最容易的攻击手法就是扫描寻找系统漏洞,影响严重的攻击事件往往与系统重大安全漏洞有关。比如,今年3月份windows系统曝出动态光标漏洞,攻击者利用一个特殊的ANI文件,浏览到这个ANI文件时,系统会自动下载攻击代码指定的恶意软件并执行。目前,该漏洞是运用最广泛的挂马手段。如果你在上网时,发现IE信息栏突然出现一个建议安装某个控件的黄条,建议确认一下该控件的来历,没有数字证书的控件,一定不要安装。访问这类网站,金山毒霸会弹出如下提示。
攻击者通常会把木马发布在一个吸引人的网站上,比如免费聊天室、免费电影下载站、BT资源、色情网站等等。存在系统漏洞的电脑浏览这些网站,就会自动下载执行木马。
B. 会话劫持攻击
正常上网时,客户端和远程的服务器之间会建立会话,客户端软件(比如IE浏览器)把服务器提供的内容下载到本地。木马攻击者此时会利用ARP欺骗或其它方式,劫持客户端和服务端的会话,把一个经过篡改的信息返回给客户端,客户端就会下载攻击者指定的恶意代码。利用会话劫持可以迅速将挂马的战果放大,是黑客最喜欢的攻击手段。因为大量发送ARP攻击包对局域网影响很大,客户机经常会断网,网速也会因此变慢,给网管带来极大挑战。局域网用户遭遇会话劫持后,会发现多台客户机访问很多站点时,杀毒软件提示发现木马。
从客户端到服务器的连接如下图的示意,其中各个环节均有可能遭遇会话劫持攻击。
比如今年股市越来越热,不少攻击者把目标放在与证券相关的网站、论坛,连中国证券网也被人使用会话劫持手段而挂马。
C. 配置自动播放
Windows的自动播放功能被木马传播者所惯用,自动播放功能,常常起到令木马卷土重来的效果。正常情况下,自动播放功能通常是出版光盘时采用的。如果你在除光盘之外的其它磁盘、U盘、移动硬盘、各种存储卡中发现autorun.inf的配置文件,基本可以肯定被木马骚扰过。
D. 传统骗术一览
1. 捆绑欺骗--把木马服务端和某个正常软件捆绑成一个文件在QQ或邮件发给别人。运行后会看到正常程序的打开界面,木马也已经悄悄运行,可以起到很好的迷惑作用。
2. QQ冒名欺骗--攻击者盗取了某个QQ号,然后立即和该QQ号的好友联系,尝试发送木马。接收者往往以为是自己信任的朋友,会降低警惕,从而运行木马程序。
3. 邮件冒名欺骗--和前一种方法类似,用匿名邮件冒充好友或知名企业、机构向别人发木马附件,别人下载附件并运行。
4. 危险下载点--攻破一些下载站或者自己提供几个热门工具下载,程序中捆绑木马。
5. 图标欺骗--把木马程序用一个WORD文档、RM电影、图片、ZIP压缩包或文件夹的图标。收到木马的人,稍不留意就可能打开这些程序而中招,许多木马的服务端都利用这种方式欺骗。
金山毒霸的对策
水来土淹,兵来将挡。针对木马的种种攻击手段,金山毒霸作为知名安全产品,会通过官方网站、论坛、媒体向社会通报各种安全事件,提升公众对木马、病毒攻击事件的认知度。从而降低因木马的各种社会工程学骗术带来的风险。
在技术层面,金山毒霸提供以下功能,以降低木马带来的安全风险,保护电脑系统安全。
1. 漏洞扫描修复技术
前面提到漏洞是木马攻击者的最爱,修补漏洞能大大降低您的安全风险。金山毒霸提供了漏洞扫描修复技术,保持和微软Windows安全更新同步。主动扫描客户机是否存在漏洞,并协助用户完成补丁下载和漏洞修复。同时,为节约用户带宽,提供了补丁备份功能,新系统安装补丁更快捷。
2. 网页防挂马技术
即将升级提供的网页防挂马技术,可以阻止所有高风险程序的后台下载;同时,隐蔽的程序运行会提供警告;阻止非法程序访问注册表。
3. 反网络钓鱼及家长控制
金山毒霸的网页监控提供了反网络钓鱼功能,内置大量危险站点黑名单,会阻止用户访问这些危险站点。同时,金山网镖提供的家长保护功能,会阻止对暴力、色情类网站的访问,阻止清单定期更新。
4. 数据流反病毒引擎及静态脱壳技术
金山毒霸“蓝芯”反病毒引擎,支持超过30种加壳工具上百个版本的静态脱壳,数据流反病毒引擎支持动态脱壳。用以对付通过捆绑、加壳处理的病毒传播。
5. 流行病毒免疫技术
金山毒霸独家提供对“威金viking”、“熊猫烧香”、“ANI蠕虫”等严重流行的蠕虫病毒进行免疫,免疫功能可阻止相应病毒的复制传播,降低这类蠕虫病毒在局域网内泛滥的风险。
(责任编辑:飞羽)
相关文章
