免殺木馬兵臨城下 資安防線節節敗退

盜高一尺，魔高一丈
駭客技術不斷推陳出新， 你怎麼防，他就想辦法再找出漏洞進行攻擊。來看看這幾年的例子：
? 從伺服器系統漏洞轉向網頁應用程式漏洞
伺服器若開啟過多服務，容易出現系統漏洞，因此系統管理者便利用防火牆阻擋不必要的通訊埠，但是駭客便從網頁應用程式下手，利用SQL injection或是網頁應用程式漏洞侵入伺服主機。
? Client-side attack
自從微軟作業系統Windows XPSP2內建防火牆後，駭客轉向研究用戶端應用程式漏洞，利用瀏覽器或是Office軟體的問題，來達到入侵的目的。
? Zero-day attack
Zero-day攻擊越來越多，有些已知Zero-day攻擊還都是因為攻擊事件才曝光。不知道還有多少Zeroday沒被公佈，發明者在暗地裡打得不亦樂乎！

防線退守
? 防火牆防線
資安防線其實一直在後退，資安廠商只是將城牆往後築而已，原先決戰境外的狀態已經改變。在這幾年的「網軍事件」中，這些專業駭客利用夾帶後門程式的電子郵件寄發給特定目標，而電子郵件傳遞又無法藉由防火牆來阻擋，因此連內網都失守，直接打進用戶端的心臟。我們一直在保護伺服主機的安全，卻忽略了位於公司內網，原本以為安全的員工電腦。你以為駭客需要拼命打下伺服器主機才算攻下一成嗎？對他們來說，柿子挑軟的吃，輕輕鬆鬆地以發後門信件的方式，就可以輕易地攻下內網個人主機。
? IDS/IPS防線
IDS/IPS到底能不能抓到真正的攻擊？也許我們都對IDS/IPS寄望太高，許多真正的攻擊行為、後門加密通訊，IDS/IPS根本無能為力。絕大部分的IDS無法偵測現在流行的網頁應用程式攻擊與SQL injection，因為這些動作與正常使用者瀏覽行為非常類似。而目前許多後門的通訊行為利用網頁通訊埠80、443，加上反向連接技術、加密通訊，IDS/IPS很難從大量的正常流量中分辨出這些後門行為。
? 防毒軟體防線
也許我們會寄望最後一道防線－用戶端上的防毒軟體。悲慘地是駭客不但持續研究新的攻擊手法，也開發避免被「查殺」的木馬程式，如此一來才能長期地控制受害主機而不被發現。所謂的「查殺」意指被防毒軟體等防禦工具偵測並移除。駭客積極開發許多「免殺木馬」，已經有許多方式能讓木馬程式不被防毒軟體偵測，其中包括了rootkit技術、加殼、修改source code等。一般防毒軟體多使用「特徵比對(Pattern matching) 」的技巧，藉由病毒定義檔的更新來偵測病毒與木馬，但是這類技術往往無法偵測到駭客「手工打造」的木馬程式，也難以發現使用rootkit技術的木馬，因此市面上出現了所謂Antispyware產品，強調可以藉由分析「行為特徵」找出惡意程式。

寄望Anti-spyware技術
在探討Ant i -Spyware前，首先先定義何謂「Spyware(間諜軟)」，這個名詞首次出現在1995年10月Usernet的一篇關於微軟商業模式的文章中，直到1999年左右，one Alarm個人防火牆這個產品才開始正式定義間諜軟體這個詞，這時候的間諜軟體意指一些惡意的廣告軟體廠商開發的廣告軟體(Adware)，行為輕者可能僅更換瀏覽器首頁設定(Browser hijacker)、彈跳廣告視窗(Popup Adware)，惡意者則可能偷偷記錄個人使用行為並回傳(Keylogger)，更甚者，利用特殊方法讓人無法輕易移除，這也是後來廣義之惡意Spyware的濫觴，將使用rootkit技術、隱藏本體、具有鍵盤側錄、回傳使用者資料等木馬程式這類惡意程式(malware)，也列入Spyware之中。最初這些Spyware可能利用ActiveX的方式令用戶端安裝，或者在使用者安裝免費好用的小工具時，順道「好心」幫你安裝上，接下來的類型更為惡劣，利用微軟瀏覽器漏洞直接植入用戶端電腦，完全不給用戶選擇的機會。如果我們依據早期定義之spyware（ 或許你就稱他們為「Adware（廣告軟體）」)來評斷Anti-spyware產品，可以獲得較為滿意的測試結果，因為他們就是設計出來移除這些綁架網頁、竄改機碼、偷加Browser helper object(BHO) 等行為的廣告軟體， 如Gator/Gain(後來改名叫Claria)、websearch、WhenU等。但是若是你要求這些Anti-spyware軟體偵測具有rootkit技術等較為高深的惡意程式，那可能就會非常失望，雖然我們也可以將這些惡意程式定義為Spyware，但畢竟太強人所難，因為這些Anti-spyware軟體本身便沒有能力對抗這類Spyware。

