2007/05/21

新攻擊瞄準 Windows Update

以後網路的攻擊可能不再以病毒、木馬在電腦開後門,而是直接攻擊 Windows Update,在微軟的更新檔動手腳,讓使用者下載到經過修改的更新檔。希望微軟不會讓這種事發生。

以下轉載 from 台大程式設計樂園

新攻擊瞄準 Windows Update
New Attack Piggybacks on Microsoft's Patch Service

安全專家曾預測,病毒作者將會找到一種方式來綁架微軟的安全修補程式遞
送程序,以便讓他們的軟體悄悄溜進使用者的電腦。他們答對了!

安全研究者 Frank Boldewin 在上週發表了一個 "概念驗證" 程式
http://0rz.tw/f92Ec)那他描繪出在三月時,透過一封寄給他的 e-mail 所親眼目睹到的一種攻擊手法。那封 e-mail 顯然來自於德國當地的 ISP。信件當中所包含的檔案,會在受害者的機器上安裝一個木馬,讓其他壞程式能夠被下載。

其他軟體利用了 Windows 的一個程式稱為 "background intelligent transfer service(背景智慧傳輸服務)" 或稱 BITS。它被 Windows 的自動更新功能所使用,被設計成利用客戶電腦剩餘的頻寬來下載安全更新。

BITS 被設計成能繼續下載未完成的檔案,即便使用者重新開機或是登出 Windows。一旦系統重新開機或是取得網際網路連線能力,BITS 可以繼續剩餘的工作。同時,傳送者可在傳輸者上設定一組特別的編碼,以決整個檔案的傳輸是否完成。

真正的危險在於 - 假設木馬矇混過使用者的防毒軟體 -- 當受害者的機器開始下載第二階段的酬載時,使用者的軟體防火牆很可能不會偵測這個對外連線。因為 BITS 是一個合法的系統服務,所以防火牆可能會預設為允許通過,或是使用者之前就允許它能夠進出防火牆。

作者嘗試了 Boldewin 的概念驗證程式。它可以輕易繞過 ZoneAlarm Free,然後跳出這個訊息:"If you see this message and your firewall hasn't alerted you before downloading and executing this code, the firewall bypassing worked successfully!"(如果你看見這個訊息,而你的防火牆沒有在下載東西,或執行程式之前提醒你,那你就事情大條了!)

Boldewin 表示,這是他首次在惡意軟體當中看見這種特殊的 BITS 技術,並要求 Symantec 惡意軟體分析師 Elia Florio 測試其來源。Symantec 沒見過這種技術用於任何先前被他們檢視過的惡意軟體當中。

"那是一種讓人無法猜疑的惡意軟體下載方式,因為 BITS 是一項合法的技術 " Boldewin 在回應 Security Fix 的 e-mail 中如此表示。

可以參見 Symantec 原先的報告(http://0rz.tw/d62Ea)在該公司的 blog 上提到,這是網路上第一個被認出利用 BITS 的惡意程式。"BITS 的下載方式,先前在台面下已有完整的文件說明,而且被當成一種「反防火牆 loader」 的例子於 2006 年底張貼在俄羅斯的一個論壇上。"作者不同意 Symantec 的聲稱:"目前對於這類攻擊沒有立即的解決方法。" 一個惡意軟體將自身注入一個受到信任的系統程序當中,並不新穎或難以對抗。就這第一點而言,可以考慮在 2002 年被認出的 "BackStealthTrojan"。它藉由尋找數種可能在受害者機器上執行的軟體防火牆來運作,然後藉由防火牆自己的以信任程序來下載其他元件。

作者還要提醒,當作者在 Windows XP 上,以權限受限的使用者帳戶執行這
個 exploit 時,這種攻擊並不會成功。(http://0rz.tw/1e2F4
所以,如果你把 Windows XP 或 2000 機器設定成在一個權限受限的帳號下運行,即便你不慎下載一個木馬,它也不太可能會完成它的任務。

2 則留言:

  1. 上一篇無法回應,你中毒了嗎?呵呵!

    我今天才喝一罐百事說,剛剛好清宿便~

    回覆刪除
  2. 上一篇………我按錯了 Orz
    你可以試試看二罐二公升的可樂,我同學喝完以後胃潰瘍,到現在都不能吃油炸食物。

    回覆刪除