文/吴波

网络安全设备厂商，常常会有这样的苦恼，比如IPS时常检测到大量来自内网的攻击，而用户对这种攻击不了解，希望厂商为其清理攻击源。但这种情况往往是因为用户网络中有节点感染了带蠕虫特征的病毒，这些病毒的清除工作比较繁琐。本文将讨论漏洞与病毒的关系，解开病毒发起攻击的相关疑惑。

漏洞与病毒的概念

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未被授权的情况下访问或破坏系统。漏洞会影响到很大范围的软硬件设备，包括操作系统及其上的应用软件、网络客户端和服务器，甚至路由器和安全防火墙等。漏洞问题是与时间紧密相关的。随着时间的推移及用户使用的深入，系统中存在的漏洞会不断被暴露出来，这些漏洞也会不断被系统供应商发布的补丁软件修补，IPS设备也会做相应防护，但是潜在的漏洞不会因为这些措施而消失，依然存在并可能在某个时间点被发现，个别漏洞隐藏的时间可达十数年之久。

计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒可以像生物病毒一样进行繁殖，当正常程序运行的时候，它也进行自身复制，是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。计算机病毒可通过各种可能的渠道，如可移动存储介质、计算机网络去传染其他的计算机。当在一台机器上发现病毒时，往往曾在这台计算机上用过的U盘已感染上了病毒，而与这台机器相联网的其他计算机可能也被该病毒染上了。

漏洞辅助病毒传播

病毒的传播途径多种多样，基于社会工程学的电子邮件、网页及P2P文件共享较为常见。比较直接的方式是，病毒传播者将病毒放在电子邮件中寄给受害者，引诱受害者打开电子邮件中的带病毒exe文件而感染病毒，或者通过P2P共享或网页链接的方式，欺骗受害者打开病毒文件。对于安全意识较好的用户，这些伎俩均难以得逞。但是如果病毒具有可通过漏洞进行传播的能力，而用户系统没有针对病毒攻击的目标漏洞采取防护措施，用户系统将可能在不做任何操作的情况下被病毒感染。

常见的病毒利用漏洞传播的方式有如下几种：

l  利用网站漏洞进行网页挂马

通过对网站漏洞的利用，黑客可以将病毒植入到访问量比较大的网站，用户访问这些网站即被病毒感染。很多比较大的门户网站也发生过被挂马的事件。这种方式利用了网站的影响力及用户对常用网站基于信任的权限设置，大大增加了病毒感染数量。病毒传播者要利用网站漏洞进行网页挂马传播病毒，必须要获取对站点文件的修改权限，而获取该站点的WebShell（网站的后门工具，对服务器有某种程度上的操作权限）是最普遍的做法。可供病毒传播者实施的攻击手段比较多，比如注入漏洞、跨站漏洞、旁注漏洞、上传漏洞和系统漏洞都可被利用。对于这种病毒传播方式，主要靠网站通过及时修补漏洞、部署IPS等来防御，网站用户安装杀毒软件和即时更新浏览器相关补丁也是必不可少的措施。

l  利用应用程序漏洞传播病毒

很多常用的办公软件，如微软Office家族及Adobe的Acrobat/Reader系列，由于功能强大、实现复杂，基本每月均会报出新的漏洞，而这些漏洞均有可能被病毒传播者利用。网页浏览中最常用的flash播放器插件Adobe Flash Player，也是曾经的漏洞大户，理所当然成为病毒传播者比较重视的传播途径。事实上，国内许多口碑不错的应用软件，也已经成为病毒传播者的目标。越来越多的黑客，已经把目光从系统漏洞转向第三方应用程序漏洞去达到不法目的，主要原因是应用软件厂商的安全响应速度不及系统软件厂商快，并且应用软件用户群的安全意识和安全知识普遍不够。国内影响比较大的应用软件的漏洞均可用于病毒传播，如千千静听med文件格式堆溢出漏洞，用户使用具有漏洞的千千静听播放或者浏览包含恶意代码的med声音文件时，木马病毒就会轻易进入用户的电脑系统中。例如暴风影音II的一个Activex控件漏洞，当安装了暴风影音II的用户在浏览黑客精心构造的包含恶意代码的网页后，会下载任意程序到用户系统上，并以当前用户权限自动运行。再比如联众游戏大厅GLIEDown2.dll ActiveX控件漏洞，当用户安装含有漏洞的联众游戏大厅时，浏览到黑客构造的含有恶意代码的网页后，会在后台自动下载任意恶意程序，以当前用户上下文权限运行。如上所述，如果应用软件漏洞被准确利用，用户在打开一个doc或pdf文档，或者看一个视频、听一首歌曲的过程中，均可能感染上病毒。如图显示了卡巴斯基2011统计的漏洞软件被在线攻击的类型分布。