不是做不到，而是不能做
不只是Ant i - spyware，部分Anti-virus產品也對這類Spyware毫無招架能力，這些使用rootkit技術的惡意程式，藉由攔截系統呼叫來避免被偵測，所以Anti-spyware或是Anti-virus產品，若想抓這些惡意程式就得鑽得更下層，這樣一來易造成系統不穩，而且「行為原則偵測技術Behavior-based detection) 」 也遠比「特徵比對(Pattern-matching)」方式更容易誤判，產品會造成使用者嚴重的困擾，因此無法變成上市產品，也許他們不是做不到，而是不太能做。看到這，讀者應該了解到，你裝防毒、防間諜軟體僅能阻絕部分木馬、病毒、蠕蟲與間諜程式，而且這些都是所謂「無意識」的病毒（就是自我傳播、固定形式、不會變種、不是駭客特意手工打造的木馬、病毒程式），現在駭客已經朝向客製化病毒、木馬程式邁進，所以真正會控制你電腦的木馬、偷取資料的Spyware，防毒軟體未必找得到。所以當你使用防毒軟體在電腦中掃到某個惡意程式時，可別高興得太早，掃到未必是駭客送進來的那隻後門程式。

用戶端安全解決方案呢
既然位於閘道口的防火牆、IPS無法抵禦新型攻擊，防線都已經退守至用戶端主機，因此許多企業強制用戶端主機安裝agent，希望藉由監控用戶端點上的安全狀況、政策符合性來決定是否允許用戶主機上網。目前有思科的NAC、微軟的NAP，及TCG的TNC方案。但這些控制存取方案仍需配合用戶端的agent提供阻擋資訊，若是無法得知是否感染惡意程式，也不能有效地阻擋這些潛在威脅，因此問題又回到原點。

微軟的安全計畫
也許，我們最終還是得寄望微軟，要解決這些問題還是得靠釜底抽薪的方法－徹底換成下一代作業系統。上面說的這些安全威脅，微軟不是不知道，微軟曾喊出：「從OS上來確保資訊安全有其必要性，而非靠著附加的軟體來達成。」所以微軟在新版作業系統Windows Vista上，增加了許多安全機制，像是：
? IE 7的安全性：由於瀏覽器漏洞已成為駭客研究的重點，因此微軟在開發IE 7時，特別注意安全性，不但更強化原先的安全性區域原則，Vista上的IE 7更會以「保護模式(Protected mode) 」執行，可限制IE 7的若干行為。另外還有釣魚網站過濾機制等。
? Windows Defender/WindowsLive OneCare：你可以說微軟有跨足防毒產業的野心，一直以來，病毒、惡意程式的問題的確非常困擾微軟，他們也想好好解決問題。而Windows Defender（前身為Windows Anti-spyware）和Windows Live OneCare便是微軟積極想剷除惡名的武器，前者專門對付間諜程式，可以監控註冊機碼、系統狀態等，而後者可結合不同掃毒引擎來對付病毒與惡意程式。其它部分， 微軟也改良了Windows 防火牆、增加了使用者執行權限控管(User account control)等安全機制，微軟本身為作業系統的製造者，最了解自己的作業系統，這點佔了非常大的優勢，研究指出，Vista的推出會嚴重影響反間諜軟體、防火牆市場。但也有人說Vista可能還不致於嚴重影響高達26億美元的防毒軟體市場，因防毒軟體廠商經年累月對抗病毒與分析惡意程式的經驗，短期內還無法被取代。且Windows Live OneCare是需另行購買，因此使用者仍可選擇其它的防毒防駭技術。

資安意識訓練vs.多層次縱深防禦
不光是作業系統，人腦也應該上patch。若使用者沒有良好的電腦衛生習慣，就算是再好的系統或安全機制也藥石罔效。
用戶資安意識訓練不僅要訓練使用者防範新型態攻擊手法（像是最近出現的Office zero-day事件後，需告知使用者不要開啟來路不明且夾帶word/ppt/excel的郵件），同時也要教育使用者資安概念，才有能力設定這些新版防火牆與微軟新安全功能。雖然防火牆、IDS/IPS、防毒軟體可能有其死角，而駭客也積極針對Vista研究新的漏洞與缺失，目前也確有一些突破Vista安全機制的方法，但是面對這些資安威脅，仍可藉由多層次縱深防禦佈署，達到聯合防禦的效果，只不過在操作這些資安法器時，需充分了解目前的攻擊手法與原理，才不至於徒勞無功，白費金錢！

作者目前任職中華電信數據通信分公司， 擁有CISSP， BS 7799 LA證照， 專長為網路安全技術。