iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 15
3
Security

資事體大 毒擋一面 - 資安防護深入淺出系列 第 15

[Day15] 行為分析-黑白難分,軟體也分顏色-灰色軟體

先聲明並不是說軟體還有分黨派或膚色 嘿嘿

在有害文件的分類中,有些被評為惡意(malicious);有些則是乾淨(clean);不屬於兩者的則統稱為灰色,稱灰色軟體(Greyware/Grayware)。

灰色軟體用來泛指所有不被認為是電腦病毒或木馬程式,因為他們不會刪除、加密、竊取你的檔案。但或許會對你所在機構網路上所使用的電腦做非使用者所希望的負面行為、並引致網路的保安受損的軟體。根據這個定義,灰色軟體大致包含了以下幾項:

灰色軟體類別

  • 間諜軟體(Spyware)
  • 廣告軟體(Adware)
  • 撥號軟體(Dialer)
  • 搞笑軟體(Joke program)
  • 駭客工具(Hacker tools)
  • 遙控軟體(Remote access tools)

一般來說,灰色軟體都會做出一系列用戶不希望遇見或感到具威脅性的行為。這些行為包括:透過彈出式廣告、暗中記錄用戶的鍵擊、或使用戶的電腦暴露於攻擊之下。這些行為只有在被有心人士使用在不正當的情況下才會有所為害,在一般情況下卻不會對電腦和使用者造成損失。

間諜軟體(Spyware)

間諜軟體是一種安裝在電腦上,用於記錄用戶網頁瀏覽喜好(主要以行銷為目的)的軟體。在用戶上線的時候,間諜軟體會將這些資訊傳送給其作者,或其他對於這類資訊有興趣的團體。此類軟體經常與一些「免費下載」的軟體一齊下載,且不會告知用戶其存在,或詢問用戶安裝其軟體元件的許可。間諜軟體收集的資料可能包含了用戶的點擊輸入,也就是說諸如登入帳號、密碼和信用卡號等私密資料將非常容易被竊取。間諜軟體收集如登入帳號、密碼、信用卡號和其他機密資料,並傳送給第三方。

廣告軟體(Adware)

廣告軟體是一種會在瀏覽器(如 IE 或 FireFox)中顯示廣告的軟體。廣告軟體經常在系統中造成惱人效果,例如不斷的彈出電腦網路或系統效能低落的廣告。廣告軟體通常經由與特定免費軟體搭配分別安裝。 許多許用者未經詳查,不慎地經由同意免費軟體的最終用戶授權協定(EULA),安裝了廣告軟體。廣告軟體也經常與間諜軟體串連起來安裝。上述兩種軟體相互依賴滿足各自功能。間諜軟體紀錄使用者的網路行為,廣告軟體則依據這些紀錄進行特定廣告並持續收集例如網路瀏覽喜好等可作為往後對使用者進行廣告的資料。

撥號軟體(Dialer)

撥號軟體在灰色軟體的範疇中並不指一般讓網際網路用戶作撥號上網使用的軟體,因為通常這些軟體都可以依靠作業系統的內建功能。反而,有不少非法軟體引誘用戶下載、安裝,然後會把用戶的網際網路設定更改,並強逼用戶透過 Modem 撥打軟體內預設的付費電話號碼。這些付費電話有可能是在美國本土的付費電話號碼,但亦有不少是撥打至南太平洋島國的電話號碼,又或是美國在加勒比海地區的屬地的電話號碼。這些號碼,都會使撥號者需要負擔高昂的長途電話費,而用戶往往在受害後約一個月收到電話費收據時才會發現。

不過,沒有安裝 Modem 的用戶則不受這些軟體影響。

搞笑軟體(Joker program)

搞笑軟體是一些會讓電腦作出古怪行為的軟體,例如:螢幕上下倒轉或改變滑鼠的形狀等。這些軟體未必會對用戶的電腦構成傷害,但亦有系統管理者會覺得這些軟體很麻煩,因為增添了他們應付用戶查詢的時間。所以這些軟體亦被列入為灰色軟體。

駭客工具(Hacker tools)

駭客工具是能幫助進行駭客行為,以使用現成的程式達到縮短駭入電腦的時間,這些工具能夠使用在好的地方,例如:協助使用者找出網站、系統安全漏洞並補強;也可能使用在非法方面,例如:找出漏洞後入侵、破壞、竊取資料等等,端看使用者如何使用。

遙控軟體(Remote access tools)

遙控軟體工具本身不一定具有威脅性,相反,很多其實都是商業上用來讓管理員管理其他電腦的工具。不過,一但這些工具落入非法入侵者的手上,亦會成為了入侵的工具,所以亦被歸類為灰色軟體。


介紹完灰色軟體的分類後,我們即將介紹一些例子供各位參考:

HuntBar

HuntBar
如果在一些非官方的網站下載安裝 ActiveX 便有可能會順帶裝上 Huntbar,HuntBar 是包含間諜軟體廣告軟體的複合式灰色軟體(事實上大部分的灰色軟體也都是不只包含一個功能),它會在 IE 上裝一個工具列,你所搜尋的每個網站都會被送往伺服器,紀錄你的行為,然後根據這些資訊展示廣告給使用者,也沒什麼,就只是廣告會很煩而已。除此之外,這程式還會額外裝三個程序在電腦中,若是單純只把 HuntBar 刪掉,這些程序還能自動重新安裝或還原,這也是 HuntBar 難搞的地方。

Cain and Abel

Cain and Abel
Cain and Abel 是一款專為微軟作業系統設計的密碼復原(竊取)軟體,主要透過 ARP Spoofing 的技巧,欺騙特定電腦假冒自己成中間人,以取得電腦與 Gateway 間傳遞的封包,並進而得到帳號密碼等資訊,是屬於駭客軟體的一種。

Desktop fun

Desktop fun
此軟體內建了 32 種很特別的螢幕特效,包含螢幕碎裂、視窗扭曲、變更暗或更亮、顏色變黑白、上下顛倒、左右相反、模糊、下雪..等等。我們可以設定某個時間之後(如20秒),把整個電腦螢幕自動變成亂七八糟的樣子,讓接著使用電腦的人一下子驚慌不知所措...

拼圖效果:
拼圖效果

模糊效果:
模糊效果

想要取消這些效果只要按下[ESC]即可。

其實還有許多工具遊走於邊緣太過於難以界定,要說是有危害的也行,但好像又不是那麼有害,因此防毒將其界定為灰色,但對一般使用者來說不會用到這些工具的,會用到這些工具的都是有程式相關經驗人員或駭客,被拿來做壞事的機會也不低。希望各位看過此篇後有更了解什麼是灰色軟體,希望各位不要拿來做壞事,也不鼓勵各位嘗試~以免自己在不知情的情況下也遭受攻擊。

希望有興趣的讀者也能夠點個追蹤,有任何問題或有想多了解的地方也可以回覆在文章底下唷,謝謝你們XDDDD!

參考來源:
灰色軟體-wiki https://zh.wikipedia.org/wiki/%E7%81%B0%E8%89%B2%E8%BB%9F%E4%BB%B6
SpywareGuide-Huntbar http://www.spywareguide.com/spydet_426_huntbar.html
Hacktool-Cain&Abel http://resources.infosecinstitute.com/password-cracking-using-cain-abel/
Desktop fun https://briian.com/5829/


上一篇
[Day14] 行為分析 - 不是腳本的腳本!Script語言惡意軟體
下一篇
[Day16] 行為分析-逆向工程的倚天劍-IDA pro
系列文
資事體大 毒擋一面 - 資安防護深入淺出31

尚未有邦友留言

立即登入留言