技術門坎低 任何人皆可撰寫新病毒 如今網絡上不但極其頻繁地充斥著各式各樣的惡意程序,5自學網,而且各惡意程序的變種更以驚人的速度換代出擊,會造成如此嚴重的狀況,賽門鐵克林育民即感概地指出,原因乃在目前攻擊所需知識及技術門坎愈來愈低,幾乎任何人都可以透過「病毒產生器」來撰寫新的病毒。換句話說,全因為病毒產生器以及惡意程序代碼在網上唾手可得,所以造成如今惡意程序猖獗的主因之一。 其實「病毒產生器」的由來已久,早在1991年,第一套可用來撰寫新病毒的病毒結構套件(Construction Set)即已出現。到了1998年,網絡上又出現McTation Engine或Polymorphic Engine等變體引擎.OBJ子程序。如今網上甚至有一些黑客明目張膽地在網上叫賣木馬,甚或將BOT遠程遙控程序出租給不法的垃圾郵件發信商。 除了病毒產生器之外,還有網絡掃描程序濫用的問題,一支網絡掃描程序,可由安全人員使用,以便定期檢視公司機關網絡的安全性;但該程序當然也可能被黑客用來做為入侵或攻擊之用,換句話說,即使由安全廠商推出的網絡掃描或弱點掃描工具,都有可能一百八十度轉變成黑客攻擊程序(Exploit)。 通常黑客在入侵之前,多半會透過掃描程序進行目標探測、搜尋整個子網絡、收集信息、探測資源、撷取賬號、掃描已開啟的網絡端口、探索後門、弱點掃描等。其中,系統如果因未修補漏洞而留有後門的話,5自學網,對黑客而言無異是入侵的最佳快捷方式。所以系統如果有漏洞務必要補,否則在網上根本就是一只待宰的肥羊而已。 同樣的,黑客可以運用掃描程序進行所謂的重度掃描,如此一來,便從原由的入侵提升到了攻擊等級,而受攻擊的目標不是網絡大塞車,就是當機停擺。如今攻擊事件頻傳的原因,乃在於任何人皆可在網絡上搜尋到分類好的各種攻擊程序代碼,即使對網絡基本原理完全不懂的人,都可以透過這些具備「親和接口」的程序四處作虐。 其中最惡名昭彰就是網上所謂的腳本小子(Script Kiddies),他們原指一群透過網上現有掃描程序,四處搜尋盜版軟件及MP3音樂服務器的人,但如今數量龐大的腳本小子,則無所不括、無所不掠。而且,對於有漏洞的目標而言,透過攻擊遠比入侵來得快速直接,所以這不知天高地厚的惡魔,當然多采用最猛烈的攻擊手法。 如今網絡上攻擊程序不但數量龐大,新程序出現的時間差也短的驚人。例如微軟於今年9月剛公布JPEG處理(GDI )緩沖溢位(MS04-028)漏洞,短短三天網上就出現一只針對該漏洞的概念型黑客工具碼(proof-of-concept),由此益見黑客攻擊問題的嚴重性。 愈來愈廣的跨平台病毒網 就作業平台而言,一開始病毒是誕生於Unix平台上,而最早的網絡掃描攻擊程序也來自於Unix。隨著Elk Cloner及C-Brain病毒的出現,Apple II及IBM的個人計算機才正式成為病毒今後展露頭角的舞台。 到了2001年,Linux平台也被Ramen病毒攻陷了,而第一只Mac OS的特洛伊木馬也在2004年爆發。至於PDA上的操作系統-Palm OS被病毒染指的時間比Linux還要早,2000年,史上第一只Palm PDA特洛依木馬Palm_Liberty.A問世,也打開病毒從PC跨越到PDA的新紀元。相對地,由於Pocket PC出現的時間較晚,所以相關的病毒直到今年才出現,但卻接連出現Duts病毒及Backdoor.Bardor.A後門程序。 除此之外,全球使用量遠超過PC的手機,勢必會成為病毒擴張攻擊的主要目標。一開始病毒侵襲手機的手法,仍需透過PC當做發動攻擊的基地,例如2000年出現的Timofonica,就是從計算機Outlook發信給手機的病毒。真正在手機平台上相互感染的病毒-Cabir直到今年才出現,而且破壞力不大,僅止於消耗手機電池壽命。不過據趨勢「2005年資安威脅預測報告」指出,2005年極有可能爆發第一只造成手機癱瘓的病毒。 特洛伊木馬仍是最大威脅 目前充斥於網絡上的病毒,乃以蠕蟲及特洛伊木馬為主,此外仍有少數Script病毒及宏病毒繼續在網上流篡,而過去曾叱咤風雲的檔案型、開機型等病毒,幾乎消聲匿跡、不復蹤影。 根據趨勢最新出爐的「2004年資安威脅回顧報告」,2004年根本就是MyDoom、Netsky及Begle三大病毒三分天下、相互較勁的一年,此外下半年也有高達2,830只的BOT遙控程序到處肆虐。不過就破壞力而言,全年「最毒」的惡意程序,則由Netsky掄元,MyDoom及Lovegate分居二、三名。 至於在病毒類型方面,在全年16,880只病毒中,特洛伊木馬以33個百分點居首位,蠕蟲(26%)及後門程序(21%)分居二、三名。如果將後門歸納到木馬中,則木馬總占54%強,由此可見2004年可說是「木馬年」。 不過就新病毒而言,新蠕蟲的占比最高,光去年一整年就有多達3,132只新蠕蟲誕生。而新後門程序最少,只有963只,則占全年後門程序的26%,這說明了網絡上的黑客仍舊習慣以舊有的攻擊程序攻擊網站。 防毒建議 來路不明的軟件千萬不要安裝執行 來路不明的郵件附件千萬別執行 郵件內的網站鏈接千萬不要直接點擊 以銀行名義寄來的郵件鏈接千萬不要著急點擊,以免中網絡釣魚,請直接上銀行網站查詢。 關閉Outlook或Outlook Express郵件預覽功能 Outlook或Outlook Express的安全等級要做適當調整 IE安全性等級要做適當調整 不要隨意更改Word、Excel及PowerPoint的安全性等級選項 限制浏覽器下載ActiveXControl及JavaApple權限,下載程序前先征求使用者的同意 沒事不要亂逛黃色網站 不要任意下載共享軟件、MP3或者游戲 不定期查詢漏洞,更新安裝補丁 安裝防毒軟件,定期更新病毒庫 安裝個人防火牆 定期用防毒軟件掃描硬盤 定期備份檔案 定期注意病毒相關新聞、資訊 圖1 JPEG 概念型黑客工具碼,只要按下「Make」鍵即可下載相關漏洞圖檔。
圖2 網絡上可以任意下載分門別類好的攻擊程序,而且這些程序提供簡單的操作接口,即使是對網絡概念完全不了解的人,都可以透過簡單的輸入進行攻擊。如圖所示即為Webdavin攻擊程序的畫面。