■歷史悠久的自我防御技術
早自過去的檔案型、開機型或宏型病毒,即開始采用加密、壓縮、自我編碼、變體引擎(McTation Engine或Polymorphic Engine)、更名感染等技術,藉此逃避防毒軟件的偵測及追捕。這些病毒自我防御技術,仍為目前流行的惡性程序所沿用。
除此之外,一些惡性程序還具備自我檢查及反防毒軟件(Anti-Antivirus)的能力,他們會在計算機被啟動的同時,卸載系統中的防毒軟件或防火牆軟件。
不過,目前惡性程序的發展趨勢似乎有了轉變,雖然過去的自我防御功能仍繼續沿用,但已非關注的重點。
反之,這些惡意程序不再在乎是否能被防毒軟件或其它安全配備偵測阻擋,因為再怎麼防,不用多久,資安廠商仍很快就有因應措施及解決方案的推出。所以他們追求的重點已轉變成「快、狠、准」,也就是盡可能地在最短的時間內,以迅雷不及掩耳、秋風掃落葉的方式,造成一定的影響或達到一定的目的。也因為如此,許多惡意程序甚至設定自我毀滅時間。
■令人眼花撩亂的龐大變種
變種的老祖宗應該可以上溯自1997、98年間甚為流行的千面人病毒(Polymorphic/Mutation Virus),該病毒具備自我編碼的能力,每感染一個檔案,其病毒碼都不一樣。基本上,千面人應歸類成多形病毒的一種。
雖然千面人病毒具備變幻莫測的外表,但它仍有破綻,就是每個變換後的病毒碼,其程序開頭都相同,所以仍然有跡可循。為了解決這個問題,網上遂有了.OBJ的變體引擎子程序供人下載撰寫多形病毒。總之,由於變體引擎及病毒原始碼的公開,所以各式各樣的變種因而斥充在網絡上。
如今的惡性程序除了展開全球性傳播的"水平繁衍"外,並藉由不斷的變種進行延綿好幾十代的"垂直繁衍"。更可怕的是,這些惡性程序還結合不同的混合式攻擊技術,讓每代的變種各具不同"邪惡"特性及破壞力,或是每隔一代海納百川地加入新的"毒術"。
過去病毒多半接續個兩三代就"over"了,如今惡意程序傳宗接代的能力一個比一個強,動辄幾十代,甚至打破30代大關,例如培果病毒(Bagle)到目前為止共有37代變種,實在驚人。
若以平均天數來看,早先的頑皮熊病毒,從2002年10月第一代出現起,到2004年9月第四代止,大約平均每176天才推出新的變種。如今像是Bagle、MyDoom、NetSky及Korgo等蠕蟲,平均不到10天就推出新的變種。其中,最可怕的莫過於Korgo蠕蟲,在短短三個月多內,就接連繁衍出高達27代的變種,換句話說,其不到3天就變種一次。
感覺起來,這些惡意程序彷佛在比誰的生育率比較強似的,事實上Bagle、Netsky和MyDoom的確一直在互別苗頭,不但相互爭奪變種的數目高低,甚至相互攻擊(例如Bagle變種專砍Netsky,而Netsky也專門找MyDoom下手)。
■亂"件"齊發的垃圾郵件
對於惡意程序而言,電子郵件彷佛就是其增加其功力的大補丸。為了達到最終感染及傳播的目的,黑客多半會采用社交工程學(Social Engineering)來引誘收信者打開附件或連結,進而啟動或下載攻擊程序。此外,過去也有不少病毒郵件,進而發展出不用開啟郵件及附件,只要浏覽就會中毒的技術。
在信件傳播方面,由於采用微軟訊息應用程序接口(MAPI)來發病毒郵件,很容易會被防毒軟件攔截到,所以黑客多半都會改用專屬的SMTP外寄郵件服務器,繞過防毒軟件的攔截網來發送病毒信。
