从"熊猫"到"鸽子" 07网络安全指南

j,\d1kG7x"?02007年，专业级的电脑黑客们在火热的“网络战争”上开拓一片新战场，袭击目标涵盖了所有互联网上和能够获取利益的每个角落。当人们开始警惕电子邮件骗局，黑客们将更多目光放在了病毒和木马的更新换代上。2007年的黑客，自我保护意识和散播病毒行为呈明显上升趋势，有近四成以上的黑客正在研究“免杀病毒”技术，研制“免杀病毒”和在互联网交流“免杀技术”已经成为黑客们最为热衷、追捧的行为。

)OQ|2k4B4f$l t$J0　　黑客(hacker)这个术语的现代意义起源于1960年的麻省理工学院(MIT)技术模型铁路俱乐部。这个俱乐部设计比例较大、细节逼真的火车模型。“黑客”被用来称呼那些发现了聪明技巧或问题的绕行措施的俱乐部成员。从那以后，“黑客”这个术语就被用来描述从“计算机迷”到具有天赋的编程员之类的人士。IXPUB技术博客 ^P&H;S:F5e|W@

　　很早以前，有一种根据寻找网络弱点目的不同而划分黑客的做法。这种类别是按照他们在进行安全弱点调查时所“戴”的帽子颜色来区分的。帽子的颜色代表了他们的企图：

　　·白帽黑客(white hat hacker)

-_,S-Yajz%^k1u0　　测试网络和系统的性能来判定它们能够承受入侵的强弱程度。通常，白帽黑客攻击他们自己的系统，或被聘请来攻击客户的系统以便进行安全审查。学术研究人员和专职安全顾问就属于白帽黑客。IXPUB技术博客SX#|`tM:n5R5s%E

fqLQi ?I0　　·黑帽黑客(black hat hacker)IXPUB技术博客a"V-G0[b S6M#h

　　是怪客的同义词。通常来说，怪客并不注重于入侵系统的编程或学术方面。他们经常为了个人利益而依靠现成的攻击程序和著名的系统漏洞弱点来发现保密信息，或破坏目标系统或网络。IXPUB技术博客&^(Ps2vYJuG%B

　　·灰帽黑客(grey hat hacker)IXPUB技术博客FtqDJ

　　在多数情况下都具备白帽黑客的技术和意图，但是偶尔也使用这种知识来进行不太光明正大的行径。“灰帽”可以被认为是偶尔会为个人企图而戴着黑帽的白帽黑客，但会遵循另一种黑客道德。他认为闯入系统是无可非议的，只要不进行盗窃行为或破坏保密信息就可以。IXPUB技术博客8`4Z?8q
cf

K Q1\6o#U,w0　　曾几何时，在计算机技术人员眼中，黑客还被当成了天才来膜拜。即使到了中国所特有的“红客”出现，也因为所谓的正义感而尚能被网民接受。2007年病毒代码的交易十分火爆，也有人编写了DDOS攻击代码，只有自己生产的防火墙能够抵挡住，这些都是“钱”闹得。在这个几乎全民皆可以做黑客的时代，《黑客守则》中所有正义之语句早已不复存在了，黑客精神被彻底抛弃。

尝到黑客技术“平民化”恶果

]'_ t0g\!H$q,b0　　网络入侵技术传播和黑客组织的成立也是网络“开放性”下的一种产物。早1997年11月，在纽约就召开了著名的世界黑客大会，与会者达四五千人之众。另一方面，黑客组织在因特网上利用自己的网站上介绍黑客攻击手段、免费提供各种黑客工具软件、出版网上黑客杂志。这使得普通人也很容易下载并学会使用一些简单的黑客手段或工具，对网络进行某种程度的攻击，进一步恶化了2007年的网络环境。

　　2007年末之时，偶然的网上“对弈”中得到了很多视频录像。据说，这是 “带着灰色帽子的人”提供的，录像中很多详细的介绍了入侵网站和突破防毒软件的事实。让我诧异的是他们似乎没有按照常理步骤进入了一个网站或者系统，一个简单的工具就把“信息采集→漏洞发现→弱点利用→获得目标系统权限→完成破坏行为→放置后门→擦除犯罪痕迹→对入侵目标保持监控”这八个步骤瞬间完成。不研究系统、不研究代码、不懂得隐藏自己，他们就完成了一系列的黑客入侵工作。我很庆幸，这些工具里面没有“Format 命令”。如果这些人没有学过DOS系统，如果工具里有这个命令的话，多少个网站将会惨遭屠戮!IXPUB技术博客 e*Eq0u+d
@3o0i K

/Y6L1fR!O|'I/o-|z0　　脚本小子，英文叫做“script. kiddie 或 script. boy”。脚本小子就是收集这些程序的人，他们可能自己从来没有写过一行程序，可能对这些程序内部如何工作一无所知，也不知道如何写这些程序，更不知道如何发现系统的漏洞，就是说他们不知道如何“hack”一个操作系统或一个应用程序，但是他们知道如何使用hacker编写的程序与工具，脚本小子可以利用一些已知的工具，Exploit一些以知的操作系统或应用程序漏洞。2007年，我们没有看到很多编写这些工具的人站出来，倒是成千上万个脚本小子接入了互联网的终端。黑客教学、黑客工具该是有人喊“停”的时候了。IXPUB技术博客6d]2EL"h

