隨著病毒、蠕蟲��、木馬���、后門和混合威脅的泛濫,當(dāng)前針對(duì)新漏洞的攻擊產(chǎn)生速度比以前要快得多�,而社會(huì)工程(social engineering)陷阱也成為新型攻擊的一大重點(diǎn)。帶有社會(huì)工程陷阱元素的攻擊包括間諜軟件�、網(wǎng)絡(luò)欺詐、基于郵件的攻擊和惡意Web站點(diǎn)等����。這些攻擊往往偽裝為合法應(yīng)用程序和郵件信息,設(shè)計(jì)為欺騙用戶暴露敏感信息��、下載和安裝惡意程序�����,傳統(tǒng)的安全設(shè)備很難加以阻擋����,往往需要先進(jìn)的檢測(cè)和安全技術(shù)�����。本文著重介紹灰色軟件的特征和防護(hù)方法����。
一����、什么是灰色軟件
灰色軟件是一個(gè)概括性詞匯���,它是指安裝在計(jì)算機(jī)上跟蹤或向某目標(biāo)匯報(bào)特定信息的一類軟件�。這些軟件通常是在沒有得到允許的情況下安裝和執(zhí)行的�����。很多灰色軟件是在需要下載和運(yùn)行應(yīng)用時(shí)���,就能悄然地完成工作���,比如跟蹤計(jì)算機(jī)使用,竊取隱私等��。在大量的郵件病毒成為每月新聞?lì)^條的時(shí)候,用戶可能會(huì)意識(shí)到如果打開不確定的郵件會(huì)帶來(lái)什么風(fēng)險(xiǎn)�����。但是對(duì)于灰色軟件����,用戶根本就不需要打開附件或執(zhí)行被感染的程序,僅僅訪問使用該技術(shù)的網(wǎng)站�,就會(huì)變成灰色軟件的犧牲品。很多灰色軟件只產(chǎn)生垃圾信息�����,比如說(shuō)彈出式窗口�。誠(chéng)然,在"無(wú)害"的灰色軟件和盜取信用卡賬號(hào)�、密碼和身份證號(hào)這些有價(jià)值信息的攻擊之間,還是有著明確的區(qū)分標(biāo)準(zhǔn)的�。
灰色軟件常常來(lái)源于以下行為:(1)下載共享軟件,免費(fèi)軟件或其他形式共享文件����;(2)打開被感染過的郵件;(3)點(diǎn)擊彈出廣告;(4)訪問不負(fù)責(zé)任或欺騙網(wǎng)站��;(5)安裝木馬程序���。
灰色軟件不一定是惡意軟件���。很多灰色軟件的最終目標(biāo)是跟蹤網(wǎng)站訪問者來(lái)獲得搜索結(jié)果,以達(dá)到某個(gè)商業(yè)目的����;疑浖牡湫桶Y狀是系統(tǒng)緩慢�����、彈出廣告����、主頁(yè)定向到別的網(wǎng)站等�����,從而造成騷擾���。不過��,黑客常會(huì)把灰色軟件技術(shù)用作其他目的��,例如利用瀏覽器來(lái)加載和運(yùn)行某些程序���。這些程序可以公開訪問系統(tǒng)�,收集信息��,跟蹤鍵盤輸入��,修改設(shè)置����,或者制造某些破壞。
灰色軟件大體可以分為以下幾類:
(1)廣告軟件:廣告軟件通常是嵌入到用戶免費(fèi)下載和安裝的軟件中�。安裝以后會(huì)不時(shí)地彈出瀏覽器窗口來(lái)傳播廣告, 干擾用戶正常使用��。
(2)間諜軟件:間諜軟件通常嵌入在免費(fèi)軟件中�。它可以跟蹤和分析用戶的行為,比如說(shuō)用戶的瀏覽網(wǎng)頁(yè)的習(xí)慣����。跟蹤信息會(huì)返回到編寫人員的網(wǎng)站����,在那里進(jìn)行記錄和分析���。它會(huì)引起計(jì)算機(jī)性能的改變���。
(3)撥號(hào)軟件:撥號(hào)軟件是控制計(jì)算機(jī)的Modem的灰色軟件。這些程序通常是撥打長(zhǎng)途電話或者呼叫昂貴的電話號(hào)碼來(lái)為竊取者創(chuàng)收���。
(4)玩笑軟件:玩笑軟件修改系統(tǒng)的設(shè)置��,但是并不摧毀系統(tǒng)���。例如將系統(tǒng)鼠標(biāo)或者Windows背景圖片加以修改����,還有些游戲軟件通常是開些小玩笑或者惡作劇。
(5)點(diǎn)對(duì)點(diǎn)軟件:點(diǎn)對(duì)點(diǎn)軟件(P2P)可以完成文件交換����。用它完成商業(yè)目標(biāo)也許是合法的,而用它來(lái)交換非法音樂�、電影和其他文件的時(shí)候��,往往是非法的���。
(6)鍵盤記錄軟件:鍵盤記錄也許是最危險(xiǎn)的灰色軟件之一。這些程序可以捕捉鍵盤的輸入��,由此獲得用戶名和密碼�、信用卡號(hào),用于Email����、聊天、即時(shí)通訊等����。
(7)劫持者軟件:它可以修改瀏覽器的一些設(shè)置,來(lái)改變用戶的愛好��,如首頁(yè)��、收藏夾或菜單等����。甚至可以修改DNS設(shè)置,將DNS重定向到惡意DNS服務(wù)器����。
(8)插件:插件向已有程序添加代碼或新功能�����,來(lái)控制�����、記錄和發(fā)送瀏覽的喜好或其他信息會(huì)�����,發(fā)送給外部地址��。
