對(duì)計(jì)算機(jī)惡意軟件分析及防范技術(shù)研究

韓桂杰

（中國(guó)石油化工股份有限公司遼寧沈陽(yáng)石油分公司，遼寧 沈陽(yáng) 110031）

1 惡意軟件的類(lèi)型及特點(diǎn)

惡意軟件是一種秘密植入用戶(hù)系統(tǒng)借以盜取用戶(hù)機(jī)密信息，破壞用戶(hù)軟件和操作系統(tǒng)或是造成其它危害的一種網(wǎng)絡(luò)程序。對(duì)于絕大多數(shù)系統(tǒng)來(lái)說(shuō)，惡意軟件已經(jīng)成為了最大的外部威脅，給企業(yè)和個(gè)人都帶來(lái)了巨大的損失。僅以惡意軟件中的間諜軟件為例，間諜軟件侵犯了用戶(hù)的隱私，這已經(jīng)成為企業(yè)用戶(hù)關(guān)注的焦點(diǎn)。盡管間諜軟件的出現(xiàn)已有時(shí)日，但是近幾年使用間諜軟件侵入系統(tǒng)監(jiān)視用戶(hù)行為變得更加猖獗。主要的惡意軟件有：

1.1 瀏覽器劫持

瀏覽器劫持是一種惡意程序，通過(guò)瀏覽器插件、BHO（瀏覽器輔助對(duì)象）、Winsock LSP等形式對(duì)用戶(hù)的瀏覽器進(jìn)行篡改，使用戶(hù)的瀏覽器配置不正常，被強(qiáng)行引導(dǎo)到商業(yè)網(wǎng)站。用戶(hù)在瀏覽網(wǎng)站時(shí)會(huì)被強(qiáng)行安裝此類(lèi)插件，普通用戶(hù)根本無(wú)法將其卸載，被劫持后，用戶(hù)只要上網(wǎng)就會(huì)被強(qiáng)行引導(dǎo)到其指定的網(wǎng)站，嚴(yán)重影響正常上網(wǎng)瀏覽。

1.2 間諜軟件(Spyware)

間諜軟件是一種能夠在用戶(hù)不知情的情況下，在其電腦上安裝后門(mén)、收集用戶(hù)信息的軟件。用戶(hù)的隱私數(shù)據(jù)和重要信息會(huì)被“后門(mén)程序”捕獲，并被發(fā)送給黑客、商業(yè)公司等。這些“后門(mén)程序”甚至能使用戶(hù)的電腦被遠(yuǎn)程操縱，組成龐大的“僵尸網(wǎng)絡(luò)”，這是目前網(wǎng)絡(luò)安全的重要隱患之一。例如：某些軟件會(huì)獲取用戶(hù)的軟硬件配置，并發(fā)送出去用于商業(yè)目的。

1.3 廣告軟件（Adware）

廣告軟件是指未經(jīng)用戶(hù)允許，下載并安裝在用戶(hù)電腦上；或與其他軟件捆綁，通過(guò)彈出式廣告等形式牟取商業(yè)利益的程序。此類(lèi)軟件往往會(huì)強(qiáng)制安裝并無(wú)法卸載；在后臺(tái)收集用戶(hù)信息牟利，危及用戶(hù)隱私；頻繁彈出廣告，消耗系統(tǒng)資源，使其運(yùn)行變慢等。例如：用戶(hù)安裝了某下載軟件后，會(huì)一直彈出帶有廣告內(nèi)容的窗口，干擾正常使用。還有一些軟件安裝后，會(huì)在IE瀏覽器的工具欄位置添加與其功能不相干的廣告圖標(biāo)，普通用戶(hù)很難清除。

1.4 惡意共享軟件(malicious shareware)

惡意共享軟件是指某些共享軟件為了獲取利益，采用誘騙手段、試用陷阱等方式強(qiáng)迫用戶(hù)注冊(cè)，或在軟件體內(nèi)捆綁各類(lèi)惡意插件，未經(jīng)允許即將其安裝到用戶(hù)機(jī)器里。使用“試用陷阱”強(qiáng)迫用戶(hù)進(jìn)行注冊(cè)，否則可能會(huì)丟失個(gè)人資料等數(shù)據(jù)。軟件集成的插件可能會(huì)造成用戶(hù)瀏覽器被劫持、隱私被竊取等。例如：用戶(hù)安裝某款媒體播放軟件后，會(huì)被強(qiáng)迫安裝與播放功能毫不相干的軟件（搜索插件、下載軟件）而不給出明確提示；并且用戶(hù)卸載播放器軟件時(shí)不會(huì)自動(dòng)卸載這些附加安裝的軟件。

