https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

台灣區網站安全與惡意網頁調查報告

2007 / 12 / 20
編輯部
台灣區網站安全與惡意網頁調查報告

網站安全對症下藥
一直以來,台灣的網路安全議題就十分有趣。多年來,有賴於政府的政策性推廣,加上國內網通電子業蓬勃發展,我們有著世界數一數二的網路基礎建設,家家戶戶有超高的ADSL使用率,與超高的網路流量。網路這麼方便的地方,想必是吸引各路駭客的必爭之地,再加上國情特殊,面對擁有大量網路軍隊的駭客大國,持續不斷的對台灣進行滲透與情報蒐集。

從去年開始,國內資安從業人員普遍感受到一股新風潮興起-Web Security。由於,微軟近年重視系統漏洞與資訊安全,並持續不斷的更新軟體,時至今日Windows已經改善了很多安全問題,這讓很多開發後門程式與病毒的駭客倍感壓力,因而近來越來越多惡意程式改採網頁形式來散播,這股Web Security與Spyware結合的新趨勢,產生了惡意網頁的大流行,也造成了更大規模的資安問題。

有關網頁的安全問題,並不是最近才出現,相反的它已經存在很長的時間,但是惡意程式與惡意網頁的結合趨勢直到這幾年才日漸嚴重。資安專家們也開始重視惡意網頁的問題,例如Google也重視開始正視這個問題,因此現在如果使用Google搜尋時,他甚至會告訴你該網站是不是惡意;而國內「大砲開講」的Roger與我們艾克索夫實驗室都持續報導很多台灣最新的惡意網頁,甚至調查局也曾報導許多事件。而我們在今年台灣駭客年會HIT2007也發表了一些最新的研究數據「Taiwan Malicious Webpage and Spyware Hacking」,有興趣的朋友可以參考http://hitcon.org 與 http://x-solve.com/blog。「網路很不安全」是廣大鄉民普遍的認知,但是這以訛傳訛說法到底有多少真實性,到底網路「有多麼不安全」?或是其實蠻安全的,只是專家們在恐嚇!?而這項大規摸的調查就是讓各位了解目前我們遭遇的現況,希望大家能夠對症下藥。



惡意連結最氾濫
惡意網頁(Malicious Webpage)是指透過植入惡意網頁程式碼(Malicious Script)或是惡意連結(Malicious Link)到正常的網站中,而導致瀏覽網頁的無辜網民遭受攻擊,導致被植入惡意程式,變成駭客蒐集帳號密碼與操控的傀儡。絕大部分的攻擊都是針對IE瀏覽器而來,只要IE或是Windows沒有更新就可能成為駭客攻擊的目標。惡意網頁的結構可分為兩類型(如圖1):

在我們的調查中發現,以第一型惡意連結為數最多,駭客最常使用IFRAME植入惡意連結,超過95%都是屬於此類。例如,在7月27號,台灣大學的首頁被駭客入侵,但是駭客並非像以往一樣換掉網頁,或者是插上國旗,而是更進一步的利用這難得的大好機會,植入惡意連結,並散播惡意程式以蒐集帳號密碼。

高雄市觀光協會網站也是有一樣的情形,網頁最後面也是被植入一個IFRAME,它的長度是0,寬度是100,這樣一來網頁版面上就不會顯示出來,使用者也就看不到了。

駭客有很多技巧可以規避掃毒軟體或是IDS/Firewall偵測,最常見就是編碼的網頁內容(Encoded Scripts),使用這項JavaScript技巧可以在瀏覽器上才動態產生網頁內容,此類特殊的技巧原本用途是給Ajax使用,但卻讓駭客可以恣意變形程式碼,規避特徵檢查。如下圖所示:

在StopBadware網站(http://www.stopbadware.org)通報中,台灣網站被入侵植入惡意連結的多達1,400個,只不過其報告還是需要人工查核,因此不一定代表即時狀態,有鑑於此,我們實驗室以目前研發的惡意網頁自動檢測系統,對國內主要的12,000個主要網站進行檢測調查,來看看到底現況是如何。

相關數據如下(註1):

? 有404個網站遭受駭客入侵變成惡意網頁。

? 分析這404個受害網站,發現共計233個惡意連結內含在網頁中。

? 其中多達213個惡意連結是還可以作用的(Active Links),也就是說這213個連結可以觸發Exploit,導致惡意程式會被下載並植入。

? 下載的惡意程式來源網址共計40個網址。

這40個網址代表駭客程式所放位置,我們分析了一下其所在國家:

由統計數據得知,其中最多的惡意程式來源是中國大陸(CN),共有26個惡意程式下載網址,占所有來源的65%,如果把HK也加入的話就會達到75%了,這個比例與大家想像中的差不多,大陸駭客一直都是台灣資安最大的威脅來源。只不過有一點應該跟各位想像中不太一樣,惡意程式的下載網址居然只有40個!而不是成千上百,如果是400個或是4,000個,還比較符合一般人的認知。這最大認知的差距在於,我們常常被資安或是防毒廠商恐嚇慣了(你一定不會承認你是被嚇大的)。雖然,被入侵的網頁多達400個,惡意連結也有200多個,但是這些連結中的惡意網頁內容因為是被編碼過,因此並不容易看出其中的端倪,經過我們的自動檢測系統的解碼分析,發現到不管駭客如何使網頁變形,最終只會下載那40個網址,很明顯,這是由特定幾群駭客所使用。因此,我們得到一個重要的結論,綜觀目前網站的入侵與惡意程式散播,推測是由大陸特定駭客所為。

? 更高層次的網路犯罪已經在運作

根據目前各項資料顯示,我們推測在台灣網站間出現大量惡意程式與惡意網頁並不是巧合,而是由網路犯罪集團所策動,有計畫有組織的滲透,不僅針對個人或是公司,甚至是針對機關或是組織而來。駭客集團大量蒐集個人資料與帳戶密碼,進行社交網路分析。

? 你不可忽視的Web Security

網站為甚麼會被植入惡意連結?這表示駭客已經入侵了該Server。因此上述的調查報告,除了讓我們了解惡意網頁問題嚴重之外,也讓我們知道被入侵的網站高達400多個,其中很多管理者並不知道網站已經被駭客滲透了,長期被植入惡意連結。Web Security中最嚴重的便是SQL-Injection問題,駭客使用這項攻擊手法,入侵網頁主機,並獲得修改網頁的權利,因而植入惡意連結。Web Security問題不改善的話,惡意網頁的問題一定無法根除!

老實說,在台灣做資安工作是很苦的事情,面對層出不窮的駭客攻擊,也無處通報,即使往上報,高層長官也視而不見。這年頭連國家級的資安單位都傳出吃案傳聞了,還有誰是你的靠山!只能苦哈哈的把眼淚往肚子吞,真不是一個慘字可以形容?。

革命尚未成功,各位仍需努力!