全站文章 iT邦幫忙
訂閱電子報手機版RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。
iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。
免費加入會員
登入 / 登出
管理會員帳號
忘記帳號密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
駭客操控MSN機器人偷資料,企業不禁用就難防
文/黃彥棻 (記者) 2008-11-10
由警政署發現新型態的偷資料犯罪手法,是一種駭客控制傀儡網路的新方式。企業MIS難辨MSN機器人與MSN程式真假。

企業都會監控許多異常網路流量,但現在有越來越多駭客開始透過植入MSN機器人程式(Bot,也稱傀儡程式),讓駭客可下令偷資料、回傳該臺電腦的所有檔案,甚至是操作中的螢幕剪圖。發覺此一犯罪手法的警政署巡官叢培侃表示,目前企業無法察覺這種MSN機器人的異常流量,除非由微軟檢查連上MSN伺服器連線程式的內容,不然只有企業全面禁用MSN才能防範。

叢培侃認為,這種植入MSN機器人程式的手法受駭客歡迎的原因在於,MSN機器人程式模仿MSN的連線型態,企業MIS難以從網路流量察覺異常,所以很難早期發現,企業是否有電腦被植入MSN機器人程式。

早期的機器人程式都是從網路聊天室(IRC),或者是其他Web-based的網路服務漏洞,由駭客趁機植入各種木馬程式。這一次的MSN機器人程式,剛開始的手法還是一樣,叢培侃說,依舊是透過各種漏洞、植入各種後門程式,或者是透過點選電子郵件的惡意連結,直接連線下載木馬程式、惡意程式,或者是先下載Downloader後,再聽從駭客指令,連網更新惡意程式。

叢培侃觀察到,這個MSN機器人往往是潛伏一陣子後,才開始「正常活動」。這個MSN機器人程式完全模仿真正的MSN程式,不論是外觀、電腦圖標(icon)甚至是連網行為,同樣透過MSN常用的1863埠對外連線,也同樣連上微軟MSN的伺服器。「這些大量湧入的MSN機器人,某種程度也造成MSN連線的壅塞,導致一般MSN連線出現不穩的現象。」他說。

駭客老早為這個MSN機器人註冊一個MSN帳號,並加入自己的MSN好友名單中。當MSN機器人聽令開始正常活動時,受駭電腦使用者不會察覺MSN機器人與駭客之間所有的活動。駭客只需要透過MSN訊息下達各種指令,MSN機器人就會立即反應,不論是回傳該臺電腦的檔案資料或執行程式清單,甚至,MSN機器人也可以立即擷取當時操作者的螢幕畫面,並以圖檔回傳給駭客。

叢培侃指出,這個MSN機器人並不是盜用使用者的MSN帳號,而是一個模仿MSN程式,會自動連線,也會設法隱藏自己身影的惡意程式,同樣手法也適用其他IM軟體。他說:「如果使用者當時有啟動微軟的Windows Messenger,該臺電腦就會有2個MSN連線,否則就只有駭客的MSN機器人呈現連線狀態。」

這種MSN機器人其實就是另外一種變形的傀儡網路(Botnet),駭客下命令的方式從以前的IRC改成MSN。由於這樣手法有逐漸擴散的趨勢,加上同一名駭客掌握的MSN機器人可能超過千臺,叢培侃認為,目前最有效阻擋MSN機器人偷資料的方式,就是由微軟在MSN伺服器解析連線程式的內容,進而阻擋可疑的連線。但他也說,目前這個方法過於耗時費力,加上誤判風險極高,短期內尚未有其他更有效的阻擋方式。

叢培侃提醒,MSN機器人程式之所以能入侵使用者電腦,還是因為該電腦原本就有漏洞讓駭客有機可趁。「企業若不能從網路段察覺異常,不是限制即時通訊軟體的使用,就是設法確保使用者電腦的安全性,斷絕駭客入侵機會。」他說。文☉黃彥棻


高可靠資料保護商用IT平台研討會
EMC Forum 2010
Tech•Days Taiwan 2010
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲
電週文化事業版權所有、轉載必究 •Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome