Siete características de las amenazas a la seguridad de los virus informáticos:
■Tecnología de autodefensa con una larga historia
Ya en el pasado, tipo de archivo, abierto Los virus de tipo macro o tipo macro comenzaron a utilizar cifrado, compresión, autocodificación, motor variante (McTation Engine o motor polimórfico), infección renombrada y otras tecnologías para evadir la detección y persecución por parte del software antivirus. Los programas maliciosos populares todavía utilizan estas técnicas de autodefensa contra virus.
Además, algunos programas maliciosos también tienen capacidades de software antivirus y de autoprueba. Desinstalan el software antivirus o firewall del sistema cuando se inicia la computadora.
Sin embargo, la tendencia actual de desarrollo de los procedimientos malignos parece haber cambiado. Aunque las funciones de autodefensa del pasado todavía se utilizan, ya no son el centro de atención.
Por el contrario, a estos programas maliciosos ya no les importa si pueden ser bloqueados por software antivirus u otros dispositivos de seguridad, porque no importa cómo se prevengan, los fabricantes de seguridad no tardarán en aparecer. proponer contramedidas y soluciones. Por tanto, el foco de su persecución se ha vuelto "rápido, despiadado y preciso", es decir, en el menor tiempo posible, con la velocidad del rayo y el viento otoñal barriendo las hojas caídas, para provocar un determinado impacto o lograr un determinado propósito. Por esta razón, muchos programas maliciosos incluso establecen un tiempo de autodestrucción.
■Variedad deslumbrante.
La ascendencia de la variante se remonta al virus polimórfico/mutante que fue muy popular en 1997-98. El virus tiene la capacidad de codificarse a sí mismo y su código de virus es diferente para cada archivo infectado. Básicamente, miles de personas deberían clasificarse como polimórficas.
Aunque el virus tiene una apariencia impredecible, todavía tiene fallas, es decir, cada código de virus modificado tiene el mismo programa al principio, por lo que aún quedan rastros por seguir. Para solucionar este problema, existe una subrutina de motor variante. OBJ está disponible en Internet para que las personas descarguen y escriban virus polimórficos. En resumen, debido a la divulgación del motor variante y del código fuente del virus, varias variantes han sido derrotadas en Internet.
Hoy en día, además de la "reproducción horizontal" de propagación global, el programa maligno también ha sido la "reproducción vertical" durante decenas de generaciones a través de una mutación continua. Lo que es aún más aterrador es que estos programas viciosos combinan diferentes técnicas de ataque mixto, de modo que cada generación de variantes tiene diferentes características "malvadas" y poder destructivo, o se agregan nuevas "técnicas venenosas" cada dos generaciones.
En el pasado, la mayoría de los virus "terminaban" después de dos o tres generaciones. Hoy en día, la capacidad de los programas maliciosos para transmitirse de generación en generación es cada vez más fuerte, con decenas de generaciones e incluso superando la marca de las 30 generaciones. Por ejemplo, Bagle ha tenido hasta ahora 37 generaciones de variantes, lo cual es realmente sorprendente.
Si observamos el número promedio de días, desde la primera generación (10) en junio de 2002 hasta la cuarta generación en septiembre de 2004, el virus Naughty Bear anterior tuvo nuevas variantes cada 176 días en promedio. Gusanos como Bagle, MyDoom, NetSky y Korgo ahora lanzan nuevas variantes en menos de 10 días en promedio. El más aterrador es el gusano Korgo, que ha producido hasta 27 generaciones de mutaciones en poco más de tres meses. En otras palabras, muta una vez en menos de tres días.
Parece como si estos programas maliciosos estuvieran compitiendo entre sí por la fertilidad. De hecho, Bagle, Netsky y MyDoom siempre han sido diferentes. No solo compiten por la cantidad de variantes, sino que incluso se atacan entre sí (por ejemplo, la variante Bagle ataca específicamente a Netsky y Netsky también apunta específicamente a MyDoom).
■ "Fragmentos" aleatorios de spam.
Para los programas maliciosos, el correo electrónico parece ser el tónico que mejora sus habilidades. Para lograr el objetivo final de infección y propagación, la mayoría de los piratas informáticos utilizarán la ingeniería social para atraer a los destinatarios a abrir archivos adjuntos o enlaces y luego iniciar o descargar el programa de ataque. Además, ha habido muchos correos electrónicos con virus en el pasado, lo que ha llevado al desarrollo de una tecnología que permite explorar correos electrónicos y archivos adjuntos infectados sin abrirlos.
