傀儡程式潜伏企业,发动攻击、偷资料为主要目的
http://www.ithome.com.tw/itad...?c=37280&s=4从系统脆弱处入侵,除网路聊天室及系统漏洞外,透过电子邮件散布,更是傀儡程式化被动为主动的攻击方式。
目前,全球每日有10000~35000个不等的傀儡程式(Bot),利用各种管道,活跃地、散布在全球各个不安全的系统上。根据资安公司CipherTrust资料统计,每一天,这些傀儡程式将影响超过25万个系统;而这个影响的系统,除了50%是家用电脑网路系统外,40%的攻击是针对大型以及中型企业。
虽然从统计数字上看来,傀儡网路攻击(Botnet)的后续影响力相当大,但对于许多台湾企业而言,所谓的傀儡网路攻击根本无从察觉,法务部调查局资讯室主任阎锁琳便指出,「很多企业根本不知道他的系统被入侵、被冒用,一直到ISP或执法单位通知,才可能知道。」因此,对傀儡程式的知己知彼,已经成为现代企业不可或缺的资安概念。
Bot成骇客犯罪工具
根据McAfee一份虚拟犯罪报告可以得知,许多网路犯罪的目的最主要就是为了要入侵网路上的电脑,而透过蠕虫、病毒、垃圾邮件、网路钓鱼、木马程式、间谍程式等手法,将傀儡程式植入网路系统中,藉此遥控该系统;而这些听命行事的傀儡电脑,则是网路犯罪者最好的帮手。美国FBI也估计,在2004年美国网路犯罪所造成的损失高达4000亿美元,甚至,光是贩售170万笔偷来的信用卡资料,都可能造成430万美元的损失。
但这类网路犯罪被定罪的比例不到5%,甚至,网路上除了有许多免费的傀儡程式外,花不到1万元,也可以租用类似的傀儡网站来发动DDoS(分散式阻断式服务攻击)。
从2005年起,许多中华电信用户被植入后门程式,成为Botnet受骇主机,遭到骇客大规模控制。中华电信网际网路处科长吴怡芳说,「透过分析恶意网路流量,积极掌握受骇主机并即时通知,成为降低中小企业成为傀儡网路跳板的积极作为。」
Bot从系统脆弱处入侵
根据美国CERT定义,傀儡网路攻击基本定义是指:一个可自动执行的电脑程式,或者机器人(robot)程式,非法安装在电脑系统中,而骇客可以透过病毒或其他恶意程式,散布该傀儡程式在多台电脑上,以控制该台电脑;该台电脑也可以被1个或多个以上的骇客控制、存取。
CERT也提醒,被傀儡程式控制的电脑运转一如平常,平时也很难被察觉出来异状,除非正巧观察到特定的活动,甚至常常连防毒软体也无法侦测出傀儡程式潜伏在系统中。
傀儡程式从系统脆弱处入侵,是理所当然。赛门铁克(Symantec)亚太区资讯安全技术顾问林育民根据其经验也指出,目前台湾许多公司企业入口网站(EIP)缺乏维护,成为某些有心骇客的可趁之机;另外,网路使用者在使用浏览器或相关网路服务时,忽略浏览器告知的讯息,也让傀儡程式能够光明正大入侵使用者电脑系统中。
台湾电脑网路危机处理中心(TWCERT/CC)2002年针对台湾网路资讯中心(TWNIC)注册网站进行侦测,至少有50%以上的网站有安全漏洞,其中又有54%的安全漏洞,可以让人取得系统管理权限。美国的情况也颇为严重,美国联邦政府网路1年遭到骇客入侵25万次。在在都证明许多在网路上运转的系统,多是漏洞百出、脆弱不堪的。
因为系统漏洞多,许多恶意程式要入侵,便没有那么难。Juniper(瞻博网路)技术经理林佶骏表示,在4、5年前,一台毫无安全防护的电脑系统连网后,约莫可以撑到72小时会被骇客攻陷;吴怡芳则说,「现在一部无资安防备的电脑一旦连网,最快15分钟就可以被骇客攻陷。」
IRC、E-mail是Bot主要散布管道
