iT邦幫忙

21

防毒軟體為何沒辦法阻止即時通訊軟體中送來的惡意網址連結?

當我們使用即時通訊軟體時,常會遇到有人寄送包含網頁連結的訊息,一旦點選,多半會中毒,為什麼防毒軟體不一定會發會作用?
你是否注意到在你周遭,越來越多人在交換完電子郵件地址後,會詢問對方MSN、Yahoo!或Skype的帳號?在名片或簽名檔加上即時通訊的帳號似乎也正開始流行起來。即時通訊(Instant Messaging,IM)已成為許多人日常生活中不可或缺的重要溝通工具。

點選由IM傳來的不明連結,後果堪慮
過去,我們常收到親朋好友透過電子郵件分享一些新奇好玩的訊息或網站;現在,隨著即時通訊的普及且交談方便,許多人改用即時通訊來散播這些「好康」的訊息。是否曾仗著自己已安裝號稱「功能強大」的防毒軟體,而按耐不住好奇心去點擊由即時通訊所傳送過來的連結呢?

防毒軟體無效?繼續中毒!
在威脅無處不在的網路世界裏,惡意程式可能已在你高興地玩著線上心理測驗或瀏覽大特價訊息時,在背後悄悄滲透進入你的電腦;而躲在暗處的駭客從此更可在遠端監控你在網路上的一舉一動,並在你的電腦上大肆搜括你的個人隱私與機密檔案。

你可能會納悶:我已使用號稱「功能強大」的防毒軟體,為什麼還是會中毒?駭客還是可以長驅而入呢?事實上,目前防毒軟體主要的運作原理,都是透過惡意程式的特徵進行偵測與攔阻。廠商必須透過蒐集惡意程式樣本、進而分析,並依據惡意程式特徵,撰寫病毒定義檔,才能協助用戶抵禦不斷推陳出新的惡意程式。然而,若不幸在防毒軟體廠商發布病毒定義檔之前,即已遭到最新的惡意程式的攻擊,僅靠惡意程式特徵加以偵測的傳統被動式防毒軟體,通常是無能為力的,你也將成為該惡意程式的受害者。

過去,許多透過即時通訊擴散的惡意程式,主要是以檔案的形式進行擴散;然而,隨著使用者安全意識的提升,不隨意接收與開啟不明來源的檔案已經成為上網的習慣,這類的攻擊手法成功率大幅降低。

但大多數的使用者並未意識到一件事:任意點擊網路連結仍可能造成危害。

於是,駭客們轉向透過瀏覽器漏洞與惡意網路連結來散播惡意程式,並且利用網路連結擴散的手法,駭客可透過混淆編碼引擎,躲避大多數防毒軟體的偵測與攔阻。

或許你認為撰寫編碼引擎與利用瀏覽器漏洞需要懂得高深的入侵技術,並不是所有駭客都具備這樣的能力;然而,在「什麼都有,什麼都不奇怪」的網際網路上,只要善用搜尋引擎即可找到各式各樣現成的攻擊程式。

以最近相當熱門的MPack為例,在網際網路上,最低以美金十五元即可購得,在某些地下駭客網站上甚至能免費下載。為了避免成為這類新型攻擊手法的受害者,養成好習慣,勿隨意點擊來源不明的連結,仍是最佳的安全防禦手法。

防禦之道
面對上述的安全威脅,就技術面該如何有效進行防禦呢?提出兩點建議:一、使用主動式用戶端安全防禦系統,二、架設網路即時通訊防護過濾機制。

主動式用戶端防禦系統
面對網際網路上層出不窮、持續推陳出新的安全威脅,只靠傳統被動式防毒軟體,不足以防護用戶端的安全,唯有採用主動式用戶端防禦系統,才能有效抵禦各類新興的未知安全威脅。相關的技術和產品包括:
1.防毒軟體:雖然傳統上的防毒軟體僅能被動防禦新興的惡意程式,但對於已知的惡意程式,防毒軟體還是最簡單有效的防禦機制。
2.雙向控管用戶端防火牆:透過雙向控管用戶端防火牆,可有效防堵不明程式對外連線,降低機密資料外洩與對外擴散的風險。
3.網路入侵防禦:透過網路入侵防禦,針對未安裝修補程式的系統,能防堵遭駭客或惡意程式利用已知漏洞侵入。
4.作業系統與應用程式異常行為攔阻:對於未知、新興的安全威脅,透過行為模式的分析,如果惡意程式引發了異常作業系統與應用程式行為(例如未經授權的程式嘗試修改系統檔案與註冊表),這類型技術能防堵、降低未知威脅可能的危害。
5.應用程式行為控管:可限制即時通訊軟體不得上傳與下載檔案、不開啟網路連結以及透過瀏覽器下載或執行任意檔案;避免因使用者不慎開啟惡意檔案或連結,引發風險。亦可對抗針對瀏覽器漏洞與惡意ActiveX、JavaScript及VBScript等程式碼的威脅。
6.強制執行主機安全政策:自動協助使用者安裝修補程式,並修改不安全的系統設定,以防堵駭客或惡意程式利用已知漏洞進行攻擊。

