http://domynews.blog.ithome.com.tw/post/1252/97077
06 五月, 2011 07:17
由 崔嘻 發表
網路防毒專家趨勢科技,根據病毒史上首創概念驗證型病毒與電腦疫情擴散的嚴重性條列出史上20大病毒。 趨勢科技資深技術顧問戴燊表示:「1998年 CIH登上 CNN 國際媒體起到2001年間 Melissa ,Love bug , Code Red ,Nimda 相繼因為大量且快速散播成為國際媒體關注焦點。 但2004年起病毒攻擊轉向地下化, 殭屍網路/傀儡網路
Botnet 開始募集大批被感染電腦成為網路犯罪的替身,尤其是竊取機密資料進行地下交易。」 趨勢科技並發現近年來,鎖定單一目標的惡意程式攻擊已經相當普遍,而且不斷入侵政府機關、軍事單位、民間企業、教育機構以及一般民間網路。雖然美國政府與相關網路遭到此類攻擊已不是新聞,但越來越多其他國家的政府和民間機構也面臨了同樣的威脅。
病毒史中的第一
從 40年前首隻Creeper 病毒在DEC 10電腦的TOPS TEN操作系統下運作開始,無論是僅僅證明病毒撰寫者功力的概念驗證病毒(如 1995 Word Concept );或是1989 年 Stone病毒強迫開機並顯示戲謔訊息;還是破壞開機區的1992年的米開朗基羅病毒, 這些病毒已經宣告走入歷史,相對的以傳統病毒碼比對強調高偵測率的防毒軟體,已經不足於對抗短時間內不斷自我上網更新的木馬間諜、隨時更換 IP 的網路釣魚假網站、潛伏在許多知名網站的零時差漏洞攻擊…等等。
- 1988 年BRAIN大腦病毒是首隻感染 IBM 個人電腦也是首隻被媒體大量報導的病毒
- 1992年首隻會破壞硬碟的病毒米開朗基羅現身
- 1999年起Email 成為感染媒介
- 2000年起 病毒擴散速度以時為單位
- 2001年 Code Red 紅色警戒開啟系統漏洞攻擊
- 2000年以好奇心為餌的社交工程 ( Social Engineering )陷阱手法開始被啟用至今
- 2004年殭屍網路/傀儡網路 Botnet感染不計其數受電腦,藉以散播垃圾訊息,發動網路攻擊甚至竊取個資等等。Bagle 和 Bobax 是最早用來散發垃圾郵件的二個殭屍網路Botnet。
2004年大量爆發到無聲攻擊的分水嶺
l 2004年前病毒擴散全球速度愈來愈快,從數年到數小時
l 2004年起病毒從大量爆發到走入地下經濟竊取個資
l 2007年起駭客工具套件逐漸成為網路犯罪幕後主要推手
l 2007年起ITALIAN JOB之後,以往大量爆發的病毒漸漸走入歷史,取而代之的是以謀利為目的竊取資料的網路威脅軟體。
<從數年到數小時> 2000年前病毒以擴散全球速度爭高下
<組織化犯罪興起>2004年傀儡網路幕後主控全局
在 2000 年左右,散發垃圾郵件基本上還是一種「在家兼差」的行業,而大量的垃圾郵件則大多透過專屬的伺服器農場、公共轉寄伺服器或者是遭到入侵的伺服器來傳送。
不過,2004年Bagle、Bobax 和 Mytob 的出現,徹底改變了這樣的情況。Bagle 和 Bobax 是最早用來散發垃圾郵件的二個殭屍網路/傀儡網路 Botnet,而 Mytob 惡意程式則基本上是大量郵件散發蠕蟲 MyDoom 以及 Bot 網路 SDbot 的合體。從此,網路犯罪者只要建立一個大型的 Bot 網路,就能利用這些受害的電腦來散發垃圾郵件,這樣不但機動性和彈性更高,最重要的是,能夠躲避執法機關日漸積極的封鎖行動。
