在互聯(lián)網(wǎng)快速發(fā)展的今天，互聯(lián)網(wǎng)上已有上千萬的惡意軟件橫行，上萬的駭客使用各種手段去欺騙容易受騙的網(wǎng)民。他們使用著數(shù)年或數(shù)十年內(nèi)慣用的攻擊手段，毫無新意的利用網(wǎng)名的懶惰、誤判及一些"純白癡"行為。中培偉業(yè)《信息安全技術(shù)與信息安全管理體系(ISO27001認(rèn)證)》培訓(xùn)專家尹老師指出，每年反惡意軟件研究員在惡意軟件或者是惡意攻擊中都會(huì)遇到一些引人側(cè)目的技術(shù)，這些有靈感的技術(shù)在不斷擴(kuò)展惡意攻擊的邊界，也導(dǎo)致越來越多的聰明人上當(dāng)受騙。尹老師作為資深網(wǎng)絡(luò)安全專家，在這里介紹了當(dāng)今世界最常用的7個(gè)攻擊策略及其經(jīng)驗(yàn)教訓(xùn)。

1. 虛假無線接入點(diǎn)

虛假WAP(wireless access point)已成為當(dāng)今世界最容易完成攻擊的策略，任何人使用一些簡(jiǎn)單的軟件及一張無線網(wǎng)卡都可以將其電腦偽裝成可用的WAP,然后將這個(gè)WAP連接到一個(gè)本地中現(xiàn)實(shí)、合法的WAP.

隨后駭客就可以輕易讀取這些未經(jīng)保護(hù)的數(shù)據(jù)流，如果你明白肯定會(huì)驚訝于這些數(shù)據(jù)的內(nèi)容，即使是密碼都是通過明文發(fā)送的。

更邪惡一點(diǎn)的攻擊者可能會(huì)要求用戶在其WAP上建立一個(gè)賬戶，糟糕的是，通常情況下用戶都會(huì)使用一個(gè)通用的用戶名或者是電子郵箱。隨后這些攻擊者就會(huì)使用這些通用的認(rèn)證信息登錄一些常用網(wǎng)站，比如Facebook、Twitter、Amazon、iTunes等，而受害者對(duì)此卻是毫不知情。

經(jīng)驗(yàn)教訓(xùn)：你不可以相信公共的WAP,因?yàn)槟愕臋C(jī)密信息總是會(huì)通過這些WAP發(fā)送。嘗試使用一個(gè)VPN鏈接，它將保護(hù)你的通信，同樣也不要在一些公共或者私人站點(diǎn)上使用相同的認(rèn)證信息。

2. 竊取cookie

瀏覽器cookie通過保存用戶"state"來提升用戶的網(wǎng)站瀏覽體驗(yàn)，網(wǎng)站給通過給用戶主機(jī)發(fā)送這些小的文本來跟蹤用戶行為，大幅度方便用戶的相關(guān)操作。那么cookie又會(huì)給用戶帶來什么不好的方面?

當(dāng)攻擊者竊取到用戶cookie后，他就可以通過這些文件來模仿用戶，通過其中的認(rèn)證信息來登錄這些網(wǎng)站，這個(gè)策略已成為當(dāng)下越來越頻繁的攻擊途徑。

經(jīng)驗(yàn)教訓(xùn)：即使加密的cookie仍然存在被竊取的可能，連接使用安全開發(fā)并經(jīng)常更新加密技術(shù)的網(wǎng)站。你的HTTPS網(wǎng)站同樣需要使用最新的加密技術(shù)，包括TLS Version 1.2.

3. 文件名欺騙

自惡意軟件誕生，攻擊者就一直使用文件名欺騙來誘惑用戶執(zhí)行惡意代碼。早期使用受信任的方式給文件命名(比如 AnnaKournikovaNudePics)及使用多個(gè)文件擴(kuò)展名(比如AnnaKournikovaNudePics.Zip.exe)。直到現(xiàn)在，Microsoft Windows及一些其它操作系統(tǒng)仍然隱藏一些"常見"的文件擴(kuò)展名，這就促成了AnnaKournikovaNudePics.Gif.Exe與 AnnaKournikovaNudePics.Gif有著相同的顯示。

當(dāng)下，這個(gè)策略已經(jīng)衍變的更加復(fù)雜，使用Unicode字符來偽裝給用戶呈現(xiàn)的文件名。比如，Unicode字符(U+202E)被稱為 Right to Left Override,可以騙過許多系統(tǒng)將AnnaKournikovaNudeavi.exe顯示為AnnaKournikovaNudexe.avi.