1.5 行為記錄軟件（Track Ware）

行為記錄軟件是指未經(jīng)用戶(hù)許可，竊取并分析用戶(hù)隱私數(shù)據(jù)，記錄用戶(hù)電腦使用習(xí)慣、網(wǎng)絡(luò)瀏覽習(xí)慣等個(gè)人行為的軟件。危及用戶(hù)隱私，可能被黑客利用來(lái)進(jìn)行網(wǎng)絡(luò)詐騙。例如：一些軟件會(huì)在后臺(tái)記錄用戶(hù)訪問(wèn)過(guò)的網(wǎng)站并加以分析，有的甚至?xí)l(fā)送給專(zhuān)門(mén)的商業(yè)公司或機(jī)構(gòu)，此類(lèi)機(jī)構(gòu)會(huì)據(jù)此窺測(cè)用戶(hù)的愛(ài)好，并進(jìn)行相應(yīng)的廣告推廣或商業(yè)活動(dòng)。

1.6 行為記錄軟件（track ware）

行為記錄軟件是指未經(jīng)用戶(hù)許可，竊取并分析用戶(hù)隱私數(shù)據(jù)，記錄用戶(hù)電腦使用習(xí)慣、網(wǎng)絡(luò)瀏覽習(xí)慣等個(gè)人行為的軟件。行為記錄軟件危及用戶(hù)隱私，可能被黑客利用來(lái)進(jìn)行網(wǎng)絡(luò)詐騙。

1.7 惡作劇程序

惡作劇程序通常都是執(zhí)行程序，本身沒(méi)有過(guò)激危害，但影響正常工作的一類(lèi)程序。惡作劇程序改變系統(tǒng)中部分文件的編碼格式，運(yùn)行沒(méi)有任何提示，支持文件改名,支持文件合并器。惡作劇程序如果不是刻意散播，通常沒(méi)有自我散播能力。

惡意軟件有兩大特點(diǎn)：一是編寫(xiě)病毒化。不少惡意軟件為了防止被殺毒軟件或惡意軟件卸載工具發(fā)現(xiàn)，采用了病毒常用的Rootkit技術(shù)進(jìn)行自我保護(hù)。Rootkit可以對(duì)自身及指定的文件進(jìn)行隱藏或鎖定，防止被發(fā)現(xiàn)和刪除。更有一些惡意軟件，采用“自殺式”技術(shù)攻擊殺毒軟件。一旦發(fā)現(xiàn)用戶(hù)安裝或運(yùn)行殺毒軟件，便運(yùn)行惡意代碼，直接造成計(jì)算機(jī)死機(jī)、藍(lán)屏，讓用戶(hù)誤以為是殺毒軟件存在問(wèn)題。

二是傳播病毒化。為了達(dá)到更好的傳播效果，并減小成本，不少中小廠商直接使用病毒進(jìn)行“惡意推廣”。用戶(hù)的計(jì)算機(jī)感染病毒后，病毒會(huì)自動(dòng)在后臺(tái)運(yùn)行，下載并安裝惡意軟件。同時(shí)，惡意軟件安裝后也會(huì)去從互聯(lián)網(wǎng)自動(dòng)下載運(yùn)行病毒。大量的惡意軟件開(kāi)始使用電腦病毒來(lái)隱藏自身、進(jìn)行快速傳播、并對(duì)抗用戶(hù)的清除等，這些行為嚴(yán)重危害到用戶(hù)的信息安全和利益。

2 惡意軟件威脅的防范

2.1 部署企業(yè)反惡意軟件解決方案

隨著惡意軟件逐漸成為安全機(jī)制的核心問(wèn)題，企業(yè)都應(yīng)該部署自己的防惡意軟件解決方案，并且由于大多數(shù)惡意軟件都會(huì)直接影響用戶(hù)電腦，因此安全重點(diǎn)應(yīng)該是企業(yè)中每臺(tái)用戶(hù)計(jì)算機(jī)。

此外，由于遠(yuǎn)程訪問(wèn)技術(shù)無(wú)處不在，遠(yuǎn)程用戶(hù)也應(yīng)該部署相同的安全措施，最好就是為遠(yuǎn)程用戶(hù)部署完成的端點(diǎn)安全解決方案，包括修補(bǔ)程序和防火墻管理以及防惡意軟件程序。最后，可以考慮部署入侵防御系統(tǒng)(IPS)來(lái)攔截和預(yù)防某些由遠(yuǎn)程用戶(hù)導(dǎo)致的攻擊。