趨勢科技 資深技術顧問戴燊表示:「 過去動輒上國際媒體的大病毒似乎從10 年前的Mellisa , I love You 病毒開始但這幾年大病毒開始低調了,因為不出聲地潛伏在網路里,可存活更久,竊取更多的機密資料,藉以在地下經濟市場販售圖利。大約在 2004 年左右,殭屍網路/傀儡網路 Botnet的犯罪利用價值逐漸開始明朗化,2005年Rootkit成為惡意程式世界中最受歡迎的隱匿行程工具。2007 年 STORM WORM透過上千的覆式流程,最後形成了世界最大的殭屍網路/傀儡網路 Botnet。一度認為共有高達1千5百萬台電腦同時遭到感染,受地下犯罪世界所操控。」
<組織化犯罪> 2006年起ZeuS成為最廣泛使用的資訊竊盜犯罪工具
RuStock 最早出現在 2006 年,同年還有目前相當惡名昭彰的 ZeuS 犯罪程式家族RuStock 也是一種垃圾郵件殭屍網路/傀儡網路 Botnet,而 ZeuS 則是一種資訊竊取工具。從此開始,ZeuS 幾乎已成了最廣泛使用的資訊竊盜犯罪工具。
ZeuS 的 作者一直不斷在開發、測試並釋出新版的程式,因此其功能不斷增加,也不斷改進。由於新的版本已開始對外販售,而且價碼很高,因此,舊版的就被放到網路上供 人免費散播。通常,這些舊的版本都含有網路犯罪者所暗藏的後門,因此,用了這些舊版程式的犯罪新手,也同樣成了受害者。
免費犯罪工具的出現,不僅降低了網路犯罪的進入門檻,也鼓勵了更多有意從事網路犯罪的人加入行列。不過,ZeuS 並非網路上唯一唾手可得的工具,還有許多其他工具在彼此競爭,不過都是針對非專家所設計,提供了簡單的點選式感染電腦管理介面。
<目標攻擊> 2011年目標攻擊案例逐漸浮出檯面
今年稍早,加拿大、南韓和法國政府一些敏感的網路都曾發生嚴重的資安事件。最近,歐盟執行委員會 (European Commission) 與歐盟對外事務部 (European External Action Service) 也都遭到入侵。此外,資訊安全廠商 RSA 與 Comodo 也都坦承發生安全事件,其中,至少 RSA 的案例看來就是一起鎖定單一目標的惡意程式攻擊。
雖然大多數的網路使用者可能一輩子也不會成為駭客鎖定的單一目標,反倒比較容易成為一般威脅的受害者,例如:假防毒軟體 Fake AV 與網路銀行木馬程式 (Zeus、SpyEye),但專門從事單一目標攻擊的惡意程式樣本數量卻從未減少。不過,實際上,攻擊目標的針對性也有很大的變異。有些惡意攻擊者喜歡四處散發惡意文件 (通常會利用某些主題或問題來執行社交工程 ( Social Engineering )陷阱),這類攻擊很可能是針對特定目標的後續攻擊前兆。
附件:病毒史中的20大病毒
1. CREEPER (1971) 首隻Creeper 病毒是在DEC 10電腦的TOPS TEN操作系統下運作。
2. ELK CLONER (1985) 是首隻在Apple IIe 中運作的病毒。這隻病毒是由一個 15歲的高中生所撰寫。
3.THE INTERNET WORM (1985) 是由Cornell 康乃爾大學的一名研究生所撰寫,是首隻造成網路的停擺病毒。
4.PAKISTANI BRAIN大腦病毒 (1988) 是第一隻感染IBM個人電腦的病毒,由來自巴基斯坦的兩兄弟所寫成。雖然病毒在科幻故事中已為人熟知,這卻是首隻受媒體大篇幅報導的病毒。
5.JERUSALEM FAMILY耶路撒冷 (1990) 此病毒約有59個變種,是以當時最多變種的病毒,據信來自Jerusalem耶路撒冷大學。
6.STONED 石頭(1989)是在病毒開始肆虐的第一個10年間散播最廣的病毒,stoned是開機程式/。 mbr感染程式,會計算從受感染開始的重新開機次數,並顯示一則「你的電腦恍神啦」訊息。 「your computer is now stoned。 」
7.DARK AVENGER MUTATION ENGINE (1990) 實際上是在1988年寫成的,但到了90年代初期才被運用在如POGUE和COFFEESHOP病毒中。這個變種引擎是第一個真正在網路間流傳的千面人(Polymorphism)病毒, 千面人病毒乃指具有"自我編碼"能力的病毒,其目的,在使其感染的每一個檔案,看起來皆不一樣,藉以躲避以掃瞄固定病毒碼為技術的防毒軟體偵測,可說是第一個會干擾防毒軟體偵測的病毒,從此改變了病毒的作用方式。
