觀點

借鏡日本JPCERT經驗 打擊殭屍網路

2011 / 04 / 01
廖珮君
借鏡日本JPCERT經驗  打擊殭屍網路

台灣殭屍網路(Botnet)數量居高不下,如何解決這個問題,或許可以參考日本JPCERT的經驗。JPCERT2006年開始進行一個名為「Cyber Clean Project」的計劃,結合產官學界的力量,5年內讓日本殭屍電腦感染率由2.8%降為0.8%

 

日本JPCERT/CC分析員林永熙認為,降低殭屍電腦數量必須從以下三個方向著手:HerderC&C控制機、及受感染的殭屍電腦,前兩者的位置通常都在國外,不容易捕抓,但是要發現感染Bot的電腦相對容易,還能藉機宣導資安觀念,因此,JPCERT決定由此著手,與ISP及防毒軟體廠商共同合作。

 

首先,ISP業者架設Honeypot,負責搜集病毒樣本及攻擊事件樣本,再轉交予JPCERT進行分析與解讀,從中找出與Bot相關的病毒或攻擊事件,據此開發驅逐程式(CCC),交由ISP業者放在網站上,並通知受感染的使用者上網下載驅逐程式,至於防毒軟體廠商則根據JPCERT的分析結果,製作解藥並放在軟體內。林永熙表示,殭屍病毒散佈管道很多,包括網路、電子郵件附加檔案、P2P軟體等,但在2006年最盛行的就是經由網路擴散感染的蠕蟲型殭屍病毒,也是Cyber Clean Project的首要驅逐對象。

 

關於CCC程式的開發,林永熙強調3個重點:第一是容易使用,不必執行軟體安裝動作,就能達到驅逐Bot病毒目的;第二要能相容於各廠牌的防毒軟體;第三只能驅除造成Bot的病毒,以免引起政府與防毒軟體廠商爭利的爭議。

 

另外,在使用者同意的情況下,CCC程式會在執行完畢後傳送Log至主機端,用來統計受感染殭屍電腦的作業環境及網路連線方式,結果顯示,裝有路由器及定期更新作業系統的電腦,感染Bot殭屍病毒的比例較低。

 

也因此,林永熙提出降低被殭屍病毒感染的理想作業程序:一、安裝路由器;二、執行微軟更新;三、執行CCC程式;四、安裝防毒軟體。

 

但在現實生活中卻非如此,使用者通常先執行CCC程式、再更新微軟作業系統、安裝防毒軟體、最後則是架設路由器,這種作法的問題是,使用者執行CCC程式後,不會立即更新微軟作業系統,很容易二度感染又成為殭屍電腦,因此,林永熙建議使用者在接獲通知後,應該先檢視OS是否已更新到最新版本,接著才執行CCC程式,安裝防毒軟體,最後則是架設路由器。

 

未來,台灣相關單位若有Anti-Botnet計劃時,除了參照日本經驗外,還必須注意以下兩點。第一、在Cyber Clean Project計劃完成後,日本經由網路感染殭屍病毒的比例雖然降低了,但是經由瀏覽網站或USB外部記憶體而感染殭屍病毒的機率卻變高了,相關單位在進行Anti-Botnet計劃時可能要將重點放在這裡;第二、在Cyber Clean Project計劃中,只有3成使用者會在接獲通知後上網下載驅逐程式,如何提高使用者關注,將是影響Anti-Botnet計劃成功率的關鍵。