傀儡程式潛伏企業,發動攻擊、偷資料為主要目的
http://www.ithome.com.tw/itad...?c=37280&s=4從系統脆弱處入侵,除網路聊天室及系統漏洞外,透過電子郵件散布,更是傀儡程式化被動為主動的攻擊方式。
目前,全球每日有10000~35000個不等的傀儡程式(Bot),利用各種管道,活躍地、散佈在全球各個不安全的系統上。根據資安公司CipherTrust資料統計,每一天,這些傀儡程式將影響超過25萬個系統;而這個影響的系統,除了50%是家用電腦網路系統外,40%的攻擊是針對大型以及中型企業。
雖然從統計數字上看來,傀儡網路攻擊(Botnet)的後續影響力相當大,但對於許多臺灣企業而言,所謂的傀儡網路攻擊根本無從察覺,法務部調查局資訊室主任閻鎖琳便指出,「很多企業根本不知道他的系統被入侵、被冒用,一直到ISP或執法單位通知,才可能知道。」因此,對傀儡程式的知己知彼,已經成為現代企業不可或缺的資安概念。
Bot成駭客犯罪工具
根據McAfee一份虛擬犯罪報告可以得知,許多網路犯罪的目的最主要就是為了要入侵網路上的電腦,而透過蠕蟲、病毒、垃圾郵件、網路釣魚、木馬程式、間諜程式等手法,將傀儡程式植入網路系統中,藉此遙控該系統;而這些聽命行事的傀儡電腦,則是網路犯罪者最好的幫手。美國FBI也估計,在2004年美國網路犯罪所造成的損失高達4000億美元,甚至,光是販售170萬筆偷來的信用卡資料,都可能造成430萬美元的損失。
但這類網路犯罪被定罪的比例不到5%,甚至,網路上除了有許多免費的傀儡程式外,花不到1萬元,也可以租用類似的傀儡網站來發動DDoS(分散式阻斷式服務攻擊)。
從2005年起,許多中華電信用戶被植入後門程式,成為Botnet受駭主機,遭到駭客大規模控制。中華電信網際網路處科長吳怡芳說,「透過分析惡意網路流量,積極掌握受駭主機並即時通知,成為降低中小企業成為傀儡網路跳板的積極作為。」
Bot從系統脆弱處入侵
根據美國CERT定義,傀儡網路攻擊基本定義是指:一個可自動執行的電腦程式,或者機器人(robot)程式,非法安裝在電腦系統中,而駭客可以透過病毒或其他惡意程式,散佈該傀儡程式在多臺電腦上,以控制該臺電腦;該臺電腦也可以被1個或多個以上的駭客控制、存取。
CERT也提醒,被傀儡程式控制的電腦運轉一如平常,平時也很難被察覺出來異狀,除非正巧觀察到特定的活動,甚至常常連防毒軟體也無法偵測出傀儡程式潛伏在系統中。
傀儡程式從系統脆弱處入侵,是理所當然。賽門鐵克(Symantec)亞太區資訊安全技術顧問林育民根據其經驗也指出,目前臺灣許多公司企業入口網站(EIP)缺乏維護,成為某些有心駭客的可趁之機;另外,網路使用者在使用瀏覽器或相關網路服務時,忽略瀏覽器告知的訊息,也讓傀儡程式能夠光明正大入侵使用者電腦系統中。
臺灣電腦網路危機處理中心(TWCERT/CC)2002年針對臺灣網路資訊中心(TWNIC)註冊網站進行偵測,至少有50%以上的網站有安全漏洞,其中又有54%的安全漏洞,可以讓人取得系統管理權限。美國的情況也頗為嚴重,美國聯邦政府網路1年遭到駭客入侵25萬次。在在都證明許多在網路上運轉的系統,多是漏洞百出、脆弱不堪的。
因為系統漏洞多,許多惡意程式要入侵,便沒有那麼難。Juniper(瞻博網路)技術經理林佶駿表示,在4、5年前,一臺毫無安全防護的電腦系統連網後,約莫可以撐到72小時會被駭客攻陷;吳怡芳則說,「現在一部無資安防備的電腦一旦連網,最快15分鐘就可以被駭客攻陷。」
IRC、E-mail是Bot主要散布管道
