【51CTO.com 獨(dú)家特稿】上周安全方面值得關(guān)注的新聞眾多。道高一尺，魔高一丈，針對(duì)Linux家用路由器和能夠感染主板BIOS的惡意軟件的出現(xiàn)，惡意軟件再次領(lǐng)先于現(xiàn)有反病毒軟件所用的技術(shù)。軟硬件廠商本周也發(fā)出多個(gè)安全漏洞公告，Mozilla、HP和Cisco的產(chǎn)品均不能幸免。在本期回顧的安全技術(shù)和趨勢(shì)欄目里面，筆者將和朋友們一起關(guān)注最近推出的三個(gè)安全及攻擊領(lǐng)域的新技術(shù)。在本期回顧的最后，筆者將向朋友們推薦一篇值得一讀的推薦閱讀文章。

本周的信息安全威脅等級(jí)為低。

惡意軟件：僵尸網(wǎng)絡(luò)針對(duì)Linux家用路由器；新技術(shù)使惡意軟件能感染BIOS；關(guān)注指數(shù)：高

在互聯(lián)網(wǎng)發(fā)展的最早期，路由交換等網(wǎng)絡(luò)通信的功能都是由采用Unix系統(tǒng)的服務(wù)器所完成，用后門對(duì)這種網(wǎng)絡(luò)底層服務(wù)器發(fā)起攻擊的入侵手法曾風(fēng)靡一時(shí)，曾有美軍歐洲骨干網(wǎng)絡(luò)的核心路由器被黑客攻陷并安裝監(jiān)聽軟件的記錄。

隨著近二十年來(lái)嵌入式技術(shù)的飛速發(fā)展，兼職的Unix服務(wù)器漸漸為功能及性能都更強(qiáng)的交換機(jī)、路由器等專用網(wǎng)絡(luò)設(shè)備所取代，針對(duì)這類目標(biāo)的攻擊也主要變成入侵并修改設(shè)置這種手法為主。

不過(guò)因?yàn)檫@幾年低成本的Linux路由器大量進(jìn)入家用市場(chǎng)，針對(duì)這類路由器進(jìn)行惡意軟件攻擊的現(xiàn)象再次出現(xiàn)。根據(jù)安全研究組織DroneBL最近發(fā)表的一份研究報(bào)告，一個(gè)名為PSYB0T的僵尸網(wǎng)絡(luò)從去年底開始，就專門針對(duì)基于MIPS架構(gòu)，并采用嵌入式Linux作為操作系統(tǒng)的路由器、調(diào)制解調(diào)器等家用網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊，被成功感染的家用網(wǎng)絡(luò)設(shè)備將成為PSYB0T僵尸網(wǎng)絡(luò)的一員，并在該僵尸網(wǎng)絡(luò)作者的控制之下向目標(biāo)發(fā)起拒絕服務(wù)攻擊。

安全人員的進(jìn)一步研究表明，目前PSYB0T僵尸網(wǎng)絡(luò)所攻擊的家用網(wǎng)絡(luò)設(shè)備主要是Netcomm公司的NB5調(diào)制解調(diào)器，但相信采用與該調(diào)制解調(diào)器相似軟硬件架構(gòu)的其他家用網(wǎng)絡(luò)設(shè)備也都存在受攻擊的可能。據(jù)信目前已經(jīng)感染PSYB0T的調(diào)制解調(diào)器數(shù)量已達(dá)數(shù)萬(wàn)，它們都存在弱口令這一漏洞并對(duì)互聯(lián)網(wǎng)開放遠(yuǎn)程登錄功能，PSYB0T將通過(guò)遠(yuǎn)程登錄功能登錄存在弱點(diǎn)的設(shè)備，下載并執(zhí)行一個(gè)PSYB0T的副本，絕大多數(shù)用戶在遭受此類攻擊時(shí)并不知情。

