資訊安全DIY（五） 駭客攻防篇

從個人電腦的防護來看，多數人會認為自己不會是駭客攻擊的對象，而在心態上就不會注重資訊安全防護；也可能由於自己工作的機構對於網路環境已有堅強的防禦措施（如：內外層防火牆、入侵偵測系統等）而高枕無憂。事實上，潛在的資安危險可能早已偷偷降臨而不自知。目前多數的資安事件其肇因皆始於此。
被動攻擊已成趨勢
以往談駭客攻擊與預防入侵，在技術面來看，往往會把焦點置於如何強化資訊安全的保護措施，重點不外乎是購置防火牆用以阻擋外來的不當通連、建設入侵偵測系統以偵測駭客透過正常的網路服務管道（如http協定使用的80埠，WWW全球資訊網服務）發動弱點攻擊、架設防毒軟體以及修補系統安全漏洞等...。在此發展趨勢中，駭客要透過系統弱點主動出擊進而攻陷電腦，不但愈來愈不容易成功，也愈來愈容易被發現，因此發展出新的攻擊模式與方法。此一新方法為：駭客並不主動攻擊，而是讓使用者因為使用習慣的不當自行掉入駭客佈下的陷阱中，主動執行駭客所精心設計好的程式。只要駭客的程式進入了使用者電腦，便展開隱藏的服務機制。
以往駭客程式進入電腦後會開啟一項服務，再由駭客從遠端主動連線到被害者的電腦，進行資料竊取或破壞的工作，但由於防火牆的阻擋，此模式已漸不可行，取而代之的是被害者電腦中的駭客程式主動連回駭客主機（通常此主機為駭客先前所攻佔的跳板主機）的方式進行連線，駭客端反成為被動。由於防火牆並不一定會阻擋使用者主動對外連線（例如：使用者透過WWW瀏覽器看網頁即是一項再平常不過的服務），因此可以順利的建立連線，當駭客發現有人「上鉤了」，即可進行遠端控制等動作了。

駭客的入侵管道
「木馬」與「後門」，其實並不是新的資安名詞，但經過簡單的概念調整後卻是極有威力的入侵手段。先來看看讀者是否有過以下經驗：從網站或FTP站中下載程式使用，這類軟體有共享軟體、非法的盜版軟體（通常附有破解檔、註冊碼產生器）、電玩遊戲的修改工具、Flash動畫的播放執行檔等，這些軟體大多數都無法確認其來源的可靠性，因此這些程式被植入木馬的機會亦相對增加，讓這些程式在我們的電腦中執行便有遭木馬攻擊的危險。這些木馬的內容也許是一個電腦病毒，也可能在電腦中放置了後門。使用者或許會認為電腦中的防毒軟體可以幫我們把關，將電腦病毒找出來，甚至也可以幫我們找到木馬、後門程式。然而，以電腦病毒而言，新電腦病毒往往才是造成大規模損害的原因，而木馬與後門的程式變化大，要躲過防毒軟體偵測並不困難。特別是木馬與後門的擴散性不如電腦病毒，且採隱藏的形式進行活動，更是難以被發現。
綜觀以上的敘述，可歸納出以下幾點：
1. 後門程式假裝為客戶端程式向外連出，多數的防火牆並不阻擋，形成了很大的安全漏洞。
2. 木馬與後門程式採隱藏式的入侵方式，目的不在積極擴散而在偷偷進行攻擊，不易被發現。
3. 使用者由於不易察覺，警覺性相對降低，也養成了一些不當的使用習慣。 這些原因，造成了目前有多數的電腦可能已經遭駭客侵入而不自知。經年累月下來，駭客可以利用更不被注意的時段從容竊取資料，或從網內繼續搜集資料，伺機攻擊其它同網段的電腦。



檢查與移除後門程式
讀文至此心中不免有些疑問：如果懷疑自己的電腦是否有遭駭客植入類似的後門，應如何檢查？檢查的概念很簡單，但要徹底完成並不容易。如果後門存在，那麼系統中一定有異常的程式在執行中，而此程式會定期或不定期對外連線。因此，只要能找出哪些對外連線或開啟的服務是不應該有的、哪些執行中的程式可能是異常的，將兩者相關聯，即不應該有的對外連線、開啟的服務是由此異常的程式所執行，即可看得出來。以Windows系統為例：要看目前系統中有哪些連線正進行中或是開啟的服務，可利用命令指令netstat -a查看。
執行此指令時，可先把WWW瀏覽器（如IE）等網路連線的客戶端程式先行關閉。例如圖1。其中，State欄中，LISTENING者代表已開啟的服務，在LocalAddress顯示其埠號，從圖1可看出epmap、microsoft-ds、1025、1031...等埠為開啟中。而State欄中，Established者代表已建立連線正在通聯者，從LocalAddress可對應出是哪一項服務埠號，而從ForeignAddress則可以知道遠端連線者的IP位址（或網域名稱）。同樣的，在圖1可發現主機正和207.46.134.92與61-220-xx-xx.hinet-ip.hinet.net之80埠通聯中。
接著可追查究竟此通聯是否正常。利用whois追查207.46.134.92的來源區域，連線到http://whois.twnic.net.tw/查詢可發現無法查到，再到http://ws.arin.net/查詢可得到圖2之結果。
利用Whois可以發現207.46.134.92為微軟的網站，此為Windows的線上Update，因此解除了一個疑慮。而利用相同的方法可以查知61-220-xx-xx.hinet-ip.hinet.net則為私人網址。因此可以推斷系統中已有可疑的後門程式在執行中，且正與該位址通聯中。再利用activeport工具可以得知哪個執行程式和此連線有關，從圖3可發現連線由svchost.exe（pid為992）所執行。將此執行中的程序kill，再看netstat -a的結果，可以發現連線已消除。
svchost.exe為Windows系統預設的工具程式之一，其路徑位於C:\Windows\System32\，但圖3所發現的svchost.exe卻在C:\Windows\目錄中，在圖4果然發現它的存在，且為一個隱藏檔。
將兩個檔案做一比較，如圖5。圖5 (a)為正確的svchost.exe，其建立日期較早，而圖5 (b)之建立日期較晚，此外也可以看出正確的程式多了一個「版本」標籤，察看其內容如圖6。可看出其內容為微軟的工具程式。



防範之道
以上的方法只是一個察覺後門，將它找到並移除的例子。不同的後門，移除的方法可能不同，有些會修改部分註冊機碼、有些會使用不同機制，讓系統重新開機時後門依舊能正常運作，以便隨時無聲無息地竊取系統中的資料。
雖然後門找到了，但是最初帶入這個後門的程式，也就是夾帶有木馬的程式則更為困難追查，因此，謹守不隨意下載、執行來路不明的程式才是上策。
(本文作者現職為國立空中大學管理與資訊學系助理教授兼電子計算中心網路組組長)