全世界第一個寫出來的傀儡程式,是在1993年針對Unix主機所寫的程式,名稱為:Eggdrop Bot,迄今還有針對微軟視窗作業系統的傀儡程式:Eggdrop Bot for Windows存在著。目前傀儡程式大致可分成幾種管道散佈,其中,「網路聊天室(Internet Relay Chat;IRC)的散佈是傀儡程式最原始的散佈方式。」林佶駿說道。這些IRC Bot通常都走TCP通訊協定,包含TCP 6667通訊埠等。林佶駿表示,隨著加密通道的盛行,為了逃避常規檢查,傀儡程式也會選擇諸如:https通訊協定傳播(TCP 443埠)或其他8000埠、500埠等,未來點對點(P2P)的傳播方式將更為普遍。
傀儡程式主要是聽命發動者發布命令而動作,不論是自動更新其版本,或者命令傀儡程式攻擊某個網址,藉此發動DoS(阻斷式服務攻擊),林佶駿指出,「更重要的是,可以掃瞄網路上其他電腦系統的漏洞,並可利用垃圾郵件、病毒發送或其他散佈惡意程式的方式,將傀儡程式複製到其他網路上有弱點的系統上。」也就是說,當傀儡程式入侵電腦系統後,亂數決定掃瞄的網段,例如網段Class B,假設從211.21.0.0~211.21.255.255中,有6臺電腦有系統漏洞,傀儡程式便可趁機入侵(exploit)。
除了網路聊天室以及系統漏洞外,透過電子郵件散布方式,更是傀儡程式化被動為主動的攻擊方式。林育民便指出,「SMTP是包含傀儡程式在內的惡意程式,最常被用來進行擴散的媒介;而在2005年下半年,前50大惡意程式中,則有92%是透過SMTP來擴散。」
宏碁便曾經針對某單位進行誘騙電子郵件測試,透過每人10封的誘騙郵件,包含網頁、Word檔以及圖檔等附加檔案,測試收件者的警覺性,通常駭客只需要一封誘騙郵件成功就可達到目的。宏碁安全技術與管理處資安一部資深技術經理黃瓊瑩表示,該次誘騙測試中,「有預先通報的測試,誘騙成功率超過30%;而沒有事先預警的誘騙測試,誘騙成功率則高達50%以上。」
發動DDoS攻擊、癱瘓網站或系統
大型Botnet能夠進行廣泛的DDoS,小型Botnet利用偽造IP的方式,發動洪水攻擊,以避免其植入傀儡程式的電腦被發現。
結合許多被植入傀儡程式形成的傀儡網路攻擊,林育民說,「傀儡程式除了可以聽命竊取資料外,更重要的是,可以發動DDoS(分散式阻斷式服務攻擊)。」所謂的Dos攻擊就是,利用傀儡電腦發出的封包,癱瘓受駭企業的系統,導致緩衝區溢位,或使封包超過頻寬。這些攻擊若從單一機器對單一主機發動,目的在使系統主機超載,則是DoS攻擊;但若攻擊是從多個機器針對單一系統發動,則為DDoS。
美國就曾經有一個實際案例,某運動用品便花錢雇用某一個青年駭客,要其發動DDoS攻擊,癱瘓其競爭對手的網站。而這次攻擊對該競爭對手網站,造成數十萬美元的損失,連該網站的伺服器廠商及ISP業者,對此攻擊都束手無策。而中國北京,也有1名駭客操縱6萬臺傀儡電腦,癱瘓1家音樂網站,造成人民幣700多萬元的損失。
另外,駭客也可利用監聽網路流量(Sniffering Traffic),取得其他傀儡網路電腦的資訊,「不論是以加密手法向企業主進行勒贖,或者是利用DNS(域名)伺服器,發動DDoS攻擊,都是現今傀儡網路攻擊最有效的方式。」吳怡芳說。目前網路上開放查詢的DNS伺服器數量最高可達560萬臺。
發送垃圾郵件、竊取機密資料
傀儡程式透過不特定缺乏安全防護系統,作為發送垃圾郵件(Spam)或網路釣魚(Phishing)的跳板,則是目前在臺灣許多中小企業最常面臨的問題。
由於中小企業經常是傀儡網路攻擊的某種惡意行為跳板,趨勢科技臺灣區技術支援部技術總監王應達便說,「企業或ISP的IT人員,直覺反應就是解決企業被當跳板或被列入網路黑名單的問題,往往難以察覺企業本身已經是傀儡網路攻擊的一環。」
