Zeroplex 生活隨筆

新攻擊瞄準 Windows Update
New Attack Piggybacks on Microsoft’s Patch Service

安全專家曾預測，病毒作者將會找到一種方式來綁架微軟的安全修補程式遞
送程序，以便讓他們的軟體悄悄溜進使用者的電腦。他們答對了！

安全研究者 Frank Boldewin 在上週發表了一個 “概念驗證” 程式
（http://0rz.tw/f92Ec）那他描繪出在三月時，透過一封寄給他的 e-mail 所親眼目睹到的一種攻擊手法。那封 e-mail 顯然來自於德國當地的 ISP。信件當中所包含的檔案，會在受害者的機器上安裝一個木馬，讓其他壞程式能夠被下載。

其他軟體利用了 Windows 的一個程式稱為 “background intelligent transfer service（背景智慧傳輸服務）” 或稱 BITS。它被 Windows 的自動更新功能所使用，被設計成利用客戶電腦剩餘的頻寬來下載安全更新。

BITS 被設計成能繼續下載未完成的檔案，即便使用者重新開機或是登出 Windows。一旦系統重新開機或是取得網際網路連線能力，BITS 可以繼續剩餘的工作。同時，傳送者可在傳輸者上設定一組特別的編碼，以決整個檔案的傳輸是否完成。

真正的危險在於 － 假設木馬矇混過使用者的防毒軟體 — 當受害者的機器開始下載第二階段的酬載時，使用者的軟體防火牆很可能不會偵測這個對外連線。因為 BITS 是一個合法的系統服務，所以防火牆可能會預設為允許通過，或是使用者之前就允許它能夠進出防火牆。

作者嘗試了 Boldewin 的概念驗證程式。它可以輕易繞過 ZoneAlarm Free，然後跳出這個訊息：”If you see this message and your firewall hasn’t alerted you before downloading and executing this code, the firewall bypassing worked successfully!”（如果你看見這個訊息，而你的防火牆沒有在下載東西，或執行程式之前提醒你，那你就事情大條了！）

Boldewin 表示，這是他首次在惡意軟體當中看見這種特殊的 BITS 技術，並要求 Symantec 惡意軟體分析師 Elia Florio 測試其來源。Symantec 沒見過這種技術用於任何先前被他們檢視過的惡意軟體當中。

“那是一種讓人無法猜疑的惡意軟體下載方式，因為 BITS 是一項合法的技術 ” Boldewin 在回應 Security Fix 的 e-mail 中如此表示。

可以參見 Symantec 原先的報告（http://0rz.tw/d62Ea）在該公司的 blog 上提到，這是網路上第一個被認出利用 BITS 的惡意程式。”BITS 的下載方式，先前在台面下已有完整的文件說明，而且被當成一種「反防火牆 loader」 的例子於 2006 年底張貼在俄羅斯的一個論壇上。”作者不同意 Symantec 的聲稱：”目前對於這類攻擊沒有立即的解決方法。” 一個惡意軟體將自身注入一個受到信任的系統程序當中，並不新穎或難以對抗。就這第一點而言，可以考慮在 2002 年被認出的 “BackStealthTrojan”。它藉由尋找數種可能在受害者機器上執行的軟體防火牆來運作，然後藉由防火牆自己的以信任程序來下載其他元件。

作者還要提醒，當作者在 Windows XP 上，以權限受限的使用者帳戶執行這
個 exploit 時，這種攻擊並不會成功。（http://0rz.tw/1e2F4）
所以，如果你把 Windows XP 或 2000 機器設定成在一個權限受限的帳號下運行，即便你不慎下載一個木馬，它也不太可能會完成它的任務。