25 元月, 2010 07:50
推文( 0 )
作者: 趨勢科技 資深分析師 Rik Ferguson
日前 Google 遭到「極精密的鎖定目標攻擊」,此事件經過媒體大幅披露之後,至少有三國政府發出建議,呼籲人民改用 Microsoft Internet Explorer 以外的瀏覽器。至於 Google 的說法則是「相當不同」。
但這些說法有多少成分是真的、有根據而符合比例原則的?
趨勢科技 目前掌握的情況為何?根據 Google 的說法:「12 月中旬,我們的企業基礎架構偵測到一項極精密的鎖定目標攻擊,這項攻擊來自中國境內,企圖竊取 Google 的智慧財產」。他們接著指出:「在調查過程中,我們發現至少有其他 20 家不同類型的大企業都遭到類似攻擊,包括網際網路、科技、媒體與化工等產業在內。我們目前正在通知這些企業。」
後續的揣測、評論與分析都將矛頭指向 Internet Explorer 與 Acrobat Reader 當中未修補的漏洞,而所發現到的惡意程式包括 Hydraq 木馬程式變體以及新的惡意程式。其攻擊途徑分別為含有惡意 PDF 附件檔案的電子郵件以及強制下載。
遭到 Internet Explorer 零時差漏洞攻擊的 Google 表示至少有 20 家其他企業也同樣受害,另外,資訊安全廠商 iDefense 也有一些客戶遭到 Acrobat Reader 零時差漏洞攻擊,他們表示有 33 家企業受到影響。
一般認為,上述攻擊的動機有二:其一是要竊取智慧財產,其二是要試圖入侵中國人權支持者的電子郵件帳號。根據 Defense Group Inc 的情報研究分析中心 (Center for Intelligence Research and Analysis) 總監 James Mulvenon 的說法,這些攻擊當中「至少有六個看起來是來自台灣的網際網路位址 (這是中國駭客為了隱藏蹤跡而慣用的技倆)。」
這些足以「改變世界」嗎?我不這麼認為。
這些攻擊並不是率先利用零時差漏洞的攻擊,事實上,零時差攻擊通常會先用於一些鎖定目標的攻擊當中,後來才會受到廣泛採用。
此外,這些也並非首次利用強制下載技巧或惡意 PDF 附件檔案的攻擊。
這些攻擊也非目前所見最複雜的多重元件攻擊,想看看什麼叫做複雜嗎?看看 Koobface 就知道了。
這不是第一次有人提出警告要大家採用其他瀏覽器,不過只要修補程式一出來,就沒有人繼續理會。
這也不是第一次大家指責中國從事大規模分散式全球間諜活動。
這次的攻擊在方法上的確精密,這一點無庸置疑。歹徒確實成功將惡意程式感染其鎖定的對象與企業,並且可能存取到原始碼或電子郵件帳號,但我看不出有什麼足以改變世界之處。
社交工程技巧的進步、一般人對威脅情勢缺乏認知、資訊分享過度泛濫、地下經濟體系的成熟,這些都是上述攻擊能夠得逞的原因。
那麼,企業與個人應該如何避免遭到這類的攻擊?
- 教育您自己和您的使用者:光是點選一個連結、開啟一個 PDF 檔案,就足以讓您遭到感染,即使系統已安裝了最新的修補程式也無法完全免疫。
- 僅管如此,您還是要確定系統及所有應用程式都安裝到最新的修補程式,如果做不到這點,那就用主機式入侵預防系統來「亡羊補牢」,防止零時差漏洞攻擊。
- 當出現未修補的漏洞時,請務必遵照廠商的建議,盡可能將風險降至最低。