http://www.h3c.com.cn/res/201206/12/20120612_1372429_image001_747525_30008_0.jpg图 2011年被在线攻击的漏洞软件分布图

l  利用系统漏洞传播病毒

这里说的系统漏洞是指操作系统及其周边基础服务软件的漏洞。这类漏洞的特点是影响范围广且危害巨大，如在Windows操作系统上臭名昭著的RPC（Remote Procedure Call）系列漏洞，至今还是许多病毒传播的重要途径。通过网络进行复制和传播的蠕虫病毒，能够利用Windows RPC漏洞直接感染装有Windows系统的主机，不需要用户进行干预，这也是网络中经常成片出现主机感染病毒的原因。不仅RPC漏洞危害比较大，其它在Windows上出现的漏洞危害都不小，如最近被发现的远程桌面协议漏洞 (CVE-2012-0002)。这个漏洞允许通过RDP服务远程执行代码，属于高危漏洞。攻击者可能使用特别构造的一系列数据包获得对系统的完全访问。随后攻击者能够安装程序，查看、修改、或是删除数据，或是创建拥有完全用户权限的新账号，当然也是用于病毒传播比较理想的渠道。

目前流行的病毒基本上都会融合多种传播方式，利用系统漏洞是其中不可或缺的一种。如“飞客”（Conficker）病毒及其多类变种，利用Windows操作系统MS08-067 漏洞进行传播，同时也能借助任何有USB接口的硬件设备、网络共享来感染。MS08-067 漏洞就是RPC漏洞的一种，而不少RPC服务程序是默认启动的，这为利用这类漏洞的病毒提供了极大的方便。病毒会随机或按照一定的策略选择一个网段或一些IP地址，针对这个漏洞进行攻击，如果攻击成功就能在受害主机上复制自身并从这台新感染的主机发起同样的攻击，一旦网络中有一定数量的主机感染了这种病毒，网络中的攻击流量就会显著上升甚至拥塞网络，IPS等安全设备检测到这种攻击而告警内网有大量攻击也就不足为奇了。总之，Windows等广泛应用的系统为利用系统漏洞传播的病毒提供广阔的空间。

病毒使攻击更有针对性

漏洞评估病毒（Vulnerability Assessment Worms）已经出现，该类病毒对计算机安全漏洞进行扫描并综合评估后，将漏洞信息反馈给病毒编写者，病毒编写者再伺机进行针对性的攻击行为。漏洞评估病毒的行为一般以信息收集为主，为黑客入侵铺路，不具有很强的破坏性，因此对病毒扫描产品具有一定的隐匿性，通常不会轻易被反病毒软件检测到。同时，这类病毒还可能会受到病毒编写者的远程控制，会不定期地对自身进行更新，通过此方法也有可能逃过反病毒软件的查杀。随着黑客攻击越来越专业，越来越有耐心，APT（Advanced Persistent Threat，高级持续性威胁）攻击已经成为信息安全的重要威胁。可以预见，作为黑客攻击前奏的漏洞评估病毒将越来越普遍。

如何应对病毒与漏洞攻击的双重威胁

为防御更广泛而有针对性的攻击，企业需要采取立体的安全基础措施，如在内网中部署终端安全接入认证并在互联网出口及服务器入口部署入侵防御系统等，并紧密关注配置管理，及时地部署安全更新；仔细监测并进行高级分析，以便发现威胁；如果受到攻击的企业根据其所处的行业环境考虑到“由蓄谋已久的对手发起的目标攻击”这一因素，就有可能遏制攻击者的活动，从而赢得时间进行检测、响应并减轻攻击。

普通用户可以通过坚持以下基本安全原则，避免受到黑客攻击或感染病毒：

l  认识到使用安全性较强的密码的重要性，并付诸实践；

l  定期更新操作系统及应用软件，包括但不限于应用软件及操作系统的升级补丁；

l  使用可信来源的软件并保持更新；

l  谨慎地点击网页链接；

l  谨慎对待附件和文件传输；

l  警惕利用社交网络技术手段的恶意行为。

结束语

随着新漏洞不断地被挖掘出来，利用这些新漏洞的病毒也不断地被编写出来，由于病毒的传播特性，漏洞的危害被成倍地放大，成为几乎所有IT用户的巨大威胁。了解病毒与漏洞之间的独特关系，并知晓漏洞与病毒组合带来的威胁，能够帮助IT用户与管理人员进一步提高安全防范意识。有了良好的安全意识，IT资产的保护就成功了一半。