频道栏目
首页 > 安全 > 系统安全 > 正文

游走在安全与危险的边缘上-间谍软件攻防策略

2004-11-05 08:57:26           
收藏   我要投稿

间谍软件是什么?我们所有人几乎认为是木马或病毒。在和你们交流这个问题时,大家普遍认为自己的系统中没有这种东东,
因为大家都有正版的杀毒软件和防火墙、最新的病毒库。
最关键的一点,大家的系统从来没出过问题,运行一直很正常。是的,我们通常都是这样防卫自己的系统,
一套正版的杀度软件和防火墙,也是以此为标准来判断自己的系统是否安全。时光倒流到3年前,这样的观点也许是正确的。
现在的情况是,市面上几乎没有可以识别和清楚间谍软件的杀度产品,也没有一款个人防火墙可以阻止这些间谍软件和幕后操控者的联系。
如果用专门的工具查一下,系统中潜伏的间谍软件数量足以吓你一跳。
“可是那有什么关系呢?反正我的系统一直很正常……”如果你有这样的想法,说明你还不了解这些躲藏在系统中的“幽灵”,它们正在偷偷地窥视我们的一切……

黑客是如何在不被察觉的情况下获得个人的信息的呢?你或许认为黑客入侵了Smith的计算机,但现在的黑客已经不常使用这些‘古老的’手段了。通过各种渠道,黑客可以在你毫无察觉的情况下在你的系统中安装一些软件来收集他感兴趣的信息和数据。究竟什么是间谍软件呢?简单地说,间谍软件是任何秘密搜集关于你(或你的PC)的情况,并且能通过你的Internet连接把这些信息发送到幕后操纵者的程序。这些幕后操纵者后操纵者包括了各式各样的销售商以及黑客。目前公认的间谍软件包括以下几种类型
1。广告软件(ADware)
这里所说的不是广告制作软件,而是用来在你系统中显示或弹出广告的程序。广告通常和一些免费的应用程序,免费软件从广告商那里下载各种广告,通过软件的广告条或弹出窗口来达到宣传目的,广告获得的收入由软件作者和广告商获得。表面上看这是非常棒的‘3赢’模式:拥护可以免费使用软件,软件的开发者解决了资金的问题,广告商也达到了自己的目的。可现在你已经找不到这样‘单纯’的广告软件了。它们偷偷地收集所有你的信息,然后打包发送给广告商和销售商。通过这些信息,他们可以用各种电子邮件塞满你的邮箱,而你却不知道这些垃圾邮件从何而来。
2。广告软件Cookies(ADware Cookies)
如果你认为广告软件仅仅是收集你的信息发送给那些商人,那就太低估它们了。大部分广告软件会在你访问广告页面时,在系统中留下大量的Cookies,有些广告软件甚至会自动打开你的浏览器去访问某些广告站点,从而强行在你的系统中保存含有你个人和浏览信息的Cookies文件。对此你会怎么想—Cookies是为了加速网页的浏览?错!这些‘甜点’是广告商为了和自己的合作伙伴共享你的个人信息而特别制作的……
3。系统监视程序(System Monitors)
顾名思义,就是监视你系统中的一切,包括文字处理时键入的内容、E-mail……,还有你在浏览哪些网站和运行了什么程序等,系统监视程序会‘忠实’记录所有这些,然后发给它的主人。这种程序最大的‘好处’就是永远默默在后台运行,从不出来打扰你,也不会出现在系统的进程列表中让你操心。
4。浏览器劫持程序(Browser Hijacker)
网络中一样生存和现实中类似的‘截击犯’,它们就是浏览器的劫持程序。不同的是在网络中没有飞机供它们劫持,它们劫持的目标是你的IE。有不少人都遇到自己的浏览器主业被修改,或者本来是要通过GOOGLE搜索,却莫名其妙地转想了一个从来没有去过的站点的搜索网站,而且你怎么都无法把这些设置改回来。这些匪徒在劫持IE同时,并没有忘记它们的本分—搜集信息,然后发给幕后的操纵者/
5。特洛伊木马(Trojan Horses)
这个不用我多说了吧,相信大家都很了解。目前唯一幸运的是,杀毒软件都可以查杀所有以知的木马

二、我们已经被他们“包围”

根据美国电信提供商Earthlink2004年4月公布的一份报告显示,利用该公司一共的间谍软件检测工具"SpyAudit"对月106完上网电脑拥护的个人电脑进行分析后发现,平均每台电脑中隐藏了大约28个间谍软件.
从下表我们可以看出

用SpyAudit扫描的个人电脑数量 1062756
检测到的间谍软件总数 29549618
每台电脑安装的间谍软件数量 27.8
检测到的广告软件总数 5344355
检测到的广告软件及cookie总数 23826785
检测到的系统监视软件数量 184559
检测到洛特伊木马总数 184919

间谍软件调查结果虽然系统监视软件和洛特伊木马只占越1.2%,可就是这么一个不起眼的数据所引发的身份盗窃和欺诈行为,仅去年就给美国的消费者造成超过50亿美圆的现金损失,受害者达990万人,而这些仅仅知识记录在暗的数据.
记得还早些时候,笔者怀着将信将疑的心理访问国外某安全网站,为一台刚刚装好的系统,安装完各种常用的软件和计算机做了一次在线检测,当时就查出了6个间谍软件和1个系统监视软件,而这太计算机上运行的诺顿企业版杀毒程序却没有出任何的警告.这里笔者要生命的是,诺顿杀毒软件在病毒和木马的查杀方面一直是最优秀的产品之一.
由于早些时候国内的安全防护的焦点一直集中在病毒、木马的防治上,目前国内主要的杀毒软件和个人防火墙都无法有效的发现、清除或阻止系统中的间谍软件.或者由于国内网上银行和电子商务还不普及,持信用卡的拥护也不多,所以身份盗窃和网络诈骗一直没有引起大家的重视.但最近的"网银大盗"时间充分暴露了隐藏在我们身边的危机,间谍软件已经悄悄渗透了我们的安全防线,先副在我们的系统中.同过"网银大盗",国内的安全防护企业开始将目光投向这一领域.部分新版本的杀毒软件开始提供"个人隐私保护"异类的功能,说明传统的安全放护企业已经迈出了第一步.

