惡意網站無所不在
使用者桌面環境中的網頁瀏覽器一直以來都是資訊安全上的漏洞。雖然已經進行加強了程式碼撰寫的安全性、提高使用者認知、增強Internet Explorer或是使用像是Firefox 與Opera替代瀏覽器,但是安全威脅卻沒有減少。犯罪者會引誘使用者去連線數以千計懷有惡意或受入侵的網站進而詐騙使用者的身分識別或者是放置惡意程式碼至使用者的電腦中。
過去進行偵測這些網站並且收集與計算其夾帶攻擊程式的工作就好像是在玩打地鼠遊戲一樣,然而安全研究人員現在找到能夠有效進行對抗的方法。微軟和開放原始碼的倡導者使用創新的honeyclient來捕捉攻擊程式,而這項技術也是honeynet 技術的一部分。
Honeynet早在許久之前就已經是一項成熟的技術,它是一個被動式的資料收集器,隨機的置放在與網際網路有相連接的區域網路中,等待任意駭客來對它進行連線並留下證據。一般來說該主機上會安裝有能夠通告有駭客正嘗試進行入侵的追蹤軟體、網站伺服器以及拆解過的作業系統。這些Honeynet對於攻擊程式/行為紀錄的效果是很卓越的,可是卻有著一個很嚴重的缺點:他們無法主動的對外進行連線去搜尋有哪些壞份子正在架設並執行可以感染無辜訪客的網站。
然而Honeyclients不再扮演可以被入侵的犧牲者而是成為蒐尋獵物的獵人;它們會執行網頁瀏覽器並主動尋找存在危險的網站。
“在安全的環節中瀏覽器和其他用戶端硬應用程式已經成為越來越脆弱的部份,” 德國Honeynet計畫的創辦人之一Thorsten Holz說,而且他也是Virtual Honeypots: From Botnet Tracking to Intrusion Detection一書的共筆者。“各家供應商都針對作業系統的安全提供各項強化機制,可是用戶端應用程式卻還是存在著各式各樣的弱點。”
有數個理由導致攻擊行為由對伺服器轉向對瀏覽器進行攻擊。
“伺服器端軟體實行了良好的安全程式碼撰寫實作以及釣魚和身分辨識竊取攻擊的大量增加都深深的影響了攻擊型態的轉變,” 最近被HP併購的SPI Dynamics 的安全推廣者Michael Sutton說。 “攻擊者們已經了解到相對於攻擊被保護良好的堅固伺服器還不如攻擊員工或者終端使用者來得簡單的多。”
目前的狀況是很令人沮喪的。根據honeynet研究人員表示目前受入侵的網站遍及各種領域產業別。
“不論是瀏覽哪一類型的網頁資訊或者是如何存取這些網頁資訊,使用者只要瀏覽任意網站就處在風險之中,” Holz與其他四位作者在Honeynet計畫的論文Know Your Enemy: Malicious Web Servers中寫道。 “僅僅改變瀏覽行為是無法完全的緩和瀏覽網頁所可以帶來的風險。就算某個使用者訂下僅能使用輸入URL的方式來取代點選超連結的政策,也是無法避免因打字錯誤(typo-squatter URL)所帶來的風險。”
飛越網站
因為一般使用者不應該會把honeynet伺服器當成連線的目的位置,所以安全研究人員表示任何對honeynet伺服器的存取記錄可能就表示是來自駭客或者某個圖謀不軌人員的連線。相對的,因為被收集網址的安全狀態是未知的,所以使用honeyclients 的研究人員必須能夠分辨它們所造訪的網站哪些是惡意的而哪些是善意的。
Honeyclients有三個組成元件:
? 一個自動化的腳本系統負責驅使電腦以及網頁瀏覽器去瀏覽一系列的網址,以期望找出受駭的網站伺服器。
? 一個負責記錄電腦任何變更行為的紀錄程式,正如同在honeynet上所使用的工具一樣。
? 一系列的虛擬主機讓相同的實體系統可以執行不同的電腦與瀏覽器session。一但每一個session被完成以及任何變更都被記錄,虛擬主機在連線到下一個網址之前就會使用乾淨的映像檔來重新啟動。
Honeyclients可以找出尚未被公佈或知曉的新型態惡意程式,讓安全研究人員可以盡快的找出壞蛋。這是因為honeyclients是監看作業系統與瀏覽器設定是否有任何的被更動,而不是掃描攻擊特徵或者行為特徵。
Redmond的工蜂
微軟過去在2005進行了一項honeyclient計畫, 稱為HoneyMonkey (www.research.microsoft.com/HoneyMonkey/), 這是視窗與網際網路安全(Windows and Internet security)改進計畫中的一部分。它是由負責記錄因惡意網站造成作業系統變更的Flight Data Recorder、網址收集器與搜尋網頁連結的掃瞄器所組成。
這個計劃剛開始是要詳細的紀錄視窗當機以及藍色死亡螢幕(blue screens of death)的狀況並找出發生的原因,最後就開發出了Flight Data Recorder,該工具會 “追蹤任何會改變檔案系統與視窗註冊機碼的事情,” 微軟Internet Services Research Center中Cyber-Intelligence Lab的主管Yi-Min Wang說。
Wang過去期望執行該計畫來負責找出惡意網站並且檢視駭客利用這些網站進行攻擊的整個生態系統。
“我們現在對於惡意網站未來的趨勢有更深入的了解,” 他說。 “人們會使用以下的方式進行網際網路詐欺,首先將受控制的網站呈現到搜尋引擎上讓許多人會瀏覽到他們的網站,然後攻擊訪客的瀏覽器並置入惡意軟體最後將這些被植入的軟體出租收費。”
目前該計畫執行了2,000台電腦以及1,000個伺服器。每一台電腦都會執行裝有客製化的程式來驅使Internet Explorer 去瀏覽一系列網站的Virtual PC並且記錄作業系統與瀏覽器的設定是否有任何的更動。
當各個電腦列出惡意的網址之後,就會觸發十台安裝完整更新的電腦去造訪這些惡意網站,試試看駭客是否還是依然可以入侵這些電腦。 “如果這些電腦還是一樣可以被入侵,” Wang說, “那麼該攻擊程式就會被歸類為嚴重的安全等級.”
