回顾Linux路由遭打击新技术感染BIOS

证券指标 2009-04-05

上周安全方面值得关注的新闻众多。道高一尺,魔高一丈,针对Linux家用路由器和能够感染主板BIOS的恶意软件的出现,恶意软件再次领先于现有反病毒软件所用的技术。软硬件厂商本周也发出多个安全漏洞公告,Mozilla、HP和Cisco的产品均不能幸免。在本期回顾的安全技术和趋势栏目里面,笔者将和朋友们一起关注最近推出的三个安全及攻击领域的新技术。在本期回顾的最后,笔者将向朋友们推荐一篇值得一读的推荐阅读文章。

本周的信息安全威胁等级为低。

恶意软件:僵尸网络针对Linux家用路由器;新技术使恶意软件能感染BIOS;关注指数:高

在互联网发展的最早期,路由交换等网络通信的功能都是由采用Unix系统的服务器所完成,用后门对这种网络底层服务器发起攻击的入侵手法曾风靡一时,曾有美军欧洲骨干网络的核心路由器被黑客攻陷并安装监听软件的记录。

随着近二十年来嵌入式技术的飞速发展,兼职的Unix服务器渐渐为功能及性能都更强的交换机、路由器等专用网络设备所取代,针对这类目标的攻击也主要变成入侵并修改设置这种手法为主。

不过因为这几年低成本的Linux路由器大量进入家用市场,针对这类路由器进行恶意软件攻击的现象再次出现。根据安全研究组织DroneBL最近发表的一份研究报告,一个名为PSYB0T的僵尸网络从去年底开始,就专门针对基于MIPS架构,并采用嵌入式Linux作为操作系统的路由器、调制解调器等家用网络设备进行攻击,被成功感染的家用网络设备将成为PSYB0T僵尸网络的一员,并在该僵尸网络作者的控制之下向目标发起拒绝服务攻击。

安全人员的进一步研究表明,目前PSYB0T僵尸网络所攻击的家用网络设备主要是Netcomm公司的NB5调制解调器,但相信采用与该调制解调器相似软硬件架构的其他家用网络设备也都存在受攻击的可能。据信目前已经感染PSYB0T的调制解调器数量已达数万,它们都存在弱口令这一漏洞并对互联网开放远程登录功能,PSYB0T将通过远程登录功能登录存在弱点的设备,下载并执行一个PSYB0T的副本,绝大多数用户在遭受此类攻击时并不知情。

笔者认为,尽管目前受PSYB0T影响的家用网络设备在欧洲和中西亚国家使用较多,但其他厂商类似架构的家用网络设备也有可能受此攻击,同时对PSYB0T的代码进行少量的修改,攻击者就能实施更为高级的DNS欺骗,密码拦截等攻击,威胁用户敏感信息的安全。不过防御PSYB0T的方法也很简单,对网络设备设置一个复杂的登录密码,并禁用互联网用户登录网络设备进行远程管理,如果怀疑自己的类似网络设备已经被恶意软件感染,直接REST设备即可。

除了上述能够感染家用网络设备的跨平台恶意软件外,为了逃避反病毒软件的查杀,更长久控制用户的系统,恶意软件的隐藏和生存技术也有了较大的发展。本周来自安全厂商Core Security的两名研究人员就发布了一个新的攻击技术:将Rootkit恶意软件写入商业化的BIOS中,这个过程可通过他们提供的另一Python程序,在BIOS升级或重新刷新的过程中完成。

在成功的将这样的Rootkit安装进主板的BIOS后,这个Rootkit即可在操作系统启动前运行,并通过BIOS自身提供的网络堆栈,访问并攻击网络中的其他系统,而无需访问系统磁盘或内存。这个基于BIOS的Rootkit与系统中安装的操作系统关系不大,研究人员就给出了对OpenBSD和Windows操作系统的成功攻击案例,另外,因为虚拟机软件如Vmware等也将BIOS的功能集成于软件内部,因此这种攻击方式对虚拟机也能凑效。

这种攻击方式存在需要在用户系统上有管理员权限才能成功实施的缺陷,不过攻击者可以很容易通过伪造虚假的BIOS升级程序等方式,欺骗用户将带有Rootkit代码的更新程序刷入自己主板的BIOS中。

由于基于BIOS的Rootkit能够在操作系统启动之前抢先运行,并通过BIOS提供的底层功能隐藏自己的痕迹,因此现有的操作系统和反病毒软件可能无法有效的检测和清除这类恶意软件。笔者觉得,要防御这种基于BIOS的Rootkit,现有最可行的方法还是将BIOS的写保护选项打开,防止用户误操作或被恶意软件刷新BIOS;用户如果决定要更新BIOS,在进行刷新操作前最好使用MD5或数字签名方式,验证该BIOS更新程序是安全的。

