小心攻擊就在你身邊

| | | | | | 留下回應

    

Downloader（病毒自動下載器）

過去幾個月來，趨勢科技TrendLabs的誘捕系統並未攔截到很多惡意程式，但是卻可取得單一個惡意程式成千上百的變種，透過電子郵件或網路分享資料夾四處散播！

舉例來說，10月中我們曾在一個晚上收到的Haxdoor程式變種 (BKDR_HAXDOOR.KW)樣本數量已超過8500個(當然還持續在增加); TROJ_YABE 變種 (TROJ_YABE.AG) 也在短短數小時內累積超過 1000 個。

為何會有這麼多的變種？我認為和Downloader（病毒自動下載器）的東西有關。許多目標攻擊者在網頁中或是在受害系統中置Downloader，每天更新病毒變種到受害系統裡，這些行動宛若隱形攻擊，隨時隨地都會自動至預設的網站下載從未有過的新病毒。

如果目標攻擊對象無法找出問題源頭，就可能得冒機密資料暴露於外的風險，甚至隨時應付無窮無盡的新變種攻擊，如網路壅塞。過去Bagle 和Netsky以變種展開病毒大戰的年代，防毒廠商的命名規則用完了26個英文字母就已經讓人瞠目結舌了，現在目標攻擊所產生的變種到底多到什麼程度呢？舉例而言，最近持續增長的 Haxdoor變種樣本數量已超過 8500 個 TROJ_YABE 變種短短數小時內，樣本數量已累積超過 1000 個。而這些攻擊針對特定公司而來，背後的動機可能是為了偷取商業機密，或是破壞企業的正常營運。

儘管目標式攻擊的活動通報數量愈來愈多，但因為這類攻擊最棘手的地方較不容易引起注意，因此也更難以防範。特定惡意程式散播範圍愈廣，防毒產品業者就愈容易取得樣本，並製作相對應的病毒碼。然而，若病毒只會攻擊特定一家企業，尤其如果遭攻擊的公司根本不知道已經遭入侵的話，要取得其樣本將會較為困難。

為躲避防毒軟體的病毒碼偵測技術，愈來愈多病毒作者依賴可自訂的加密/壓縮工具，藉此掩飾惡意程式的本質。因為這些壓縮工具的原始程式碼非常容易從網路上下載，惡意程式作者只要進行小幅修改，就能輕易創造出無數的病毒變種，迅速釋出而造成嚴重問題。

安全弱點的攻擊

雪上加霜的是，安全威脅趨勢也顯示，針對某些應用程式或作業系統的零時差攻擊手法已被資訊竊賊用於攻擊特定企業或政府機構。

以下是兩個國外的案例：

案例一：偽裝內部發信

根據SANS報告（SANS Internet Storm Center - Cooperative Cyber Threat Monitor and Alert System），有一不知名單位遭遇一波規模較小、但火力十分集中的攻擊。這個案例由一名機警的使用者察覺，他看到一封傳入的電子郵件看似是由他們自己的網域所發出，像是內部發出的郵件，其中還附有簽名檔，信中還稱呼受害者的名字。但事實上這封信並不是來自他們的網域。

案例二：數千筆美國軍方人員線上登入帳號資訊被竊

washingtonpost.com報導過，美國軍方許多人都收到一封大量散發的電子郵件，該信附件檔包含一個零時差弱點攻擊程式。美國軍方對此展開調查時，發現已經有大量帳戶資訊外洩。後來他們找到 2,301 組屬於美國軍方人員所有的線上登入帳號資訊，這些登入帳號可能讓有心人士存取美國國防部包括海軍與陸軍等多個portal，更可怕的是，歹徒資料庫中還儲存了其他受害者的登入資訊，包括 221 個美國銀行帳戶、5,524 個 Gmail帳號以及1,842 個Hotmail 帳戶的登入名稱與密碼等等。