經(jīng)驗(yàn)教訓(xùn)：如果可能的話，確保在執(zhí)行前清楚任何文件真實(shí)且完整的名稱。

4. 絕對(duì)和相對(duì)路徑

另一個(gè)有趣的策略是"relative versus absolute",在Windows早期版本(Windows XP、2003以及更早)及一些其它的早期操作系統(tǒng)，如果你鍵入一個(gè)文件名并且按下Enter,或者系統(tǒng)根據(jù)你的意愿去尋找一個(gè)文件，通常會(huì)從你的當(dāng)前文 件夾或者是相對(duì)位置開始。盡管這種做法看起來高效切無害，但是卻被攻擊者所利用。

通常情況下這個(gè)惡意軟件會(huì)被作為penetration tester,用以攻破主機(jī)后的提升權(quán)限。攻擊者可能會(huì)選擇一個(gè)已知且易受攻擊的未打補(bǔ)丁軟件，并將其放入一個(gè)臨時(shí)文件夾。多數(shù)情況下需要做的只是使用一 個(gè)易受攻擊的可執(zhí)行文件或者是DLL置換打好完整補(bǔ)丁的程序。攻擊者會(huì)鍵入臨時(shí)文件夾中程序的可執(zhí)行文件名稱，隨后Windows加載則是臨時(shí)文件夾中這 個(gè)易受攻擊的Trojan執(zhí)行文件，而不是打滿補(bǔ)丁的那個(gè)版本。這個(gè)途徑非常受攻擊者喜愛，因?yàn)橐粋€(gè)很簡(jiǎn)單的文件就可以玩轉(zhuǎn)整個(gè)系統(tǒng)。

Linux、Unix及BSD系統(tǒng)在10年前就修復(fù)了這個(gè)問題，Windows則是在2006年通過Windows Vista/2008彌補(bǔ)了這個(gè)弱項(xiàng)，雖然這個(gè)問題在早期版本中仍然因?yàn)槟嫦蚣嫒荻嬖凇Ｍ瑫r(shí)，這幾年微軟一直在提醒及教導(dǎo)開發(fā)者在應(yīng)用打造過程中使用絕 對(duì)文件夾/路徑。但是直到現(xiàn)在，仍然有上萬個(gè)易受攻擊的程序存在，攻擊者比任何人都清楚這一點(diǎn)。

經(jīng)驗(yàn)教訓(xùn)：使用執(zhí)行絕對(duì)目錄及文件路徑的操作系統(tǒng)，尋找文件時(shí)首先在默認(rèn)系統(tǒng)區(qū)域下進(jìn)行。

5. Hosts文件重定向

當(dāng)下許多計(jì)算機(jī)用戶都不知道DNS相關(guān)文件Hosts的存在，在Windows下處于C:WindowsSystem32Drivers Etc這個(gè)目錄，Hosts文件將記錄所有通信IP的域名。Hosts文件最初被DNS使用，作為主機(jī)解決name-to-IP地址尋找的途徑，而不需 要與DNS服務(wù)器通信，并且執(zhí)行遞歸的域名解析。大多數(shù)情況下這個(gè)功能不錯(cuò)，但是大多數(shù)用戶永遠(yuǎn)都不會(huì)涉及到Hosts文件。

攻擊者愛好將自己的惡意目錄寫入Hosts,因此當(dāng)用戶訪問一個(gè)常用的域名時(shí)(比如bing.com)，將會(huì)被重定向到一個(gè)惡意的網(wǎng)站。惡意重定向一般包含一個(gè)近乎完美的原始網(wǎng)站拷貝，因此甚至對(duì)這個(gè)重定一無所知，這個(gè)方法當(dāng)下仍然被廣泛使用。

經(jīng)驗(yàn)教訓(xùn)：如果你不能確定自己是否被重定向了，請(qǐng)檢查你的Hosts文件。

6. Waterhole Attacks

Waterhole Attacks得名于其獨(dú)特的攻擊方式，在這個(gè)策略中，攻擊者一般將目標(biāo)放在處于特定地理或者虛擬位置的受害者，然后給這些受害者"poison"惡意目標(biāo)。

Waterhole Attacks今年的曝光率非常高，類似Apple、Facebook、微軟等公司都深受其害，收到了他們開發(fā)者經(jīng)常訪問的網(wǎng)站連累。這些站點(diǎn)都被惡意的 JavaScript影響，進(jìn)行重定向?qū)崿F(xiàn)開發(fā)者計(jì)算機(jī)上的惡意軟件安裝，這些被入侵的計(jì)算機(jī)則成了攻擊受害公司的跳板。

經(jīng)驗(yàn)教訓(xùn)：讓雇員認(rèn)識(shí)到一些流行的"watering holes"會(huì)經(jīng)常成為攻擊者的目標(biāo)。

7. 誘導(dǎo)及跳轉(zhuǎn)

攻擊者樂此不疲使用的一個(gè)策略就是"Bait and switch",受害者被告知他們?cè)谙螺d或者運(yùn)行一個(gè)軟件，但是這只是臨時(shí)的，隨后就被跳轉(zhuǎn)到一個(gè)惡意選項(xiàng)，這種例子數(shù)不勝數(shù)。

在流行網(wǎng)站上購買廣告來傳播惡意軟件已隨處可見，在做廣告確認(rèn)時(shí)，這個(gè)網(wǎng)站顯示的內(nèi)容和鏈接可能非常正常;然而在流行網(wǎng)站批準(zhǔn)和收錢后，攻擊者將會(huì)使用一些惡意內(nèi)容進(jìn)行置換。如果訪問IP來自廣告提供者，則會(huì)將內(nèi)容或者鏈接重定向到正常的內(nèi)容。