殭屍網路(Botnet)在資安業界,已經是受到關注與研究的議題之一,對於網路服務業者來說,更是避之唯恐不及的對象,但對於一般企業而言,或許它對自己的危害並沒有十分明顯,也就使得管理人員容易忽略這個可大可小的資安威脅。
過去曾經遇見一位朋友,自認為在他的產業裡,公司只是個毫不起眼的中小企業,並沒有太多商業機密或有價值的資訊值得惡意人士來入侵,因此對於媒體不斷披露的資安事件,往往認為是過於誇大而一笑置之,更不願意花一些時間來檢視組織是否存有資安的問題。
其實以往我也同意,如果組織內並沒有太多具有價值的資訊,的確很少有機會去引來惡意人士的覬覦,因此也會建議中小企業,在做風險評估與風險處理時,不需要花五塊錢去保護只有二塊錢價值的東西。
但是,價值這件事其實是很難在當下就立刻判定的,尤其是對於資訊資產,並不能用傳統資產的概念來予以估價,而是必須更深遠地去思考在資安事件的背後,可能對企業造成的衝擊,以及有形與無形的損失。
看出攻擊背後的意義
有一個觀念需要被轉變,那就是今日許多的資安攻擊事件,主要目的已不單單只是想要取得組織內部的資訊,而且還將組織當作是一個跳板,作為入侵他人的管道,或是當作散布惡意訊息和發動攻擊的替身。
所謂「道高一尺、魔高一丈」,全球各地的執法機關會利用資訊科技來預防和阻止犯罪,惡意人士也會費盡心思來運用資訊技術,以便隱藏自己的犯罪軌跡,所以現在許多的攻擊行為都是採取分散式,並且採取不易被發覺且成功機會較高的手法來避免遭到追查,這也是今日殭屍網路會受到惡意人士青睞的原因。
殭屍網路的運作機制並不複雜,惡意人士(botherder)可透過木馬程式(bot)來操控組織受感染的殭屍電腦(bot client),這些電腦在平時可能不會有任何攻擊行為,而且透過變形和自我隱藏,也不太會被防毒軟體偵測到。一旦惡意人士想要發動攻擊時,只要下達一個指令給中繼站(Command & Control Server),再透過中繼站來呼叫殭屍電腦,就可組成為數眾多的殭屍網路,針對特定目標發動攻擊。
殭屍網路的攻擊方式,除了最常見的阻斷服務(DoS)之外,也可以利用它們來散布垃圾訊息與郵件(spam),所以今日的企業組織,除了要擔心自己會成為被攻擊的對象之外,更要思考自己是否會成為攻擊別人的犯罪工具與代罪羔羊。
殭屍網路的發展現況
根據CSI電腦安全協會2009年電腦犯罪與安全調查報告顯示,在443位來自美國政府機關、金融、學術、企業、醫療等組織的安全專家,在過去一年所處理的資安事件中,近六成是和惡意程式有關,也有二成是直接和殭屍電腦有關的資安事件,他們預期在2010年的情況將會更加嚴重。至於賽門鐵克的網路安全威脅報告則指出,亞太地區擁有最多殭屍電腦的城市就是台北,數量約有18萬7千台。
其實bot並非天生就是壞人,運用bot概念來進行網路資料的蒐集與搜尋,已是目前相當成熟的應用,只是後來朝向不正當的方向走,像是透過它來進行網路訂票,搶購熱門的運動賽事或演唱會門票,之前再轉手售出來賺取價差,或是利用它來廣泛寄送行銷資訊,形成大量的垃圾郵件而造成資源浪費,則是比較不可取的作法之一。 尤其是垃圾郵件的寄送,目前已經形成了龐大的地下商機,據估計世界上有8成左右的垃圾郵件,都是藉由殭屍網路來發送,雖然各家資安廠商開發出各種不同的郵件過濾機制,主動封鎖主要的垃圾郵件發送網址名稱,但仍無法很有效地減少垃圾郵件的侵襲。
目前殭屍網路已發展出一項更新的技術,稱之為fast-flux,簡單的說,這項技術可以讓殭屍網路的操控者,持續不斷地去註冊和取消節點的網域名稱,使得透過IP網址來封鎖及識別垃圾郵件的方法,已經不再那麼地有效。
fast-flux從2006年出現至今,已成為網址名稱管理單位一個頭痛的問題,除了會影響網址名稱解析服務的運作之外,更讓殭屍網路變得難以偵測,惡意人士甚至把殭屍網路變成一種出租服務,只要願意付出一些費用,就可以利用它來達到非法目的,更讓整個犯罪行為就像船過水無痕一樣難以追查。
