來廣告軟件和間諜軟件。消息人 士稱——到補丁在七個月後終於發佈時爲止——一共有上百萬人的電腦遭到入侵。
與針對IE瀏覽器發起的具有高危險性的零時差攻擊不同,專門針對Word與其它Office軟件的攻擊不能通過下載來發起攻擊。而主要依靠誘使 受攻擊者雙擊打開電子郵件附件——這通常用於有目的地攻擊某家特定的公司,即使是再小心的用戶也有可能不經意就雙擊打開了附件。
向目標企業的僱員發送假的(或者“欺騙性的”)郵件,把郵件僞裝得看上去像是來自某個同事或者是該企業內的其它來源,黑客就有很大機會成功誘使收件人打開附件裏的Word文檔。而如果郵件看上去像是來自於某個不知詳情的發件人,機會則小得多。
12月中旬,在公佈Excel和PowerPoint等Office軟件含有可能被黑客利用發起攻擊的漏洞後,微軟再次確認Word裏有兩個漏 洞也可能被黑客利用,併發起“危害非常有限並且目的明確的攻擊”。它向用戶發出警告不僅僅要警惕陌生髮件人郵件裏附件,同時也要對來自熟悉發件人的、未經 請求主動提供的附件保持足夠的警覺。
微軟的產品或許是最普遍的零時差攻擊目標了,不過其它的常用軟件也同樣面臨着受到攻擊的危險。一月份研究人員公佈了QuickTime播放程序 裏的一個漏洞, QuickTime在處理流媒體視頻文件時可能讓攻擊者入侵併控制受害者的電腦。2006年11月份Adobe ActiveX瀏覽器控件的一個漏洞也會導致受害者電腦被黑客控制。
零時差攻擊事件的湧現折射出每年公佈的軟件漏洞數目在不斷地上升。據互聯網安全機構Xforce所述,2006年軟件開發者與研究人員發現了7247個軟件漏洞,比起2005年多了整整39%。
但是,這些bug中的大多數不會被黑客利用併發起零時差攻擊。軟件公司經常收到用戶反映的bug和程序崩潰的報告,並從中找到安全漏洞,然後在 黑客利用這些漏洞發起攻擊前就進行修復。如果其它安全專家發現了一個漏洞,他們(總之,大多數會是這樣)會按照一套行業慣例——被稱作“有道德地透露” ——來處理,這套慣例是特別設計用來規避零時差攻擊的。
在“有道德地透露”原則下,研究人員首先會與軟件開發商聯繫並告知所發現的漏洞情況。開發商在補丁就緒前不會發布相關公告。最先發現漏洞且沒有將其公佈於衆的研究人員會受到公司的信任。
但有時候研究人員對於軟件開發商調查的進度過慢而感到不滿,就會在漏洞被解決之前將問題告知給大衆。部分安全專家認爲這種策略雖然有些不妥但能促使頑固的開發商立即發佈修補程序,有些專家則譴責這種行爲,認爲這麼做違背了行業慣例。
擁護這種行爲的人們爭辯說如果研究人員發現了漏洞,那麼黑客們有可能也發現了。聰明的黑客會小範圍、有目標地發起攻擊,以避免引起生產商的注意而發佈修補程序。不幸的是,大多數情況下,公佈漏洞都會促成大規模的零時差攻擊。
另一個倍受爭議的行業慣例是“懸賞緝錯”。有些組織,包括iDefense和3Com零時差攻擊項目(ZDI),都會爲向它們報告零時差攻擊漏 洞的研究人員支付一定的賞金。 比如iDefense就提供了8000美元的資金,懸賞能提供IE 7瀏覽器和Vista系統漏洞的人。然後這些安全公司會向軟件開發公司坦誠相告所知的信息。儘管得到大衆的欽佩,但提供這些漏洞信息並沒能使研究人員賺到 多少錢——大部分人都希望能從中撈上一筆,但得到的結果通常是軟件開發商的幾句感謝之辭。