筆者認(rèn)為，盡管目前受PSYB0T影響的家用網(wǎng)絡(luò)設(shè)備在歐洲和中西亞國(guó)家使用較多，但其他廠商類似架構(gòu)的家用網(wǎng)絡(luò)設(shè)備也有可能受此攻擊，同時(shí)對(duì)PSYB0T的代碼進(jìn)行少量的修改，攻擊者就能實(shí)施更為高級(jí)的DNS欺騙，密碼攔截等攻擊，威脅用戶敏感信息的安全。不過(guò)防御PSYB0T的方法也很簡(jiǎn)單，對(duì)網(wǎng)絡(luò)設(shè)備設(shè)置一個(gè)復(fù)雜的登錄密碼，并禁用互聯(lián)網(wǎng)用戶登錄網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理，如果懷疑自己的類似網(wǎng)絡(luò)設(shè)備已經(jīng)被惡意軟件感染，直接REST設(shè)備即可。

除了上述能夠感染家用網(wǎng)絡(luò)設(shè)備的跨平臺(tái)惡意軟件外，為了逃避反病毒軟件的查殺，更長(zhǎng)久控制用戶的系統(tǒng)，惡意軟件的隱藏和生存技術(shù)也有了較大的發(fā)展。本周來(lái)自安全廠商Core Security的兩名研究人員就發(fā)布了一個(gè)新的攻擊技術(shù)：將Rootkit惡意軟件寫入商業(yè)化的BIOS中，這個(gè)過(guò)程可通過(guò)他們提供的另一Python程序，在BIOS升級(jí)或重新刷新的過(guò)程中完成。

在成功的將這樣的Rootkit安裝進(jìn)主板的BIOS后，這個(gè)Rootkit即可在操作系統(tǒng)啟動(dòng)前運(yùn)行，并通過(guò)BIOS自身提供的網(wǎng)絡(luò)堆棧，訪問(wèn)并攻擊網(wǎng)絡(luò)中的其他系統(tǒng)，而無(wú)需訪問(wèn)系統(tǒng)磁盤或內(nèi)存。這個(gè)基于BIOS的Rootkit與系統(tǒng)中安裝的操作系統(tǒng)關(guān)系不大，研究人員就給出了對(duì)OpenBSD和Windows操作系統(tǒng)的成功攻擊案例，另外，因?yàn)樘摂M機(jī)軟件如Vmware等也將BIOS的功能集成于軟件內(nèi)部，因此這種攻擊方式對(duì)虛擬機(jī)也能湊效。

這種攻擊方式存在需要在用戶系統(tǒng)上有管理員權(quán)限才能成功實(shí)施的缺陷，不過(guò)攻擊者可以很容易通過(guò)偽造虛假的BIOS升級(jí)程序等方式，欺騙用戶將帶有Rootkit代碼的更新程序刷入自己主板的BIOS中。

由于基于BIOS的Rootkit能夠在操作系統(tǒng)啟動(dòng)之前搶先運(yùn)行，并通過(guò)BIOS提供的底層功能隱藏自己的痕跡，因此現(xiàn)有的操作系統(tǒng)和反病毒軟件可能無(wú)法有效的檢測(cè)和清除這類惡意軟件。筆者覺(jué)得，要防御這種基于BIOS的Rootkit，現(xiàn)有最可行的方法還是將BIOS的寫保護(hù)選項(xiàng)打開，防止用戶誤操作或被惡意軟件刷新BIOS；用戶如果決定要更新BIOS，在進(jìn)行刷新操作前最好使用MD5或數(shù)字簽名方式，驗(yàn)證該BIOS更新程序是安全的。
　　
漏洞攻擊：多個(gè)軟硬件廠商產(chǎn)品紛紛爆出漏洞；關(guān)注指數(shù)：高

在三月份的最后一周（也是第一季度的最后一周）里，各軟硬件廠商發(fā)布的漏洞公告再次成為安全業(yè)界一道特別的風(fēng)景線：瀏覽器廠商Mozilla確認(rèn)，其主流的瀏覽器Firefox 3.0.x版本中存在一個(gè)內(nèi)存錯(cuò)誤漏洞，特定條件下觸發(fā)將會(huì)引起瀏覽器執(zhí)行不可預(yù)測(cè)的行為，攻擊者可以利用該漏洞在Firefox用戶的系統(tǒng)上安裝惡意軟件，據(jù)信利用該漏洞的示例代碼已經(jīng)發(fā)布到互聯(lián)網(wǎng)上。Mozilla的開發(fā)人員已經(jīng)在針對(duì)該漏洞編寫更新程序，并計(jì)劃于4月初推出，到時(shí)Firefox用戶注意開啟瀏覽器的自動(dòng)更新功能即可。

