iT邦幫忙

21

因瀏覽網頁而受到惡意程式侵襲,從哪些徵兆能加以判斷?

ithelp 2008-02-19 13:58:4628382 瀏覽
  • 分享至 

  • xImage
  •  

我們都知道凡走過必留下痕跡,即使對想要銷聲匿跡、偷偷搞鬼的惡意程式而言也不例外。以各種使用者上網行為來說,當電腦因為瀏覽「黑心」網頁而感染了威脅,我們從哪些徵兆,可以看出系統已經遭到利用而不對勁?
網頁的煙幕彈愈來愈多,使用者除擔心惡意程式透過不明郵件的附件檔散播外,還得當心瀏覽網頁卻成了傀儡電腦,或是誤觸木馬間諜軟體暗中埋設的地雷。這些被下毒的頁面,很難憑肉眼察覺,只能套句老話:「早期發現 早期治療」,白話一點的說法是,在毒性尚未擴大前,得注意你的電腦是否有出現異常反應。

近來傀儡程式已跨入 Web 繁衍的時代,傀儡程式主控者 (在幕後操控傀儡網路的個人或組織) 指揮他們的傀儡程式搜尋應用程式與 Web 瀏覽器的安全弱點,伺機入侵電腦系統。受害的通常都是未定期更新或修補系統中的應用程式與瀏覽器的使用者。一旦利用這些弱點得逞,傀儡程式主控者便會在遭入侵的瀏覽器所存取的網頁中插入一小段 HTML 程式碼。當其他使用者瀏覽並按下內含惡意 HTML 程式碼的網頁時,通常就會將傀儡程式下載至他們的系統中而渾然未覺。這種方法稱為「路過式下載 (drive-by download)」。被植入傀儡程式的電腦可能會受到傀儡程式主控者控制,用以竊取資訊、散發垃圾郵件、安裝其他惡意檔案,甚至發動服務阻斷 (DoS) 攻擊等。

一般電腦感染 Web 威脅徵兆
「路過式下載」技術,可能因為使用者瀏覽了某個網站或預覽某些郵件,而在沒有察覺的情況下被安裝惡意程式下載工具。常見的攻擊手法是不法分子發出一封電子郵件,邀請收件人前往瀏覽某個網站。為了躲避偵測,惡意程式下載工具能隨機產生不同的字元。當每次連線到惡意網站時,都會在連結之後使用不同的新參數,因此下載的檔案類型就會隨著改變,使得每次下載的程式都不相同。只要使用者造訪某些受感染的網站,就能在使用者未同意也不知情的情況下,將惡意程式安裝到系統中。如果你的電腦鮮少更新,且出現以下徵兆,有可能已經在瀏覽頁面時遭受攻擊:

  1. 不斷跳出廣告視窗,有時甚至是色情廣告
  2. 桌面或瀏覽器設定被更改了,且無法恢復為原來的設定
  3. 瀏覽器中出現未曾安裝的元件
  4. 電腦效能變得很慢
  5. 程式經常異常終止
  6. 進入個人專屬部落格、拍賣帳號甚至網路銀行,明明輸入正確帳號,卻進不去時,有可能已被駭客鳩佔鵲巢了。
  7. 收到意外的帳單,有可能線上帳號遭冒名購物
  8. 明明打錯網址,卻出現色情網站(也有可能出現如假包換、難以辨識的釣魚網站或廣告網站)

Web 威脅滲透企業徵兆
Web威脅是當前面臨的嚴重問題,企業員工無論身處辦公室、家中甚至通往家中或辦公室的路上所使用的行動裝置,都日益依賴網際網路。由於新一代的Web威脅具備混合型、定向攻擊和區域性爆發等特點,對網際網路的依賴性使得公司網路比以往更加容易受到攻擊。

目前所有的威脅類型,包括特洛伊木馬程式、網路釣魚、網址嫁接、間諜軟體、廣告軟體和其他惡意程式,都已經成為網路罪犯從事惡意活動時組合使用的多種手段。正因為如此,瀏覽網頁成了一件有極大安全風險的事情,Web威脅可以在用戶完全沒有察覺的情況下進入網路,從而對公司資料資產、行業信譽和關鍵業務構成極大威脅。