自從Melissa宏病毒開啟惡意程序搭乘電子郵件的首例之後,許多惡意程序,尤其是造成重大影響的蠕蟲幾乎都是以垃圾郵件為作惡的工具,垃圾郵件的問題也開始被廣泛注意。
史上利用垃圾郵件最徹底、最成功的蠕蟲當推Sobig.F,該蠕蟲每隔幾秒鐘就會自動向受害計算機中的所有通訊簿名單發出毒件,因而登上史上傳播最迅速的寶座,莫怪乎有人稱其為史上最強力的超級郵件發送機(Mass Mailer)。
■難以抗拒的誘惑-社交工程
社交工程(Social Engineering)原本是一種源自於飛客(Phreak)的詐騙手法,對於該手法讀者應該不致於太陌生,因為之前沒多久,相信很多人應該曾接到一些詐騙電話,像是謊稱自己是警察人員,並告知接聽者的銀行賬號被盜領,或是"你兒子現在在我手上,快拿兩百萬過來"等雲雲,這些就是運用社交工程的顯例。
基本上,社交工程是利用人性弱點,並透過威脅、利誘的手法來進行騙取對方信任或遵從某個動作的技術。對於大部分的企業而言,技術面的問題好解決,但是牽涉到人性面的問題就相當棘手難防了,也因為如此,社交工程已成為蠕蟲、特洛伊木馬等惡意程序慣用的技術之一。
尤其對個人而言,面對每日眼花瞭亂的郵件實在很難防,而網上琳琅滿目的MP3音樂、共享軟件或圖文件的誘惑力更難扺擋,偏偏這些東西是黑客運用社交工程的最佳試煉場。
■有洞就鑽
在過去,軟件上的臭蟲(Bug)頂多會造成軟件或系統穩定性或兼容性上的問題,但如今卻成為黑客攻擊的主力目標。賽門鐵克亞太區技術安全顧問林育民表示,如今許多軟件及平台都存在許多漏洞,而後一版本的軟件大多仍會繼續沿用之前版本的組件,所以漏洞有可能也會流傳到不同版本之中。如此一來,便成為黑客及蠕蟲攻擊的目標。所以系統弱點及軟件漏洞已成為目前計算機安全上的重大課題。
根據Gartner Group今年4月的分析報告指出,2003年有25%的網絡攻擊事件來自於已知漏洞。面對漏洞問題,唯一最直接的解決方法就是下載廠商提供的修補程序(Patches)。對於企業而言,由於軟件系統種類繁多、數量龐大,所以必須搭配漏洞及弱點管理工具,,以進行固定的掃描、偵測及修補作業。
但前文曾提到Symantec的研究報告,目前漏洞發布與相關蠕蟲攻擊的平均時間差只有短短的5.8天,而Witty蠕蟲甚至締造了2天的驚人紀錄,未來隨著蠕蟲技術的不斷突破,平均時間差只會愈來愈短。今後,要與黑客一比搶攻漏洞之高下,絕對是今後企業及資安廠商努力的重點之一。
對於個人而言,修補漏洞一直是件不得不做,但又極其困擾的事情。最主要是因為操作系統會隨著軟件、游戲或硬件的安裝、解除,檔案的進進出出或其它不當的操作而終至變慢、甚至當機的地步,換句話說,為求系統穩定,操作系統每隔一段時間是要重灌的。也因為如此,重灌計算機也意味著要重灌之前所有安裝過的修補程序。
如果使用者是透過在線修補,那麼在冗長的修補過程中難保不會被蠕蟲入侵或被種下後門。如果透過已下載的修補檔來修補,雖然較安全,但數量龐大的修補作業可是相當累人的事情。
雖然操作系統中也有提供系統還原的功能,只要選擇較後面的還原點,可以減少修補作業的次數。但使用者要如何確認哪一個還原點才是完全安全干淨的呢?總而言之,對個人來說,修補漏洞絕對是件既困擾又無奈的事情。