惠普HP在市場(chǎng)上廣受歡迎的網(wǎng)絡(luò)管理系統(tǒng)HP OpenView在本周也爆出多個(gè)嚴(yán)重的安全漏洞，這些漏洞存在于HP OpenView的Web服務(wù)器對(duì)HTTP請(qǐng)求的處理過(guò)程，攻擊者在了解這些漏洞的前提下，只需要通過(guò)特定格式的HTTP請(qǐng)求就能通過(guò)這些漏洞在HP OpenView服務(wù)器上執(zhí)行命令。

由于網(wǎng)絡(luò)管理系統(tǒng)能有效提升企業(yè)對(duì)大型網(wǎng)絡(luò)和服務(wù)器群的管理能力，攻擊者對(duì)企業(yè)內(nèi)網(wǎng)中的網(wǎng)絡(luò)管理服務(wù)器發(fā)起攻擊，將可能更容易的獲得網(wǎng)絡(luò)中其他服務(wù)器的控制權(quán)，最起碼也能縮短管理員得知攻擊的時(shí)間?；萜找汛_認(rèn)HP OpenView中這些漏洞的存在，并以發(fā)布相應(yīng)的支持信息，用戶可通過(guò)HP技術(shù)支持網(wǎng)站了解信息和下載修補(bǔ)這些漏洞的更新補(bǔ)丁。

網(wǎng)絡(luò)設(shè)備廠商Cisco也在本周初發(fā)布了漏洞安全公告，確認(rèn)在其多個(gè)網(wǎng)絡(luò)設(shè)備產(chǎn)品上使用的IOS存在多個(gè)漏洞，其中涉及到的應(yīng)用領(lǐng)域包括TCP、UDP、移動(dòng)應(yīng)用和VPN等。這些漏洞大多是拒絕服務(wù)攻擊漏洞，可導(dǎo)致存在漏洞的網(wǎng)絡(luò)設(shè)備效率降低或停止響應(yīng)，不過(guò)也有少數(shù)的幾個(gè)是權(quán)限提升漏洞。Cisco已經(jīng)就本次安全公告涉及的漏洞提供解決步驟和軟件更新，建議使用Cisco網(wǎng)絡(luò)設(shè)備的用戶登錄以下站點(diǎn)以獲得進(jìn)一步的操作指南和更新程序：
http://www.cisco.com/warp/public/707/cisco-sa-20090325-bundle.shtml
　　
安全技術(shù)和研究：安全和攻擊新技術(shù)層出不窮；關(guān)注指數(shù)：高

傳統(tǒng)的鍵盤記錄攻擊技術(shù)基本上可以分成軟件和硬件兩類，用特定的鍵盤記錄軟件插入到用戶的系統(tǒng)上，自動(dòng)記錄用戶輸入的每一個(gè)字符；或通過(guò)在鍵盤和主機(jī)之間插入一個(gè)小的擊鍵記錄設(shè)備，完成鍵盤記錄攻擊。不過(guò)上述的鍵盤攻擊方式都是需要修改目標(biāo)系統(tǒng)的軟硬件環(huán)境，容易被用戶所察覺(jué)。在上周的CanSecWest會(huì)議上，研究人員推出了一種新的鍵盤記錄方式，即通過(guò)激光來(lái)記錄用戶的擊鍵記錄。

這種攻擊方式類似于傳統(tǒng)的激光竊聽手段，首先，攻擊者需要有能夠直接看到目標(biāo)用戶計(jì)算機(jī)的視線距離，然后通過(guò)激光麥克風(fēng)，攻擊者能夠收集到目標(biāo)用戶每次敲擊鍵盤的聲音。由于鍵盤上每一個(gè)鍵的敲擊聲音與其他的有所區(qū)別，攻擊者只需要收集到足夠多的樣本，并結(jié)合字典自動(dòng)匹配技術(shù)，就能完整的還原出用戶在鍵盤上的每一次擊鍵。這種鍵盤記錄方式不會(huì)對(duì)用戶系統(tǒng)產(chǎn)生影響，因此目標(biāo)用戶很難發(fā)現(xiàn)自己已經(jīng)被別人監(jiān)控，尤其是在公共場(chǎng)合如咖啡廳等使用自己的筆記本計(jì)算機(jī)更是如此。這個(gè)研究看起來(lái)挺科幻？說(shuō)不定現(xiàn)在使用這種攻擊原理的鍵盤記錄產(chǎn)品已經(jīng)裝備到私家偵探或其他調(diào)查人員手上了。

