看不見的殺手？談蠕蟲與蠕蟲的預警模式

病毒？蠕蟲？
目前媒體或大眾幾乎都稱其為「殺手病毒」，叫它「殺手」倒是言過其實，畢竟這個Sasser不會去殺掉你我電腦裡的任何資料，受感染的電腦僅會再試圖感染其他網路上的電腦， 而這個「病毒」本應稱為蠕蟲或病蟲。早在1988年11月，美國康乃爾大學的Robert Morris Jr，就寫了一個Unix上的程式，利用Unix上的漏洞來感染到另外一部Unix主機，造成了當時網際網路幾乎停擺， 這就是有名的Morris Worm。這類利用系統漏洞，來達到主機傳染給主機的惡意程式，稱做蠕蟲，而以前病毒的定義卻比較偏向藉由檔案感染，像是附加片段在其他檔案中，來達到傳播的目的，不過現在一般人們也似乎不太去界定他們的差異，反正都叫做病毒。

保持系統更新
這類「利用系統漏洞」達到傳播目的的蠕蟲，像2003年8月的疾風（Blaster）利用了微軟MS03-026漏洞和2003年1月的SQL Slammer（利用MS02-039漏洞）。其實這些微軟的系統漏洞並不是突然冒出來的，全部都是之前便已經公佈並且提出修正程式，只要照微軟的安全三步驟其中之保持系統更新（Windows updates）， 每天照三餐更新， 便不會有這些蟲蟲危機。

留意惡意攻擊程式
有參與國外駭客討論群組的人大概會發現，在系統漏洞公佈後，這些漏洞的攻擊程式（exploit code）便可能會公佈在這些討論區上，提供給各駭客組織互相使用、觀摩或改進。這些exploit code可能良莠不齊，但是只要某個穩定的版本出現，許多的Script Kiddies便會利用這些攻擊程式，開始找尋目標，攻克一個算一個，順便種些後門程式，這些受害機器的管理者若沒有安全意識，可能永遠都不會知悉自己的系統早已成為跳板，或是個人隱私資料洩漏殆盡。在這一段空窗期間，那些沒有在漏洞公佈後立刻修補的系統，對於駭客來說，都是攻擊程式的最佳標靶。

電腦危機處理協調中心CERT
蠕蟲攻擊的發作，不是沒有蛛絲馬跡可循，其實早在Morris worm出現後，大家發現，網路的發明加速了資訊的流通，同樣的禍害也會更迅速的蔓延。美國卡內基美隆大學Software Engineering Institute創立CERT機制，為了能夠盡早提供社會大眾有關系統漏洞、入侵事件、系統安全的相關資訊，以便能夠迅速處理資訊安全事件、防止擴散。 對抗越來越多的漏洞及駭客攻擊事件，最好的方法其實並不是防火牆或是入侵偵測系統，而是需要一個類似CERT的資訊中心，提供漏洞修補資訊、技術資料、安全事件等資訊給系統管理者，以便及早讓他們知悉系統弱點或是應變安全事件。國內較為有名的相關機構像是GSN-CERT/CC政府網路危機處理中心、TWCERT/CC台灣電腦網路危機處理暨協調中心，皆提供相關安全資訊給資訊安全人員。

Zero-Day Attack
系統管理人員可以在CERT上得知系統漏洞後，就立刻修補系統，便可杜絕入侵或蠕蟲感染的可能，畢竟Zero-day的攻擊程式幾乎太少見了。目前微軟與各大安全組織都有簽署相關協定或合作案，當這些安全組織發現漏洞時，必須先與微軟聯繫而不會自行公佈這些漏洞，所以微軟會立刻著手修正漏洞，當你看到系統漏洞公佈時，絕大部分也都有修補程式可供下載。

攻擊程式越來越多　反應時間越來越短
我們參看上一頁的表一，就最近一兩年中出現的蠕蟲事件為資料，如果以漏洞公佈後到蠕蟲出現之間的時間點來看，似乎時間有越來越短的趨勢，這可以參考賽門鐵克公佈的網路安全威脅研究報告，報告指出有越來越多的工具可加以攻擊的漏洞發佈，且有攻擊程式發佈的漏洞在 2003 年增加了 5%，這代表網路上的駭客們更加積極的研究系統漏洞及撰寫exploit code，導致反應時間越來越短，迫使管理員需更快的回應。 MS-03-026 Dcom RPC漏洞公佈後21天出現攻擊程式， 26天後出現Blaster蠕蟲；MS-04-011 LSASS漏洞公佈後10天後出現攻擊程式，18天後出現Sasser蠕蟲。

