 |
 |
| e趨勢季刊 |
[ 趨勢季刊|前期雜誌 |趨勢叢書 |訂閱特區 ] |
疾風病毒的省思
文/紀孟宏 趨勢科技全球資訊安全協理
啟動紅色警戒
台北時間2003年8月12號零晨,位在菲律賓的TrendLabs防毒研究中心收到第一件來自PSP
(Premium Support Program) 客戶詢問有關於微軟DCOM
RPC安全漏洞的病毒問題,但客戶並沒有附上任何可疑的病毒檔案,五分鐘後防毒研究中心又收到另一個來自美國PSP客戶的案件,其中附上了第一個MSBlast.A病毒樣本,在接下來的二小時內TrendLabs陸續接到六個MSBlast.A的中毒案例。所收集到的資訊證實該病毒的傳播速度已達內部紅色警戒標準,TrendLabs於台北時間2003年8月12號零晨四點五十分正式宣佈MSBlast.A病毒進入紅色警戒,同時全球第一個可偵測MSBlast.A
的病毒碼604於上午五點三十分正式公佈,TrendLabs同步通知全球PSP客戶及各地區分公司以進入最高備戰狀態。
何謂 DCOM RPC 安全性漏洞
Remote Procedure Call (RPC) 是
Windows 作業系統所使用的通訊協定。RPC
提供程序間的通訊機制,以便允許電腦程式能完美地在遠端系統上執行。RPC
在透過
TCP/IP處理訊息交換的程式碼有一個安全弱點。此特殊的弱點會影響
RPC 的
Distributed Component Object Model (DCOM) 介面,此介面的作用是負責處理由用戶端(Client)機器傳送至伺服器(Server)的DCOM
物件啟動要求。攻擊者一旦成功地攻破這個安全漏洞,便可以入侵此電腦系統並取得該電腦目前執行權限(具有如安裝程式、刪除檔案、新增使用者帳戶等能力)。而含有此漏洞的作業系統包括Windows
NT 4.0、Windows
NT 4.0 Terminal Server Edition、Windows
2000、Windows
XP、Windows
Server 2003。
一波未平一波起
早在美國時間七月十六日,微軟就發佈了MS03-026這個DCOM
RPC安全性漏洞公告及修補程式,然而要全球的電腦在微軟推出修補程式的一個月內就全數更新是不可能的事,以致於在短短一週內全球就有上百萬電腦用戶受到MSBlast的猛烈攻擊,並且在七天之中就出現了五隻MSBlast的變種,真是一波未平一波起。
|
病毒名稱 |
發現日期 (美國時間) |
主要差異性 |
|
WORM_MSBLAST.A |
8/11 |
開機時自動執行MSBLAST.EXE 病毒檔案 |
|
WORM_MSBLAST.B |
8/13 |
開機時自動執行PENIS32.EXE病毒檔案 |
|
WORM_MSBLAST.C |
8/13 |
開機時自動執行TEEKIDS.EXE病毒檔案 |
|
WORM_MSBLAST.D |
8/18 |
開機時自動執行DLLHOST.EXE病毒檔案
新增攻撀MS03-007安全漏洞
自動下載微軟MS03-026安全修正程式 |
|
WORM_MSBLAST.E |
8/18 |
開機時自動執行MSPATCH.exe病毒檔案 |
在這些「疾風病毒」的變種中以MSBlast.A及MSBlast.D影響範圍最廣,其中MSBlast.A為第一隻以DCOM RPC 安全漏洞入侵的病毒,而MSBlast.D 不但延續MSBlast.A的威力還會攻擊WebDAV的新漏洞(MS03-007),此病毒攻擊微軟系統135連接埠,並自動開啟中毒電腦707通訊埠(MSBlast.A使用4004通訊埠)作為後門程式入侵點,再攻擊並感染其他電腦。MSBlast.D病毒有兩個很特別的病毒行徑:一、會強迫中毒電腦自動下載並安裝微軟修正程式,並無預警的重新開機。二、會自動搜尋並移除舊病毒的BLAST.exe程式。由此病毒在自動下載微軟程式與移除舊病毒程式的這兩種病毒行徑看來,表面上似乎是為清除反制「疾風病毒」而來,但由於其強迫電腦在未經系統需求確認的情況下載微軟修正程式,對個人而言,造成上網速度變慢,電腦不斷重新開機;對企業用戶而言,由於企業內部上百台電腦同時下載微軟修正程式的結果,造成網路流量暴增擁塞,進而導致網站癱瘓,影響企業運作甚鉅!
