2008技術通報 - 傀儡網路(botnet)無聲的主流威脅

傀儡網路( botnet) 無聲的主流威脅

「唉,最近又中獎了!」IT 人常把「中獎」當作是「中毒」或其他「資安事故」的反諷。一位網路管理者很怨嘆地說:「做防毒連苦勞都沒有,因為做得好是應該,做不好桌上抱怨電話馬上嚮了。但是偏偏要執行資安Policy 時卻內部阻力連連。」小編特別走訪趨勢科技長期支援各產業 IT 部門的技術支援專案經理人(Technical Account Manager, TAM),由他們分享目前企業 IT 部門普遍面臨的網路安全、資安管理相關問題,並提出相關建議。

首先我們來談的是目前企業面臨最大威脅之一傀儡網路( botnet)。近年來網路掛馬事件頻傳,尤其是研發比例較重的產業,是資料搜尋下載的重度使用者,難免成為網頁病毒「中獎」的常客,而這些網頁掛馬受害者,往往成為發動 DDoS拒絕服務攻擊,甚至是資料竊取的傀儡電腦。

Botnet 傀儡/殭屍網路與網路釣魚圈套、木馬、間諜程式一樣,往往埋伏在看似正常的頁面,它們像是網路的隱形地雷,一旦 Click 就有可能引爆。當你瀏覽網頁或按下可信度高的垃圾郵件、MSN所附帶的URL連結的同時,其實與災難只有一之隔!有人形容說Bot傀儡/傀儡病毒像是白蟻,它們挖洞躲藏在安全設施的後面,潛伏一段時間,然後發動大量攻擊。在過去幾年內,我們所觀察到的大部分惡名昭彰的蠕蟲 (例如,MydoomBagleNetsky  Storm 蠕蟲) 所以成功散佈,可能都起因於 Botnet。隨著 Bot 越來越複雜精密,它們躲避大部分偵測系統的能力也越來越強。它們會使用各式各樣的方法,例如可執行的封裝程式、Rootkit 和通訊協定閃避技術,以及隱藏其通訊痕跡的新機制。所有這些方法都有助於它們繼續倖存每個人都有可能感染了 Bot傀儡/傀儡病毒,如果能在閘道外 ("In the cloud") 攔截這些資安威脅,一開始就能防止使用者存取可能觸發攻擊網址,就能有效保護使用者,防範最後的破壞行動所產生的任何威脅。

員工的網路行為 可能成為Botnet操縱的傀儡 進行網路犯罪

當一部電腦成為傀儡網路 Botnet的一部份時,意味著Bot 操縱者可將募集到的龐大網路軍團當作機器人來遠端遙控,從事各種非法入侵。非法組織僱用程式設計師撰寫 Bot 以挾持電腦,這些所謂的傀儡電腦的下場就是淪為各種犯罪活動的工具,用來散播垃圾郵件、發動網路釣魚攻擊甚至是分散式服務阻斷攻擊 (DDOS)。透過網路釣魚所取得的信用卡卡號出租或出售給其他犯罪組織,時價為十組信用卡卡號 20 美元,甚至連聊天室都有人兜售信用卡。多起案例顯示,許多人電腦被傀儡控制者當跳板盜用別人信用卡而不自知,直到警方找上門才知道自己揹黑鍋。

傀儡電腦或所謂的 "bot" 指的是已暗中被吸收成為傀儡網路成員的 PC,而傀儡網路指的是一群有組織的傀儡電腦或殭屍電腦所組成,能用以協助網路罪犯散發大量垃圾郵件、竊取身份資訊、偽造點閱數以及散播色情及其他惡意內容的龐大網路。

傀儡網路有多嚴重?

  • Gartner估計在本年度末大概會有75%的企業會感染上傀儡病毒
  • 刑事局偵九隊統計:全台有三分之一電腦遭植入傀儡程式
  • FBI: Botnet 受害者超過 1 百萬人
  • 根據 Marshal 的報導,有六個 Botnet傀儡網路必須為現今 85% 的垃圾郵件與網路釣魚電子郵件負責。

目前病毒的成長多數來自網路,透過網路傳播、自動下載新病毒或自動更新變種,不斷成長,最難以掌控的是透過招募不知情的bot傀儡電腦形成龐大的botnet傀儡網路惡性循環。botnet 傀儡網路另一個說法是殭屍網路,顧名思義受害電腦一旦被植入可遠端操控該電腦的惡意程式,即會像傀儡一般任人擺佈執行各種惡意行為,近年來尤以藉著「網頁掛馬」(入侵合法網頁植入惡意連結)進行資料竊取危害甚遽。瀏覽網頁者在無法察覺的情況下,連線到傀儡網路背景植入間諜軟體等載惡意程式,並從此成為傀儡網路的一員,繼續壯大傀儡網路軍團。

