seeyou 2008-11-11 15:50
駭客操控MSN機器人偷資料 企業不禁用就難防
由警政署發現新型態的偷資料犯罪手法,是一種駭客控制傀儡網路的新方式。企業MIS難辨MSN機器人與MSN程式真假。
企業都會監控許多異常網路流量,但現在有越來越多駭客開始透過植入MSN機器人程式(Bot,也稱傀儡程式),讓駭客可下令偷資料、回傳該臺電腦的所有檔案,甚至是操作中的螢幕剪圖。發覺此一犯罪手法的警政署巡官叢培侃表示,目前企業無法察覺這種MSN機器人的異常流量,除非由微軟檢查連上MSN伺服器連線程式的內容,不然只有企業全面禁用MSN才能防範。
叢培侃認為,這種植入MSN機器人程式的手法受駭客歡迎的原因在於,MSN機器人程式模仿MSN的連線型態,企業MIS難以從網路流量察覺異常,所以很難早期發現,企業是否有電腦被植入MSN機器人程式。
早期的機器人程式都是從網路聊天室(IRC),或者是其他Web-based的網路服務漏洞,由駭客趁機植入各種木馬程式。這一次的MSN機器人程式,剛開始的手法還是一樣,叢培侃說,依舊是透過各種漏洞、植入各種後門程式,或者是透過點選電子郵件的惡意連結,直接連線下載木馬程式、惡意程式,或者是先下載Downloader後,再聽從駭客指令,連網更新惡意程式。
叢培侃觀察到,這個MSN機器人往往是潛伏一陣子後,才開始「正常活動」。這個MSN機器人程式完全模仿真正的MSN程式,不論是外觀、電腦圖標(icon)甚至是連網行為,同樣透過MSN常用的1683埠對外連線,也同樣連上微軟MSN的伺服器。「這些大量湧入的MSN機器人,某種程度也造成MSN連線的壅塞,導致一般MSN連線出現不穩的現象。」他說。
駭客老早為這個MSN機器人註冊一個MSN帳號,並加入自己的MSN好友名單中。當MSN機器人聽令開始正常活動時,受駭電腦使用者不會察覺MSN機器人與駭客之間所有的活動。駭客只需要透過MSN訊息下達各種指令,MSN機器人就會立即反應,不論是回傳該臺電腦的檔案資料或執行程式清單,甚至,MSN機器人也可以立即擷取當時操作者的螢幕畫面,並以圖檔回傳給駭客。
叢培侃指出,這個MSN機器人並不是盜用使用者的MSN帳號,而是一個模仿MSN程式,會自動連線,也會設法隱藏自己身影的惡意程式,同樣手法也適用其他IM軟體。他說:「如果使用者當時有啟動微軟的Windows Messenger,該臺電腦就會有2個MSN連線,否則就只有駭客的MSN機器人呈現連線狀態。」
這種MSN機器人其實就是另外一種變形的傀儡網路(Botnet),駭客下命令的方式從以前的IRC改成MSN。由於這樣手法有逐漸擴散的趨勢,加上同一名駭客掌握的MSN機器人可能超過千臺,叢培侃認為,目前最有效阻擋MSN機器人偷資料的方式,就是由微軟在MSN伺服器解析連線程式的內容,進而阻擋可疑的連線。但他也說,目前這個方法過於耗時費力,加上誤判風險極高,短期內尚未有其他更有效的阻擋方式。
叢培侃提醒,MSN機器人程式之所以能入侵使用者電腦,還是因為該電腦原本就有漏洞讓駭客有機可趁。「企業若不能從網路段察覺異常,不是限制即時通訊軟體的使用,就是設法確保使用者電腦的安全性,斷絕駭客入侵機會。」他說。
From: [url=http://www.ithome.com.tw/itadm/article.php?c=51929]http://www.ithome.com.tw/itadm/article.php?c=51929[/url]