駭客攻防與惡意程式威脅 回到資安Q&A
Q
怎麼防堵BHO攻擊?
最近閱讀一些bho攻擊手法,真是讓我頭皮發麻!!看起來駭客手法不斷翻新及資安議題不斷升高,不知是否有效方法去防堵???
提問者: COOPER 提問時間: 01/03/2012
A
值班醫師回應


BHO (Browser Helper Object)是Microsoft在1997 年,提供給Internet Explorer附加的功能。第三方開發者若要增益各種瀏覽器功能,例如新增工具列、自動偵測瀏覽頁面中的文字等,這些都可以透過BHO來實現,而不用撰寫冗長的程式碼。

也因此,網路銀行、WebATM 等的使用,常會需要使用者安裝附加元件以便於使用,主要是為了要讓網站與讀卡機進行溝通。但是近年來攻擊者也常利用BHO來建立惡意元件欺騙使用者安裝,藉此竊取使用者資料、竄改網頁內容。例如當使用者在瀏覽到需要BHO附加元件的頁面時,瀏覽器即會自動跳出提示需安裝附加元件,許多人使用習慣不良,往往沒看清楚就「下一步」。您可回想,是不是有時候開啟某些大陸網頁,卻在不知不覺間安裝了該網頁的Toolbar?這種狀況,若是進行網路交易,造成的損失將更大。更多相關的新聞可參閱
BHO攻擊手法 可能瓦解Web ATM防護機制」。

要如何觀察BHO元件是不是有問題呢?可以直接到Internet Explorer瀏覽器中的「工具」>「管理附加元件」中觀看。IE 8以後的版本管理功能都非常好用,只要看到可疑的元件,都可以直接選擇停用,例如出現你未曾安裝過的元件、名稱怪異的元件,或者是發行者不明。()如果覺得內建的功能不敷使用,建議也可以嘗試使用
Microsoft Sysinternals所開發的Autoruns工具。  

Autoruns可以觀看所有Windows啟動時會開啟的程式,在分析惡意程式時非常好用。除了可以查看之外,也可以開啟、關閉、移除,或者直接觀看它在登錄碼中的位置。在使用時通常建議點選「Options」中的「Filter Options」,並勾選「Verify code signatures」。此選項會檢查所有程式的簽章是否正確,若簽章正確會在「Publisher」欄位前面顯示「(Verified)」。若簽章無效可能就要注意一下是否為真正該公司發行的程式。



BHO的設計,對於瀏覽器的多樣化功能來說確實十分方便。但在惡意程式猖獗的現在,使用者必須要能夠分辨什麼是安全的、什麼是可疑的。幾個需要注意的大原則如下:
1. 只在信賴的網站安裝BHO附加元件。
2. 注意元件的名稱、發行者是否正確。
3. 定期檢查是否有可疑的元件遭到安裝。若您有使用IE瀏覽器進行網路交易等行為,更要留意是否已經遭到安裝惡意的BHO附加元件。

註:若要查詢BHO是否可疑,可以查詢元件的CLSID,格式為「9030D464-4C02-4ABF-8ECC-5164760863C6」。將CLSID或是檔案名稱輸入到以下兩個網站中查詢,即可快速確認目前已知的附加元件是否有問題。此例為「Windows Live Sign-in Helper」。
http://www.systemlookup.com/
http://www.sysinfo.org/




(本文圖片由作者提供。)

資安急診室醫師介紹
資安技術顧問
曾負責滲透測試、應用程式開發、伺服器建置及開發。專長於網站應用程式以及行動裝置安全,具備8年駭客技術研究以及網路管理經驗,並創辦資安團隊培育技術人才。
文章回應話題
發表者:JILL 發表日期:07/22/2015
標題是如何防堵? 請問是在程式開發時或網路設備上可 做什麼進行防堵嗎?
發表者:CKR 發表日期:07/03/2012
我覺得這樣只能算是消極防守,而非達到主動防禦偵測及通知目的。目前針對不同攻擊,應該希望在防禦當下,由系統判定直接停止交易目的進行。
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字