10部電腦就有1.1部成為非自願的傀儡電腦,但多數人都不自知,甚至到警察找上門,才知道自己的電腦被當作攻擊跳板,幫駭客賺黑心錢

阻斷傀儡網路的行進路線如何在上網瀏覽時保持安全

  • 採用具備安全防護功能的應用程式

今日許多桌上型電腦網際網路應用程式 (如電子郵件用戶端程式或 Web 瀏覽器等) 均具備特殊安全防護功能,可防止使用者不慎下載惡意程式碼。舉例來

說,Microsoft Internet Explorer 7.0 就內建快顯封鎖程式以及多種層級的網際網路安全性設定。此瀏覽器還能拒絕自動下載 HTML 郵件中的圖片,除非使用者要求下載。有些電子郵件用戶端程式能防止使用者按下電子郵件內嵌的連結。但是這類功能通常並不包含在預設設定中,使用者必須自行啟用。

Botnet1

Botnet2

Botnet3

Botnet4

  • 持續定期更新

為防範惡意廣告,趨勢科技建議電腦使用者應定期安裝作業系統與應用程式的安全性更新。舉例來說,下載最新版本 (7.0 ) Internet Explorer 便可提供較為安全的瀏覽環境。IE 7 整合了一項重大安全性強化功能,有助於防範惡意程式入侵。此外它還提供全天候的詐騙網站防禦機制,並且可在使用者造訪被視為「安全」的網站時提供更完善的通知。使用 Microsoft Update 取代 Windows Update 服務 (後者只涵蓋作業系統本身的更新) 能確保所有已登錄的 Windows 應用程式都能保持在最新的狀態。

若使用者比較習慣使用 Mozilla Firefox,有一個名稱為「noscript」的附加元件能限制只有來自特定可信任網域的 JavaScriptJava 以及其它可執行內容可以執行,藉此保護瀏覽器,並且能有效防範跨網站指令碼攻擊 (XSS)。這能防止安全弱點遭利用,同時又能讓瀏覽器的功能維持正常運作。

  • 按下連結時應提高警覺

傀儡網路會運用社交工程技巧及散播惡意電子郵件的方式來感染新的主機。傀儡網路散播的電子郵件中可能夾帶惡意程式作為附件檔,也可能內含指向其他某處的惡意程式連結。這類社交工程技巧會使用如 "Check out this picture!" (看看這張圖片) 的主旨,以及看似 .jpg 檔案的惡意附件檔,試圖引誘電腦使用者執行惡意程式。

防範傀儡網路的最佳建議就是避免按下來路不明的電子郵件內含的連結。許多電腦使用者對於電子郵件背後潛藏的危機早已習以為常,但是卻不瞭解傀儡網路垃圾郵件通常將連結內嵌於電子郵件中,一旦使用者按下之後便會啟動惡意程式。使用者往往會被轉向內含惡意程式碼的網頁。然後 Web 瀏覽器便會嘗試下載一個可執行檔。此時使用者若不允許檔案執行,便能僥倖逃過一劫。只要可執行檔一啟動,惡意程式就會自動進入系統中,讓電腦成為散發垃圾郵件的傀儡電腦。早期的風暴傀儡程式變種還會利用瀏覽器安全弱點感染使用者的電腦。因此若是以未更新的瀏覽器瀏覽具感染性的網頁即可能遭這類蠕蟲入侵!

  • 禁止非必要的通訊協定進入企業網路

傀儡程式的主要傳播途徑包含:電子郵件、 Web 以及社交工程技巧。其中最危險的莫過於 IM P2P 通訊協定以及 IRC (線上交談)。這些協定是傀儡程式軍火庫中的利器,主要作為進行散播及與傀儡程式主控者通訊之用。傀儡網路是由許多遭到惡意程式攻擊行動入侵的電腦所組成,但電腦使用者並不知情,幕後操控者可經由 IRC 對它們發號施令,將惡意程式如垃圾郵件、間諜程式等,散播給網際網路上的其他電腦。這種 所謂的「傀儡」電腦的行動完全受制於一個駭客 (或一小群駭客),也就是所謂的傀儡程式主控者。

禁止非必要的通訊協定,如 IM P2P 通訊協定,以及 IRC (線上交談 - 一般使用TCP port 6660-6669)進入企業網路。這些通訊協定是傀儡程式軍火庫中的兩大利器,主要作為進行散播及與傀儡程式主控者通訊之用。在網路中部署安全弱點掃瞄軟體。

  • 定期更新作業系統

傀儡網路也可能會搜尋 (並且主動攻擊) 含有已知弱點的主機,這些弱點往往存在於作業系統或瀏覽器中。透過這種方式,便能虜獲更多主機加入傀儡網路中。

為了讓新發現的網路安全弱點衝擊程度減至最輕,並降低遭傀儡蟲感染的風險。建議公司內部舉辦訓練或使用者宣導活動,技術使用者應採取的基本安全防護措施包括熟悉犯罪程式慣用手法,如使用社交工程技巧,以及如何因應典型的攻擊活動。

  • 建置多面向的多層式安全防護解決方案

傀儡程式會運用多種媒介入侵企業網路,包括電子郵件與 Web, 因此必須安裝在網際網路閘道、個人電腦或伺服器上安裝多面向的多層式安全防護解決方案。?