三、“恶魔吹着笛子来”——间谍软件入侵原理和行为分析
间谍软件的入侵,只要是沿用木马传播的基本方式,就是和有价值的软件或文件捆绑进入系统。演变到现在,甚至有个别的提供方便功能的软件,起开发的真实目的就是为了掩护间谍软件的入侵,充当了“恶魔”手中“笛子”的角色。间谍软件更高明的地方在于,不像传统木马那样简单地和某个应用程序捆绑,而是非常慎重地集成在应用软件的内部,成为其不可分割的一部分,这样就可以成功的木棉被清楚程序“杀”掉, 因为一旦你清楚了某个间谍软件,相关的应用程序往往无法运正常工作,这其中以广告软件居多。也有很多黑客通过修改某些被大家广泛使用的软件,提供一些附加功能,比如显示对方的IP地址、除广告等。这些都属于典型的利用用户贪图方便的心理来完成入侵的方式。总体来说,间谍软件的入侵主要通过以下渠道:
1:电子邮件及附件
你可能会收到一封来自某个场商或者看起来很不错的站点的邮件,要么诱使你去下载某个包含“贴心功能”的免费软件,要么直接在附件中提供这个软件。当你下载或打开附件时,就中了圈套。可拥护对这种方式普遍有一定的防备心理和手段,于是又延伸出更高级的模式。一种是利用浏览器的漏洞,发给你一封是哟功能了漂亮信纸,而且标题通常为电子贺卡或其他热门的话题的邮件,只要你一打开,隐藏的间谍软件就会被自动安装;还有一种是属于“身份盗窃”的形式,利用你朋友被盗的信箱给你发邮件,或者冒用你朋友的名称,用另外一个邮箱地址发给你,让你毫不忧郁地打开邮件或附件
2:免费的软件下载
通过免费的软件下载也是间谍软件入侵的重要手段之一。无论广告商、销售商还是黑客,在软件中写入了间谍软件,都会通过免费发放的形式来吸引用户下载安装。广告商和销售商提供的是某些看上去补角正规的软件,通过拥护对这些软件没有任何的怀疑,而黑客则“提供”D版软件、游戏或附加了某些功能的“修改版”软件。
3:网页浏览
由于IE存在一些ActiveXJava漏洞,可能允许网站在你无法察觉的情况下运行程序,因此很多间谍软件通过这个渠道进入系统。这类网站通常都是色情或打着黑棵几乎交流幌子的网站。
4:浏览器插件
现在越来越多的网站、软件开发企业都是提供诸如搜索工具栏一类的浏览器插件,最常见的就是一些提供搜索提供搜索功能或广告拦截、IE保护类的插件,而用户也愿意接受这些非常方便的小软件进入自己的系统。既然如此受欢迎,自然也就成为了间谍软件入侵的最佳载体
5:娱乐平台和即时通信软件
宽贷的普及,是我们可以进行在线游戏、观看在线电影、收听在线音乐或广播等。可以说是宽待和流媒体压缩技术让我们的网络生活进入了多媒体时代。即时通信软件的出现让我们可以随时随地和亲人朋友交谈沟通。由于使用广泛,也成为间谍软件看好的入侵途径/
6:不安全的“安全”软件
大概最不会引起人怀疑的就是这种手段了,不少“伪安全软件”混在真正的安全软件或是被黑棵非法修改过的杀毒软件中。一般看来,这些软件都是值得信赖的,也是自己在计算机安全防护方面的依靠。通过这种方式入侵,即使间谍软件被发现,也不会怀疑到载体。很多用户反复中同一种病毒可能就是这方面的原因。现在就有一些打着“反间谍”旗号的软件被证实其本身就是间谍软件。
7:堂而皇之的入侵方式:
相比以上那些鬼鬼祟祟的方式,这种方式在利用用户的懒惰和大意。部分别有用心的人先将间谍软件写入某个应用程序。然后在软件安装声名中的第N页的某一行做一个模棱两可的晦涩说明。可是有多少人会认真地去看一个软件的安装说明呢?通常是习惯性地在出现安装声明的时候,直接电击“我同意”一类的按扭。而这就将用户置于非常被动的地位,从法律的角度讲,间谍软件的控制者可以狡辩自己已经告知了用户,在软件中包含了“信息收集”程序,并且给了用户选择“NO”的权利,看上去仿佛这一切都是用户的错。
8:迎合低级趣味,引诱自投罗网者
很多间谍软件其实都来自色情或宣扬暴力的网站。这种网站要么利用浏览器漏洞在用户访问时偷偷安装间谍软件,要么把间谍软件和专用的视屏下载程序捆绑。

总的来说,当前间谍软件的入侵,主要是利用普通拥护的麻痹大意或对软件开发厂家的信任。由于目前的杀度软件和防火墙均无法识别,因此要诱使一个用户安装含有间谍软件的应用软件非常容易的。

上一篇:解密ASP源代码
下一篇:IE IFRAM 漏洞的简单分析和临时补丁
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站