打印本文 打印本文  关闭窗口 关闭窗口  
孙子兵法之密码病毒简述
作者:陈鹏  文章来源:eNet  点击数  更新时间:2009/9/11 23:11:25  文章录入:陈鹏  责任编辑:陈鹏

多年来,安全专家认为,越来越多的恶意程序、蠕虫病毒、木马等都会使用加密技术来增强自身的隐蔽性,并避免被反间谍或者恶意软件清除工具查杀并清除。例如,不怀好意的程序员使用高强度的加密算法编制出能够将商业机密或危害国家安全的信息截获并加密,有些类似采用DDoS分布式拒绝服务攻击的方式对网站进行敲诈、勒索以谋取非法利益。

  新一代的恶意代码技术已成熟,被称为密码病毒(Cryptoviruses)。究竟出现了多少这样的恶意代码我们无法得知,不过这种可怕的技术会帮助幕后黑手轻松窃取自己所需要的账号、密码、数据并按照指令进行加密。最近美国Duke大学的数据库系统被入侵,入侵者就采用了类似的技术获取数据库中的账号信息以及对数据进行加密等操作。

  事实上,这些恶意程序的爱好者们在使用加密技术隐藏其程序真实目的的同时,安全专家的研究报告以及对蠕虫病毒的分析就已经证明了加密技术完全可以被做为武器。

  哥伦比亚大学的一个研究小组研究并构建出了数种使用加密技术进行攻击的模型,其模型如下:

  1.暗渡陈仓

  这是最简单的密码病毒偷密码手法,结合公钥系统与窃取密码类木马的一种类型。入侵者的木马偷取到系统密码后(如键盘记录、网络嗅探、密码破解等),木马使用入侵者的公钥将密码加密,此时只有入侵者的私钥才能解密。然后木马将会在每一个存储设备中(如移动硬盘、网络共享等)写入这个内含账号密码资料的加密文件,或通过电子邮件、IM或邮件列表等传播至指定位置。由于加密文件位置广泛,因此会给安全专家进行追查制造麻烦。

  2.瞒天过海

  此类型的手法查找受害者电脑的数据库、服务器里的某些重要资料,并且不让别人知道他究竟在找些什么或被偷了什么。传统的手法因为会留下查找的关键字历史记录或是将偷取到的资料用明文存储,从而很容易被管理员追查出究竟入侵者在偷什么,想查什么。而使用加密技巧则可以隐藏这些恶意行动,使得管理员难以掌握蛛丝马迹。接着,恶意程序再将这些偷取到的资料进行加密,就算是企业获得到这些恶意程序也无法得知究竟被偷了什么。而同样,也仅有入侵者的私钥可以进行解密。

  3.将计就计

  这种手法可用在入侵者的攻击被发现之后。当恶意程序将重要资料加密后传出网络时,就算被管理员监控到此行为,也误以为入侵者是一无所获,当恶意程序将资料加密后传出,此时会传到多个主机或服务器上去;入侵者甚至可以匿名地提供假的私钥(实际上对解密没帮助),诱使管理员使用这把假的私钥尝试去解密,发现解出假的明文,误以为入侵者并没有偷到资料或只是装模作样,但是这就是这类手法的意图,实际上使用正确的私钥,入侵者仍然可以正确解读资料。

  这些手法仍还有许多演变的可能,部分是以敲诈企业为目的,部分以窃取重要资料为目的,少数会破坏受害者主机的完整性。

  虽然这些手法看起来可行,但是却不是那么简单,要在恶意程序里使用公钥加密技术或其他密码技巧,攻击者必须具备很完整的加解密技术知识,而且必须撰写优质的加解密代码。但是我们得考虑到,由于网络上有许多开源的加解密算法可供研究,上述这些加密技巧及手法,在不久的将来仍然有可能被应用在新的恶意程序中。

  至于采用“密码病毒学”理论的攻击手法何时才能够流行开来,这个很难预测。但是当去年的DDoS勒索事件已经将攻击方式、攻击目的乃至勒索成功率提升到一个更高程度的时候,我们不得不相信入侵者一定正在寻找更为秘密、更为有效、更具有破坏性的新勒索手段。很显然,密码病毒将会是最新也是最可怕的武器。

  链 接

  密码病毒学

  密码病毒技术的原理很简单:首先入侵者会先生成一对公钥/私钥组,以作为获取并控制目标重要资料的密钥,1024-bit长度以上的RSA公钥就足够了,公钥存放在病毒程序内部,而入侵者自己则保留私钥;接下来病毒会根据受感染主机的操作系统,随机产生对称密钥(Symmetric Key),例如128-bit的AES密钥;然后,病毒将主机上的重要资料加密,例如重要财务数据、研究论文、管理决策等;

  另外,病毒使用内部的公钥加密对称密钥;病毒清除(Zeroization)掉生成的对称密钥并且删除(File-Wiping)掉所有原始数据;

  私钥的控制者与被绑架的信息拥有者进行联系,以进行敲诈和勒索活动。因为只有使用私钥才能够还原被加密的数据资料。

  虽然上述这种使用加密技术结合病毒的手法并不复杂,但随着其与网络钓鱼、偷窃个人隐私、DDOS勒索等技术的结合应用,就成为了非常令人头痛的安全隐患。  

【责任编辑:李旭海】

打印本文 打印本文  关闭窗口 关闭窗口