觀點

駭客攻擊大進化

2007 / 10 / 29
LENNY ZELTSER
駭客攻擊大進化

間諜軟體會偷取瀏覽者的資訊、Botnet產生的DDoS威力強大,可讓網站掛上一兩天、掛馬讓瀏覽者不知不覺地被植入木馬程式、rootkit技術讓許多木馬更難以查殺!當企業找尋新的防禦方法時,駭客同時也在研發新的攻擊手法與漏洞。這些資安威脅是專業的駭客與網路犯罪者,利用自行開發或交易來的工具,來進行非法勾當,像是偷取企業機密資料、影響公司正常運作、偷取登入資料或個人資訊等等。以前腳本小鬼為了出名或好玩而入侵系統的情況已經改變了,取而代之的是真正會偷取機密的商業駭客,這些以利為主的駭客手上拿的是筆記型電腦而不是滑板。面對這些組織型駭客,公司裡的系統管理員是不利的防守方。

面對這些組織型駭客,我們已經處於先天上的弱勢,企業文化可能沒你想像中的那麼有效率,需要花時間才能調整IT安全架構、提升員工技術能力、佈署新的防禦機制。另一方面,安全通告與日俱增,如果我們稍一疏忽,在防禦堡壘上漏失一角,就可能讓這些虎視眈眈的駭客有機可趁,發動新型態的攻擊。

我們要如何避免這種情況發生?面對這樣的資訊軍備競賽,其中一個方式就是積極了解目前最新的威脅型態與攻擊手法。
針對性郵件攻擊手法
前幾年,我們經歷過大規模的蠕蟲攻擊,還有駭客大戰中的竄改網頁比賽。跟這些行為比起來,目標式攻擊(Target attack)這類攻擊模式是以獲利為主,因為其專門竊取特定資料,像是信用卡帳號、交易機密,這些都有很高的黑市價值,也成為駭客重要得資源。

Target attack如同字面意思,就像是魚叉一般,直接對著目標物攻擊,駭客設計專門的信件寄給特定使用者,這也大幅增加了受害的機率。雖然金融機構已經佈署two-factor認證來避免這種威脅,但仍無法避開變形的man-in-the-middle攻擊方式。

去年暑假,發生了一起針對CitiBusiness公司用戶釣魚攻擊事件,在這件精心設計過的攻擊事件中,就算已經採用了一次性密碼(one-time password) Token也難以防範。駭客設計的假釣魚網站提示目標使用者輸入token上的密碼,然後將這份密碼傳到CitiBusiness的網站,這讓駭客立刻可利用這組密碼進行登入。

Phishing attack便是這樣竊取使用者的敏感資料,另外,駭客也會利用社交工程的威力來施展釣魚詐騙。

去年秋天有一起事件,有一間五星級飯店的職員收到幾封想要誘使其雇員進行轉帳詐騙信件。這封信件偽裝成飯店的客人發的權益注意事項,其中含有他們的姓名,要求飯店在刷卡後將錢付至第三方機構。

另外一種email attack,是由McAfee Avert實驗室於二月發現的,在寄給某特定公司員工的電子郵件中,發現夾帶惡意的微軟Word附檔,這份word附檔其實存有微軟漏洞,而且當時並無任何修補程式。該公司並未流失機密資料,但很令人膽戰心驚的是,這僅是數個月內經通報此類0-day攻擊手法事件的其中一件而已。

Email成為目前最流行的攻擊手法,原因是他可以很輕易的就突破防火牆,傳入企業內網。企業有時會阻擋一些危險的電子郵件附件像是exe執行檔,也因此駭客逐漸利用這類新型態的攻擊手法,像是設計過的社交工程釣魚郵件,或是client-side exploit像是0day的惡意word檔案,直接影響使用者主機對外下載惡意執行檔,來植入後門程式。

用戶端攻擊手法
另一種攻擊稱做Client-Side attack,在二月時發生了一起案例,凸顯出這種新型態攻擊的獲利模式,Websense Security Labs發現Dolphin Stadium網站遭到入侵,而美國超級盃賽事資訊便是放在Dolphin Stadium網站上,因此瀏覽用戶眾多,流量龐大。在這個案例中,若瀏覽者本身機器沒有修補而上了這個網站,便會被植入一個會偷取知名遊戲World of Warcraft帳號密碼的後門程式,雖然在這個遊戲裡使用的是虛擬貨幣,但在現實生活中仍可用實際金錢來對寶物或虛擬貨幣進行交易。

