三月攻擊趨勢

AlertCon 風險等級

ISS於3月18日公告ISS產品（RealSecure、BlackICE）中關於ICQ 協定字串解析的弱點，3月20日針對此漏洞攻擊的Witty蠕蟲開始蔓延。ISS X-Force團隊於3月20日將風險等級升高為 AlertCon2，提醒ISS的用戶盡快將產品更新至最新版本，鈺松國際也已通知臺灣的ISS用戶。隨著Witty的威力減弱，X-Force於3月23日將安全風險降回AlertCon1。

X-Force在3月共發布271項弱點及攻擊手法，包含72項高風險、161項中風險及38項低風險，其中「ISS產品ICQ 協定字串解析的弱點」是值得高度關注的弱點。

這個漏洞存在於ISS協定分析模組（Protocol Analysis Module，PAM）中，當ISS產品對ICQ訊息進行分析時，惡意人士可利用不正常長度的字串進行緩衝區溢位攻擊，破解系統並執行任意程式碼。針對這個弱點進行攻擊的Witty蠕蟲於3月20日被釋出，Witty蠕蟲在攻擊弱點後，會立刻針對其他的機器執行相同攻擊，可能造成硬碟資料毀損。攻擊趨勢

因應320總統大選，政府各相關單位嚴陣以待，但仍發生數起政府網頁遭置換的事件。中國駭客組織結合紅客大聯盟等六個組織，對財政部國庫署等官方網站發動攻擊，並貼上抗議陳水扁連任、抗議臺獨等字樣，不過網站隨後即由維護人員復原。總統大選當天，所幸並無明顯的攻擊行為。

3月份，「SMB NT Transaction Buffer Overflow」攻擊佔52%。Samba是常見的檔案與印表機分享伺服器，此攻擊是針對Samba伺服器所進行的攻擊，讓駭客在被害主機上執行任意程式。鈺松國際安全監控中心監測到大量的Samba攻擊封包，並發現某些Samba主機被攻陷，已通知相關單位並協助處理資安事件。

比例第2高的是針對Qpopper伺服器進行的攻擊，佔17%。Qpopper 是由Qualcomm所推出的郵件伺服器，讓使用者利用POP3通訊協定下載郵件。但這個程式的「精靈」容易發生緩衝區溢位問題，如果攻擊者傳送一個超長的命令，可能會造成緩衝區溢位，並取得管理者權限執行任意命令。Symantec TOP 10惡意威脅

根據Symantec統計的3月份10大惡意威脅，Netsky.D排名第一，其他廠商的統計資料也都是如此。筆者每天都會收到數封Netsky.D病毒信，只要開啟該信件，病毒警示也隨著跳出，建議企業最好建置電子郵件防毒及垃圾郵件過濾系統。文⊙陳世煌