觀點

新的惡意攻擊程式 讓防毒軟體捉襟見肘?(下)

2004 / 06 / 21
Ed Skoudis
新的惡意攻擊程式  讓防毒軟體捉襟見肘?(下)

徹底清除Unix惡意程式
如果Windows平台下的防毒軟體,可以偵測到用來攻擊其他平台的惡意程式,便可作到早期預警。不過結論是這些產品並沒有做到這一點。
當我們以Unix及Linux系統中常見的惡意軟體,包括Linux Rootkit 5 (LRK5)、Universal RootKit (URK)、Adore、Kernel Intrusion System (KIS) 以及 SuperUser Control Kit,來測試各家防毒產品能否有效偵測出來,但其結果依舊令人失望。


間諜軟體揭密
近來,網頁似乎成為間諜軟體(spyware)的溫床。駭客可以藉此將鍵盤記錄軟體植入到管理人員的桌上型電腦中,伺機竊取帳號密碼以及其他機敏性資料。這真是個驚險萬分的案例,但是你可別指望防毒軟體可以保護你倖免於難。
在我們的測試中,使用15種常見的間諜軟體進行試驗,包含SaveKeys(已商業化的鍵盤記錄程式)、Perfect Keylogger Lite (非常受歡迎的免費軟體)、FreeScratch-AndWin (會在瀏覽網頁時跳出廣告視窗)以及備受爭議的Gator,這套軟體會收集使用者的上網習性並賣給廣告商從中獲利…等等。
PestPatrol 可偵測蠕蟲、病毒之外的惡意程式,在偵測間諜軟體這方面還做的不錯,可以在15種測試樣本中辨識出其中10種,而且也是唯一可以抓到Gator的防毒軟體。
其他像F-Secure、Kaspersky、Network Associates及Panda僅能偵測到其中3、4種間諜軟體。CA、Grisoft、Sophos及Trend Micro更是只抓到1種或根本沒有反應。
其實多數的防毒廠商,在處理間諜軟體時會根據其說明文件與授權聲明(README或 EULA),判斷是否與其廣告、蒐集使用者習性的行為相符。除非間諜軟體已經危害到個人與企業的安全,不然是不會將其歸類成惡意軟體。有部分廠商甚至認為將商業版的鍵盤記錄軟體歸類為惡意程式,可能會涉及法律問題。


防毒軟體的整體管理功能
不論個人版防毒軟體本身對於偵測惡意程式的功能有多強大,都不能為企業帶來多少實質利益,除非能夠提供遠端設定組態、狀態檢驗、資料彙整及分析報表等,諸如此類可以增強企業整體管理的附加價值。
在測試的防毒軟體中,皆具備了防止使用者任意改變設定的選擇性功能。Grisoft、Network Associates、Trend Micro 以及Symantec都提供了可靠且詳盡的管理介面,讓安全管理人員可以管制使用端設定,不論被使用者改掉多少規則都可以管制。
舉例來說,這些中央控管工具可以管制使用者,以免他們關掉即時掃瞄或更新病毒碼排程的功能。但是 Sophos卻無法管制具本機管理權限的使用者,防止他們變更任何設定。這個嚴重性在前半段的文章曾經提過,因為許多組織都授予使用者具備本機管理權限,這勢必會造成管理上的問題。


企業整體報告
優秀的防毒軟體掃瞄報告,應該彙整企業內所有的用戶資料,並具備迅速識別威脅以及降低、轉移最大的風險區域的特色。譬如:在報表總結中,應該從受感染的歷史統計資料中,指出哪幾個用戶是經常感染病毒,以及哪幾個事業單位,總是可以依規定更新病毒碼,或哪一個單位是最多用戶將防毒軟體關閉不用的。
在測試中發現,各家的管理報告功能各有所長,其中以Network Associates與Trend Micro最完整,能夠詳實呈現彙整資料,包括前幾名感染病毒的大戶、最常見惡意程式之描述及其細部感染歷程等項目。
F-Secure和Sophos均提供可查詢最常發生的感染類別、最常感染病毒的用戶以及用戶病毒碼的更新狀態。但是卻沒有針對上述資訊,提供簡單的統計彙整報告。
CA、Grisoft、Kaspersky、Panda、PestPatrol及Symantec只提供基本的報告,若要蒐整所有事件記錄,必須購買其他額外出售的套件,然後以人工方式蒐集資料以進行統計分析。

