黑客越來(lái)越狡猾 文檔成攻擊利用新載體

政府、企業(yè)等都頻繁使用文檔。文檔形式多種多樣（PDF、DOC、XLS），許多人都可以對(duì)這些文檔進(jìn)行編輯和演示�？墒窃诰W(wǎng)絡(luò)罪犯眼中，哪里有數(shù)據(jù)傳輸，哪里就有機(jī)可乘。

當(dāng)合法的文檔文件被替換成包含惡意數(shù)據(jù)序列的文件時(shí)就會(huì)發(fā)生文檔中毒。當(dāng)閱讀軟件打開(kāi)文檔文件時(shí)，系統(tǒng)會(huì)彈出一些你始料不及的信息來(lái)運(yùn)行惡意代碼。

必須為閱讀軟件量身打造才能成功執(zhí)行這樣的攻擊。例如，如果對(duì)Adobe Reader有用的攻擊不一定適用于Foxit閱讀器，反之亦然。同理，對(duì)某一特定版本閱讀器有效地攻擊不一定對(duì)其后的閱讀器版本有效，因?yàn)楣�擊所利用的漏洞可能在隨后的版本中得到了修補(bǔ)。

文檔中毒攻擊已經(jīng)出現(xiàn)一段時(shí)間了。現(xiàn)在來(lái)看，這種攻擊的主要不同點(diǎn)在于攻擊者可利用的攻擊技巧與日俱增。由于程序員設(shè)置了大量的阻礙，現(xiàn)在要想成功實(shí)施攻擊比十年前還是難了很多。例如，微軟Windows 7的數(shù)據(jù)執(zhí)行保護(hù)和地址空間布局隨機(jī)化等技術(shù)就可以阻止傳統(tǒng)型攻擊。軟件漏洞的修補(bǔ)也會(huì)暴露出新的安全問(wèn)題。

這里有兩點(diǎn)需要提一下：

第一，補(bǔ)丁管理不能按需進(jìn)行。應(yīng)該及時(shí)安裝能修復(fù)安全漏洞的軟件補(bǔ)丁，因?yàn)檫@樣可以防范于未然，不給黑客可乘之機(jī)。再者，從以往的案例來(lái)看，大多數(shù)攻擊之所以能得逞，也正是因?yàn)橛脩魶](méi)有及時(shí)安裝補(bǔ)丁——Conficker就是力證。

第二，即便現(xiàn)在的黑客的攻擊難度增大，但是可供黑客下手的資源也比原來(lái)多了很多。這意味著，雖然黑客實(shí)施攻擊要面對(duì)的挑戰(zhàn)更復(fù)雜，但是他們?cè)诰W(wǎng)絡(luò)這塊所耗費(fèi)的精力卻減少了，因?yàn)樗麄兛梢岳�用一個(gè)由人，工具和電腦組成的網(wǎng)絡(luò)幫助自己創(chuàng)建和實(shí)施攻擊。

典型的中毒文檔攻擊以兩種方式出現(xiàn)：地毯式和目標(biāo)式。地毯式攻擊沒(méi)有指定的攻擊對(duì)象，這類攻擊旨在感染一切可能被感染的用戶。而這種攻擊一般是通過(guò)傳播大量帶有有毒文檔的垃圾郵件來(lái)實(shí)施。目標(biāo)式攻擊是一種更為有效地攻擊方式，這種方式有一個(gè)或多個(gè)指定的攻擊對(duì)象。這些攻擊通常是通過(guò)一些看似安全可靠，接收對(duì)象對(duì)信件詳情熟悉的郵件實(shí)施的。結(jié)果，用戶就有可能因此打開(kāi)文檔，從而執(zhí)行惡意代碼。

一旦有毒文檔被打開(kāi)，閱讀軟件就會(huì)開(kāi)始執(zhí)行惡意代碼，這些代碼會(huì)往用戶電腦釋放大量信息。現(xiàn)在，最常見(jiàn)的負(fù)載是僵尸程序和木馬程序。在這種情況下，它會(huì)先安裝一個(gè)僵尸代理。然后，它會(huì)向攻擊者報(bào)告并下載惡意軟件——通常是下載一個(gè)遠(yuǎn)程管理工具。遠(yuǎn)程管理工具實(shí)際是一種合法工具，管理員可以靠它對(duì)被感染的電腦進(jìn)行遠(yuǎn)程訪問(wèn)。遺憾的是，現(xiàn)在許多這類工具都沒(méi)有發(fā)揮其有利的一面。這類遠(yuǎn)程管理工具可以讓攻擊者下載文件，截取屏幕，啟用網(wǎng)絡(luò)攝像頭和音頻資源等。名為GhostNet的進(jìn)程就曾用這種方式攻擊過(guò)政府電腦。

往后，我們肯定會(huì)看到更多使用文檔進(jìn)行目標(biāo)式攻擊的案例，因?yàn)榛�于文檔的漏洞通常都沒(méi)有被覆蓋。我們將在社交網(wǎng)絡(luò)上看到更多此類攻擊，因?yàn)檫@些社交網(wǎng)絡(luò)非常適合進(jìn)行目標(biāo)式文檔攻擊。為防范這些攻擊，我們建議使用適當(dāng)?shù)难a(bǔ)丁和識(shí)別管理服務(wù)。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]