謝至恩「這是一個惡意軟體失控的世界,安全廠商必須要幫助使用者自我防衛的能力」,賽門鐵克 (Symantec) 於本週一在北京舉辦的 Reviewer Workshop 提出由第三方免費軟體所組合的 AMCRATE 方法,幫助企業 IT 人員能夠自力分析企業網路所遭受到的惡意攻擊,進而挑選最為有效的安全工具。
為何企業 IT 人員要自練安全內功?因為傳統的安全防毒方法已經陷入貓追老鼠的困境,根據賽門鐵克所發現的惡意軟體特徵數量,至 2007 年為止,共有 98 萬餘支,但僅 2008 年短短 1 年時間,便新增了 165 萬餘支,是過去所有惡意軟體特徵數量總和的 2 倍。
為何惡意軟體的產生與散佈速度能夠如此快速?賽門鐵克表示,現今安全威脅的散佈方式不同以往,採用的新型傳染途徑如社交工程、系統弱點與遠端下載攻擊 (Drive by download),容易讓使用者在毫無警覺的情況下,致使電腦系統遭到感染、控制。
 |
| Symantec 消費線產品事業群 Norton 360 資深產品經理 Mark Kanok |
「舉例而言,」Symantec 消費線產品事業群 Norton 360 資深產品經理 Mark Kanok 說明:「駭客透過社交網路如 Facebook 、 Twitter,冒用使用者的名義將惡意軟體傳播給被冒用者的朋友們,成功率要比一般傳播方式要高。或是根本假冒成一般的防毒軟體,誘使一般使用者自願安裝。」
儘管正牌安全軟體會在使用者企圖安裝假冒軟體時提出警告,卻容易被使用者誤以為假警報而忽略不理。
 |
| 賽門鐵克諾頓產品研發高級總監林蔚 |
「這對安全軟體廠商而言,是相當危險的警訊,」賽門鐵克諾頓產品研發高級總監林蔚補充道:「若惡意軟體試圖擾亂使用者對安全軟體的信任,那麼安全軟體的防護能力將受到瓶頸限制。」
另一個受到注意的惡意軟體傳播主流,當屬「遠端自動下載攻擊 (Drive by Downloads)」,使用者一旦瀏覽帶有惡意程式碼的網站,將有可能因為作業系統、瀏覽器與外掛擴充模組等等本身的漏洞,讓遠端網站的惡意程式碼自動下載、載入各種惡意軟體,對系統造成危害。
賽門鐵克相信,「遠端自動下載攻擊」將成為未來的惡意軟體散佈主流,「不僅僅是因為惡意軟體網站急遽增加,而是正常合法網站遭到感染的比例大增,一般使用者根本無從防範起。」林蔚表示。
對企業經營者來說,防範網站遭到駭客植入惡意程式碼,不僅是經營風險的問題,更是善盡企業公民責任的表現。因此,賽門鐵克以其多年安全經驗,提出一套 AMCRATE 方法論 (Automated Malware Capture Replay Analysis Test Environment),不但可作為安全人員檢測網站安全之用,企業 IT 人員更可以這套自動化工具來檢測自己的網站。
「這套方法論其實已於去年的 Workshop 中提出,但將自動化的構想卻是來自於 IT 人員的建議,」林蔚表示透過自動化工具,可讓 IT 人員自行檢測自家網站是否有任何意外程序,在進一步擴大災害之前先行控制。「儘管是由賽門鐵克所提供,但所用到的安全工具均為自由軟體。」
在 AMCRATE 方法論中,將用到以下 6 種工具:
- Process Explorer:檢視執行中的程序、檔案與 DLL
- Regshot:註冊檔快照工具
- What Changed for Windows:監視檔案與註冊檔變更痕跡的工具
- TCPView:顯示所有開啟中的 TCP 與 UDP 連線
- Wireshark:網路封包擷取記錄工具
- GMER:偵測並移除 Rootkit
以下 3 張簡報說明了 AMCRATE 的運作原理,以及檢測網站安全性的流程。
透過 AMCRATE 方法論,即便有惡意廣告透過廣告聯播網出現在網站上,IT 人員也有機會能夠在第一時間內揪出壞份子,保護網站不成為攻擊跳板。