找出惡意網站只是第一步而已。這些惡意網站必須從搜尋結果的頁面中被移除才能避免無知的訪客透過點選超連結造訪這些網站。以及,這些被偵測到新的惡意程式必須被送給安全專家,讓這些專家可以製作出病毒碼或可以提供保護的特徵。
“每一次我們偵測到新的惡意網站,我們的法律部門就會傳送一分離線通知給該網站的ISP,” Wang說。
將網際網路蜂巢狀化
Open HoneyClient (www.honeyclient.org/trac)是由honeynet伺服器端計畫所延伸出來的。這個開放原始碼的提議是由Mitre以及德國和紐西蘭的研究人員所發起的,目前被公開的程式碼與VMware映像檔可以被用來構成尋找IE與Firefox系統攻擊程式的honeyclient系統。
“我們也測試過各種不同的設定方式,像是設定出一系列的Windows XP從安裝有SP2到完全沒有任何更新的XP,” Mitre的主資訊安全工程師Kathy Wang說。
為了模擬使用者的環境,測試各種不同版本的XP是很重要的, 她說。 “這是因為執行盜版XP的主機是無法安裝SP2更新程式的。我們計畫不將再只是專注在瀏覽器的攻擊上。未來將會尋找包含點對點(peer-to-peer)應用程式與網域名稱系統(Domain Name System)用戶端的攻擊。
和HoneyMonkey一樣的,開放原始碼的honeyclients 會監視視窗作業系統的更動,這些更動像是被修改的註冊機碼或是系統資料夾中被新增或刪除的檔案,以及被更動或建立的程序。
Honeyclients這個專案和HoneyMonkey最大的差別是不會採取法律行動,而是依靠資訊公開以及和安全廠商與IPS的協助來阻擋發現的惡意網站。研究人員表示所有主要的反惡意程式廠商都會在他們發現惡意網站之後更新反惡意程式的特徵資料庫。
Mitre在2005年利用7台主機開始了這個計劃;而紐西蘭維多利亞大學的團隊則使用了一打的主機。全世界一定還有更多這樣的系統,但是因為任何人都可以下載並安裝他們的程式所以無法確知精確的數字是多少。
到目前為止Mitre的團隊至少已經發現十種完全不同新的惡意程式。 “所有的這些惡意程式在剛開始被發現的時候,大部分的防毒軟體都無法偵測到,” Kathy Wang說。
同時,德國和紐西蘭團隊的研究人員在今年稍早已經發現306個惡意網址,並透過194台主機可以搜尋超過300,000個網址。
德國和紐西蘭團隊也曾測試比較Firefox較IE有更多或更少的弱點可以被攻擊。雖然IE的安全問題已經得到更多的注意,Firefox 有著更多已知的問題和更新程式。不過,該團隊還是做出Firefox是比較安全的瀏覽器的結論。
“我們認為攻擊Firefox會較為困難,因為它使用了一種會自動化與立即的更新機制,” 研究人員在Honeynet計畫的Know Your Enemy 論文中寫道。IE的更新必須依靠在視窗作業系統的更新功能之上。 “不同於Internet Explorer是整合在作業系統之中,Firefox是一個獨立的應用程式,我們認為使用者會比較願意去啟動它的更新機制。Firefox事實上也開始被當成攻擊的目標了。”
德國和紐西蘭團隊也發展了一套測試機制 (www.nz-honeynet.org/cwebservice.php)來測試任何人覺得可疑的網站伺服器:輸入可疑的網址之後伺服器就會告訴您該網站是否安裝有惡意程式。
下一步,該計畫團隊想要將所有被下載的追蹤系統進行合作來掃描整個網際網路,就如同SETI@home掃描外太空無線頻率的合作方式。They are working on ex他們正在努力擴展honeyclient計畫的能力讓他們的軟體可以進行分散式大規模的掃描。
“現在正是時候學習如何打贏這場戰爭,我們必須在攻擊者來到我們的面前並入侵我們的系統之前先找出他們並阻止他們,” Kathy Wang 聲明。“大部分的人都不知道該如何保護我們的系統。一但我們擁有足夠的夥伴,我們就可以分享趨勢與攻擊者況狀的資訊。那麼您就將不用再擔心來自零時差弱點的攻擊(zero-day attack)。”
