惡意程式的秘密~~ 很有趣的一篇文章~~
惡意程式已成為今日所有網路使用者的夢魘,應該不是陌生的名詞。不過對於惡意程式,還有許多面相或許是你我以前不知道的。
惡意程式泛指包括病毒、蠕蟲、傀儡程式、木馬、後門程式,以及可能導致電腦使用者資訊外洩的廣告/間諜程式等等。隨著網路愈來愈普及,以及網路威脅技術的演進,現在惡意程式的種類已包羅萬象,而且對電腦使用的安全也愈來愈直接。而在不斷演進的過程中,安全產品廠商們經由對惡意程式,以及背後組織的研究中,也發現到一些不為人知,甚至可以說是有趣的現象。以下是列舉一二。
安全威脅日益月異。就像科技不斷進步,病毒與惡意程式也不斷入侵最新的系統,在微軟、英特爾為主的PC廠商推動下,32位元PC已成主流,根據賽門鐵克針對去年下半網路安全威脅所做的一項《網路安全威脅研究報告》指出,2004年下半,共有超過7,360個Win32病毒與蠕蟲變種被發現,較去年同期大幅成長332%,佔所有威脅程式的90%強。而隨著科技進步,PC更進入64位元時代,微軟預言64位元電腦將會兩年內普及,現在64位元電腦及智慧型手機都已出現概念驗證病毒,未來成真的日子不會太遠。
舊漏洞不補,禍害無窮。根據同一份報告,去年下半十大網路攻擊型態中,Microsoft SQL Server Resolution Stack Overflow佔總攻擊來源的22%,較上半年上升了7%,再度蟬聯榜首寶座。Microsoft SQL Server Resolution Stack Overflow是啥?若講SQL Slammer你可能就明白了,它乃是此類攻擊程式中最有名的。如果讀者們記憶猶新,SQL Slammer正是2003年春節期間造成日韓等國嚴重損失而聲名大噪,台灣則碰到農曆新年大家不上班才倖免於難。賽門鐵克北亞區技術總監王岳忠指出,病毒這種東西好比時裝界流行一般,會不斷存活於網路上。因此,如果你的電腦如果新安裝了軟體,也要記得把修補程式一併補上,否則舊的病毒和威脅永遠都不愁沒有空間。
評論:資訊安全也要溫故知新。
攻擊程式也遵守「開放」精神。商用軟體界以Linux依據開放原始碼授權模式,像是GPL(General Public License),使開發人員取之於社群,用之於社群,最能體現開放、互惠的精神。現在病毒也開始學習起這一套。傀儡程式Agobot原始作者將病毒程式原始碼公布在IRC(Internet Relay Chat,類BBS)上,開放他人免費使用,但要求新的程式也需回貼在IRC上。由於IRC人數眾多,使得病毒作者不易查尋,也增添調查人員追查的困難。
評論:攻擊程式也很有分享概念。
傀儡程式也有中央控管機制。傀儡程式(bot)是一種在PC中植入代理程式以便進行遠端遙控的惡意程式攻擊,常以不斷的變種手法,以躲避防毒軟體的偵測追查。傀儡程式手法已演進到具有更新能力,可利用類似企業內部的軟體派送機制,從中央控管的遠端主機上同時更新多台電腦上的代理程式,只要下個指令,就可以更新為變種。也因此,使用者得定期更新應用系統修補程式、安裝個人防火牆等網路流量管控以進行防護。
評論:引用王岳忠的話:「傀儡程式不像一般人所想像是電腦初學者亂寫出來的粗糙程式,許多都已是使用C++寫成的模組化程式,其實已相當成熟。」
電腦成為駭客角力戰場。安全專家發現,攻擊程式往往成為不同個人或駭客組織間較勁的場域。去年搞得大家不勝其擾的兩隻病毒Netsky及 Bagle每隔幾天就出現一隻變種,原來是背後兩組人馬為了把對方趕出使用者電腦而以新變種驅除對方病毒。而傀儡程式也有類似情況。A駭客在數百台電腦中種下傀儡程式,企圖將這些被種了傀儡程式的電腦(稱為殭屍電腦)當成遂其目的(如發動DoS攻擊)的工具。
不過現在卻出現B駭客蒐集密碼或通道協定等「敏感性資料」進入A駭客的傀儡程式網路,透過升級過程將其收編過來成自己「小鬼」的情況。根據「The Honeynet Project & Research Alliance」三月的最近發現,在該項研究監控的100多個傀儡程式網絡(botnet)中,編號12的botnet主謀將編號25「已廢棄」的 bot搶了過來。而由於A駭客自己也不是光明正大,因此對於被「黑吃黑」也只好吃悶虧,不敢張揚。
評論:相較於駭客寫成的攻擊程式,他們背後的動機的精彩程度不遑多讓。
鍾翠玲/撰 2005/05/06
轉載自: 惡意程式幾個有趣的祕密