這兩種案例的攻擊手法分別是針對電子郵件及瀏覽器的弱點而來，而且非常難偵測，除非使用者察覺有異，或者系統管理員偵測到某處發生問題，否則這類攻擊並不容易被發現。

目標攻擊規模可大可小

當惡意程式以特定對象為攻擊目標時，其規模可大可小，視可能受害的人數而定。若以 Citibank、Amazon 或 PayPal 的客戶作為攻擊目標，將有相當龐大的受害者。如果只是一家地方銀行，則受害者可能只有幾百人而已。攻擊的成功率和被鎖定為攻擊目標的公司或產業規模大小成正比。

在發動攻勢之前，攻擊者必須先確定攻擊目標。這波攻擊將持續多久的時間，攻擊型態為何都不一定。像SoBig植入的後門程式則是會依變種不同，在數天或數月內便會自動終止。企圖取得的目標如果是金錢，可能先蒐集密碼、只發動一波攻勢，可能將巨額資金匯至海外的銀行帳戶，或以較小的金額分批匯出。

一旦目標達成之後，攻擊者所採取的撤退策略可能是清除所造成的損害，並從此消失無蹤，受害者從頭到尾毫無知覺。

閘道安全方案避免被鎖定攻擊

針對特定目標的攻擊手法不僅愈來愈高明，而且愈來愈難察覺，通常負責第一波攻勢的惡意程式downloader能隨機產生不同的字元。當downloader每次連線到該網站時，都會在連結之後使用不同的新參數，因此只要參數改變，下載的檔案類型就會隨著改變。

這也凸顯了一項事實：傳統的防毒解決方案雖然有必要，但已經不足以提供完整的保護。

根據市調機構Radicati 的分析指出，有80％的間諜軟體感染來源是導因於瀏覽網站。IDC 報告(IDC: Private Internet Use Insecure.)也指出網頁瀏覽器已超越電子郵件，成為惡意程式最常使用的散播方法。不幸的是，相較於郵件安全，企業在HTTP 的防護上，有更多的改進空間。

防制方法

現在散播惡意程式的網站提供的不一定是色情圖片或軟體序號產生工具等不正當的內容。反之，惡意程式經常潛藏往往看似正當的網站，像是部落格、或理財網站等等，使用者若警覺性不高就會因此上當。

理想的方法是以工具協助企業避免前往有陷阱的網站或點擊帶有惡意連結的信件，而不必對每一位員工的行為進行全面監視。一個好的HTTP 方案必須涵蓋以下各項功能：

網頁防毒：除了採用病毒碼技術偵測已知的惡意程式以外，還能防範運用零時差病毒技術的未知惡意程式。而為防範迅速釋出防不勝防的變種病毒，智慧型啟發式技術可偵測壓縮檔案，可有效封鎖過去防毒軟體所無法偵測到的壓縮演算法變種病毒，並可預防未知的威脅。

防制網頁釣魚：為防止瀏覽網頁可能誤觸木馬間諜軟體暗中埋設的地雷，一套可在網際網路閘道器上防止間諜軟體下載的軟/硬體，必須可封鎖惡意間諜軟體網站的存取，防止隨看隨下載的「路徑下載」(drive-by downloads)並封鎖可疑網站，根據彈性原則及綜合性間諜軟體資料庫，即時過濾 URL 網址以封鎖對於可疑間諜軟體網站的存取。

真實內容格式(True file type)掃描：有些公司基於安全考量會過濾或封鎖特定副檔名，例如EXE或COM，但一般公司不會刻意封鎖圖檔（JPG或GIF），許多病毒偽造成圖檔後，下載到使用者的電腦後再變更副檔名並執行破壞。所以企業選擇的防毒軟體必須可以檔案真正內容格式(True file type)執行掃描與判斷。

惡意程式無所不在，但完全不連網是不可能的事。對消費者來說，要保護自己，一定要定期更新安全防護軟體。此外，也請刪除陌生人寄來的電子郵件，且請勿其中任何可疑連結。企業則可設置可在網際網路閘道攔截隨著email 和HTTP 而來的新變種解決方案。