這起資安事件中,還好該後門程式僅偷取World of Warcraft的帳號密碼,而沒有針對其他重要私人資料。但此一網站入侵事件與以往的明顯不同,並沒有利用置換網頁引起人們的注目,而是默默地放置惡意連結,企圖長時間影響更多的瀏覽用戶感染後門程式。植入受害者主機上的後門與鍵盤側錄程式極難被發現,這跟之前所發現的廣告程式有很大的對比。

像是Dolphin Stadium 網站遭放置掛馬影響瀏覽者的事件,目前網路上已出現多起相同案例。像是銀行網站也成為偷取其私人帳戶資料的目標、而遊戲、人力網站也成為偷取帳號密碼的目標物。雖然目前這類攻擊手法的目的仍不是很明確,但根據現有案例顯示,駭客的確根據不同的網站類型,偷取不同的機密資料,進行長時間的機密資訊收集。

由於Target attack可從中獲利,因此使得撰寫惡意後門程式的人更加積極開發新的技術,這也讓防禦的一方更難偵測到這些惡意後門程式。

越來越多的後門使用加密連線或點對點的通訊協定來交換訊息。許多傀儡主機「bot」,使用SSL加密連線來交換訊息或控制指令。另外像Phatbot、Sdbot這類bot變種後門,利用點對點通訊方式避免他人截獲後門的控制指令。甚至接獲的一個案例中,有一種鍵盤側錄程式,將其回傳資訊隱藏在ICMP封包中。還有多種後門是利用常見的HTTP協定來接收指令,很輕易地便突破防火牆,混在一般瀏覽者的流量中,令人防不慎防。

越來越多後門程式使用Rootkit技術來隱藏主體。常見的rootkit偵測工具利用比對受駭系統上的異常來偵測rootkit程式,但近期出的Rustock與Unreal兩種rootkit程式都能有效地避開這些偵測工具。一些概念驗證的rootkits像是SubVirt、Blue Pill還有Vitriol,更是應用了虛擬技術,幾乎讓人無法偵測。而另一種rootkits技術則是強調其可以隱藏在其他應用程式之中,像是Argeniss推出一個可隱藏在oracle資料庫中的rootkit,從色情圖片到信用卡資料,都可以藏在裡面不被發現。

反偵測技術越來越精良。許多駭客積極地開發新的反偵測與「反反組譯技術」來避免鑑識人員得知駭客的來源與目的,並且可以隱藏加密通道的程式碼。這些惡意程式通常都是利用偵測自己是否處在虛擬環境中,或是偵測自己有沒有被debug工具所開啟。惡意程式撰寫者不一定要在程式碼中直接加入複雜的隱藏方式,只要利用簡單的Packer(加殼)工具就可以達到這樣的目的。加殼工具就像是在執行檔上加了一層保護,讓鑑識人員難以反組譯來追蹤原本的程式功能。舉例來說,Themida便是一個商業版的加殼工具,能讓惡意程式達到反偵測的目的。

殭屍網路「Botnet」DDoS的威力
許多惡意後門程式都具備自我隱藏與保護的能力,但再怎麼可怕也比不上殭屍網路botnet更具威脅性。

今年初針對CastleCops網站的DDoS事件便顯示出大量bot主機造成的威力。CastleCops是一家反間諜軟體與反廣告信的社群網站,駭客發動旗下大量bot主機對CastleCops網站產生高達1Gbps的流量,這些大量的封包塞爆了CastleCops的頻寬,導致長達數天網站無法對外運作。這情形跟之前發生在同樣也是致力對抗廣告信的組織Spamhaus、Spamnation 和Blue Security身上。而Blue Security網站,最後無法承受這樣的攻擊,而永久關站了。

這些舉動都顯示駭客變的更兇悍,對於這些可能會威脅到他們惡意事業的反抗團體,採取了報復與處罰的行動。Botnet是非常可怕的網路武器,駭客僅需敲打鍵盤幾下便可控制數千台bot主機發動各式攻擊。

藉由DDoS攻擊,botnet的控制者可以教訓不聽話的反抗者,進行網路勒索,或販售這些肉雞給其他駭客。美國FBI曾查獲一起事件「DDoS租賃服務」,有一家運動用品公司,向駭客要求對他的對手發動DDoS攻擊,讓對手網站無法運作。