認識知名的殭屍家族
談到殭屍網路,許多人以為它只是單一的威脅,事實上殭屍網路是由許多不同功能的惡意程式所組成,其攻擊手法也有一些不同的差異存在,以下為幾個重大且常見的殭屍網路說明。
PushDo是全球第二大的垃圾訊息殭屍網路,出現於2007年1月,許多人對它感到陌生的原因是,它善於利用不同的技術來隱藏自己,除了能在世界各地持續不斷地發送垃圾訊息之外,也能利用相同管理來散布惡意程式。當然,阻斷服務攻擊也是它的工作之一,最近的行為特徵則是針對網站發出SSL要求,然後不予以回應,使得原本使用率不高的網站突然流量暴增,進而造成網站無法提供正常的瀏覽服務。
ZeuS是一個老牌的駭客工具包,包括像是木馬、通訊埠掃描等工具,透過不同攻擊工具的運用,讓它不容易被一網打盡而得以存活。目前由ZeuS所組合而成的Knebar殭屍網路,特色是能夠運用多重的中繼站,一旦某個中繼站被封鎖,可以快速地切換到另一個來重新啟動,惡意程式本身也能不斷變種,換句話說,這是一個具有備援機制的殭屍網路,是相當難纏的對手。
Mariposa是西班牙語「蝴蝶」的意思,背後控制它的犯罪集團,曾經讓世界190個國家,超過1300萬台電腦染上惡意程式,透過木馬來竊取包括使用者帳號密碼、信用卡號等有價值的資訊。另外,它也能利用IE瀏覽器的漏洞和USB隨身碟來散布,側錄使用者的登入資訊,再偷偷回傳給中繼站,最後回到犯罪集團的手中。
Waledac的專長是發送垃圾郵件,也就是一個典型的spambot,它是由全球數十萬台已被感染的電腦,所串聯起來的殭屍網路,每天可發出高達15億封的郵件。根據微軟Hotmail的統計,在短短不到二十天的時間,它就針對Hotmail的使用者,發送了大約6.5億封的垃圾郵件,除了浪費使用者的時間之外,許多垃圾郵件也會趁機夾帶惡意程式,伺機進駐到企業內部之中。
它最擅長的是收集個人資訊,曾經創下在十天內感染了18萬台電腦,獲取高達70G的使用者資訊,其中包括不同金融機構的帳號、使用者身分資料、信用卡號碼、電子郵件帳號等。Torpig運用了fast-flux技術,使得它的傳播途徑難以完全封鎖,反向追蹤也變得十分困難。
Koobface是個不斷進化的殭屍網路,一開始是利用散布惡意連結,來誘騙使用者下載假的YouTube影片解碼器,藉此來感染使用者的電腦。如今則是搭上Facebook的熱潮,它有能力去假造一個Facebook使用者帳號,並且通過Gmail的帳號認證,然後建立起個人的檔案頁面,同時加入一些個人檔案和照片,目的是偽裝成一個正常的使用者,再大量去送出交友要求,並在塗鴉牆上張貼惡意的訊息。
如何因應殭屍網路威脅
對於企業來說,要防範殭屍網路的威脅可以從二個層面來看,首先是思考如何避免被害(避免遭到阻斷服務攻擊),其次則是如何避免去危害他人(被感染成為殭屍電腦)。關於第一個層面,有些廠商會建議添購專門阻擋殭屍網路的高效能網路設備,但是若遇到大量來自世界各地的分散式阻斷攻擊,這時候就需要ISP業者的支援聯防,所以在事前我們應該要做的,就是去了解ISP業者能提供的協助有哪些,包括緊急聯絡方式、處理流程、所需處理時間等,建議在服務合約中就明訂清楚,這對於企業將會是個保障。
至於要如何避免成為殭屍網路的幫手,由於目前殭屍網路惡意程式通常來自於網路下載和電子郵件,所以教育訓練會是一個好的開始,管理人員需要制訂清楚的網路使用政策,並且讓員工明瞭後果的嚴重性,以避免誤入社交工程的陷阱。
當然,光是教育訓練是不夠的,找到對的技術也很重要,建議管理者可評估適合的閘道端網路內容過濾方案,藉由掃描網頁內容和郵件附件,在惡意程式還沒有抵達內部之前就加以阻擋,同時也可阻止殭屍網路和中繼站連絡的Phone Home行為。
最後在管理方面,成立一個資安事件應變小組是有必要的,唯有透過專責人員對於資安問題有更深一層的了解,預先擬定適當的應變措施,才可避免在事件發生時手忙腳亂,導致錯過了最佳的處理時間,進而造成企業更多的損失。