另外要補充強調的是,使用者千萬不要因為麻煩或抱著僥幸心態,認為之前舊漏洞不補也沒關系,而只要修補最新漏洞即可。事實上,舊漏洞才是黑客最愛,根據Gartner Group今年4月的分析報告指出,2003年有25%的網絡攻擊事件來自於已知漏洞。所以凡是系統或軟件有任何漏洞,都是非補不可的。
■就是要你消受不起-DDoS
阻斷式服務攻擊(Denial-of-Service;DoS)已成為目前黑客及蠕蟲的主要攻擊方式之一。透過DoS攻擊,網站會被大量而密集的封包所淹沒,結果導致網站用戶無法正常進入網站,享受應有的內容或服務。
如今的蠕蟲、特洛伊木馬或BOT遙控程序則采用更大規模的分布式阻斷服務攻擊(Distributed DoS;DDoS)手法,形成對企業、網站更長時間的"封鎖"及更大的損失。
所謂DDoS就是在網絡上透過搜尋、掃描漏洞及殖入後門等方式,以整合更多的攻擊來源,以對主要目標展開更猛烈持久的服務封鎖。如此的好處是,可以結合更大的攻擊能量,同時真正發號司令的黑客不容易被抓到。BOT遙控程序就是透過網絡掃描、感染更多的殭屍計算機,形成龐大的殭屍網絡大軍,然後針對主要目標展開猛烈的DDoS攻擊。
史上著名的DDoS攻擊事件,像是2001年的紅色密碼(Code Red),即為一只曾對微軟IIS Server展開DDoS的蠕蟲;2003年疾風蠕蟲(MSBlast.A)則透過RPC DCOM緩沖區溢位的弱點,攻擊微軟Windows Update 網站;2004年1月底,Yahoo、Google等搜尋引擎網站更受到MyDoom蠕蟲的DDoS攻擊,而造成相當大的損失。
■陸海空聯合大進擊-混合式攻擊
自從2001年Code Red率先采用混合式攻擊技術以來,混合式攻擊已成為目前惡意程序發展中的最大特色及慣用手法。透過不同攻擊技術的結合,惡意程序得以用更快的傳播速度、更多樣化的管道及更強的破壞力展開突擊。目前"純種"的惡意程序已經愈來愈少,即使是也多半會在變種的下幾代中不斷添加新的攻擊技術及特性。
就各惡意程序的特性而言,病毒具備其它惡意程序所沒有的感染力,蠕蟲則提供無人能敵的主動散播能力,至於遠程搖控能力最強的當推特洛伊木馬。而混合式攻擊就是截長補短地整合病毒、蠕蟲、木馬、間諜程序或網絡釣魚的特性,以及網絡漏洞、系統弱點掃描的新一代惡意程序技術。
一只混合式攻擊程序可能會透過不同的媒介及管道,來進行陸海空聯合多點大進擊,換句話說,它可能一方面透過垃圾郵件傳播,一方面在網上掃描並寄生在有弱點的主機上,一方面在網絡上"裝可愛"成可供人們下載的MP3、游戲或軟件,或是搜尋感染網絡芳鄰上的分享目錄夾,抑或提高來賓賬戶的權限等級等。由於攻擊來自於四方八面不同的管道,所以單靠傳統單一的防毒軟件是無法有效因應的,目前廠商則主張多層次的主動防御方案以為因應。
對於混合式攻擊,目前間諜程序會結合許多技術,其中尤以兩點發展趨勢最值得關注:
(1)間諜軟件與垃圾郵件的結合:同時借此將BOT遠程遙控程序種殖在別人的計算機中,並以此為侵入其它計算機或網絡的跳板。
(2)會竊取計算機所有的畫面:過去僅會側錄鍵盤的擊鍵,如今不但會偷取檔案數據,甚至還會啟動Web Camera並竊取畫面。
表一 惡意程序