傀儡程式可以聽命,掃描傀儡電腦中的通訊錄以及電子郵件帳號,發送大量的垃圾郵件到這些信箱;同樣的,也可以發送大量的網路釣魚信件,騙取這些使用者的個人機密資料,包含帳號、密碼、信用卡號等。
由於垃圾郵件發送已經是一種產業,對於垃圾郵件發送者而言,透過傀儡程式植入不安全的企業系統中,並利用其郵件主機來發送垃圾信件。有一名軟體公司的IT主管表示,他曾經在公司伺服器上發現有不明程式,當時該公司對外發送的電子郵件,經常被某些大公司的郵件伺服器擋下來。該名主管表示,「後來才發現公司的郵件伺服器被駭客入侵,植入傀儡程式,做為發送垃圾郵件的跳板。」因此,他們公司的郵件伺服器被列在RBL的黑名單中,成了駭客任務的跳板受駭者。
此外,某些駭客則在傀儡程式中,隱藏了一個鍵盤側錄程式(Keylogger),可以透過傀儡程式將使用者資料回傳時,同步回傳透過鍵盤側錄程式紀錄下的網路銀行或線上遊戲的帳號與密碼,藉此偷取金錢或虛擬寶物。
傀儡網路攻擊為了圖利
去年,美國CNN電視臺、電子商務網站eBay及微軟等,都曾經遭遇過傀儡網路攻擊。而臺灣,並未倖免於這股攻擊浪潮。由於民情關係,臺灣對於資安事件的揭露,顯得相對保守,主要是擔心商譽受損,失去顧客的信任感。
從去年開始,有一些金融單位遭到類似的攻擊。警政署偵九隊隊長李相臣在一些演講場合中便曾提到,有駭客利用某些中國大陸駭客工具寫成的傀儡程式,透過各種手法,包含木馬程式、垃圾郵件、網路釣魚、間諜程式或是其他如廣告程式等灰色軟體的方式,設法將可以遠端遙控的傀儡程式,植入某些鎖定金融機構的系統中,藉此達到勒索目的。若該金融服務業者報警或不妥協的話,便直接從遠端遙控,中斷該系統服務。許多企業迫於無奈,多半也只能跟駭客談判、花錢了事。
這類的攻擊並非特例,中華電信資安技術中心(SOC)在2004年就已經發現並處理過傀儡網路攻擊事件,所幸當時發現的那個案例,因為由內而外的IDS(入侵偵測系統)封包發送規則設置得宜,阻擋能力強,也順利阻擋封包發送不符規則的傀儡程式,無從對外擴散。
由於傀儡網路攻擊的發動者,往往只需要遠端遙控傀儡程式聽命辦事即可,而傀儡程式部署的範圍越廣,對發動者越有利。去年1月美國一位20歲的少年,便發動傀儡網路攻擊,癱瘓美國西雅圖的西北醫學中心的系統,導致醫院系統當機,危害到該醫院病人的生命安全。而該名駭客目前也面臨15年以上的牢獄之災。目前此類駭客已較為減少,多從炫耀自己的能力轉變成利益導向。
Botnet Vs. Rookit
Botnet和Rootkit兩者是常讓人搞混的技術,事實上兩者共同特色都是:很容易隱身在電腦系統中,很難被察覺出來,只是兩者隱藏的方式不一樣。
美國CERT對兩者分別作出定義,其中,Rootkit是一個可以在不被察覺的狀況下,悄悄地安裝在電腦系統中的軟體,甚至是安裝在作業系統底層中,成為系統開機.dll檔的一部份;通常是利用電腦系統上的漏洞入侵,或者利用網路釣魚郵件(Phishing),唆使使用者連線下載某項軟體;駭客可以無聲無息的操縱並監控該使用者的電腦,甚至不被防毒軟體發現。
至於Botnet,是一群被植入傀儡程式的一群電腦的總稱;而被植入電腦系統中的傀儡程式,至少得是一個自動化的程式,或稱之為機器人程式(robot)。而這些傀儡電腦可以被一個或多個以上的駭客操控,駭客則藉由散佈病毒或其他惡意程式碼,取得對電腦系統的控制權。
而這臺電腦若成為傀儡網路的一部份,平時運作時也看不出異樣,傀儡網路攻擊最常見的現象就是發動大規模的活動,例如DDoS(分散是阻斷式網路服務攻擊);傀儡電腦平時也會聽宿主的命令,掃瞄不同電腦的系統弱點、監控線上網路活動,甚至收集個人所有資訊等。
