技术门坎低 任何人皆可撰写新病毒
如今网络上不但极其频繁地充斥着各式各样的恶意程序,而且各恶意程序的变种更以惊人的速度换代出击,会造成如此严重的状况,赛门铁克林育民即感概地指出,原因乃在目前攻击所需知识及技术门坎愈来愈低,几乎任何人都可以透过「病毒产生器」来撰写新的病毒。换句话说,全因为病毒产生器以及恶意程序代码在网上唾手可得,所以造成如今恶意程序猖獗的主因之一。
其实「病毒产生器」的由来已久,早在1991年,第一套可用来撰写新病毒的病毒结构套件(Construction Set)即已出现。到了1998年,网络上又出现McTation Engine或Polymorphic Engine等变体引擎.OBJ子程序。如今网上甚至有一些黑客明目张胆地在网上叫卖木马,甚或将BOT远程遥控程序出租给不法的垃圾邮件发信商。
除了病毒产生器之外,还有网络扫描程序滥用的问题,一支网络扫描程序,可由安全人员使用,以便定期检视公司机关网络的安全性;但该程序当然也可能被黑客用来做为入侵或攻击之用,换句话说,即使由安全厂商推出的网络扫描或弱点扫描工具,都有可能一百八十度转变成黑客攻击程序(Exploit)。
通常黑客在入侵之前,多半会透过扫描程序进行目标探测、搜寻整个子网络、收集信息、探测资源、撷取账号、扫描已开启的网络端口、探索后门、弱点扫描等。其中,系统如果因未修补漏洞而留有后门的话,对黑客而言无异是入侵的最佳快捷方式。所以系统如果有漏洞务必要补,否则在网上根本就是一只待宰的肥羊而已。
同样的,黑客可以运用扫描程序进行所谓的重度扫描,如此一来,便从原由的入侵提升到了攻击等级,而受攻击的目标不是网络大塞车,就是当机停摆。如今攻击事件频传的原因,乃在于任何人皆可在网络上搜寻到分类好的各种攻击程序代码,即使对网络基本原理完全不懂的人,都可以透过这些具备「亲和接口」的程序四处作虐。
其中最恶名昭彰就是网上所谓的脚本小子(Script Kiddies),他们原指一群透过网上现有扫描程序,四处搜寻盗版软件及MP3音乐服务器的人,但如今数量庞大的脚本小子,则无所不括、无所不掠。而且,对于有漏洞的目标而言,透过攻击远比入侵来得快速直接,所以这不知天高地厚的恶魔,当然多采用最猛烈的攻击手法。
如今网络上攻击程序不但数量庞大,新程序出现的时间差也短的惊人。例如微软于今年9月刚公布JPEG处理(GDI+)缓冲溢位(MS04-028)漏洞,短短三天网上就出现一只针对该漏洞的概念型黑客工具码(proof-of-concept),由此益见黑客攻击问题的严重性。
愈来愈广的跨平台病毒网
就作业平台而言,一开始病毒是诞生于Unix平台上,而最早的网络扫描攻击程序也来自于Unix。随着Elk Cloner及C-Brain病毒的出现,Apple II及IBM的个人计算机才正式成为病毒今后展露头角的舞台。
到了2001年,Linux平台也被Ramen病毒攻陷了,而第一只Mac OS的特洛伊木马也在2004年爆发。至于PDA上的操作系统-Palm OS被病毒染指的时间比Linux还要早,2000年,史上第一只Palm PDA特洛依木马Palm_Liberty.A问世,也打开病毒从PC跨越到PDA的新纪元。相对地,由于Pocket PC出现的时间较晚,所以相关的病毒直到今年才出现,但却接连出现Duts病毒及Backdoor.Bardor.A后门程序。
除此之外,全球使用量远超过PC的手机,势必会成为病毒扩张攻击的主要目标。一开始病毒侵袭手机的手法,仍需透过PC当做发动攻击的基地,例如2000年出现的Timofonica,就是从计算机Outlook发信给手机的病毒。真正在手机平台上相互感染的病毒-Cabir直到今年才出现,而且破坏力不大,仅止于消耗手机电池寿命。不过据趋势「2005年资安威胁预测报告」指出,2005年极有可能爆发第一只造成手机瘫痪的病毒。
特洛伊木马仍是最大威胁
目前充斥于网络上的病毒,乃以蠕虫及特洛伊木马为主,此外仍有少数Script病毒及宏病毒继续在网上流篡,而过去曾叱咤风云的档案型、开机型等病毒,几乎消声匿迹、不复踪影。
根据趋势最新出炉的「2004年资安威胁回顾报告」,2004年根本就是MyDoom、Netsky及Begle三大病毒三分天下、相互较劲的一年,此外下半年也有高达2,830只的BOT遥控程序到处肆虐。不过就破坏力而言,全年「最毒」的恶意程序,则由Netsky抡元,MyDoom及Lovegate分居二、三名。
至于在病毒类型方面,在全年16,880只病毒中,特洛伊木马以33个百分点居首位,蠕虫(26%)及后门程序(21%)分居二、三名。如果将后门归纳到木马中,则木马总占54%强,由此可见2004年可说是「木马年」。
不过就新病毒而言,新蠕虫的占比最高,光去年一整年就有多达3,132只新蠕虫诞生。而新后门程序最少,只有963只,则占全年后门程序的26%,这说明了网络上的黑客仍旧习惯以旧有的攻击程序攻击网站。
防毒建议
来路不明的软件千万不要安装执行
来路不明的邮件附件千万别执行
邮件内的网站链接千万不要直接点击
以银行名义寄来的邮件链接千万不要着急点击,以免中网络钓鱼,请直接上银行网站查询。
关闭Outlook或Outlook Express邮件预览功能
Outlook或Outlook Express的安全等级要做适当调整
IE安全性等级要做适当调整
不要随意更改Word、Excel及PowerPoint的安全性等级选项
限制浏览器下载ActiveXControl及JavaApple权限,下载程序前先征求使用者的同意
没事不要乱逛黄色网站
不要任意下载共享软件、MP3或者游戏
不定期查询漏洞,更新安装补丁
安装防毒软件,定期更新病毒库
安装个人防火墙
定期用防毒软件扫描硬盘
定期备份档案
定期注意病毒相关新闻、资讯
图1 JPEG 概念型黑客工具码,只要按下「Make」键即可下载相关漏洞图档。
图2 网络上可以任意下载分门别类好的攻击程序,而且这些程序提供简单的操作接口,即使是对网络概念完全不了解的人,都可以透过简单的输入进行攻击。如图所示即为Webdavin攻击程序的画面。