良好的預警模式
因此，以近一兩年的模式，蠕蟲的出現，通常發生在該漏洞的攻擊程式公佈之後，或許可以解讀為：釋出的攻擊程式碼，易被某人或組織利用來撰寫蠕蟲主體。資訊安全人員若是留意網路上是否有攻擊程式出現，也許可以掌握攻擊事件的發生時機，避免措手不及的情況。如果說系統管理人員在漏洞公佈後，仍沒有修復漏洞，至少在攻擊程式出現後，就必須立刻修復系統漏洞，避免可能的駭客入侵以及蠕蟲攻擊事件。目前僅有少數的資訊安全中心或資訊安全廠商有針對攻擊程式提出預警，良好的企業資訊安全預警模式應如表二。 至於未來有無可能出現Zero-day的攻擊或蠕蟲？誰都不敢保證，畢竟駭客越來越積極在研究系統漏洞。

蠕蟲攻擊 vs 駭客入侵
蠕蟲攻擊是壞事嗎？他可能讓網路癱瘓、系統不穩，但是各位有沒有想過，同樣是未修補的系統，駭客可以利用這個漏洞進入系統，植入後門程式，這包括使用keylogger程式盜錄密碼當作跳板，導致個人隱私全都洩漏無疑，但是如果你因為蠕蟲的攻擊而不得不修復系統，因此把這個洞補起來，也避免了駭客由此漏洞進入的可能。 以去年MS03-026漏洞出現後至Blaster蠕蟲出現之間， 筆者曾在國外駭客討論群組得知駭客團體集體在這段期間， 攻下大量的系統， 且都植入後門以便事後使用。這一段空窗期是駭客團體們最活躍的時候，而等到蠕蟲攻擊爆發後，絕大部分的系統管理員已將系統修補，而駭客們也無法繼續利用該攻擊程式侵入系統，集體被植後門的慘案也沒有再繼續擴散。那麼，蠕蟲跟駭客入侵系統哪一樣比較嚴重？蠕蟲可能比較好一點，因為他有什麼病狀你至少可以在病毒廠商那邊知道蠕蟲的分析結果，包括會造成什麼影響以及解決之道，而駭客入侵後做了什麼？看了什麼？除非你察覺後立刻監控，否則你都不知道！

Good or Bad Worm？
當然，蠕蟲攻擊也不是好事，就算是一隻Good worm也難逃被譴責的命運。記得去年疾風肆虐後約過七天，出現了一隻變種蠕蟲Welchia，當時他有個中文名稱叫做「假好心」，也是藉由微軟RPC漏洞感染傳播，但是他會負責移除系統中的疾風蠕蟲，並且幫你下載修補程式修復系統漏洞，並且在一年後自動將自己移除。 聽起來是不是挺好的？但是他當時下載修復程式的這個舉動大量消耗企業對外頻寬，導致無法上網的副作用，所以被稱為「假好心」。這並不新鮮，其實以前就有過Auto-Patch Worm的概念，也就是會自動修復系統的蠕蟲，按照這個概念，每台有漏洞的系統被感染後，都會自動痊癒；但是，這還是違法的，因為這仍算未經許可侵入他人電腦，也許有的企業或個人並不希望更新其系統，原因是新的修復程式可能導致系統損毀或某應用軟體無法運作。

結語
預防甚於治療，這句話對於資訊安全猶為重要。駭客入侵或蠕蟲攻擊影響許多家庭用戶與企業主機，但是駭客不是神仙，還是要有漏洞才有機會入侵系統。也許對於部分管理人員或電腦使用者，永遠出不完的系統漏洞和更新程式是資安夢魘，雖然這世界沒有完美的系統，但一個修補後的系統可以維持一定的強度。而蠕蟲的出現也未必全然無法預測，對於資安人員來說，隨時保持資訊警戒狀態，留意相關訊息，仍舊可以從蛛絲馬跡中掌握先機。

本文作者目前任職中華電信數據通信分公司，擁有CISSP、BS 7799 LA證照，專長為網路安全技術。