從殭屍網路到鬼網間諜
防範網路大軍的惡意入侵

2009-06-25
資安的防禦工作和攻擊手法比較起來,事實上難度更高,也很難全面地加以兼顧。在網路攻擊氾濫的今天,網管人員只要稍有鬆懈,很容易就會受到來自四面八方的惡意入侵,一旦使用者電腦或服務主機受到操控成為跳板,隨之而來的就是更多令人頭痛的問題。
相信多數六年級生和更年長的朋友,都曾經歷過殭屍電影的熱潮,在電影中道長只要憑藉手中的符咒,一一黏貼在殭屍的頭上,然後一搖手中的法鈴,就能操控所有殭屍行走跳躍的方向。  

在這個網路盛行的年代,也有所謂的殭屍網路(Botnet)出現,指的是一群受害者的電腦受到操控,成為受人擺佈的「殭屍」,可以被惡意人士利用來發動大規模的網路攻擊,或是從事散布垃圾郵件或病毒的惡意行為,而且這些攻擊往往難以追查到幕後隱藏的真正控制者。  

為什麼電腦會變成「殭屍」?可能的原因有很多,但比較顯而易見的原因則有二個,一是管理人員平時未做好管理工作,讓電腦缺少適當的防禦機制,例如未安裝防毒軟體、未修補作業系統漏洞等,造成使用者的電腦具有容易入侵的弱點,進而感染了木馬或病毒等惡意程式。  

另外一個原因則是使用者本身缺少資安意識,喜歡點選開啟來路不明的電子郵件或檔案,或是濫用電腦去下載非法軟體,導致電腦很快就變成殭屍大軍中的一員。  

殭屍網路危害的情況  

過去,殭屍網路大多被用來作為癱瘓他人網站的利器,只要透過同一時間操控大量的殭屍電腦,發動分散式的阻斷服務攻擊,往往就會造成企業的網站難以招架而停擺,網管人員也很難在短時間內找出攻擊的源頭並加以阻擋。殭屍網路也能被用來作為發送垃圾郵件的工具,藉由不斷轉換不同的受害電腦當成發信主機,就可使得過濾郵件黑名單的功能容易因此失效。  

隨著網路廣告服務的盛行,殭屍網路更被用來和地下經濟做結合,利用操控分散在各地的電腦,針對特定線上廣告進行點擊,就可以獲得廣告的收入,此一類型的手法,被稱之為「點擊詐欺」。  

換句話說,殭屍們已不再像以往只具有單一功用,而是會隨著情境設定的轉移,即可成為駭客們手中操弄的不同角色,而探究其目的,多數都是為了獲得不法利益才來進行。  

如今,殭屍的行為模式也變得更加有組織,除了以廣告點擊方式來獲利外,目前最新的手法是可以竄改Google的搜尋結果,以假的廣告連結來加以替代,每當不知情的使用者一點擊,也就成為幫忙駭客賺錢的工具之一。  

殭屍網路還能夠幫助駭客蒐集各項有價值的資訊,例如個人電腦上的使用者身份資料、帳號密碼,以及信用卡號等,根據加州大學的研究人員指出,在短短十天內,殭屍網路即有能力獲得高達70G的使用者資訊,藉此可獲得高遠數百萬美元的不法利益。  

至於目前很流行的社交網路,使用者若一不小心,也很容易成為殭屍網路中的一份子。根據希臘Foundation for Research and Technology機構的研究顯示,只要透過在社交網路上的應用程式,分享圖片給使用者瀏覽,透過此應用程式中所隱藏的框架,就可以驅使使用者的電腦向特定的主機傳送網路流量,除了可用來當作實行阻斷攻擊的跳板,還能夠竊取其他使用者帳號並散播惡意程式。  