以傀儡網路為例,其透過 Web的滲透活動通常都難以偵測,往往必須等到它們展開惡意活動之後,才會被察覺。企業通常在下列情況下才會得知傀儡網路的攻擊:

1.終端使用者抱怨電腦、網路、電子郵件或其他應用程式出現效能方面的問題

2.偵測到過於頻繁的對內或對外通訊埠掃瞄

  1. 網路流量異常,例如 DoS 攻擊造成的流量激增

舉一個因為瀏覽遭「動過手腳」的網頁而成為階下囚的案例,提醒大家不要忽略 Web 網頁威脅的嚴重性。

「老師,對不起駭到你」:學生瀏覽色情網頁,老師被判刑
2004 年 10 月,一名美國七年級導師 Julie Amero 遭指控向學生「展示」色情網站。但該名老師聲稱,她沒辦法控制這些不斷出現在電腦上的色情圖像,因此使得10名以上的未成年人看到了這些裸體男女的照片。

Amero 將因四項罪名而面臨 40 年的徒刑,罪名包括可能對未成年人造成潛在危害,或可能對兒童的心靈造成傷害。審判結果已在今年 3 月 2 日出爐。但讓眾人驚訝的是,一般就算是宣判有罪的殺人犯,也不見得會受到 40 年的徒刑,但這名老師卻遭受如此重的刑罰。

此次事件,引發了一場對於色情暴露的實際成因及可能導因的高技術性爭論。有些人認為這是詐騙內容過濾功能的不足所造成;有些人則認為是學生陷 Amero 於不義,讓她無意識地存取到學生遺留在學校電腦上的色情網站。總結來說,問題不在於這位老師是否曾瀏覽色情網站,而是她不過是一個意外受到彈出式視窗轟炸的不知情使用者罷了。

未雨綢繆,避免與黑心網頁照面
這個故事告訴我們,瀏覽黑心網頁損失的有可能不止是個人虛擬資產,還有可能賠上大半人生。所以平常上網時就得留意自己的網路行為,以下是幾個自保守則:

1.部落格留言可能有陷阱:如果有人在你的部落格留言,在決定禮尚往來到對方部落格留言前,得先想想:如果這網站有著 iFrame 安全弱點,如前陣子發生的義大利逾千個網站遭入侵案例,那麼便可能會自動下載一連串的惡意程式。

2.交友網站來歷要當心:喜歡到交友網站瀏覽超高人氣的個人介紹,看看到底他有什麼魅力嗎?知名度極高的交友網站 MySpace ,曾遭到十九歲駭客 Samy Kamkar 放在個人簡介資料的同名蠕蟲 Samy ,導致上百萬人不知不覺中執行該病毒。

3.別跟網友搏感情:喜歡跟網友「搏感情」,讓他知道個人所有秘密,包含你是王建民的頭號粉絲、你喜歡用網路進行股票交易等等。建議你別把太多個人喜好向網友透露。由 International Security Partners 成功模擬並執行的案例發現,駭客可假裝到交友網站結識網友,了解對方的興趣後,取得信任,比如傳送「最喜歡的棒球選手即將被交易至別隊!」的運動網站報導連結,接著暗中發動XSRF攻擊。藉以冒用對方的永久性身份驗證,轉帳結清他原來的帳戶餘額。

4.熱門網站樹大招風:熱門網站常成為攻擊目標,比如每木馬病毒TROJ_ANICMOO.AX利用Windows動態游標缺陷(Vulnerability in Windows Animated Cursor Handling)發動零時差攻擊,使用者只要點選相關惡意連結就會遭受竊取密碼帳號等機密資料的木馬攻擊,但也有可能因為上了遭受植入惡意程式的網站,而被暗中下毒。當時臺灣有多家知名企業的官方網站遭植入該病毒,其中包含知名醫院、電視臺、大學、政府機構、汽車、相機廠商、旅行社等官方網站。