遭傀儡網路入侵的電腦通常都未安裝有效的防火牆及其他安全防護軟體。若要將遭傀儡網路滲透的風險降至最低,趨勢科技建議使用者應安裝能提供完整保護的資安威脅防護軟體,防堵垃圾郵件與 藉由 Web 入侵的木馬程式 (看似有益但具破壞性的程式),避免電腦遭感染而成為傀儡電腦。如果能在閘道外建置防毒牆產品,透過In the cloud的強大運算技術來攔截這些資安威脅,防止它們危害使用者的電腦系統。

重要的閘道外安全防護機制包括 Web 信譽評等服務,此解決方案能有效監控網站,遠優於簡單的網址過濾軟體。遏阻 Web 平台的資安威脅,將它們完全阻絕在網路之外,Web 信譽評等服務能依據包含可疑活動模式在內的多項指標,對網域指定相對的信譽等級評分。它能藉由惡意程式活動模式分析來強化此一評估,並搜尋網站內容進行掃瞄,提供一份已知惡意網站及遭感染網站的黑名單,藉以協助進行分析。

此外,此解決方案還將惡意程式知識庫移至網際網路上,提供一個網羅了最新資安威脅資訊的中央資料庫,確保客戶能在新型惡意程式一出現時即獲得完善的保護。

有效的電子郵件信譽評等技術能依據寄件者的信譽等級封鎖高達 80% 的電子郵件型態資安威脅,將它們阻絕在網路之外。參照信譽評等資料庫以及即時監控特定網際網路流量模式與 IP 電子郵件發送行為模式的動態服務,驗證 IP 位址,遏阻來自傀儡網路、傀儡網路及其他新的垃圾郵件來源的 Web 資安威脅。

  • Web Threat Protect (WTP) Bot 威脅最小化

隨著 Bot 越來越複雜精密,它們躲避大部分偵測系統的能力也越來越強。它們會使用各式各樣的方法,例如可執行的封裝程式、Rootkit 和通訊協定閃避技術,以及隱藏其通訊痕跡的新機制。所有這些方法都有助於它們繼續倖存,也相對地獲得成功。由於網路安全威脅變得越來越普遍,也越來越以牟利為目的,因此新的技術創新也會持續滋養這個熱鬧的 Bot 產業,並繼續使安全戰爭逐漸升級。

趨勢科技Web Threat Protect (WTP) 包括 RUBotted 技術,可以監控來自 Bot 控制者送來控制遠端電腦的遠端指揮控制 (C&C) 指令傳送。此外,它也會監視與 Bot 有關且具有潛在惡意的活動,包括大量寄發電子郵件行為 (此為感染 Bot 之電腦常見的的活動)。

WTP的設計非常輕巧,目的是用來偵測使用者是否感染 Bot。之所以能夠設計得很輕巧,是因為大部分的偵測都使用雲端演算來執行。

 

  • Web Threat Protect (WTP)避免電腦被傀儡網路控制

趨勢科技已經使用 Web Threat protection (WTP) 技術完成全面啟動及備戰。趨勢科技產品有數個核心元件,共同合作提供網路內容安全。就內部而言,這些元件指的是 TMUFETrend Micro URL 過濾引擎,但正確地說,它們事實上是下列項目的集合:後端服務、模組、API 集,以及網路內容安全功能群組。由所有這些元件所構成的保護傘即為 Web Threat Protection (網路安全威脅防護)正如上述段落所討論的,安全專家相信有數百萬的早已在不知情的狀況下成為 Bot 網路的一份子。即使是沒有顯示出任何遭受 Bot 感染的系統,安裝 Web Threat Protect (WTP) 也能夠提供保護,避免成為受害者。

當你啟用 Web Threat Protect (WTP)傀儡病毒掃毒時,它會:

    • 監視 HTTP 要求:可以瞭解傀儡電腦是否在電腦接收命令
    • 監視 SMTP 流量:可以瞭解傀儡電腦是否在電腦傳送往路釣魚或垃圾郵件
    • 監視 IRC要求:了接傀儡病毒是否在電腦接收命令
    • 監視DNS答詢:監視已知DNS答詢可以瞭解電腦是否已成為傀儡電腦

  • Web Threat Protect (WTP)雲端查詢史上最輕巧 不需下載病毒碼 防禦能力永保最新

由於Web Threat Protect (WTP)更加輕巧,因此僅需要相當少的資源。因為使用以行為為基礎的方式來偵測,所以使用者不需要下載病毒定義檔或簽名檔,即可偵測新型與未知的網頁威脅。這表示它可以降低定期更新的需求,並減少使用者電腦資源的消耗。

這些事件會傳送至「雲端」伺服器,在該伺服器上進行關聯交叉分析,以便判斷這些事件是否為感染 Bot 的徵兆。一旦偵測到感染 Bot,會進行完整的系統掃描與清理。