業務部
出現在今年一月初的微軟 IE 瀏覽器漏洞,編號 979352 、 CVE-2010-0249,經研究人員分析,幾乎能夠對目前所有版本的 IE 瀏覽器與作業系統造成影響,這一個漏洞可謂是這幾年來重大威脅之一。根據消息指出,國外部分資安業者,甚至懷疑這個漏洞跟之前 google 的攻擊事件有所關連,Macfee 甚至為此攻擊事件命名為 Aurora 代號。
此類利用 IE 瀏覽器漏洞的攻擊手法,駭客通常會製作精細的惡意程式碼,放置在一般民眾常瀏覽的網站上,藉此讓所有瀏覽的使用民眾受影響而植入後門程式。駭客並會結合目標式 (Target Attack) 攻擊手法,針對特定企業重要人員發動精準的攻擊,達到入侵內網的目的。
中華電信 HiNet SOC 資安監控中心,於本月初在第一時間即留意網路上與此相關的各類資訊,對資安監控用戶提出通報服務,並且針對某企業遭受此類 0day 攻擊進行緊急處理,經過監控中心資安專家的分析,該案件所發動的攻擊經過編碼與加密,極難使用傳統 IPS 來進行防護,HiNet SOC 資安監控中心利用自動化惡意程式偵測技術,協助用戶在目前尚未出現修補程式時,避免遭受此類攻擊影響。
HiNet SOC 資安監控中心資安專家指出,以往光靠入侵偵測系統的特徵碼、防毒軟體的病毒碼、與單靠作業系統廠商的修補程式,在這次攻擊事件中完全無法有效於第一時間保護用戶,所謂 0day 漏洞便是作業系統廠商尚未推出修補程式,在這次攻擊手法中,幾乎所有版本 IE 瀏覽器在攻擊發生時皆受影響,且經過測試各家防毒軟體的偵測能力,大部分防毒軟體皆無法偵測該植入的後門程式,對於使用者的威脅指數非常巨大。
另外,HiNet SOC 資安監控中心除了協助使用者避免直接連往後門控制主機之外,本次事件更是利用流量監控與惡意程式分析技術於第一時間找出攻擊程式與惡意網站,並隨時掌握後門程式中繼站的控制動作,發現後門程式中繼站於當日上午 10 點多才開始發送指令,中間僅開約一個多小時,隨後關閉。這種開開停停的動作,駭客非常狡猾地掌握控制時機點,避免動作頻繁而遭到追查。