Botnet另一個應用,是拿來發送垃圾電子郵件,垃圾郵件發送商利用這些bot主機充當跳板,發送大量的垃圾郵件,這些垃圾郵件發送商不但可以利用這些主機大量的頻寬,這樣的動作也讓ISP無法對這些受害主機進行追查與阻擋。

Joe Stewart是一家安全服務公司SecureWorks 的資深安全研究員,在一月時,他分析了一起利用botnet來影響股價的精彩案例,在這個案例中,受害者遭植入的是一種名為Rustock的後門程式,其中有發送廣告信的能力。這種手法利用了botnet來拉抬股價。作法是這樣的,駭客先買進一家小公司的股票,然後利用botnet發送大量吹噓該公司效益的廣告郵件,然後當股價上揚時立刻拋售。這種手法竟然還真的有效,替駭客在一個禮拜內賺進大約兩萬美金的獲益。Stewart的網站在公布這件手法之後,也同樣地遭受到DDoS攻擊。

直到目前為止,botnet的控制者都是針對桌上型電腦的寬頻用戶進行攻擊,當這些人被感染,成為bot的一份子之後,駭客便利用這些不知情用戶的電腦來進行攻擊他人的目的。但這樣的情況在最近改變了,Beyond Security的安全研究專家Gadi Evron, Kfir Damari與 Noam Rathaus研究發現今年網站伺服器成為botnet的比例大幅增高。
這些駭客利用網站伺服器上的網站應用程式弱點,這些應用程式可能是使用ASP、PERL或php所開發。SecureWorks的研究員Tynan Wilke描述了整個事件過程,首先駭客利用google找出那些使用Horde webmail系統的網站(Horde是一個open source的webmail應用程式),接著利用Horde程式的漏洞打進該網站,放置一個惡意的Perl程式,接著這個網站就成為駭客的肉雞之一,可以拿來發動DoS攻擊、再當成查詢google的跳板、並獲得整個網站的系統控制權。

針對瀏覽器漏洞的惡意程式
上述介紹的botnet已成為網路攻擊中最厲害的武器。另外,由於我們經常使用網頁瀏覽器上網存取資料,駭客也把矛頭對準了瀏覽器。既然大部份的網路交易都已經使用瀏覽器來進行,駭客幹嘛再花時間鑽研底層作業系統的漏洞呢?目前的瀏覽器提供許多功能來符合網頁應用程式的需求,也因此讓駭客針對這些瀏覽器功能研發各式不同的攻擊手法,而不必直接面對作業系統。

2005年10月,出現了一隻名為sammy的網頁式蠕蟲,這隻蠕蟲利用Myspace網站的cross-site script(XSS)漏洞,他就像一段常見的AJAX程式碼,利用這段惡意的javascript來影響瀏覽用戶,一旦某個使用者瀏覽了受感染的MySpace朋友的分享空間,這段程式碼便會複製到該使用者的分享空間中,利用此一方式再度去感染該使用者的朋友。這樣的程式碼可以有很多種變化,除了複製自己、竄改分享空間、甚至讓瀏覽用戶電腦進行轉帳交易都有可能。

Sammy影響超過上百萬的MySpace的用戶,之後也出現了數個利用XSS與AJAX技術的蠕蟲,這些蠕蟲也利用Flash或QuickTime的瀏覽器的plug-ins的問題來散播,其他受到影響的站台包括了Orkut、Gaia Online 與Yahoo! Mail網站。

另一個瀏覽器問題,是由一家網站安全公司SPI Dynamics所提出,他們展示了一段由javascript撰寫出的portscan程式碼,可以影響內網安全。一旦瀏覽用戶瀏覽過這段javascript,就算處在防火牆之後,也能掃描瀏覽用戶所在的網路。這個問題顯示出,駭客若是在某網站上放置這段惡意程式碼,便可取得所有瀏覽者的內網架構圖,而問題就出在瀏覽器本身。

目前網路威脅變動的非常快速,從zero-day攻擊、client-side attack、以及botnet威脅。現在的駭客已經找到成熟的獲利模式,促使駭客更積極的開發工具與企業化,我們身為防禦方必須持續不斷地學習技術、彼此分享這些威脅資訊、互相討論有效的防禦方式,這也是目前唯一在這場資訊軍備競賽中存活的方法,也是唯一繼續對抗新攻擊的方式。