为了保护你的网络，你必须理解和防御恶意软件

码工

《黑客大曝光：恶意软件和Rootkit安全》推荐序(By Lance Spitzner)

    在我从事信息安全工作的将近15年中，恶意软件（malware）已经成为网络攻击者武器库中最有力的工具。从窥探财务记录和窃取击键到对等（peer-to-peer）网络和自动更新功能，恶意软件几乎成为所有成功攻击的关键部件。情况并非从来如此，我记得1998年刚开始从事信息安全工作时，我部署了自己的第一只蜜罐。这使我能够看到攻击者进入并且接管真实的计算机，由此我学到了关于他们的工具和技术的第一手资料。在那时候，攻击者通过人工扫描整个网络的各个部分来攻击，他们的目标是建立一个在互联网上能够访问到的IP地址列表。在花费数天的时间建立这个数据库之后，攻击者将会回来，在他们找到的每台电脑上刺探常用的端口，查找已知的漏洞，例如脆弱的FTP服务器或者开放的Windows文件共享。一旦发现这些漏洞，攻击者将利用该系统。刺探和利用的整个过程可能花费几个小时到几周，在每个阶段需要不同的工具。利用成功之后，攻击者将会上传更多的工具，每个工具都有各自的作用，并且通常人工运行。例如，一个工具能够清除日志；另一个工具则保护系统；别的工具则检索密码或者扫描其他脆弱的系统。你往往可以通过攻击者运行不同工具或者执行系统命令时犯错的数量来判断其水平。观察和学习攻击者，并且识别其身份和动机是令人愉快和感兴趣的，这时候你的感觉就像和闯入你的电脑的人有了私人关系一样。

    现在，网络防御的形势已经有了根本的变化。过去，要攻击和危害一台计算机，每一步几乎都包含着人工交互。现在，几乎所有的攻击都是高度自动化的，使用最先进的工具和技术。过去，你可以看到威胁并从中学习，记录攻击者采取的每个步骤。现在，整个过程都是有预谋的，发生在几秒钟之内，没有任何可观察和学习的东西。从开始的刺探到泄密再到数据收集，攻击的每个步骤都预先封装到我们所看到的最先进的技术—恶意软件之中。病毒刚刚问世时，只不过是修改系统上的几个文件以及窃取一些文档，或者试图破解系统密码的简单工具。现在，恶意软件已经变得极其成熟，它们能够读取受害者的存储器，并且感染启动扇区、BIOS，此外还有基于内核的Rootkit。

    更有趣的是，恶意软件利用僵尸网络（botnet）建立和维护对泄密系统的整个网络的控制能力。这些僵尸网络是网络犯罪分子控制下的有高度组织性的网络。网络犯罪分子使用这些网络来获取数据并且发送垃圾邮件，攻击其他网络或者部署仿冒站点。现代的恶意软件使这些僵尸网络成为可能。更糟糕的是，网络攻击者从全世界获得恶意软件，并且不断地创建和改进恶意软件。在我写这篇序的时候，全世界正在从一个有史以来最高级的恶意软件Conficker的攻击中恢复。数百万台电脑受到一群有组织的犯罪分子的侵害和控制。这次攻击非常成功，以至于整个政府组织（包括美国国防部）都禁止移动媒体的使用，以减缓攻击的蔓延。Conficker还引入了我们所见过的最高级的恶意软件功能，使用最新的加密技术来进行随机域名生成和自治点对点通信。不幸的是，这一威胁越来越严重。防病毒公司每天差不多要对付数千种新的恶意软件变种，这个数字还会不断增长。

    我们所看到的恶意软件的最大改变不只是技术，还有这些技术背后的攻击者，以及他们开发恶意软件的动机。我原来所监控的大部分攻击者都可以归类为脚本小孩，即一些没有熟练技能，只能使用从别处拷贝的工具的孩子。他们为了娱乐或者给朋友们留下印象而进行攻击。还有一小部分人开发和使用自己的工具，但是动机往往是好奇心，以及对自己的工具或者侵害系统能力的测试，或者是为了出名。今天我们所面对的威胁与此大不相同，这些威胁正在变得更有组织，更有效率，也更致命。

    今天，我们面对着有组织的犯罪分子，他们关注投资回报率（Return On Investment，ROI），拥有研究和开发团队，开发最有利可图的攻击。和任何具有利益中心的企业一样，这些犯罪分子关注效率和经济性，试图在全球范围获得尽可能多的利益。此外，这些犯罪分子已经发展了自己的恶意软件黑市。和其他经济体一样，你能找到一个完整的黑市，犯罪分子在这个黑市中进行交易并且销售最新的恶意软件工具，恶意软件已经成为一种服务。犯罪分子为客户开发定制的恶意软件或者将恶意软件作为服务进行租赁，服务包括支持、更新，甚至性能的约定。例如，犯罪分子可以开发定制的恶意软件，并且保证避开大部分防病毒软件，或者设计软件来利用未知的漏洞。

    一些国家机构也在开发最新的网络战工具。这些机构具有几乎无限的预算，并且拥有世界上最先进的技能。它们所开发的恶意软件用来悄悄地渗透和侵入其他国家，并且尽可能地收集情报，就像我们在最近的美国政府网络攻击案中所看到的那样。使用恶意软件的国家级攻击还会扰乱其他国家的网络活动，例如，对一些 国家的网络分布式拒绝服务攻击就是有组织并由恶意软件发起的。恶意软件已经成为今天所见的几乎所有攻击的共有因素。为了保护你的网络，你必须理解和防御恶意软件。

    我很高兴看到Michael Davis牵头写作了这本关于Windows恶意软件的书籍：《黑客大曝光：恶意软件和Rootkit安全》。我无法想到更适合这一任务的人。从Mike加入Honeynet项目成为Windows的主要研究者开始，我认识他将近10年了。Mike开发了我们最强有力的数据捕捉工具sebek，这是一个高级的Windows内核工具。除此之外，Mike在McAfee公司的经历使他拥有了关于恶意软件和防病毒技术的丰富经验，他还有很多帮助提高世界各地客户安全的经验，并理解各种组织所面对的挑战。他也亲眼目睹了恶意软件成为目前各种组织所面临的最大威胁的过程。

    《黑客大曝光：恶意软件和Rootkit安全》为我们提供了令人惊叹的资源，它很及时，关注我们所面临的最大网络威胁和防御。我强烈推荐阅读本书。

Lance Spitzner, Honeynet项目总裁