5.跳出視窗陷阱多:對於一直跳出的視窗,常常感到厭煩嗎?我們常發現很多中毒者都是受不了跳出式視窗的干擾行為,而按下「確定」按鈕。另外一種近來常用的類型是,在使用者進入某影片網站時,突然跳出必須下載影片解碼程式才能觀賞影片的視窗,但事實上使用者下載的並不是解碼程式,而是惡意間諜程式防護軟體,以及一個播放影片的簡單指令。有一個被稱為Freeloaders惡意安全防護軟體,就是一種偷偷下載或安裝至使用者電腦中的軟體,它會反覆警告使用者他們已經感染某種形態的惡意程式。這些「免費試用」的軟體最終會要求使用者付費升級以獲得完整的功能。一旦使用者發現這些線上刷卡購買的軟體毫無用處時,他們才恍然大悟信用卡資料已被這些虛設的公司騙走。

要防範這些類型的標準資安威脅,就必須要能掃描經由一般HTTP用的80埠網路封包。不過防火牆的設定通常都允許瀏覽器存取網頁,因此無法防止這種攻擊方式,因此務必在網際網路閘道設置可攔截惡意程式的解決方案,例如建置一款從源頭阻擋間諜軟體等惡意程式的閘道安全設備,它必須防止路徑下載並封鎖可疑網站,且具備部署容易、降低服務負擔與管理成本等條件。

修補微軟的動態游標漏洞︰MS07-017
在微軟的安全性公告MS07-017中,提到Windows動畫游標遠端執行程式碼弱點(一般性弱點編號為CVE-2007-0038),也就是俗稱的動態游標漏洞。

在Windows處理游標、動畫游標及圖示格式的方式中(先驗證格式再處理游標、動畫游標及圖示),有一個遠端執行程式碼的弱點。微軟發布的更新程式已經修改游標、動畫游標及圖示格式在呈現前驗證的方式,進而消除此項弱點。

攻擊者可能會透過惡意的游標或圖示檔案,當使用者瀏覽惡意網站或檢視蓄意製作的電子郵件後,允許入侵者從遠端執行本機電腦的程式碼。成功利用此弱點的攻擊者,可以取得受影響系統的完整控制權,取得與本機使用者相同的權限。

攻擊者必須先架設一個網站,並在其中建立利用此項弱點的網頁。攻擊者也可危及其他網站,由這些網站提供含有惡意內容的網頁。攻擊者會引誘他們自行連至該網站,一般的做法是設法讓使用者按一下通往攻擊者的網站或攻擊者所危及網站的連結。


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
5min
iT邦好手 3 級 ‧ 2008-04-21 00:21:22

謝謝分享

0
john651216
iT邦研究生 1 級 ‧ 2008-04-21 11:20:39

謝謝分享

0
海綿寶寶
iT邦大神 1 級 ‧ 2008-04-24 18:38:45

自己要小心

0
tgunlu
iT邦研究生 1 級 ‧ 2008-04-25 06:58:45

謝謝分享

0
fanylu60
iT邦研究生 1 級 ‧ 2008-04-25 10:32:56

感謝提供分享

0
yce701116
iT邦研究生 1 級 ‧ 2008-04-25 17:46:04

感謝分享資訊

0
tyc1220
iT邦研究生 1 級 ‧ 2008-05-18 00:06:57

謝謝分享

0
fantasy
iT邦新手 4 級 ‧ 2008-09-14 14:03:12

老實說,除了系統漏洞與一些類似阻斷式病毒攻擊外,其他大部分的中毒或入侵往往都跟個人的使用習慣有關,畢竟大部分使用者並不瞭解IT的技術,即使安裝的目前市面上最安全、偵測率最高的防毒或防駭軟體,每次彈出警示畫面警告,久而久之使用者還是會視而不見,就像Vista系統那樣,什麼都要警告使用者,連我們這些稍微懂電腦的也不敢確定每次都是安全的程式...

除了事後的異常發現外,另一個比較建議的作法是,記得最好定期(可以的話是每天)備份您電腦的資料,如果空間足夠最好連作業系統也一起備份,有預算的可以購買外面有專門備份個人電腦的解決方案,有些甚至還有CDP(Continue Data Protect)立即備份的功能,這樣才是比較完整的保護措施。

不然,我想大部分使用電腦的人應該都會同意,每過一陣子(半年/一年)重裝一次window作業系統,是最好的電腦修復與清除病毒的方法,除非您願意捨棄windows改用Linux作業系統(不過老實說它也是有漏洞跟病毒,只是比較少而已)

我要留言

立即登入留言