En términos de transmisión de cartas, debido a que la interfaz de programación de aplicaciones de mensajería (MAPI) de Microsoft se utiliza para enviar correos electrónicos con virus, es fácil que el software antivirus los intercepte. Por lo tanto, la mayoría de los piratas informáticos utilizarán un SMTP dedicado. servidor de envío para enviar correos electrónicos de virus para evitar el virus. Pasar a través de la red de interceptación del software antivirus.
Desde que el macrovirus Melissa abrió el primer caso de programas maliciosos que eliminaban correos electrónicos, muchos programas maliciosos, especialmente gusanos de gran impacto, casi todos utilizan el spam como herramienta para el mal. El problema comenzó a generalizarse. atención.
Sobig. f, el gusano más completo y exitoso en la historia del uso de spam, envía automáticamente veneno a todas las listas de direcciones en la computadora de la víctima cada pocos segundos, alcanzando así el trono de la propagación más rápida de la historia. No es de extrañar que algunas personas lo llamen el envío masivo de correo más poderoso de la historia.
■Tentación irresistible: ingeniería social
La ingeniería social fue originalmente un método de fraude que se originó en Phreak. Los lectores no deberían estar demasiado familiarizados con este método, porque no hace mucho, creo que muchos. las personas deberían haber recibido algunas llamadas fraudulentas, como afirmar falsamente ser policía e informar a la persona que llama que les han robado su cuenta bancaria, o "Ahora tengo a su hijo, por favor deme dos millones rápidamente, etc.". Estos son claros ejemplos del uso de la ingeniería social.
Básicamente, la ingeniería social es una técnica que se aprovecha de las debilidades de las personas y utiliza amenazas e incentivos para engañar a la otra parte para que confíe u obedezca una determinada acción. Para la mayoría de las empresas, los problemas técnicos son fáciles de resolver, pero los problemas que involucran a la naturaleza humana son bastante difíciles de prevenir. Debido a esto, la ingeniería social se ha convertido en una de las técnicas comúnmente utilizadas por programas maliciosos como gusanos y caballos de Troya.
Especialmente para los individuos, es realmente difícil protegerse de los vertiginosos correos electrónicos de todos los días, y la tentación de la deslumbrante variedad de música MP3, * * * software o archivos gráficos en Internet es aún más difícil de resistir. , pero estas cosas son el campo de pruebas perfecto para que los piratas informáticos utilicen la ingeniería social.
■Si hay un agujero, taladrelo.
En el pasado, los errores en el software causaban como mucho problemas con la estabilidad o compatibilidad del software o sistema, pero ahora se han convertido en el principal objetivo de los ataques de los piratas informáticos. Lin Yumin, consultor de seguridad técnica de Symantec Asia Pacífico, dijo que hoy en día muchos software y plataformas tienen muchas vulnerabilidades. La mayoría de las versiones posteriores del software seguirán utilizando los componentes de la versión anterior, por lo que las vulnerabilidades también pueden extenderse a diferentes versiones. Esto lo convierte en un objetivo para piratas informáticos y gusanos. Por lo tanto, las debilidades del sistema y las vulnerabilidades del software se han convertido en problemas importantes en la seguridad informática.
Según un informe de análisis realizado por Gartner Group en abril de este año, el 25% de los ataques a la red en 2003 provinieron de vulnerabilidades conocidas. Cuando nos enfrentamos a problemas de vulnerabilidad, la única solución directa es descargar los parches proporcionados por el fabricante. Para las empresas, debido a la amplia variedad y gran cantidad de sistemas de software, las herramientas de gestión de vulnerabilidades y debilidades deben combinarse para operaciones fijas de escaneo, detección y reparación. Sin embargo, el informe de investigación de Symantec se mencionó anteriormente. Actualmente, la diferencia de tiempo promedio entre la liberación de la vulnerabilidad y los ataques de gusanos relacionados es de sólo 5,8 días, y el gusano inteligente incluso estableció un sorprendente récord de 2 días. En el futuro, a medida que la tecnología de gusanos continúe logrando avances, la diferencia de tiempo promedio será cada vez más corta. En el futuro, competir con los piratas informáticos para explotar las vulnerabilidades será definitivamente uno de los objetivos de las empresas y los proveedores de seguridad de la información. Para las personas, parchear las vulnerabilidades siempre ha sido algo que hay que hacer, pero es extremadamente problemático. La razón principal es que el sistema operativo eventualmente se ralentiza o incluso falla a medida que se instala y elimina software, juegos o hardware, se mueven archivos dentro y fuera o se producen otras operaciones inapropiadas. En otras palabras, para estabilizar el sistema, es necesario recargar el sistema operativo de vez en cuando. Por lo tanto, cargar su computadora también significa cargar todos los parches instalados previamente. Si los usuarios parchean en línea, es difícil garantizar que no serán invadidos por gusanos o que no se les implantarán puertas traseras durante el largo proceso de parcheo. Aunque la aplicación de parches mediante parches descargados es más segura, una gran cantidad de operaciones de aplicación de parches siguen siendo bastante tediosas.