2.2 及時(shí)修復(fù)

由于安全領(lǐng)域技術(shù)日益變化，企業(yè)應(yīng)該隨時(shí)保持企業(yè)系統(tǒng)的更新?tīng)顟B(tài)，例如可以專(zhuān)門(mén)安排一名工作人員關(guān)注CERT警告和漏洞標(biāo)簽以獲取任何更新信息，保持企業(yè)系統(tǒng)的及時(shí)修復(fù)可以在很大程度上降低安全風(fēng)險(xiǎn)。當(dāng)然有時(shí)供應(yīng)商的修復(fù)補(bǔ)丁可能會(huì)比較晚，但及時(shí)修復(fù)補(bǔ)丁絕對(duì)是最安全的做法。

2.3 部署強(qiáng)大的身份驗(yàn)證機(jī)制

很多企業(yè)攻擊都是依靠單一驗(yàn)證而發(fā)動(dòng)攻擊的，傳統(tǒng)釣魚(yú)式攻擊、鍵盤(pán)記錄攻擊以及上述Twittr攻擊都屬于這種形式。這些攻擊主要在于竊取個(gè)人信息(用戶(hù)名和密碼)，這些信息將用于登陸用戶(hù)的帳戶(hù)。部署額外的身份驗(yàn)證機(jī)制可以抵御這些攻擊，例如通過(guò)要求用戶(hù)使用自身的東西(安全設(shè)備)或者指紋等來(lái)驗(yàn)證身份。部署多因素身份驗(yàn)證系統(tǒng)通常能夠抵御上述所有攻擊形式。

因?yàn)檫@些攻擊可以獲取信息，例如用戶(hù)安全問(wèn)題的答案，額外的基于信息的身份驗(yàn)證并不能提供額外的保護(hù)，數(shù)字證書(shū)也是同樣的道理，因?yàn)檫@些信息都很容易復(fù)制或者竊取，并不能抵御這些攻擊。

目前選擇身份驗(yàn)證解決方案的最佳做法是，選擇一個(gè)帶外雙因素系統(tǒng)，因?yàn)楝F(xiàn)在的惡意軟件已經(jīng)能夠攻擊傳統(tǒng)的帶內(nèi)雙因素系統(tǒng)。另外，考慮添加生物認(rèn)證因素，混合聲音、指紋或者其他三因素驗(yàn)證系統(tǒng)。通過(guò)使用單獨(dú)渠道(例如電話網(wǎng)絡(luò))進(jìn)行第二層驗(yàn)證，還可以幫助避開(kāi)安裝在用戶(hù)設(shè)備上的惡意軟件。

2.4 建立安全的防護(hù)體系意識(shí)

防范惡意軟件的第一步，就是要有安全的多層意識(shí)，一是數(shù)據(jù)層；二是應(yīng)用程序?qū)?；三是主機(jī)層；四是內(nèi)部網(wǎng)絡(luò)層；五是外圍網(wǎng)絡(luò)層；六是物理安全層；七是策略、過(guò)程和意識(shí)層。將安全的多層意識(shí)作用在計(jì)算機(jī)網(wǎng)絡(luò)體系中，我們就可以逐層進(jìn)行分析、進(jìn)行有效的防范。

計(jì)算機(jī)網(wǎng)絡(luò)信息安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，防御網(wǎng)絡(luò)入侵與攻擊只是保障網(wǎng)絡(luò)信息安全的一部分。

3 結(jié)束語(yǔ)

隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速應(yīng)用和普及，網(wǎng)絡(luò)信息安全的不確定因素也越來(lái)越多，我們必須綜合考慮各種安全因素，認(rèn)真分析各種可能的入侵和攻擊形式，采取有效的技術(shù)措施，制定合理的網(wǎng)絡(luò)安全策略和配套的管理辦法，防止各種可能的入侵和攻擊行為，避免因入侵和攻擊造成的各種損失。

[1]蔡志平.計(jì)算機(jī)病毒檢測(cè)技術(shù)研究與實(shí)現(xiàn)[D].國(guó)防科學(xué)技術(shù)大學(xué)，2001.

[2]陶書(shū)志.網(wǎng)絡(luò)環(huán)境下惡意軟件問(wèn)題研究[J].情報(bào)探索，2008（5）.