惡性程式傳染管道的演變
從美國聯邦調查局FBI
大動作的追查SoBig.F及MSBlast
的病毒來源不難看出,電腦資訊安全已然成為全球性的危機。如果我們觀察過去十年來的電腦病毒演變,不難發現電腦病毒散播管道的演進跟電腦資料交換的方式有著直接而密切的關係。例如在早期以磁碟片作為主要資料交換媒介的時代,許多電腦仍必須依靠DOS磁片來開機,因此開機型病毒成為當時的主流,使用者一旦以中毒磁片開機,病毒就會常駐在記憶體中,伺機感染下一個受害者;在BBS盛行年代,特洛伊木馬型程式(Trojan
Horse)開始誕生,特洛伊木馬程式沒有特殊的感染程序,取而代之的是吸引人的程式或檔案名稱讓使用者自己送上門並執行該程式;當E-mail如電話般成為人們生活中的一部份時,梅莉莎病毒(Melissa)正式開啟電子郵件病毒之門;當公司網路(LAN)成為企業的標準時,ExploreZip及FunLove開始利用網網相連的特性在企業內部任意流竄,即使
99% 的電腦系統是乾淨的,1%的中毒電腦就足以讓公司內部再度病毒爆發;而在Internet幾乎成為全球企業及個人基本配備的今天,電腦惡性程式的散播範圍不再侷限於一個企業、一個國家、一個地域而是全球性的。
根據最近剛出爐的『ICSA
2002年病毒流行調查』(ICSA
Labs 8th Annual Computer Virus Prevalence Survey)顯示,傳統透過磁片感染病毒的機會已從1996年的74%降為2002年的0%,E-mail
附加檔案的感染方式則從1996年9%上升至2002年的86%。
|
病毒來源 |
1996 |
1997 |
1998 |
1999 |
2000 |
2001 |
2002 |
|
E-mail
附加檔案 |
9% |
26% |
32% |
56% |
87% |
83% |
86% |
|
Internet
檔案下載 |
10% |
16% |
9% |
11% |
1% |
13% |
11% |
|
網際網路瀏覽 |
0% |
5% |
2% |
3% |
0% |
7% |
4% |
|
磁片 |
74% |
88% |
67% |
39% |
7% |
1% |
0% |
惡性程式傳染方式的演變
如果我們把ICSA調查結果的企業前十大中毒排行榜拿來分析,100%的病毒是以電子郵件為主要傳染方式,而其中四隻病毒Klez、BugBear、FunLove、Nimda還會利用電腦系統的安全漏洞,來加快其傳播速度及能力。
|
2002年 感染排名 |
病毒名稱 |
主要傳染方式 |
|
1 |
Klez |
電子郵件
Microsoft 安全漏洞
– 允許自動執行
Outlook 及
Outlook Express 中的附加檔案
(MS01-20) |
|
2 |
BugBear |
電子郵件
Microsoft 安全漏洞
– 允許自動執行
Outlook 及
Outlook Express 中的附加檔案
(MS01-20) |
|
3 |
BadTrans |
電子郵件 |
|
4 |
Yaha |
電子郵件 |
|
5 |
SirCam |
電子郵件 |
|
6 |
FunLove |
當使用者感染WORM_BRAID.A或WORM_WINEVAR.A
病毒時,該病毒會將
FunLove 病毒植入受感染電腦系統中。WORM_BRAID.A的散播管道為電子郵件,而WORM_WINEVAR.A則為電子郵件及Microsoft
的
MS01-20 安全性漏洞。 |
|
7 |
LoveLetter |
電子郵件 |
|
8 |
Elkern |
電子郵件 |
|
9 |
Magistr |
電子郵件 |
|
10 |
Nimda |
電子郵件
Microsoft 安全漏洞