使用者介面的便利程度
這個項目將測試防毒軟體在整體管理上的便利性,包括是否對於正確診斷出企業大規模感染現象、病毒碼更新作業管理、排程掃瞄,以及線上修訂用戶組態設定是否夠簡單。
首先我們針對各家的管理套件與用戶端進行安裝,再逐項進行測試。
測試結果顯示,Symantec與Trend Micro的操作介面最直觀、最具親和力。Symantec提供非常方便的用戶端配送安裝功能,亦可即時呈現用戶端的運作狀態。Trend Micro的操作介面,在即時呈現企業內部感染狀態方面,作的非常傑出,在報表中還可以使用簡單的操作向下查詢細部資料,並且曾在測試中針對部分嚴重的惡意程式發佈高風險警訊。
Network Associates的主控介面功能很完整,而且有點複雜過頭了,有一些功能可能用不太到。不像Symantec與Trend Micro的介面那麼清楚。
而F-Secure與Grisoft在操作介面就有點遜色。以F-Secure來說,要迅速從管理介面中判斷某台機器防毒軟體的運作狀態是有困難的,譬如在管理介面中的「警示」頁面,已經顯示發生新的攻擊事件,但是在「狀態」頁面中卻無任何徵兆,顯示該主機正受到攻擊。Grisoft的情況大致相同,在某些操作模式中,可能因為要檢查一台已經關閉的機器,導致操作介面鎖死約30秒,如果你要管理中、大型企業時,應該不希望發生這種情況吧。附帶一提,其任務排程功能實在不怎麼好用。


分析防毒軟體的網路通訊
防毒軟體廠商使用各種網路通訊協定,來達成管理介面與用戶端之間的訊息傳遞。例如:運作狀態查詢、更新組態設定及更新病毒碼。我們透過監聽這些軟體的封包,從中瞭解在企業網路中的通訊情況。
未測試之前,我們猜測防毒軟體應該是透過微軟的NetBIOS、SMB與RPC這三種常見的通訊協定,來管理企業用戶。但是,有越來越多的蠕蟲使用這些協定作為進攻的管道,如果企業中的防毒主控台遭受感染,勢必會間接擴散到各用戶端。像有名的Welchia和Blaster 蠕蟲便是最好的例子。
而且大多數的企業內部網路,並沒有對這些協定作管制,只有少數企業採過濾、切割網段的方式,控管這些協定在內部網路的運作。如果不幸被蠕蟲攻進內網,也會因此抑制其擴散範圍,不會造成全面性的災難。
測試結果發現,CA、PestPatrol與Sophos,使用上述通信協定來管理企業內部的用戶,這不啻對蠕蟲的攻擊大開門戶。當蠕蟲透過這些管道進攻,我們便無法完全過濾、阻絕其攻擊,而不影響到原有的管理功能。
使用HTTP/HTTPS則是比較安全的方案,但是無可避免地,仍然有一部份使用HTTP作為攻擊管道的蠕蟲,像是Code Red和Slapper,他們就是透過HTTP攻擊未更新升級的網頁伺服器,然後再繼續擴張。然而,要更新網頁伺服器,比起更新所有的用戶端是容易多了,這也是使用HTTP作為管理防毒軟體的管道會比較安全的原因。 F-Secure、 Network Associates和Trend Micro在HTTP/HTTPS的基礎上進行控管,傳送其特定的訊息封包以達到管理的目的。


整合VPN強化防禦機制
部分防毒軟體提供強制與VPN整合的功能,以確保在VPN環境中的用戶都受到完整的防毒保護。 Network Associates與Trend Micro搭配Check Point的安全組態驗證VPN方案(SCV, Secure Configuration Verification), Symantec則可搭配Nortel與Check Point 的VPN方案。
當VPN用戶要求建立連線,必須先啟動以及更新防毒軟體,否則無法連入企業內部網路,在企業端的VPN匣道、以及VPN的用戶端均可整合上述防毒軟體,假使防毒軟體被關掉或沒有更新病毒碼,使用者就會被拒於門外。


結論
從我們的分析結果來看,防毒軟體在對抗惡意軟體方面,也不是那麼無可救藥。但是就業界的角度來看,防毒軟體在處理可變動資料串流(ADS)問題上確實尚未克服,以及對於偵測間諜軟體、後門程式、UNIX下的惡意軟體的功能也有待加強。各家在企業級管理功能、報表統計分析的努力,亦存在明顯的差異。
Trend Micro的防毒方案,其特色是簡單易懂的操作介面,以及使用HTTP作為管理協定,提供有用的報表與細緻的管理功能,就本測試標準而言,算是出類拔萃的方案。但在處理可變動資料串流的問題上,仍然有進步的空間。
Network Associates在處理可變動資料串流的問題上有顯著的成果,其他特色像具備完整的管理介面、對用戶的管理功能與一目了然的報表。Symantec同樣也具備完整的管理介面,但是比較令人詬病的則是其內建的報表功能與預設值並未包含辨識可變動資料串流惡意程式的設定。
在中小型廠商評比中,Panda算是其中的佼佼者,其特色包括完整的偵測機制及頗具親和力的管理介面。PestPatrol的企業版本,並不提供用戶端操作介面,包括手動掃瞄、警示訊息功能都無法由使用者啟動,這樣做的優點是,使用者就不能隨意更動設定。但是如果員工的筆記型電腦離開PestPatrol主控端的掌控,就根本不知道電腦是否受感染,此外,PestPatrol對病毒及蠕蟲的偵測能力非常強悍,同時也注意到其他產品所忽略的間諜軟體、Netcat、VNC之類的後門程式。