概念驗証病毒:網路風暴預言(下)

| | | | | | 留下回應

    

病毒的孳生媒：病毒自動產生器

過去病毒都是少數幾個有創意及技術的人自行撰寫而成，一樣。不過漸漸的，撰寫病毒也「工業化」，有些地下組織，甚至會提供所謂的病毒產生器，讓病毒寫來毫不費力，加速概念驗証病毒的變種或產生。

以 2004年9月JPEG 概念型病毒為例，微軟才在 9 月下旬公布 JPEG處理(GDI+)緩衝溢出(MS04-028)漏洞， 3 天後就有一隻攻擊該漏洞的概念型駭客工具碼（proof-of-concept）接著尾隨而至。這隻被趨勢科技命名為 HKTL_JPGDOWN.A 的示範教學工具程式，攻擊者只需要按下Make按鈕，就可以取得動過手腳的 JPEG 圖檔（見下圖）。

針對微軟 JPEG 漏洞而來的概念型工具程式，只需按下Make鍵就能下載相關漏洞圖檔。

駭客們以病毒產生器彼此分享的互助模式，早在1996年第一隻件巨集病毒Word_Concept出現後，網路就出現勾選式的病毒自動產生工具，只要幾秒鐘便可以為病毒接生。當1996年臺灣一名國中生陸續寫出猜拳、釣魚臺、白曉燕等文件巨集病毒後，更暴露了撰寫文件巨集病毒不需高深技術背景的隱憂。

地下駭客組織 RRLF 在去年7月編寫了一份病毒寫作指導教材標題為《Monad: Microsoft Command Shell Infection Tutorial》以網路刊物形式發送給組織會員，挑明攻擊微軟尚未發表的新一代作業系統Windows Vista代號Monad的命令列工具(command-line shell tool)。教材中提供了5種概念證明病毒，其感染手法包含：Overwriting, Prepending, Appending, EPO, 還有感染 BAT, CMD, 和 MSH 檔案等等。

不過微軟事後在部落格發表聲明，指出：「Monad不會納入正式版的Windows Vista。所以，這些潛在的病毒不會感染Windows Vista。」但駭客似乎不理會這種說法，在8月他們甚至推出了撰寫Monad病毒自動產生工具（virus creation kit）。

What's next?

2006年Windows 以外的攻擊平台-MAC 與 Linux的概念將成真？

惡意程式作者一向都是以 Microsoft 產品為攻擊目標，因它們擁有廣泛的使用者，因此若能成功入侵 MS 產品就意味著更廣泛的破壞規模或更高的知名度。但是大多數惡意程式作者都不想「獨厚」Microsoft，更何況還有其他許多選擇，像是 Apple (只是較為昂貴) 以及免費的 Linux。基於這個原因，相較於針對 Microsoft 而來的惡意程式，只有少數惡意程式是以 Mac 與 Linux 為目標。

但是這場安全遊戲中已經出現了一個新趨勢。這一次惡意程式作者讓自己揚名立萬的手段並不只是感染檔案或系統而已，而是進行破壞及竊取資訊。這導致惡意程式作者/駭客競相尋找安全弱點進行攻擊，軟體公司也可藉此機會立即發佈程式碼修正或修補檔案 (有些公司甚至公開發佈安全性挑戰，以便讓他們能更快找到他們軟體中的瑕疵)。

最近的趨勢是標榜安全性的軟體公司也成為攻擊目標--頻頻出現的 Mac 或 Linux 平台的病毒即可證明這一點。（註1）Macintosh 使用者已逐漸成為這類攻擊的目標，因為他們通常都認為任何感染 Microsoft 的惡意程式對他們都沒有任何影響-這種看法並不正確，因為惡意程式也可能以 Macintosh 為目標，而且破壞行為也可能像 Microsoft 惡意程式一樣。

由於現在惡意程式作者似乎已開始將注意力轉移到 Windows 以外的平台，使用者應該提高警覺，防範針對他們系統而來的攻擊。有了新的平台與環境可供選擇，惡意程式作者在設計程式散播令人反感的程式碼時，也變得更有創意了。從 Microsoft 作業系統、Linux、Unix、Mac OS 到支援 Symbian 作業系統的行動電話，每一步進展都有助於惡意程式突破散播技術的限制。

回到 WORM_CXOVER.A。作者在病毒程式碼字串中，代表全世界病毒發言的野心，身為安全專家的我，也深感擔負捍衛電腦世界安全的重責大任，愈來愈不容掉以輕心了。

註一

-2006年4月跨平台病毒 ELF_BI.A病毒會搜尋並感染現行目錄下的所有的Windows (.EXE) 和 Linux (ELF) 的執行檔，開啟已經被感染的檔案，再度執行病毒程式，藉此感染更多檔案。即使趨勢科技的全球病毒即時監控中心，並沒有發現該病毒以擴散感染跡象，但是它無疑地豎起了跨平台病毒將日益增長的警訊。

-兩隻會感染 Mac OS X 10.4 的蠕蟲：SX_LEAP.A 與 OSX_INQTANA.A，分別在 2 月 16 日與 17 日被發現。而短短三天之內，Safari 網頁瀏覽器也在 2 月 20 日被發現含有安全弱點。這個安全弱點能允許下載的指令檔自動執行，因此可能成為零時差攻擊利用的管道。4月蘋果的作業系統內被發現七項可能讓使用者遭受網路攻擊的安全漏洞。