漏洞攻击:多个软硬件厂商产品纷纷爆出漏洞;关注指数:高

在三月份的最后一周(也是第一季度的最后一周)里,各软硬件厂商发布的漏洞公告再次成为安全业界一道特别的风景线:浏览器厂商Mozilla确认,其主流的浏览器Firefox 3.0.x版本中存在一个内存错误漏洞,特定条件下触发将会引起浏览器执行不可预测的行为,攻击者可以利用该漏洞在Firefox用户的系统上安装恶意软件,据信利用该漏洞的示例代码已经发布到互联网上。Mozilla的开发人员已经在针对该漏洞编写更新程序,并计划于4月初推出,到时Firefox用户注意开启浏览器的自动更新功能即可。

惠普HP在市场上广受欢迎的网络管理系统HP OpenView在本周也爆出多个严重的安全漏洞,这些漏洞存在于HP OpenView的Web服务器对HTTP请求的处理过程,攻击者在了解这些漏洞的前提下,只需要通过特定格式的HTTP请求就能通过这些漏洞在HP OpenView服务器上执行命令。

由于网络管理系统能有效提升企业对大型网络和服务器群的管理能力,攻击者对企业内网中的网络管理服务器发起攻击,将可能更容易的获得网络中其他服务器的控制权,最起码也能缩短管理员得知攻击的时间。惠普已确认HP OpenView中这些漏洞的存在,并以发布相应的支持信息,用户可通过HP技术支持网站了解信息和下载修补这些漏洞的更新补丁。

网络设备厂商Cisco也在本周初发布了漏洞安全公告,确认在其多个网络设备产品上使用的IOS存在多个漏洞,其中涉及到的应用领域包括TCP、UDP、移动应用和VPN等。这些漏洞大多是拒绝服务攻击漏洞,可导致存在漏洞的网络设备效率降低或停止响应,不过也有少数的几个是权限提升漏洞。Cisco已经就本次安全公告涉及的漏洞提供解决步骤和软件更新,建议使用Cisco网络设备的用户登录以下站点以获得进一步的操作指南和更新程序:

http://www.cisco.com/warp/public/707/cisco-sa-20090325-bundle.shtml

安全技术和研究:安全和攻击新技术层出不穷;关注指数:高

传统的键盘记录攻击技术基本上可以分成软件和硬件两类,用特定的键盘记录软件插入到用户的系统上,自动记录用户输入的每一个字符;或通过在键盘和主机之间插入一个小的击键记录设备,完成键盘记录攻击。不过上述的键盘攻击方式都是需要修改目标系统的软硬件环境,容易被用户所察觉。在上周的CanSecWest会议上,研究人员推出了一种新的键盘记录方式,即通过激光来记录用户的击键记录。

这种攻击方式类似于传统的激光窃听手段,首先,攻击者需要有能够直接看到目标用户计算机的视线距离,然后通过激光麦克风,攻击者能够收集到目标用户每次敲击键盘的声音。由于键盘上每一个键的敲击声音与其他的有所区别,攻击者只需要收集到足够多的样本,并结合字典自动匹配技术,就能完整的还原出用户在键盘上的每一次击键。这种键盘记录方式不会对用户系统产生影响,因此目标用户很难发现自己已经被别人监控,尤其是在公共场合如咖啡厅等使用自己的笔记本计算机更是如此。这个研究看起来挺科幻?说不定现在使用这种攻击原理的键盘记录产品已经装备到私家侦探或其他调查人员手上了。

如何有效的对纸质的文档进行管理,是政府部门和企业相当头疼的一个事情,尤其是在需要限制文档的使用或散发的场景中,往往需要将纸质文档和使用者一一对应,而且在使用过后还需要确认该纸质文档是否曾经被复制过。普林斯顿大学的一群研究人员对此就提出了一个相当有意思的想法,因为每一张纸都存在类似人的指纹这样独一无二的纹理特征,只需要通过特殊的显微扫描仪,就能记录下每一张纸的特征。在实际环境中只需要对比某张纸上的纹理特征和数据库中所存数据,即可确认这张纸对应的使用者或出处。

笔者认为,这种方式其实也挺适合用于传递加密的密钥,只需要按照一定的算法将空白纸上的纹理处理成加密密钥,这张白纸就能作为加密密文的密钥进行存储和交换,而不清楚情况的第三方也难以想象一张什么都没有记录有的白纸就是解密重要信息的密钥。

测谎仪是欧美国家中常用的对目标人物进行真实性测试的工具,然而在现实生活中却非常罕见。而在日常的电话沟通中相信很多朋友都希望能够通过某种方式,了解到正在电话的对象所说的话是否真实——现在有个好消息,电话版的测谎仪已经开发成功,并在本周开始上线为用户提供服务,这个由语音分析厂商Teltech推出的名为LiarCard的服务,能够通过分析电话通话时双方的语音、语气和延时信息,尝试分析出对话双方当前的心理状态,从而得出目标人物是否说真话的结论,目前LiarCard服务采用在线服务的方式提供给用户。

笔者觉得,先不说这个在线语音分析技术效果如何,用户在使用前还是得考虑将自己和别人的电话通话交给第三方进行分析是否安全,隐私和敏感信息泄露的风险可比知道对方是否说真话的重要性可大了不少。

相关推荐