– 允許自動執行
Outlook 及
Outlook Express 中的附加檔案
(MS01-20)
Microsoft 安全漏洞
– Web
Server Folder Traversal 漏洞(MS00-078) |
再來看看2003年的重大病毒案件(如下表),我們可以得到一個較明顯的結論,惡性程式的趨勢是利用電子郵件及電腦安全漏洞為主要入侵方式。透過電子郵件惡性程式可以快速的散播,而利用安全漏洞惡性程式則可以如入無人之境般的入侵電腦或輕易取得系統控制權。
|
病毒名稱 |
主要傳染方式 |
|
SQL
Slammer |
Microsoft SQL伺服器安全漏洞 (MS02-61) |
|
MiMail |
電子郵件
Microsoft 安全漏洞
– MHTML安全問題允許執行攻擊者選擇的程式碼
(MS03-014) |
|
BugBear |
電子郵件
Microsoft 安全漏洞
– 允許自動執行
Outlook 及
Outlook Express 中的附加檔案
(MS01-20)
Microsoft 安全漏洞
– 讓攻擊者能夠在使用者系統上執行指令
(MS03-020) |
|
Lirva |
電子郵件、網路磁碟機、ICQ/IRC/KaZaA的點對點檔案分享
Microsoft 安全漏洞
– 讓攻擊者能夠在使用者系統上執行指令
(MS03-020) |
|
MSBlast |
所有變種:Microsoft
安全漏洞
– RPC介面中的緩衝區滿溢可能會允許執行程式碼(MS03-026)
MSBlast.E 變種:Microsoft
安全漏洞
– Windows 元件中未檢查的緩衝區可能造成網路伺服器洩漏
(MS03-007) |
對於日漸增多的網路型病毒事件,靠單一的防毒策略並無法有效預防類似MSBlast、Nimda等利用系統安全漏洞入侵的惡性程式,企業的IT管理人員必需能夠同時兼顧緊急應變措施、防毒、及系統安全漏洞管理等幾個要點,才能減低事後的修復成本。
1. 封鎖通訊埠(Port Blocking)
以攻擊電腦系統安全漏洞的網路型惡性程式(如CodeRed、Nimda、SQL
Slammer、MSBlast)而言,其共通手法都是攻擊一個含有已知弱點的通訊埠(如MSBlast是針對RPC的安全弱點做攻擊,而RPC服務的通訊埠為
Port 135) 來引發安全漏洞,一旦系統或應用程式產生漏洞,電腦駭客或惡性程式就可以大大方方的長驅直入並取得系統的控制權,最常見的方法是取得電腦控制權之後,惡性程式或駭客再利用所取得的控制權來安裝一個後門程式(Backdoor
Program)以便引狼入室,就好比小偷先從窗戶爬進屋內,再從屋內把大門打開好讓其他同夥可以方便進入屋內。由於此種攻擊是針對特定的通訊埠,甚至後門程式在執行後還會開啟其他通訊埠來下載額外的特洛伊木馬或病毒程式,所以企業可利用防火牆(Firewall)來封鎖(Block)正在被攻擊或是被病毒程式所使用的通訊埠(Port),以便阻斷惡性程式對內的攻擊與系統中毒後對外的散播。
2. 建立安全漏洞管理機制(Patch Management)
根據Gartner
Group 的預測,至2005年大約有90%的入侵事件將會因為已知的安全漏洞所造成,許多企業並沒有修補(Patch)內部電腦安全漏洞的機制,起初大部份的IT人員忽略了這項工作的重要性,但在Nimda事件後,大多數的企業已經開始注意到修補安全漏洞的重要性,然而IT人員卻面臨到一個新的問題,那就是建立企業內部的安全漏洞管理機制過於耗費人力,對於上百台、甚至數千台個人電腦的企業而言,去管理每台電腦是否安裝了最新的安全修補程式(Security
Patch)對資訊管理人員而言往往是一大挑戰,由其是大部份的企業總