台灣區網站安全與惡意網頁調查報告

網站安全對症下藥
一直以來，台灣的網路安全議題就十分有趣。多年來，有賴於政府的政策性推廣，加上國內網通電子業蓬勃發展，我們有著世界數一數二的網路基礎建設，家家戶戶有超高的ADSL使用率，與超高的網路流量。網路這麼方便的地方，想必是吸引各路駭客的必爭之地，再加上國情特殊，面對擁有大量網路軍隊的駭客大國，持續不斷的對台灣進行滲透與情報蒐集。

從去年開始，國內資安從業人員普遍感受到一股新風潮興起－Web Security。由於，微軟近年重視系統漏洞與資訊安全，並持續不斷的更新軟體，時至今日Windows已經改善了很多安全問題，這讓很多開發後門程式與病毒的駭客倍感壓力，因而近來越來越多惡意程式改採網頁形式來散播，這股Web Security與Spyware結合的新趨勢，產生了惡意網頁的大流行，也造成了更大規模的資安問題。

有關網頁的安全問題，並不是最近才出現，相反的它已經存在很長的時間，但是惡意程式與惡意網頁的結合趨勢直到這幾年才日漸嚴重。資安專家們也開始重視惡意網頁的問題，例如Google也重視開始正視這個問題，因此現在如果使用Google搜尋時，他甚至會告訴你該網站是不是惡意；而國內「大砲開講」的Roger與我們艾克索夫實驗室都持續報導很多台灣最新的惡意網頁，甚至調查局也曾報導許多事件。而我們在今年台灣駭客年會HIT2007也發表了一些最新的研究數據「Taiwan Malicious Webpage and Spyware Hacking」，有興趣的朋友可以參考http://hitcon.org 與 http://x-solve.com/blog。「網路很不安全」是廣大鄉民普遍的認知，但是這以訛傳訛說法到底有多少真實性，到底網路「有多麼不安全」？或是其實蠻安全的，只是專家們在恐嚇！？而這項大規摸的調查就是讓各位了解目前我們遭遇的現況，希望大家能夠對症下藥。



惡意連結最氾濫
惡意網頁(Malicious Webpage)是指透過植入惡意網頁程式碼(Malicious Script)或是惡意連結(Malicious Link)到正常的網站中，而導致瀏覽網頁的無辜網民遭受攻擊，導致被植入惡意程式，變成駭客蒐集帳號密碼與操控的傀儡。絕大部分的攻擊都是針對IE瀏覽器而來，只要IE或是Windows沒有更新就可能成為駭客攻擊的目標。惡意網頁的結構可分為兩類型(如圖1)：

在我們的調查中發現，以第一型惡意連結為數最多，駭客最常使用IFRAME植入惡意連結，超過95%都是屬於此類。例如，在7月27號，台灣大學的首頁被駭客入侵，但是駭客並非像以往一樣換掉網頁，或者是插上國旗，而是更進一步的利用這難得的大好機會，植入惡意連結，並散播惡意程式以蒐集帳號密碼。

高雄市觀光協會網站也是有一樣的情形，網頁最後面也是被植入一個IFRAME，它的長度是0，寬度是100，這樣一來網頁版面上就不會顯示出來，使用者也就看不到了。

駭客有很多技巧可以規避掃毒軟體或是IDS/Firewall偵測，最常見就是編碼的網頁內容(Encoded Scripts)，使用這項JavaScript技巧可以在瀏覽器上才動態產生網頁內容，此類特殊的技巧原本用途是給Ajax使用，但卻讓駭客可以恣意變形程式碼，規避特徵檢查。如下圖所示：

在StopBadware網站(http://www.stopbadware.org)通報中，台灣網站被入侵植入惡意連結的多達1,400個，只不過其報告還是需要人工查核，因此不一定代表即時狀態，有鑑於此，我們實驗室以目前研發的惡意網頁自動檢測系統，對國內主要的12,000個主要網站進行檢測調查，來看看到底現況是如何。

相關數據如下(註1)：

? 有404個網站遭受駭客入侵變成惡意網頁。

? 分析這404個受害網站，發現共計233個惡意連結內含在網頁中。

? 其中多達213個惡意連結是還可以作用的(Active Links)，也就是說這213個連結可以觸發Exploit，導致惡意程式會被下載並植入。

? 下載的惡意程式來源網址共計40個網址。

這40個網址代表駭客程式所放位置，我們分析了一下其所在國家：

由統計數據得知，其中最多的惡意程式來源是中國大陸(CN)，共有26個惡意程式下載網址，占所有來源的65%，如果把HK也加入的話就會達到75%了，這個比例與大家想像中的差不多，大陸駭客一直都是台灣資安最大的威脅來源。只不過有一點應該跟各位想像中不太一樣，惡意程式的下載網址居然只有40個！而不是成千上百，如果是400個或是4,000個，還比較符合一般人的認知。這最大認知的差距在於，我們常常被資安或是防毒廠商恐嚇慣了（你一定不會承認你是被嚇大的）。雖然，被入侵的網頁多達400個，惡意連結也有200多個，但是這些連結中的惡意網頁內容因為是被編碼過，因此並不容易看出其中的端倪，經過我們的自動檢測系統的解碼分析，發現到不管駭客如何使網頁變形，最終只會下載那40個網址，很明顯，這是由特定幾群駭客所使用。因此，我們得到一個重要的結論，綜觀目前網站的入侵與惡意程式散播，推測是由大陸特定駭客所為。

? 更高層次的網路犯罪已經在運作

根據目前各項資料顯示，我們推測在台灣網站間出現大量惡意程式與惡意網頁並不是巧合，而是由網路犯罪集團所策動，有計畫有組織的滲透，不僅針對個人或是公司，甚至是針對機關或是組織而來。駭客集團大量蒐集個人資料與帳戶密碼，進行社交網路分析。

? 你不可忽視的Web Security

網站為甚麼會被植入惡意連結？這表示駭客已經入侵了該Server。因此上述的調查報告，除了讓我們了解惡意網頁問題嚴重之外，也讓我們知道被入侵的網站高達400多個，其中很多管理者並不知道網站已經被駭客滲透了，長期被植入惡意連結。Web Security中最嚴重的便是SQL-Injection問題，駭客使用這項攻擊手法，入侵網頁主機，並獲得修改網頁的權利，因而植入惡意連結。Web Security問題不改善的話，惡意網頁的問題一定無法根除！

老實說，在台灣做資安工作是很苦的事情，面對層出不窮的駭客攻擊，也無處通報，即使往上報，高層長官也視而不見。這年頭連國家級的資安單位都傳出吃案傳聞了，還有誰是你的靠山！只能苦哈哈的把眼淚往肚子吞，真不是一個慘字可以形容?。

革命尚未成功，各位仍需努力！