(9)網(wǎng)絡(luò)管理軟件:它是出于惡意目的設(shè)計(jì)的灰色軟件��,可以改變網(wǎng)絡(luò)設(shè)置�,毀壞網(wǎng)絡(luò)安全����,或者造成其他網(wǎng)絡(luò)破壞���。遠(yuǎn)程管理工具是讓外部用戶來(lái)遠(yuǎn)程控制����,改變和監(jiān)視網(wǎng)絡(luò)中的計(jì)算機(jī)。
(10)BHO:BHO是作為普通軟件的dll文件安裝的�,可以控制Internet Explorer的行為。并不是所有的BHO都是惡意的�,但是它有跟蹤瀏覽偏好和收集其他信息的功能。
(11)工具欄:它可以修改計(jì)算機(jī)的工具欄特性�,可以監(jiān)視瀏覽網(wǎng)頁(yè)的習(xí)慣,發(fā)送信息給開發(fā)者���,或者改變主機(jī)的功能��。
(12)下載灰色軟件:它在用戶不知情的情況下偷偷地下載和安裝其他的軟件�����。這些程序通常是在啟動(dòng)過程中運(yùn)行���,可以安裝廣告軟件,撥號(hào)軟件和其他惡意代碼��。
二�、灰色軟件的癥狀
灰色軟件的癥狀表現(xiàn)為以下幾個(gè)方面:
(1)性能下降。通常情況下���,灰色軟件的進(jìn)程是用戶所不知道的�。它占用很多CPU和內(nèi)存的資源,導(dǎo)致速度下降�����。打開任務(wù)管理器查看消耗資源的進(jìn)程���,一般就可以識(shí)別出灰色軟件�。
(2)即使在沒有執(zhí)行任何在線程序�,Cable或DSL的Modem的收發(fā)數(shù)據(jù)的燈,或者任務(wù)欄中網(wǎng)卡或Modem的圖標(biāo)�,還在不停地閃,它表示數(shù)據(jù)正在傳輸��。
(3)在沒有連接Internet��,或沒有運(yùn)行瀏覽器的情況下��,計(jì)算機(jī)仍會(huì)彈出信息窗口和廣告�����。
(4)瀏覽器的主頁(yè)在沒有察覺的情況下����,從缺省變成了其他頁(yè)面,修改也不起作用���。
(5)Internet Explorer的搜索引擎被修改����,搜索結(jié)果總是指向一個(gè)未指定的搜索網(wǎng)址�。
(6)Web瀏覽器的收藏夾被修改,不能將其改回去����,或者不能刪除新增加的條目。
(7)搜索或者Web瀏覽器的工具欄被修改����,新選項(xiàng)被安裝,而且這些工具欄不能被刪除����。
(8)防病毒程序、反灰色軟件程序被強(qiáng)制停止工作����,流行安全軟件被關(guān)閉��。應(yīng)用程序運(yùn)行時(shí)警告丟失文件����,即使把文件覆蓋回去也不起作用�。在安裝前可以關(guān)閉流行安全軟件。
三��、灰色軟件的防護(hù)方法
1��、用戶教育
用戶教育最基本的方法是讓用戶了解灰色軟件的特點(diǎn)和危害性����,禁止下載和安裝來(lái)路不明的軟件��;蛟谠试S下載和安裝未知的程序之前���,仔細(xì)閱讀"最終用戶許可證"�����。有惡意傾向的灰色軟件和木馬程序通常試圖隱藏起來(lái)�,防止被清除或隔離。減少感染機(jī)會(huì)的另一方法是提高Web瀏覽器的安全級(jí)別����,配置象outlook這樣的郵件收發(fā)程序?yàn)椴蛔詣?dòng)下載HTML郵件中的圖片或其他內(nèi)容����,關(guān)閉自動(dòng)預(yù)覽,對(duì)所有的操作系統(tǒng)和應(yīng)用軟件都安裝最新的補(bǔ)丁等�。
2、安裝反間諜軟件程序
新型防灰色軟件和計(jì)算機(jī)上的防病毒軟件的功能類似��,它們可以依據(jù)灰色軟件的特征值數(shù)量和特征庫(kù)檢測(cè)�����、刪除和凍結(jié)灰色軟件�。反灰色軟件程序又分基于主機(jī)的客戶端軟件和基于網(wǎng)絡(luò)的反灰色軟件兩類。 基于主機(jī)的客戶端軟件的成本在于安裝和維護(hù)��,包括在每臺(tái)計(jì)算機(jī)上安裝���、定時(shí)升級(jí)軟件和病毒庫(kù)�。由于采用許可證方式����,整個(gè)企業(yè)部署的成本較高���。
另外,很多木馬和灰色軟件在安裝前會(huì)主動(dòng)檢測(cè)是否有這些防護(hù)軟件��,如果有的話就關(guān)閉掉���,這樣就可以避免被檢測(cè)到��。所以存在一定風(fēng)險(xiǎn)�。
基于網(wǎng)絡(luò)的反灰色軟件是在企業(yè)網(wǎng)絡(luò)連接到Internet的邊界平臺(tái)上���,部署防灰色軟件產(chǎn)品�。在灰色軟件進(jìn)入網(wǎng)絡(luò)前加以識(shí)別和清除�,降低了安裝、維護(hù)和保持更新的成本����。網(wǎng)關(guān)得到升級(jí),所有的防火墻后的計(jì)算機(jī)會(huì)自動(dòng)地得到保護(hù)���。
關(guān)鍵詞標(biāo)簽:灰色軟件
如何使HIPS 防止U盤病毒的入侵
用小工具巧殺計(jì)算機(jī)病毒
Windows 17年的老漏洞(VDM 0day)須警惕
光驅(qū)也瘋狂 Autorun病毒冒充文件夾