8.MICHEANGELO 米開朗機羅(1992) 是STONED的變種,挾帶了致命性的惡意程式。在3月6日,這隻病毒將會清除掉硬碟中的前100的區塊,讓硬碟毫無用處。
9.WORLD CONCEPT (1995) 是網路間第一隻Microsoft Word Macro文件巨集病毒,Word Concept會顯示一則訊息「這就足以表達我的論點」「That's enough to prove my point」 的訊息。此病毒開啟了電腦病毒的次世代,由於此電腦病毒會讓駭客所需的技術階層下降,因此深具重要性。
10.CIH/CHERNOBYL (1998) 是當時有史以來破壞力最大的病毒。發生在任何一個月份的26日(依不同的病毒版本為主),會同時清除硬碟及造成電ROM BIOS毀滅性破壞,導致點腦無法使用。由於它執行於舊的Windows 9X作業系統,CIH不再像剛出現時分佈那麼廣泛傳播
11.Melissa 梅麗莎(1999) 首隻透過電子郵件散播的主要病毒,也是網路病毒」開啟年代。雖然Melissa不具毀滅性,但所到之處因為會複製並塞爆電子郵件匣而造成干擾。1999年 3月26日晚間MELISSA展開大規模的 "全球性感染",一夕之間迫使著名的大型企業強迫關閉他們的 EMAIL SERVER,紐約時報( NEW YORK TIMES)甚至以 "前所未有的 INTERNET 病毒風暴" 來形容,FBI也對各公民營企業發出呼籲,甚至發出通緝令將逮捕該名病毒作者。
12.LOVEBUG / I Love You 情書/愛情蟲(2001)最熱門的電子郵件病毒,純粹由社交工程 ( Social Engineering )陷阱手法驅動。
13. Code RED紅色警戒 (2001) 是以一款暢銷的高咖啡因含量不含酒精之飲料為名,這隻網路病毒不需透過電子郵件或網頁來散佈。它自己會去尋找並感染具弱點漏洞之電腦該電腦。
14. NIMDA娜妲(2001) 被稱為「瑞士萬用刀」的病毒使用緩衝區溢位,電子郵件網路分享等不下10 種之方式進入到網路中。
15. BAGEL/NETSKY (2004) 這兩隻病毒會在程式碼中互相較勁,用不堪的髒話隔空喊話,互相攻擊對方。每隻病毒都分別有上百的變種,及不同數量的新技術和成功紀錄,也因此這兩隻病毒幾乎整年皆是新聞話題。同時 Bagle 和 Bobax 是最早用來散發垃圾郵件的二個殭屍網路Botnet。
16.殭屍網路/傀儡網路 Botnet (2004) 這些網路的傀儡殭屍戰士們讓網路犯罪份子們取得了不計其數受感染的電腦,這些電腦皆可在網路中被重新設定來轉寄垃圾訊息,感染新的受害者,偷取資料,讓不肖之徒可以利用來運作。
17.ZOTOB (2005) 病毒只會感染未經修補的windows2000系統,但也拿下了數個主要的媒體網站,包括CNN和New York Time紐約時報。
18.Rootkit (2005) 廣義來說,Rootkit其實是一項技術,用來隱藏其他行程、檔案或者網路使用者。已成為惡意程式世界中最受歡迎的隱匿工具。作用在利用避開操作系以使其它的惡意軟體隱形。
19. STORM WORM (2007) 透過上千的覆式流程,最後形成了世界最大的殭屍網路/傀儡網路 Botnet。一度認為共有高達1千5百萬台電腦同時遭到感染,受地下犯罪世界所操控。
20.ITALIAN JOB (2007) 不是單一的惡意軟體,而是使用以MPACK為名的預先包裝工具套組進行協調攻擊。手法包括腐蝕超過上萬的網站,造成植入現代的竊取資料的惡意軟體(Data Stealing Malware)。