DoSTOR存储分析 “寄生存储”将威胁存储安全

      如果你在你的缓冲区里发现了不属于你的几兆字节的数据,小心:你可能已经被一种基于缓存的寄生病毒感染了。

      本周,赛门铁克公司提醒用户小心一种叫“寄生存储(parasitic storage)”的病毒,表示黑客在几百台机器上只需存储很小的数据就可以传播这种病毒。

      赛门铁克(Symantec)公司说:“只需占用大批计算机上的一小部分“随机存储(RAM)”就可以保存入侵者想要隐藏的秘密数据,同时,保存在一些服务器上的大量的信息却面临着被发现和被删除的风险。”
 
      赛门铁克公司的开发部门经理Javier Santoyo 说,“寄生存储(parasitic storage)”的原理还是老一套,通过自身为用户制造很小的问题,因为这些存储负载通常会通过网络进入缓冲器或传输设备中。

      Santoyo说:“如果这些数据存储在缓冲器中,可能带来的问题就是在一台机器上触发恶意代码。”“目前我们还没有看到这种事情发生,但是存在着潜在的危机。”

      “寄生存储(parasitic storage)”不只是黑客们用来在硬件驱动器上节省技术的方法。很多情况下,它都用于存储敏感性或非法的数据。通过在一些计算机上传播这些数据,入侵者控制了这些计算机的配置,因此,他能够盗取禁止其他人访问的秘密信息。


      赛门铁克公司指出:“如果受感染的计算机断电了,上面的数据就会永远丢失。”“但是这种数据丢失现象很容易被看成是一些设备或技术存在的缺陷,这极有利于入侵者否认事实真相。直到有人(例如父母或执法机构)宣布这些数据从未存在过。

      与botnets不同,寄生存储(parasitic storage)可以利用网络设备中合法的存储,它没有接管或损害受感染的计算机。Santoyo说:“入侵者至少必需损害一个系统才能执行这个病毒程序—-这些黑客从来也不会使用自己的设备进行这种攻击——他们通常利用网络上可以利用的存储。”“这些数据很难被发现,因为它们看起来就像是合法有效的数据。”

      赛门铁克公司表示:“寄生存储(parasitic storage)的其它方式还可能是将在图像内编写文档与免费的图像存储结合起来。”“在互联网上,有很多站点允许用户上载正常尺寸的图像,甚至允许用户上载小的原始模型。入侵者可以利用成千上万个这样的站点隐藏相当数量的数据。


      赛门铁克公司解释说:“为当前程序块中的数据编码它的下一个程序块的位置是可能的,这就意味着只需在线存储一小部分数据。”“只要这个数据被加密并且被传播到一定程度,确定这些数据的存在就成了一件不可能的事情,更不用说找到它了。”


      Santoyo说,寄生存储(parasitic storage)目前的“威协性”不大,赛门铁克公司目前还没有开发阻止它的工具。用户可以通过重启计算机清除这些“免费搭车”的数据,但是这种重新启动对于在24×7条件下运行的服务器和存储设备来说通常是很困难的。