網路即時通訊防護過濾機制
除了採用主動式用戶端防禦系統外,企業用戶可以考慮架設網路即時通訊防護過濾機制。如此一來,能在第一道防線攔阻惡意訊息與連結,並可防護企業內那些未安裝主動式防護系統的用戶端,在企業即時通訊防護工作上,達成「縱深防禦」的目標。
1.即時通訊傳檔掃描::透過閘道端的過濾,把惡意檔案阻擋於企業第一道防線上,保護企業內未安裝防毒軟體或未更新病毒定義檔的用戶端。
2.異常訊息與網路連結攔阻:相較於用戶端安全防禦系統,閘道端的過濾機制可透過偵測異常連線,主動攔阻異常訊息與網路連結。例如是否有大量內部用戶於短時間內收到相同的訊息或連結,以及單一用戶端短時間內對外傳送大量相同訊息與連結,
3.內容過濾:企業可完全禁止即時通訊傳輸檔案及網路連結,將即時通訊上可能的惡意威脅降至最低。

簡單地說,唯有養成良好的使用習慣──不任意開啟即時通訊上傳送的不明來源檔案或連結,並且採用主動式的用戶端安全防禦,或是建置網路即時通訊防護過濾機制,才能讓你安心且優遊自在地與親朋好友們聯繫感情,交換新知,共享美好時光!


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
ataru
iT邦研究生 1 級 ‧ 2008-03-10 23:13:47

當然不會攔截,因為程式不會知道這是人家真的要傳網指給你還是病毒造成的。而且幾乎所有的惡意連結,都需要點選後,才會開始作業,所以當然不會在一開始就攔截。

其實有個很簡單的方式就可以避免,如果是朋友傳來的,問一下,他傳來幹嗎?如果他沒有傳網址,又跑出這行來,那就可以確認是病毒造成的,不是嗎?!

0
john651216
iT邦研究生 1 級 ‧ 2008-03-27 10:37:44

當然不會,就好像IE操作一樣,有人會養成好習慣把下載回來的檔案先存下來而不打開,另外用掃毒軟體確認是否是問題檔案

0
5min
iT邦好手 3 級 ‧ 2008-04-20 17:03:34

謝謝分享

0
海綿寶寶
iT邦大神 1 級 ‧ 2008-04-24 18:43:27

即時通很方便
不管是傳訊息或是傳病毒

0
fanylu60
iT邦研究生 1 級 ‧ 2008-04-25 10:34:47

感謝提供分享

0
tgunlu
iT邦研究生 1 級 ‧ 2008-04-26 15:34:17

謝謝分享

0
tyc1220
iT邦研究生 1 級 ‧ 2008-05-15 02:34:41

謝謝分享

0
davistai
iT邦大師 1 級 ‧ 2008-08-12 06:40:48

很不錯的分享,防毒還是要有基本概念才行^_^

0
gkkangel
iT邦好手 1 級 ‧ 2008-09-03 08:47:34

謝謝分享

0
tako079
iT邦新手 4 級 ‧ 2008-11-10 11:03:16

我曾不小心把卡巴設定成『檢查加密連線』結果造成MSN登錄不上,
也曾在防火牆的例外名單上看到msn,
那我有理由覺得msn其實是獨立的加密連線&不受防火牆阻擋的連線,
所以msn是否能被防毒軟體所檢查呢?
我覺得不行的可能性很高,
雖然msn中有選項,
可選擇是否要用防毒軟體檢查傳送附加檔案,
但是很有可能只是只有檢查附加檔案而已,
一般文字或是連結或是圖片之類的都不會去檢查

0
alexc
iT邦高手 1 級 ‧ 2009-06-10 10:01:07

謝謝分享

我要留言

立即登入留言