從殭屍網路到鬼網間諜  

除了殭屍網路之外,如今更出現了一個新名詞,叫做「鬼網」。根據加拿大的研究人員指出,在最近兩年之內,包括台灣等世界共103個國家,有1295台政府和民間企業組織的電腦,都曾經遭到間諜滲透,一旦這些電腦被植入了惡意軟體,駭客就能在遠端監控使用者的行為,還能夠開啟電腦上的網路攝影機,監視四周的環境動態,許多包括國家級的機密文件,恐怕也已經遭到竊取。  

以往要滲透他人的電腦,往往會採取網路釣魚等社交工程手法,透過發送內含惡意軟體或惡意連結的郵件來引誘使用者上鉤。  

但是研究人員表示,鬼網的運作主要是有系統地針對特定目標,以便獲得一開始即鎖定的機密資訊,而且它極有可能是透過國家的力量發起,儼然成為一種新型態的資訊戰爭。  

這樣的手法,是否也會被運用在商業環境中,仍有待觀察。但依照以往經驗,商場如戰場,各種商業間諜的案例仍然層出不窮,相信只要是有利可圖,惡意人士應不會輕易放過這塊大餅,所以相對的,這也是給企業的一道警訊,在未來的商業競爭中,很可能也會面臨這種非法的手段,是否該及早作好準備,也考驗著企業經營階層的反應能力。  

企業的應對之道  

一開始即提到,防禦這件事在資安工作中,可能遠比入侵他人的難度要高出許多,所以企業要如何因應,在千頭萬緒中究竟該如何做起?個人的建議是盡量以簡御繁,先從簡單能做的著手,也就是先回頭檢視企業現有的環境,擬定防禦策略,並及時修補可能的安全漏洞。  

因此,企業可以從管理面開始,首先擬定網路的安全政策與規範,不過在擬定之前,需要全面檢視現有的網路架構,建議可以由外向內,層層確認目前的安全設備,是否已處於正確位置並發揮作用,同時也要進行服務主機的強化,然後再到使用者端進行弱點補強。  

網管人員可以進行的工作,包括:  

1. 檢測防火牆的存取政策是否適當,是否開放了企業不允許的網路服務和通訊埠,在需要變更存取政策的時候,應依照企業擬定的變更管理程序來進行。  

2. 檢視入侵偵測防禦系統的特徵比對是否能持續更新,並確認封包本身的檢測深度是否合理有效,同時可評估是否進一步與網路安全設備連動,以進行聯合防禦。  

3. 檢視相關的網路設備所使用的作業系統和韌體是否為新版,以避免可能存在的安全漏洞,必要時可請設備廠商協助予以更新。  

4. 確認網路設備的管理帳號和密碼,是否有一定的控管程序,避免使用預設的管理帳號,並要求密碼具備一定的強度(例如大小寫數字混合,長度8碼以上)。  

5. 定期檢視網路設備的活動監控記錄,並進行網路設備的效能評估,以確保相關設備不會因特定連線或流量的增加,導致無法負荷而停擺。  

6. 確保網路防禦機制能夠持續運作,因此適時的備份與回復演練是絕對必要的,當大量的網路攻擊和新攻擊手法出現時,若能和外部資安專家或維護廠商在平時就建立良好的聯繫管道,在戰時就能適時的尋求外部支援。  

總結  

網路安全的攻防之間,似乎是一項永無止盡的工作,但是藉由基礎防禦機制的強化,就能獲得相對的安全保障。當然,在此也要提醒網管人員,千萬別一味地追求技術上的控制,而忽略了適時的管理手法反而簡單有效。所以在使用者方面,除了透過技術機制協助使用者更新防毒軟體及病毒碼,修補作業系統的安全漏洞之外,更需要讓使用者具備一定的資安認知,包括了社交工程的防範、電子郵件的應用安全、上網瀏覽的安全注意事項等,因為使用者的教育訓練,往往就是有效且成本最低的防禦策略,可以藉此來大幅降低日常作業所面臨的資安風險。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!