全世界第一个写出来的傀儡程式,是在1993年针对Unix主机所写的程式,名称为:Eggdrop Bot,迄今还有针对微软视窗作业系统的傀儡程式:Eggdrop Bot for Windows存在着。目前傀儡程式大致可分成几种管道散布,其中,「网路聊天室(Internet Relay Chat;IRC)的散布是傀儡程式最原始的散布方式。」林佶骏说道。这些IRC Bot通常都走TCP通讯协定,包含TCP 6667通讯埠等。林佶骏表示,随着加密通道的盛行,为了逃避常规检查,傀儡程式也会选择诸如:https通讯协定传播(TCP 443埠)或其他8000埠、500埠等,未来点对点(P2P)的传播方式将更为普遍。
傀儡程式主要是听命发动者发布命令而动作,不论是自动更新其版本,或者命令傀儡程式攻击某个网址,藉此发动DoS(阻断式服务攻击),林佶骏指出,「更重要的是,可以扫瞄网路上其他电脑系统的漏洞,并可利用垃圾邮件、病毒发送或其他散布恶意程式的方式,将傀儡程式复制到其他网路上有弱点的系统上。」也就是说,当傀儡程式入侵电脑系统后,乱数决定扫瞄的网段,例如网段Class B,假设从211.21.0.0~211.21.255.255中,有6台电脑有系统漏洞,傀儡程式便可趁机入侵(exploit)。
除了网路聊天室以及系统漏洞外,透过电子邮件散布方式,更是傀儡程式化被动为主动的攻击方式。林育民便指出,「SMTP是包含傀儡程式在内的恶意程式,最常被用来进行扩散的媒介;而在2005年下半年,前50大恶意程式中,则有92%是透过SMTP来扩散。」
宏碁便曾经针对某单位进行诱骗电子邮件测试,透过每人10封的诱骗邮件,包含网页、Word档以及图档等附加档案,测试收件者的警觉性,通常骇客只需要一封诱骗邮件成功就可达到目的。宏碁安全技术与管理处资安一部资深技术经理黄琼莹表示,该次诱骗测试中,「有预先通报的测试,诱骗成功率超过30%;而没有事先预警的诱骗测试,诱骗成功率则高达50%以上。」
发动DDoS攻击、瘫痪网站或系统
大型Botnet能够进行广泛的DDoS,小型Botnet利用伪造IP的方式,发动洪水攻击,以避免其植入傀儡程式的电脑被发现。
结合许多被植入傀儡程式形成的傀儡网路攻击,林育民说,「傀儡程式除了可以听命窃取资料外,更重要的是,可以发动DDoS(分散式阻断式服务攻击)。」所谓的Dos攻击就是,利用傀儡电脑发出的封包,瘫痪受骇企业的系统,导致缓冲区溢位,或使封包超过频宽。这些攻击若从单一机器对单一主机发动,目的在使系统主机超载,则是DoS攻击;但若攻击是从多个机器针对单一系统发动,则为DDoS。
美国就曾经有一个实际案例,某运动用品便花钱雇用某一个青年骇客,要其发动DDoS攻击,瘫痪其竞争对手的网站。而这次攻击对该竞争对手网站,造成数十万美元的损失,连该网站的伺服器厂商及ISP业者,对此攻击都束手无策。而中国北京,也有1名骇客操纵6万台傀儡电脑,瘫痪1家音乐网站,造成人民币700多万元的损失。
另外,骇客也可利用监听网路流量(Sniffering Traffic),取得其他傀儡网路电脑的资讯,「不论是以加密手法向企业主进行勒赎,或者是利用DNS(域名)伺服器,发动DDoS攻击,都是现今傀儡网路攻击最有效的方式。」吴怡芳说。目前网路上开放查询的DNS伺服器数量最高可达560万台。
发送垃圾邮件、窃取机密资料
傀儡程式透过不特定缺乏安全防护系统,作为发送垃圾邮件(Spam)或网路钓鱼(Phishing)的跳板,则是目前在台湾许多中小企业最常面临的问题。
由于中小企业经常是傀儡网路攻击的某种恶意行为跳板,趋势科技台湾区技术支援部技术总监王应达便说,「企业或ISP的IT人员,直觉反应就是解决企业被当跳板或被列入网路黑名单的问题,往往难以察觉企业本身已经是傀儡网路攻击的一环。」