或許更重要的是,安全公司的賞金與地下黑市正在爲零時差攻擊而開展着競爭。趨勢科技的Genes注意到的那位在聊天室裏販賣Vista漏洞的家 夥現在有可能已經找到,或者還沒有找到一位願意支付5萬美元的買家,但據eWeek.com網的報告與安全公司所說,在相關的bug信息以可觀的4000 美元賣出後不久,針對Windows圖元文件的攻擊就立即猖獗起來。
要找到能賣得出去的漏洞,研究人員與黑客會使用一種叫做fuzzer的工具軟件來找出軟件在何處接受信息輸入,然後它會系統地輸入一些奇怪信息的組合。通常這種測試找出來的漏洞叫做緩衝區溢出。
包括微軟在內的軟件公司通常使用工具軟件來尋找自家軟件裏的漏洞。而黑客們也會這麼做。BlackHat組織者Moss和許多其它專家們認爲東 歐那些有組織的網絡罪犯,訓練有素的中國黑客,還有其它不懷好意的人都會使用fuzzer來尋找有價值的可以用來發起零時差攻擊的漏洞。發現漏洞的人能夠 用它來發起攻擊,或者,與上面提到的WMF文件漏洞一樣,可以把漏洞信息拿到黑市去索價出售。
如果軟件開發商能在攻擊發生前及時修補好安全漏洞,那麼公司的IT人員以及家庭用戶都能及時升級電腦,在黑客發起攻擊之前就做好保護。但一旦零時差攻擊開始了,時鐘就開始計時——有時候時鐘要走上好一陣,急需的補丁纔會發佈。
根據賽門鐵克的2006年互聯網安全威脅報告,在2006年的前半年裏,微軟的Windows與紅帽Linux都是開發補丁最快的收費操作系統,平均只需要13天。
但是在升級瀏覽器方面——尤其是當有零時差攻擊已經發生的情況下——微軟比蘋果、Mozilla和Opera的反應速度都要慢。IE瀏覽器的補 丁在漏洞公佈的10天后纔會發佈,而Opera,Mozilla和Safari瀏覽器打上補丁的時間,分別只需要兩天、三天和五天。
Adam Shostack,微軟安全開發生命週期小組的一位程序經理,說有時候更短的開發時限只會是設想,他提到微軟用戶構成的複雜性。
“我們必須測試安全升級程序以確保它能兼容於28種不同語言的操作系統,以及每一種支持這個升級程序的操作系統。”Shostack說。“我們真的是在質量與速度中做出取捨與平衡。”
安全軟件有助於在有效的補丁發佈前保護系統不受未知威脅的攻擊,傳統的反病毒軟件依賴於病毒定義文件才能對攻擊起到保護作用。這讓惡意軟件的作 者永遠與安全公司在玩一個貓和老鼠的遊戲,黑客們散佈修改過的,沒有包括在病毒定義文件裏的木馬程序,反病毒軟件則對這些木馬程序束手無策。
啓發式與基於行爲的病毒分析或許能夠結束這一場貓鼠遊戲。這兩種病毒分析方式依靠運算法則,而不是病毒定義文件,去查找反常的行爲或者文件。啓 髮式查毒檢查潛在的惡意軟件是靠分析文件是否有值得懷疑的行爲,比如與內存有關的可疑行爲。而另一方面,基於行爲的病毒分析,觀察程序是否有典型的惡意軟 件的行爲(比如啓動Email傳播垃圾郵件),它鑑定程序是否有害是看它們做什麼而不是包含什麼。
現在大多數主流的反病毒軟件都擁有一種或者同時擁有這兩種分析方式。去年,PC World測試過使用一個月未更新的病毒庫成功識別出20%到50%的病毒。
不過啓發式與基於行爲的病毒分析容易引起誤報。安全軟件或許無法分辨出鍵盤記錄程序與通過直接敲擊鍵盤來減短響應時間的遊戲之間的區別。結果就是,軟件不停地跳出許多不必要的彈出式警告與操作詢問,讓用戶煩惱不已。
BlackHat的Jeff Moss估計這兩種病毒檢測方式在五年內不會被單獨應用,通過病毒定義文件來查毒目前依然是最可靠的。“它們的誤報與漏報率太高了。每個人對於檢測失誤都有自己奇怪的解決方法,但只要他們試着進行部署,用戶就會開始抱怨。”
其它解決方法
