|
一種純由網路遞送的電腦運算服務-「雲端運算技術」,已經成為時下最熱門的話題。今天,就像Panda防毒軟體公司已經開始提供雲端掃毒服務一樣,「雲端」甚至已經成為某些網站、應用程式以及服務供應商的連線服務代名詞。
雲端運算服務是從Web 2.0的概念延伸過來的,這種不(完全)安裝軟體就能在電腦上使用它們的服務方式,能節省使用者許多的下載、更新時間,並確保軟體隨時都處於最新狀態。
然而,並非只有一般人注意到如此具有突破性的優秀概念,許多的病毒設計者、網路黑道、網路騙子等壞傢伙們也都留意到了這個「好康」,因此就使得越來越多的惡意軟體利用雲端優勢去增加自己的黑市營利功能。
太陽底下沒有新鮮事
病毒、特洛伊木馬程式以及其他惡意軟體擁有雲端運算能力並不是什麼新鮮的事情,早在2000年我們就發現了能夠透過網路自行更新惡意程式碼的病毒:Babylonia病毒和Hybris病毒。
Babylonia病毒誕生於1999年末,當時病毒、蠕蟲、特洛伊木馬程式等惡意軟體的特徵遠比今天還要明顯許多。Babylonia因為能夠透過網路進行自我更新,所以是隻非常難纏的病毒,它在散撥的時候就像一隻蠕蟲,成功感染電腦後又會表現得像病毒一樣,並帶有一些特洛伊木馬程式的特徵。
這種惡意軟體病毒會直接與網址相互連結,接著會去訪問一個由病毒設計者所創造、含有一連串附加元件的檔案。透過這些附加元件,Babylonia病毒能夠完全改變它的行為方式,變成一隻能夠介入即時通訊、透過電子郵件寄發資訊,並且編輯系統檔案的蠕蟲。
另一個能夠透過網路進行自我更新的樣本出現在2000年。這個惡意軟體比Babylonia病毒更高明,它不需要透過伺服器去更新檔案或附加元件。惡意軟體設計者只要寄送加密的更新程式到「alt.comp.virus」這個新聞群組,惡意軟體就能夠自行連接到這個新聞群組去下載更新檔案。
然而,透過更新去改變惡意軟體行為的操作手法似乎已經成為過去式了。今天的惡意軟體設計者為讓惡意軟體的行為模式變得更簡單、更有營利性,甚至設計出病毒編輯器以及垃圾郵件散播器來進行攻擊。此外,他們仍在尋找解除電腦安全防護功能的最佳方式,同時還在思考如何增加惡意軟體的攻擊效果。
今非昔比的特洛伊木馬程式
今天,或許是因為銀行特洛伊木馬程式多半能夠謀取商業利益的緣故,惡意軟體的種類已被這類兇猛的惡意病毒碼佔去了絕大部分。這種惡意軟體能夠悄悄的安裝在系統裡面,直到使用者使用網路銀行服務的時候才會把他們所輸入的資訊給偷走,然後將資訊傳送給惡意軟體的設計者。
基於程式運作與攻擊目的的需要,網路已成為許多銀行特洛伊木馬程式所賴以維生的基礎設備。此外,特殊的特洛伊木馬程式常會連接到多個不同的網路設備,以獲得它們執行所需的相關資訊。
在許多情況下,使用者不小心開啟的特洛伊木馬並沒有包含病毒碼本身,而是由一組簡單的程式碼來偷偷下載並植入真正的特洛伊木馬程式。這種間接植入電腦的方式,通常是為了避開防毒軟體的偵測而設計的。
就上述例子而言,特洛伊木馬程式實際上是在網路雲端等著被下載的,這表示感染過程已被切割成兩個部份:第一步是驅動病毒碼下載程式,第二步才是下載惡意軟體本身。這種兩段式感染法能夠帶給惡意攻擊者兩個好處,其一是特洛伊木馬程式更能避開防毒軟體的偵測,其二是病毒碼被第二套防護軟體給偵測到的話,就能夠直接在雲端修改或更新自己的運作方式。