如何有效的對(duì)紙質(zhì)的文檔進(jìn)行管理，是政府部門和企業(yè)相當(dāng)頭疼的一個(gè)事情，尤其是在需要限制文檔的使用或散發(fā)的場(chǎng)景中，往往需要將紙質(zhì)文檔和使用者一一對(duì)應(yīng)，而且在使用過(guò)后還需要確認(rèn)該紙質(zhì)文檔是否曾經(jīng)被復(fù)制過(guò)。普林斯頓大學(xué)的一群研究人員對(duì)此就提出了一個(gè)相當(dāng)有意思的想法，因?yàn)槊恳粡埣埗即嬖陬愃迫说闹讣y這樣獨(dú)一無(wú)二的紋理特征，只需要通過(guò)特殊的顯微掃描儀，就能記錄下每一張紙的特征。在實(shí)際環(huán)境中只需要對(duì)比某張紙上的紋理特征和數(shù)據(jù)庫(kù)中所存數(shù)據(jù)，即可確認(rèn)這張紙對(duì)應(yīng)的使用者或出處。

筆者認(rèn)為，這種方式其實(shí)也挺適合用于傳遞加密的密鑰，只需要按照一定的算法將空白紙上的紋理處理成加密密鑰，這張白紙就能作為加密密文的密鑰進(jìn)行存儲(chǔ)和交換，而不清楚情況的第三方也難以想象一張什么都沒(méi)有記錄有的白紙就是解密重要信息的密鑰。

測(cè)謊儀是歐美國(guó)家中常用的對(duì)目標(biāo)人物進(jìn)行真實(shí)性測(cè)試的工具，然而在現(xiàn)實(shí)生活中卻非常罕見。而在日常的電話溝通中相信很多朋友都希望能夠通過(guò)某種方式，了解到正在電話的對(duì)象所說(shuō)的話是否真實(shí)——現(xiàn)在有個(gè)好消息，電話版的測(cè)謊儀已經(jīng)開發(fā)成功，并在本周開始上線為用戶提供服務(wù)，這個(gè)由語(yǔ)音分析廠商Teltech推出的名為L(zhǎng)iarCard的服務(wù)，能夠通過(guò)分析電話通話時(shí)雙方的語(yǔ)音、語(yǔ)氣和延時(shí)信息，嘗試分析出對(duì)話雙方當(dāng)前的心理狀態(tài)，從而得出目標(biāo)人物是否說(shuō)真話的結(jié)論，目前LiarCard服務(wù)采用在線服務(wù)的方式提供給用戶。

筆者覺(jué)得，先不說(shuō)這個(gè)在線語(yǔ)音分析技術(shù)效果如何，用戶在使用前還是得考慮將自己和別人的電話通話交給第三方進(jìn)行分析是否安全，隱私和敏感信息泄露的風(fēng)險(xiǎn)可比知道對(duì)方是否說(shuō)真話的重要性可大了不少。

推薦閱讀：

1） 本周知名的Web安全廠商Finjin向公眾發(fā)布了一份最新的網(wǎng)絡(luò)犯罪報(bào)告，其中著重對(duì)當(dāng)前互聯(lián)網(wǎng)用戶面臨的各種安全威脅，以及網(wǎng)絡(luò)犯罪組織頻繁使用的攻擊手段進(jìn)行了詳細(xì)的介紹，包括最近流行的利用搜索引擎優(yōu)化技術(shù)來(lái)散布惡意軟件等，推薦對(duì)Web安全有興趣的朋友們了解一下。

文章的地址如下：
http://www.darkreading.com/internet/security/showArticle.jhtml?articleID=216200158&subSection=Antivirus

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】