误杀与互杀IXPUB技术博客'B)S8N9s|N*v*G!nY7|

_*VINT3W0　　2007年1月22日，开始的CNNIC对奇虎大战正式开始。2007年8月，CNNIC诉奇虎诽谤其捏造事实诽谤CNNIC名誉案一审结束，CNNIC胜诉。奇虎被判向CNNIC道歉并赔偿15万元。但对于这个判决，奇虎显然并不服，认为该案审判不公平。不过人们早已不再关注这些了，反而在2006就开始得打“流氓”运动之后，我们遇到了更窘迫的局面。IXPUB技术博客&z D}4O/FY!e

r\UIR0　　5月18日开始，国内各个信息安全厂商甚至各个电视频道都发出红色警报，称诺顿杀毒软件升级最新的病毒库后，会把Windows XP的关键系统文件当作病毒清除，重启后系统将会瘫痪。国人此次又早歧视，该次误杀只发生在简体中文版的XP系统上，对国外用户几乎没有影响。6月25日，Symantec公开致歉并提供了补偿方案。 受影响的诺顿个人用户将可享受额外12个月的许可证延长，并免费获赠诺顿储存还原大师2.0软件。IXPUB技术博客mDI u2Kk5n xOC+{

1^^2u-NC0　　年末之时，Symantec宣布将成立专门的中国安全响应中心的计划也更加代表了诚意，误杀事件基本上结束了。但这一切的补救是否还能挽回多少信赖?在2008中能起多少作用?我们还不能得知。IXPUB技术博客?
Y'X2R8?h,yq6h

N1b\)EN-O0　　2007的事情总是来得偶然，但有似乎前生有过约定。就在5月18日防毒厂商“出事”的第二天，5月19日上午，许多瑞星卡卡用户向瑞星公司求助：用卡巴斯基杀毒软件杀毒后，瑞星卡卡上网安全助手无法正常升级。经过瑞星研发部门的测试分析，发现卡巴斯基杀毒软件，把瑞星卡卡的升级组件识别为病毒，并将其彻底删除，导致瑞星卡卡无法升级。同时，当卡巴斯基杀毒软件的实时监控功能开启时，用户即使重装瑞星卡卡，其升级组件也会被继续杀除，导致该产品无法升级，“互杀事件”从此开始。IXPUB技术博客E+\q iGa$d

　　2007年我接触了几个防毒产品单机版和企业版的部署测试工作，令人诧异的事情发生了很多。几乎每个防毒软件安装后，卸载其产品后都无法正常安装其他的防毒产品，多数的操作系统在测试另外一个防毒产品时，必须要格式化，否则“蓝屏、反复重启、系统异常缓慢”的现象接踵而至。

J H/D{-Ply0l~02007和2008是否都要“骑马”

-kVM1ekm-eG0　　很多厂商上半年的病毒报告中，2007年病毒产业中迎来的第一个毒王是“熊猫烧香”，三根香转瞬间便烧红了大江南北。为了符合我国国情，熊猫从worm.whBoy.(金山命名)，worm.nimaya.(瑞星命令)，武汉男生(论坛最早出现)，最后终于化身为猪(金猪报喜)。IXPUB技术博客Z Qr F%s.pc2S)m

　　该病毒变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件。熊猫还能中止大量的反病毒软件进程，使得尚未升级的防毒然间纷纷倒下。熊猫的最后一件武器是会删除扩展名为gho的文件，该类型文件是GHOST的备份文件。使用户的系统备份文件也丢失，这成为病毒变种有史以来最大的突破。

{U3p(f [6e)Am0　　后者居上的是“ANI病毒”。“以Exploit.ANIfile.b为例，它利用微软Windows系统ANI文件处理漏洞(MS07-017)进行传播的网络蠕虫，利用微软漏洞称狂，现在一半以上挂马网页都使用了这种方式。凭借新的网页挂马方式，以传播范围广、破坏力强的特点，高居病毒排行榜首位，成为上半年的“毒王”。IXPUB技术博客'`/Dya#L

B/b&lTEx0　　不过在年底的时候，“毒王宝座”又发生了变化。国家计算机病毒应急处理中心根据调查结果统计出2007年最流行的十种病毒，“木马代理”最终获胜。“木马代理”具有自动下载木马病毒的功能，它们可以根据病毒编者指定的网址下载木马病毒或其他恶意软件，还可以通过网络和移动存储介质传播。十大病毒中，与盗取密码有关的病毒还有“网游大盗”“艾妮”“熊猫烧香”“梅勒斯”“QQ木马”和“传奇木马”，它们都具有窃取用户的游戏账号和密码的功能。

　　调查结果显示2006年的十大病毒的一半还在2007年十大病毒的列表中，多数都是木马程序，这个公元前9世纪古希腊诗人荷马史诗《伊利亚特》中的经典，从2007 一路走来，我们的2008年估计还要骑着这只马了。