能夠破解 CAPTCHA 驗證碼的 KOOBFACE 木馬程式

列印此頁

能夠破解 CAPTCHA 驗證碼的 KOOBFACE 木馬程式

社交網站依舊是網路族群的最愛。不分國籍、年齡和生活型態，人們都喜歡在網路上建立自己社交圈，透過這些社交網站培養真實的人際關係。然而隨著科技日益進步，可預見地，網路犯罪者也將開發更強大的工具對電腦使用者發動惡意攻擊。
威脅
KOOBFACE 惡意程式一開始是利用 Facebook、hi5 與 Bebo 等社交網站散播的一隻蠕蟲。後來，專家發現這隻蠕蟲竟然能夠破解保護網站免受 Bot 電腦入侵的 CAPTCHA 人機分辨測驗。目前最常見的 CAPTCHA 測驗都是請使用者輸入畫面上一個扭曲影像當中的字母、數字或特殊字元。
不過，網路犯罪者最近的一些攻擊當中已經不斷破解了 CAPTCHA 的防護。最早出現的一種破解方式是將網站攻擊程式所遇到的 CAPTCHA 問題轉給專責的人員來回答。另外，趨勢科技也發現一種惡意程式會提供一個 CAPTCHA 問題以及一張穿著清涼的美女圖片給使用者，只要使用者回答的 CAPTCHA 問題越多，美女就穿得越少。
根據安全專家表示，CAPTCHA 破解團體最近開始採用新的方法，充分結合了廉價勞力以及網際網路快速執行全球化匿名交易的特性。他們雇用網咖使用者充當 CAPTCHA 解題人員，或者在開發中國家設置塞滿網際網路連線電腦的勞力工廠。這些人整天坐在電腦面前回答幕後分配者所送來的 CAPTCHA 問題。因此 CAPTCHA 問題的設計人員，不得不極盡所能地扭曲並掩蓋影像內容，讓 Bot 電腦上所安裝的先進字元辨認程式無法辨認。
以上是垃圾郵件散發者為了在 Gmail 和 Yahoo! 等免費電子郵件服務上大量自動註冊帳所採用的 CAPTCHA 測驗破解方式。由於這類服務網站不太可能被垃圾郵件防護系統列入黑名單當中，因此，透過這類帳號所發送的垃圾郵件比較不會遭到攔截。所以，垃圾郵件散發者可以很方便地利用這些管道來發送垃圾郵件。CAPTCHA 測驗除了用於電子郵件帳號註冊驗證之外，也常用於部落格或論壇的意見發表檢查，以及某些做法較為老舊的金融機構。

由於頻頻遭到破解，因此，CAPTCHA 已不再是一種防止社交網站遭到惡意攻擊的可靠方法。在最近一次的 KOOBFACE 攻擊當中，一些不知情的使用者收到含有假冒 YouTube 網站連結的垃圾訊息。該網站會告訴使用者需點選某個連結來下載最新的 Adobe Flash Player 才能觀賞某段影片。但此 Flash Player 其實是一個 Flash 的 .SWF 檔案，會引導使用者下載一個惡意的 setup.exe 檔案，也就是趨勢科技所偵測到的 TROJ_KOOBFACE.DU 木馬程式。此木馬程式會連線到某個惡意網站並下載其他兩個惡意程式：TROJ_TINY.WRE 和 TROJ_DROPPER.JIJ。
TROJ_TINY.WRE 會從遠端伺服器抓取一個圖片檔案 (其實就是一個 CAPTCHA 影像)，並顯示一個訊息要使用者在時限之內正確輸入 CAPTCHA 圖片當中的字，否則就關閉其系統。若使用者沒有成功達成任務，系統就會自動重新開機。如果使用者成功達成任務，KOOBFACE 蠕蟲就會將答案傳送至遠端伺服器上。對 KOOBFACE 來說，這種 CAPTCHA 破解服務的確是一種將蠕蟲散播到更多社交網站帳號既便宜又有效的作法。不僅如此，CAPTCHA 問題的解答還可用來破解一些線上作業程序的 CAPTCHA 保護機制，例如：帳號註冊、帳號修改、網路銀行線上交易等等。
使用者所面對的風險
擁有社交網站個人資料檔案和帳號的使用者，尤其是經常透過這些網站內部傳訊機制來與他人通訊的使用者，是這項威脅的高危險群。此外，不知情的使用者在感染專門破解 CAPTCHA 測驗的 KOOBFACE 變種時，也會讓自己的電腦門戶洞開，駭客可任意下載惡意檔案到電腦，監控使用者的一舉一動，更糟的是，駭客會將電腦變成一個 Bot 節點。
趨勢科技的解決方案與建議
趨勢科技 Smart Protection Network 提供了比傳統方法更聰明的安全防護。能夠在威脅進入您的電腦之前預先攔截。廣泛應用於趨勢科技各種解決方案和服務的 Smart Protection Network 結合了獨特的雲端技術以及輕量化用戶端架構，不論您在哪裡都能立即自動保護您的資訊。此外，這也是唯一能夠進行威脅關聯分析，找出威脅元件角色的防毒技術。
在本案例當中，Smart Protection Network 可透過下列方式來防止客戶遭到 KOOBFACE 木馬程式攻擊：
 電子郵件信譽評等技術可攔截社交網路所發出來的原始垃圾郵件
 網頁信譽評等技術可攔截已知的惡意或危險網站，根據網域信譽評等防止使用者瀏覽假冒的 YouTube 網頁
 檔案信譽評等技術可檢查使用者下載到電腦的所有檔案 (不論使用者是否知情)
 而桌上型電腦端也有防毒技術可偵測並移除 TROJ_KOOBFACE.DU、TROJ_TINY.WRE 與 TROJ_DROPPER.JIJ 等惡意檔案
此外，使用者在下載視訊播放程式更新時也應該特別留意，因為這種「您必須更新視訊播放程式才能觀看此檔案」的訊息已經是網路犯罪者常用的花招。
資訊安全專家相信，採用 CAPTCHA 測驗做為單一驗證的方法已經落伍。網站經營者應該建立多重的驗證程序，最好是獨立分開的兩道或更多道機制，以掌握其網站的使用者與互動對象。
趨勢科技惡意程式部落格對上述威脅有詳細的討論：
http://blog.trendmicro.com/spam-20/
http://blog.trendmicro.com/captcha-wish-your-girlfriend-was-hot-like-me/
http://blog.trendmicro.com/gmail-captcha-gets-a-serious-kick-from-bot-tagteam
病毒報告請看這裡：
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_KOOBFACE.DU
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_TINY.WRE
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?Vname=TROJ_DROPPER.JIJ
其他相關文章：
http://www.usatoday.com/tech/news/computersecurity/2009-04-22-captcha-code-breakers_N.htm