其它種類的安全產品試着藉由改變用戶的電腦環境來抵抗新的未知威脅,並限制着攻擊者成功入侵後帶來的傷害。有些(比如GreenBorder Pro)爲常常成爲攻擊目標的軟件,比如網絡瀏覽器與電郵客戶端,創建出一個“沙盒”,或者稱虛擬的被隔絕的環境。舉個例子來說,攻擊者也許可以攻破IE 瀏覽器,但安裝間諜軟件或者進行其它惡意篡改的舉動都無法衝破沙盒的阻攔。
其它一些程序,除了創建虛擬環境以外,還修改用戶帳號的權限,這樣程序就無法對系統做出深層的改變。這類工具包括微軟提供的免費的DropMyRights小程序。
還有些程序,如免費的VMWare 播放器,會安裝一個單獨的操作系統並擁有它自己的瀏覽器。被層層保護着的瀏覽器與你正常的電腦環境是完全隔離開的。
Windows Vista引入了一些新的安全特性,但沒有人會認爲軟件漏洞或者零時差攻擊會漸漸地銷聲匿跡。.遺憾的是,充斥着非法數據與垃圾郵件發送者名單的地下黑市將刺激網絡罪犯們繼續想方設法從惡意軟件裏獲得利益。
然而,趨勢科技全球教育主管David Perry對於未來的互聯網安全狀態還是維持樂觀的態度。“我相信最終我們會讓網絡上的威脅只是件麻煩事而已,”,他說,“但在今年內還看不到事情的進展。”
零時差攻擊正在進行時
去年九月SunbeltSoftware發現了利用矢量標記語言圖像裏的一個漏洞發起的攻擊,這種圖像格式已經比較少見,但Windows系統 依然對其提供着支持。在一星期內,攻擊者通過植入了病毒的圖片感染了數千個網站,所有不幸查看了這些圖片的用戶都會被偷偷地裝上惡意軟件並受到攻擊。
2006年9月18日,第一個VML攻擊被俄羅斯的一家網站報道。
2006年9月19日,微軟表示補丁將在10月10日推出。
2006年9月20日,賽門鐵克公司宣佈在東歐銷售的一款開發工具包中發現了惡意代碼。
2006年9月22日,零時差緊急響應小組發佈了一個非官方的補丁。成千上萬的合法的、但是被感染的HostGator託管網站讓他們的網友感染了病毒。
2006年9月26日,微軟提前時間表兩週的時間發佈了補丁。
2007年1月16日,iDefense公司證實一個相似的零時差攻擊已經盯上了VML的另一個漏洞。
來自Doc文檔的攻擊
2006年5月21日,中國大陸及中國臺灣省都發生了有明確目標的攻擊事件,被黑客利用的是一個Microsoft Word bug(2006年公佈的能發起零時差攻擊的Office漏洞之一),黑客們攻擊了一家名稱不詳的公司。根據互聯網風暴中心的消息,攻擊者發送了僞裝成發 送自公司內部的郵件,毫無戒備之心的僱員打開了感染了病毒的附件。
Vista如何防範零時差攻擊
Windows?Vista那些大受吹捧的新安全特性在保護你免受零時差攻擊方面做得怎麼樣呢?比你想象的要好得多。
Vista主要的新特性就是用戶帳戶控制(UAC),在Vista裏改變了用戶帳戶的操作許可權限。爲了方便起見——因爲管理員權限在進行許多 系統操作時都是必需的——幾乎所有的家庭用戶都在管理員帳戶設置下運行Windows XP。但攻擊者也會利用此設置的特權來修改系統,例如安裝含有惡意軟件的rootkit。
與從前不同的是,默認的Vista用戶帳戶擁有的權限不高也不低,既不是可以對系統做任何修改的管理員帳戶,也不是運行起來處處受縛的 guest帳戶。微軟嘗試着讓改變易於被人們接受,授予了標準帳戶足夠的權限來操作一些日常的系統任務,比如安裝打印機的驅動程序。但已經有用戶抱怨道需 要不停地確認一個又一個索要管理員密碼的UAC彈出提示框。