Aunque el sistema operativo también proporciona una función de restauración del sistema, siempre que elijas un punto de restauración posterior, puedes reducir la cantidad de operaciones de parcheo. Pero, ¿cómo pueden los usuarios confirmar qué puntos de restauración son completamente seguros y limpios? En resumen, para los individuos, tapar las lagunas jurídicas es definitivamente una tarea desconcertante e impotente.
Además, es necesario enfatizar que los usuarios no deben pensar que no importa si no reparan vulnerabilidades antiguas por problemas o por suerte, siempre y cuando solucionen las vulnerabilidades más recientes. De hecho, las vulnerabilidades antiguas son las favoritas de los piratas informáticos. Según un informe de análisis realizado por Gartner Group en abril de este año, el 25% de los ataques a la red en 2003 provinieron de vulnerabilidades conocidas. Por lo tanto, se deben llenar todos los agujeros en el sistema o en el software.
■Solo quiero hacerte insoportable: DDoS
Denegación de servicio (DoS) se ha convertido en uno de los principales métodos de ataque de piratas informáticos y gusanos. A través de ataques DoS, el sitio web se verá inundado con una gran cantidad de paquetes de datos densos, lo que provocará que los usuarios del sitio web no puedan ingresar al sitio web normalmente y disfrutar del contenido o servicios que merecen.
Los gusanos, troyanos o programas de control remoto BOT de hoy en día utilizan una tecnología de ataque de denegación de servicio distribuido (DoSDDoS distribuido) de mayor tamaño, lo que provoca mayores pérdidas a largo plazo para las empresas y los sitios web.
El llamado DDoS consiste en integrar más fuentes de ataque en la red mediante búsqueda, escaneo de vulnerabilidades, implantación de puertas traseras, etc., lanzando así un bloqueo de servicio más violento y duradero sobre el objetivo principal. La ventaja de esto es que se puede combinar más energía de ataque y el hacker que realmente emitió la orden no será fácilmente atrapado. El programa de control remoto BOT infecta más BOT mediante el escaneo de la red, formando un enorme ejército de botnets y luego lanza un violento ataque DDoS contra el objetivo principal. Los ataques DDoS famosos de la historia, como el Code Red en 2001, eran gusanos que lanzaban ataques DDoS contra servidores IIS de Microsoft. MSBlast 2003. Se aprovechó una vulnerabilidad de desbordamiento del búfer RPC DCOM para atacar el sitio web de Microsoft Windows Update. Desde finales de junio de 2004 hasta el 5 de octubre de 2004, los sitios web de motores de búsqueda como Yahoo y Google sufrieron ataques DDoS por parte del gusano MyDoom, causando pérdidas considerables.
Ataques conjuntos por tierra, mar y aire: ataques híbridos
Desde 2006, 54 38+0 Code Red fue pionero en el uso de tecnología de ataque híbrido, los ataques híbridos se han convertido en la característica más importante y el método común. en el desarrollo de malware. Mediante la combinación de diferentes tecnologías de ataque, los programas maliciosos pueden lanzar ataques sorpresa que se propagan más rápido, tienen canales más diversos y son más destructivos. En la actualidad, hay cada vez menos programas maliciosos "puros" y la mayoría de ellos seguirán añadiendo nuevas técnicas y características de ataque a las variantes de próxima generación.
En cuanto a las características de los programas maliciosos, los virus son contagiosos que otros programas maliciosos no tienen, mientras que los gusanos proporcionan capacidades de propagación activa incomparables. En cuanto al caballo de Troya con la mayor capacidad de control remoto. Los ataques híbridos son una nueva generación de tecnología de malware que integra firmas de virus, gusanos, troyanos, spyware o phishing, además de escanear vulnerabilidades de la red y del sistema.
Los planes de ataque híbridos podrán implementar ataques conjuntos multipunto en tierra, mar y aire a través de diferentes medios y canales. En otras palabras, puede propagarse a través de correos electrónicos no deseados, por un lado, escanear en Internet y, por otro, parasitar hosts vulnerables, "pretender ser lindo" en Internet en MP3, juegos o software para que la gente los descargue, o Busque carpetas de directorios compartidos en redes infectadas cercanas o aumente el nivel de permiso de las cuentas de invitados. Dado que los ataques provienen de diferentes canales en todas direcciones, el software antivirus tradicional no puede responder eficazmente. Actualmente, los proveedores de seguridad de la información abogan por soluciones de defensa activa de múltiples capas como respuesta.