惡意軟體的種類有很多,而銀行特洛伊木馬程式是其中較為特殊的一種。它在植入電腦後,就會使用雲端資源來強化本身的控制裝置、資料模組和資料傳送系統。
當特洛伊木馬程式植入電腦的時候,有時會作出一個查詢指令檔或網頁以監控目前感染電腦的數量。而為了竊取使用者所輸入的資訊,這些惡意軟體甚至還會自行下載銀行清單和具體操作方式,這就讓網路騙子有資源能夠更新、編輯、並擴展特洛伊木馬程式所要攻擊的銀行網站清單。
最後,如果特洛伊木馬程式所竊取的資料(包括使用者名稱、密碼、PIN、帳戶或信用卡密碼)無法直接傳送給設計者,那麼這些資料勢必會被傳送到某個網站或電子信箱之中。在這種情形下,最常使用的方法就是透過指令碼來傳送出去。
現在已經有上萬種惡意軟體(特別是特洛伊木馬程式)擁有雲端運算的相關功能,而且每天都有超過15000種的樣本被傳送到網路雲端。
藉由許多設備的幫助,特洛伊木馬程式不只能夠調整運作方式來擴展它的銀行清單,也能延長自己的生命以獲得更多商業利益。
向病毒伸出援手的雲端運算服務
特洛伊木馬程式不但能夠透過雲端運算服務去改變它們的行為模式,還能藉由一連串的設施、網際網路協定、網址和連結來存活下去,即便是在這些連結或網站失效之後它們還是能夠活得好好的。
為了解除惡意軟體的特定程式碼,針對它們的結構進行調整是必要的;關掉惡意軟體的某個結構組織將很可能無法阻止它們繼續運作。記住!攻擊者並不會浪費時間去控制惡意軟體殘留下來的部份,直接更新它們會是一個更加容易的方式;他們會把惡意軟體轉換到一個新的伺服器,然後惡意軟體就會像以前一樣繼續運作。
最近利用雲端平台來進行攻擊的惡意軟體已逐漸增加,它們能用演算法來亂數產生上千個網址,進而造成使用者的極大困擾。這些惡意攻擊者都很清楚特洛伊木馬程式創造了哪些網址,當需要的時候就會去註冊和使用它們。
最近散布最廣的惡意軟體之一就是 Conficker,他極度仰賴雲端運算技術,並藉此註冊了數萬個不同的網址。第一版的Conficker每天只會亂數產生250個網址而已,然而新版的Conficker每天卻會產生50000多個,這表示阻止它是一項非常艱鉅的任務;我們只能透過多國企業組織的共同合作,才能夠避免亂數註冊網址的惡質情形發生。
現在不只是正常應用程式在探尋雲端平台的優勢而已,一些惡意軟體也在覬覦這塊尚在發展的處女地。我們希望各位都能做好充分的心理準備,因為網路騙子和惡意軟體的全新紀元即將來臨。
Panda實驗室的技術經理
Luis Corrons敬上
關於Panda實驗室
Panda實驗室創立於1990年,此後便致力於快速發現並消滅網路新型威脅,以提供用戶最優質的電腦安全防護。這種防護模式的創新點在於,它每天都會自動分析、歸類上萬種新型惡意軟體樣本,並在最低的電腦耗能和最小的影響下,提供用戶最高效率的網路安全防護。 Panda實驗室的全新安全模組是經由集體人工智慧集結而成,它可分析99.4%的惡意軟體,並偵測出其他防毒軟體所無法探知的惡意軟體。 上述作業都是由全球數個團隊全天候執行的,他們各自專精於特定的惡意軟體(包括病毒、蠕蟲、特洛伊木馬程式、駭客、網路釣魚、垃圾郵件等等),如此才能提供給用戶最安全、最簡便以及最完善的安全防護網。 更多資訊請至Panda實驗室的官方網站 http://www.pandalabs.com 查詢。
|