同樣,IE瀏覽器默認也是以受保護模式運行,此時只擁有最少的許可權限。這樣的改變限制了一些零時差攻擊劫持你的IE瀏覽器(比如利用WMF或者VML漏洞),並對電腦造成太大的破壞。
最後一點,Vista與Windows Defender是捆綁發行的,後者可以阻止試圖向啓動文件夾添加自啓動項的惡意軟件——比如,把自己僞裝成反間諜軟件等。Vista同時還會隨機改變內 存庫與程序載入的位置,這樣惡意軟件在試圖找出並更改系統重要進程時就會撲了個空。
遭到入侵的Myspace
2005年9月28日,與後來出現的VML攻擊類似的,微軟幾乎很少被使用到的Windows圖元文件格式裏發現了一個漏洞,當用戶瀏覽含有中 毒圖像的網頁時,就會被植入惡意程序。微軟在1月5日發佈了一個補丁,但7月份一個含有惡意代碼的旗幟廣告感染了數百萬尚未打上補丁的電腦,這些電腦訪問 了MySpace,Webshots和其一些它網站。
零時差攻擊是發現軟件漏洞後,在軟件生產商尚沒有發佈修復補丁之前,利用漏洞發起的攻擊。不過即使是在這段時間裏,你也有辦法保護你的系統安全而不會受到零時差攻擊。
1. 停止使用IE 6。爲了確保網上的安全,你首先應該停止使用微軟聲名狼籍、滿是漏洞的IE 6瀏覽器。當然了,沒有絕對安全的程序,但不管是因爲它那些固有的漏洞還是因爲巨大的用戶羣,IE 6都是一個易受攻擊的目標。升級到IE 7或者選用其它瀏覽器比如Firefox或者Opera。
2. 對於某些已經成爲零時差攻擊目標的軟件,你可以試試使用它們的替代軟件。例如,用來查看PDF文檔的免費Foxit程序,而OpenOffice能兼容許多Office文檔。
3. 爲Windows和其它程序啓用自動更新功能。補丁並不能阻止零時差攻擊的入侵,但大多數的漏洞在補丁發佈後依然會是攻擊目標,正因爲攻擊者知道許多人不 會費心去打補丁。要檢查和更改你的Windows系統的自動更新設置,在控制面板裏點自動更新。我們推薦你選擇“下載更新,但由我來決定什麼時候安裝”。
啓動其它程序的自動更新設置則難易各有不同。以Firefox爲例來說,選擇工具 — 選項 — 高級,然後選擇“升級”標籤。(重申一次,我們推薦選擇在Firefox發現更新後“詢問我該做什麼”)。要找到Adobe Reader裏的升級設置,你可以從幫助菜單欄裏進行手動更新,或者依次選擇編輯 — 首選項,然後選中“啓動”標籤,在“顯示消息和自動更新”前打上勾。
4. 考慮選擇帶有啓發式查毒和/或基於行爲分析病毒的反病毒軟件或者安全套件來保護你的電腦,讓它能自如地應對未知危險。擁有這兩種病毒分析方式的程序是對傳統反病毒軟件的一個補充,傳統的反病毒軟件在能抵禦某種威脅前必須對它比較清楚。
5.確保有一個防火牆——無論是Windows XP自帶的,還是第三方的——運行在你的電腦上。防火牆能阻止蠕蟲掃描你的電腦,尋找未打好補丁的漏洞,並試圖入侵你的系統。要查看系統是否運行着 Windows XP防火牆,進入控制面板,打開安全中心,點Windows 防火牆鏈接。大多數的寬帶路由路也帶有防火牆功能。
6. 使用防護軟件做爲反病毒軟件或安全套件的有效補充,比如DropMyRights。越來越多的工具軟件,既有免費的也有收費的,籍由改變易受攻擊軟件的運行方式來保護電腦的安全,這樣即使受到了零時差攻擊,也不會傷害甚至是傳播到電腦的其它位置。
7. 時刻關注最新情況。爲您傳遞最新的緊急威脅,還有各種安全知識與建議。其它有用的資源包括eEye 零時差攻擊追蹤網站(find.pcworld.com/56226)和Brian Krebs的安全修補博客。