觀點

Botnet最新研究:更易擴散、易租賃且難偵測

2009 / 07 / 20
張維君
Botnet最新研究:更易擴散、易租賃且難偵測
根據調查,台灣的殭屍網路(Botnet)向來在全球排名屬一屬二。因為基礎建設完整、網路頻寬大,加上法規不完善等原因,向來是駭客的練兵場。然而在第一屆台灣區Botnet偵測與防治技術研討會中,資安研究人員紛紛指出現在Botnet問題的嚴重性。不僅Botnet租售管道越來越暢通,各國Botnet還有不同價碼,例如每千台Botnet以澳洲最貴,要價美金100元,中/韓/台則只要5美元。攻擊功能可以指定,例如迴避防毒軟體/主機型入侵防禦系統、繞過VMware、Sandbox環境等。並可透過MSN、P2P軟體或USB隨身碟等各種管道來散播。設計自動化記憶體鑑識分析技術的阿碼科技首席資安研究員邱銘彰指出,Botnet越來越狡詐,不僅可偵測分析環境、攻擊分析程式還可穿越還原系統。

國家高速網路與計算中心組長蔡一郎談到在Honeynet Project台灣支會所進行的惡意程式誘捕計畫,他指出,目前操控Botnet的駭客使用Fast-Flux技術來隱藏本身行為,將受駭的主機變成網路通訊上的Proxies,而這些電腦會不斷的變更本身的DNS記錄,以躲避IDS/IPS黑名單的比對偵察。此一比例已經高達57%。與Honeynet Project相同,國家資通安全會報技術服務中心也使用Nepenthes作為惡意程式誘捕系統,該單位經理曾仲強表示從最近攻擊手法可看出,駭客仍使用舊的弱點來發動攻擊,但會進一步使用新的弱點以提升權限,例如udev。此外,過去某些校園使用自由軟體SF3開發的系統就因為含有Wordtrans弱點而被植入Bot。自由軟體的概念立意雖好,但仍需注意系統安全,別把漏洞分享出去。

網駭科技總經理徐千洋則以Linux環境實作誘捕系統,他觀察指出SSH暴力破解的攻擊程式將變得更自動化,而今年初一隻psyb0t蠕蟲成功入侵國外某linux-based路由器產品,他認為使用嵌入式Linux開發的硬體系統其未來遇到的安全問題也是很可能一再發生,因為Bot要編譯成其他平台很容易,因為它是純C的架構。再者,之前EeePC也曾因為使用了舊版的Sandbox Server而被發現有漏洞,或者許多開發工程師會使用舊版的Linux套件且沒上修補程式,都是問題原因。

中華電信數據通信分公司資安技術組組長李倫銓談到Botnet的新型態控制模式──BBS Bot。早期,駭客利用既有的irc 協定來做為控制受害主機的信號平台,而現在慢慢演變為使用p2p,MSN等協定來躲避查緝。台灣並不多人使用irc,因此李倫銓便使用了台灣常見的BBS做為一個驗證概念,證實在BBS上可以進行Bot的控制與回報指令。在demo中,實際證實Bot master,可以在BBS上打入含有特定字眼的標題文章,只要Bot看到這樣的標題,便會執行預先設定好的動作,像是本次demo中,他用了特定字眼「大長精」,受駭機器便會執行特定程式動作,若再BBS上打入特定字眼「馬可啵羅」,受駭機器便會反向建立起一個命令介面。最後,他證實了駭客可以完全不透過駭客自己的主機來接收受駭主機的回報資訊,這樣的方式讓駭客的行蹤更難以掌握, 一切的控制指令與回報都在BBS上。藉由打入特定字眼「C字褲」,駭客會將受駭系統的系統資訊,轉變成鄉民發問的文章,po到BBS板上偽裝為鄉民尋找解答的文章,一般人幾乎不會注意此類文章,進而躲避了偵測。至於防制解決之道,李倫銓表示,其實BBS Bot只是一種概念,傳達的是,駭客同樣可以利用各類的溝通平台來建立惡意程式的控制與回報機制,雖然駭客利用這麼狡猾的方式來藏匿資訊,但是百密必將一疏,BBS bot將如同早期irc Bot也會有蛛絲馬跡可以追查,因此只要仔細進行分析,同樣也可以將可能的受駭主機找出來。

教育學術網路系統安全保證及反駭客控制技術研發中心主任黃能富表示,要解決台灣學術網路中Botnet問題,需要逐步完成各階段性計畫,目前最重要的是進行技術盤點,瞭解所有掃瞄工具、整合學術界的研發成果,再選定2個區縣網中心作先期計畫。