新攻擊瞄準 Windows Update
New Attack Piggybacks on Microsoft's Patch Service
http://blog.washingtonpost.com/securityfix/2007/05/malware_using_microsoft_patch.html
安全專家曾預測,病毒作者將會找到一種方式來綁架微軟的安全修補程式遞送程序,以便讓他們的軟體悄悄溜進使用者的電腦。他們答對了!
安全研究者 Frank Boldewin 在上週發表了一個 "概念驗證" 程式(http://www.reconstructer.org/main.html)那他描繪出在三月時,透過一封寄給他的 e-mail 所親眼目睹到的一種攻擊手法。那封 e-mail 顯然來自於德國當地的 ISP。信件當中所包含的檔案,會在受害者的機器上安裝一個木馬,讓其他壞程式能夠被下載。
其他軟體利用了 Windows 的一個程式稱為 "background intelligent transfer service(背景智慧傳輸服務)," 或稱 BITS。它被 Windows 的自動更新功能所使用,被設計成利用客戶電腦剩餘的頻寬來下載安全更新。
BITS 被設計成能繼續下載未完成的檔案,即便使用者重新開機或是登出Windows。一旦系統重新開機或是取得網際網路連線能力,BITS 可以繼續剩餘的工作。同時,傳送者可在傳輸者上設定一組特別的編碼,以決整個檔案的傳輸是否完成。
真正的危險在於 -- 假設木馬矇混過使用者的防毒軟體 -- 當受害者的機器開始下載第二階段的酬載時,使用者的軟體防火牆很可能不會偵測這個對外連線。因為 BITS 是一個合法的系統服務,所以防火牆可能會預設為允許通過,或是使用者之前就允許它能夠進出防火牆。
作者嘗試了 Boldewin 的概念驗證程式。它可以輕易繞過 ZoneAlarm Free ,然後跳出這個訊息:"If you see this message and your firewall hasn't alerted you before downloading and executing this code,the firewall bypassing worked successfully!"(如果你看見這個訊息,而你的防火牆沒有在下載東西,或執行程式之前提醒你,那你就事情大條了!)
Boldewin 表示,這是他首次在惡意軟體當中看見這種特殊的 BITS 技術,並要求 Symantec 惡意軟體分析師 Elia Florio 測試其來源。Symantec 沒見過這種技術用於任何先前被他們檢視過的惡意軟體當中。
"那是一種讓人無法猜疑的惡意軟體下載方式,因為 BITS 是一項合法的技術," Boldewin 在回應 Security Fix 的 e-mail 中如此表示。
可以參見 Symantec 原先的報告(http://www.symantec.com/enterprise/security_response/weblog/2007/05/malware_update_with_windows_up.html)
在該公司的 blog 上提到,這是網路上第一個被認出利用 BITS 的惡意程式。"BITS 的下載方式,先前在台面下已有完整的文件說明,而且被當成一種'反防火牆 loader' 的例子於 2006 年底張貼在俄羅斯的一個論壇上。"
作者不同意 Symantec 的聲稱:"目前對於這類攻擊沒有立即的解決方法。"一個惡意軟體將自身注入一個受到信任的系統程序當中,並不新穎或難以對抗。就這第一點而言,可以考慮在 2002 年被認出的 "BackStealthTrojan"。它藉由尋找數種可能在受害者機器上執行的軟體防火牆來運作,然後藉由防火牆自己的以信任程序來下載其他元件。
作者還要提醒,當作者在 Windows XP 上,以權限受限的使用者帳戶執行這個 exploit 時,這種攻擊並不會成功。http://blog.washingtonpost.com/securityfix/2006/05/the_importance_of_the_limited.html)所以,如果你把 Windows XP 或 2000 機器設定成在一個權限受限的帳號下運行,即便你不慎下載一個木馬,它也不太可能會完成它的任務。