傀儡程式可以听命,扫描傀儡电脑中的通讯录以及电子邮件帐号,发送大量的垃圾邮件到这些信箱;同样的,也可以发送大量的网路钓鱼信件,骗取这些使用者的个人机密资料,包含帐号、密码、信用卡号等。
由于垃圾邮件发送已经是一种产业,对于垃圾邮件发送者而言,透过傀儡程式植入不安全的企业系统中,并利用其邮件主机来发送垃圾信件。有一名软体公司的IT主管表示,他曾经在公司伺服器上发现有不明程式,当时该公司对外发送的电子邮件,经常被某些大公司的邮件伺服器挡下来。该名主管表示,「后来才发现公司的邮件伺服器被骇客入侵,植入傀儡程式,做为发送垃圾邮件的跳板。」因此,他们公司的邮件伺服器被列在RBL的黑名单中,成了骇客任务的跳板受骇者。
此外,某些骇客则在傀儡程式中,隐藏了一个键盘侧录程式(Keylogger),可以透过傀儡程式将使用者资料回传时,同步回传透过键盘侧录程式纪录下的网路银行或线上游戏的帐号与密码,藉此偷取金钱或虚拟宝物。
傀儡网路攻击为了图利
去年,美国CNN电视台、电子商务网站eBay及微软等,都曾经遭遇过傀儡网路攻击。而台湾,并未幸免于这股攻击浪潮。由于民情关系,台湾对于资安事件的揭露,显得相对保守,主要是担心商誉受损,失去顾客的信任感。
从去年开始,有一些金融单位遭到类似的攻击。警政署侦九队队长李相臣在一些演讲场合中便曾提到,有骇客利用某些中国大陆骇客工具写成的傀儡程式,透过各种手法,包含木马程式、垃圾邮件、网路钓鱼、间谍程式或是其他如广告程式等灰色软体的方式,设法将可以远端遥控的傀儡程式,植入某些锁定金融机构的系统中,藉此达到勒索目的。若该金融服务业者报警或不妥协的话,便直接从远端遥控,中断该系统服务。许多企业迫于无奈,多半也只能跟骇客谈判、花钱了事。
这类的攻击并非特例,中华电信资安技术中心(SOC)在2004年就已经发现并处理过傀儡网路攻击事件,所幸当时发现的那个案例,因为由内而外的IDS(入侵侦测系统)封包发送规则设置得宜,阻挡能力强,也顺利阻挡封包发送不符规则的傀儡程式,无从对外扩散。
由于傀儡网路攻击的发动者,往往只需要远端遥控傀儡程式听命办事即可,而傀儡程式部署的范围越广,对发动者越有利。去年1月美国一位20岁的少年,便发动傀儡网路攻击,瘫痪美国西雅图的西北医学中心的系统,导致医院系统当机,危害到该医院病人的生命安全。而该名骇客目前也面临15年以上的牢狱之灾。目前此类骇客已较为减少,多从炫耀自己的能力转变成利益导向。
Botnet Vs. Rookit
Botnet和Rootkit两者是常让人搞混的技术,事实上两者共同特色都是:很容易隐身在电脑系统中,很难被察觉出来,只是两者隐藏的方式不一样。
美国CERT对两者分别作出定义,其中,Rootkit是一个可以在不被察觉的状况下,悄悄地安装在电脑系统中的软体,甚至是安装在作业系统底层中,成为系统开机.dll档的一部份;通常是利用电脑系统上的漏洞入侵,或者利用网路钓鱼邮件(Phishing),唆使使用者连线下载某项软体;骇客可以无声无息的操纵并监控该使用者的电脑,甚至不被防毒软体发现。
至于Botnet,是一群被植入傀儡程式的一群电脑的总称;而被植入电脑系统中的傀儡程式,至少得是一个自动化的程式,或称之为机器人程式(robot)。而这些傀儡电脑可以被一个或多个以上的骇客操控,骇客则藉由散布病毒或其他恶意程式码,取得对电脑系统的控制权。
而这台电脑若成为傀儡网路的一部份,平时运作时也看不出异样,傀儡网路攻击最常见的现象就是发动大规模的活动,例如DDoS(分散是阻断式网路服务攻击);傀儡电脑平时也会听宿主的命令,扫瞄不同电脑的系统弱点、监控线上网路活动,甚至收集个人所有资讯等。
