恶意程序几个有趣的秘密
恶意程序已成为今日所有网络使用者的梦魇,应该不是陌生的名词。不过对于恶意程序,还有许多面相或许是你我以前不知道的。
恶意程序泛指包括病毒、蠕虫、傀儡程序、木马、后门程序,以及可能导致计算机使用者信息外泄的广告/间谍程序等等。随着网络愈来愈普及,以及网络威胁技术的演进,现在恶意程序的种类已包罗万象,而且对计算机使用的安全也愈来愈直接。而在不断演进的过程中,安全产品厂商们经由对恶意程序,以及背后组织的研究中,也发现到一些不为人知,甚至可以说是有趣的现象。以下是列举一二。
安全威胁日益月异。就像科技不断进步,病毒与恶意程序也不断入侵最新的系统,在微软、英特尔为主的PC厂商推动下,32位PC已成主流,根据赛门铁克针对去年下半网络安全威胁所做的一项《网络安全威胁研究报告》指出,2004年下半,共有超过7,360个Win32病毒与蠕虫变种被发现,较去年同期大幅成长332%,占所有威胁程序的90%强。而随着科技进步,PC更进入64位时代,微软预言64位计算机将会两年内普及,现在64位计算机及智能型手机都已出现概念验证病毒,未来成真的日子不会太远。
旧漏洞不补,祸害无穷。根据同一份报告,去年下半十大网络攻击型态中,Microsoft SQL Server Resolution Stack Overflow占总攻击来源的22%,较上半年上升了7%,再度蝉联榜首宝座。Microsoft SQL Server Resolution Stack Overflow是啥?若讲SQL Slammer你可能就明白了,它乃是此类攻击程序中最有名的。如果读者们记忆犹新,SQL Slammer正是2003年春节期间造成日韩等国严重损失而声名大噪,台湾则碰到农历新年大家不上班才幸免于难。赛门铁克北亚区技术总监王岳忠指出,病毒这种东西好比时装界流行一般,会不断存活于网络上。因此,如果你的计算机如果新安装了软件,也要记得把修补程序一并补上,否则旧的病毒和威胁永远都不愁没有空间。
评论:信息安全也要温故知新。
攻击程序也遵守「开放」精神。商用软件界以Linux依据开放原始码授权模式,像是GPL(General Public License),使开发人员取之于社群,用之于社群,最能体现开放、互惠的精神。现在病毒也开始学习起这一套。傀儡程序Agobot原始作者将病毒程序原始码公布在IRC(Internet Relay Chat,类BBS)上,开放他人免费使用,但要求新的程序也需回贴在IRC上。由于IRC人数众多,使得病毒作者不易查寻,也增添调查人员追查的困难。
评论:攻击程序也很有分享概念。
傀儡程序也有中央控管机制。傀儡程序(bot)是一种在PC中植入代理程序以便进行远程遥控的恶意程序攻击,常以不断的变种手法,以躲避防毒软件的侦测追查。傀儡程序手法已演进到具有更新能力,可利用类似企业内部的软件派送机制,从中央控管的远程主机上同时更新多台计算机上的代理程序,只要下个指令,就可以更新为变种。也因此,使用者得定期更新应用系统修补程序、安装个人防火墙等网络流量管控以进行防护。
评论:引用王岳忠的话:「傀儡程序不像一般人所想象是计算机初学者乱写出来的粗糙程序,许多都已是使用C++写成的模块化程序,其实已相当成熟。」
计算机成为黑客角力战场。安全专家发现,攻击程序往往成为不同个人或黑客组织间较劲的场域。去年搞得大家不胜其扰的两只病毒Netsky及Bagle每隔几天就出现一只变种,原来是背后两组人马为了把对方赶出使用者计算机而以新变种驱除对方病毒。而傀儡程序也有类似情况。A黑客在数百台计算机中种下傀儡程序,企图将这些被种了傀儡程序的计算机(称为殭尸计算机)当成遂其目的(如发动DoS攻击)的工具。
不过现在却出现B黑客搜集密码或信道协议等「敏感性数据」进入A黑客的傀儡程序网络,透过升级过程将其收编过来成自己「小鬼」的情况。根据「The Honeynet Project & Research Alliance」三月的最近发现,在该项研究监控的100多个傀儡程序网络(botnet)中,编号12的botnet主谋将编号25「已废弃」的bot抢了过来。而由于A黑客自己也不是光明正大,因此对于被「黑吃黑」也只好吃闷亏,不敢张扬。