如何偵測『已知形態攻擊』
何謂木馬後門程式
網路駭客真實案例
什麼是P2P軟體
P2P軟體對網路安全的問題
內網用戶可能遭遇的危險
用戶端網路安全的三不政策
 
     
 
 
2004年2~3月份,發生多起網路銀行盜領案件,用戶端被植入惡意程式,掃毒程式與防火牆束手無策,因該惡意程式為變形木馬程式,只要一變形任何掃毒程式和防火牆在第一時間內是無法偵測它的存在。造成用戶端被偷走網路銀行的帳號和密碼,損失大量金額。
 
2004年4月,防毒軟體終於可以識別該種變形木馬程式,某防毒軟體公司宣稱:4月1日起,他們的掃毒軟體可以偵測此種變形木馬程式。
 
然而在這兩個月以上的空窗期,網路安全要如何處理?下次若發生未知型態的惡意程式(木馬後門)攻擊該如何偵測?
 
該木馬作者表示,只要付費給他100元人民幣,他可以針對防毒軟體的偵測,再度進行變種變形,甚至重新改寫木馬程式,保證讓防毒軟體找不到它!
     
  真實案例一:
 
 
1.
使用者要去股票網站觀看股票走勢,但須有會員資格才可瀏覽,而要加入會員須填相關個人資料,加入後前三個月免費。使用者很有危機意識,他認為只要填假的資料就好,三個月過後就不要再以這個帳號登入就好。於是他透過入口網站搜尋關鍵字,找到身分證產生器,下載下來後利用這個程式產生符合規則的身分證號碼,以便輸入假資料可成功加入會員。
 
2.
然而,這個透過搜尋下載下來的程式本身以被駭客動過手腳,只要使用者下載下來使用,便會自動分成兩個程式,一個是木馬後門程式,另一個是身分證產生器。
 
3.
使用者並不知道有木馬存在,仍舊照常使用網路銀行。這時木馬後門程式就會透過中繼站自動傳送使用者的相關帳號、密碼。如此一來駭客便擁有使用者的資料,再連線到網路銀行,將使用者的金錢領走。
 
4.
由於這隻木馬是混在身分證產生器程式,防火牆規則是開放80 port,因此無法攔截。而掃毒軟體呢?因為這隻木馬是駭客自行開發的,無人知曉它的病毒特徵,當然防毒軟體也就掃不到毒了。
     
  真實案例二:
 
 
1.
個人電腦A透過入口網頁搜尋MP3網頁,連結到該網頁並下載MP3,但該MP3檔案已被駭客動過手腳,將木馬程式混合。使用者下載執行MP3後,木馬程式便會自動分割開來。
 
2.
個人電腦B下載身分證產生器,利用執行的結果加入會員,然而該產生器也有木馬存在,一樣在使用者執行身分證產生器後自動分裂存在於電腦中。
 
3.
這時木馬後門程式還會透過網路芳鄰自動繁殖,使得個人電腦C和D雖然很安份的使用網路,但還是被感染木馬。
 
4.
被感染的電腦會被木馬程式開啟後門,將使用者的資料透過中繼站跳板傳送到駭客手中,造成機密資料外洩。
 
5.
由於這隻木馬是混在身分證產生器程式,防火牆規則是開放80 port,因此無法攔截。而掃毒軟體呢?因為這隻木馬是駭客自行開發的,無人知曉它的病毒特徵,當然防毒軟體也就掃不到毒了。
     
 
mail to 站長 資料來源:96年6月7日成大計網中心資安研討會
有任何意見請mail給站長,謝謝。