駭客利用微軟DirectShow漏洞,對提供日全蝕直播網站進行網頁掛馬,該惡意程式並具自我隱匿技術。文/黃彥棻 (記者)
今年7月22日出現本世紀最長的日全蝕奇景,吸引許多民眾逐日的眼光,但也有聰明的駭客利用這股時事熱潮,在一些直播日全蝕的網站植入惡意網址,進行網頁掛馬。協助處理的中華電信表示,這次事前毫無跡象,直到日全蝕直播開始前,惡意網頁才有動作,此次受害人數雖少,但這也證明駭客思維已經開始轉變。
中華電信數據分公司協理劉伴和表示,此次有個外包廠商透過HiChannel平臺提供日全蝕網站直播服務。不過,在網站直播當天,只要有人點擊該網頁,會被中繼站double.net.tw,導引到youtube.go.3322.org和www.hklit.com等兩個惡意網站,下載惡意的木馬程式(Downloader)。
中華電信數據分公司資安辦公室主任吳怡芳表示,這次駭客利用前一陣子微軟公布的ActiveX的DirectShow漏洞。她說,駭客在直播服務上線前毫無動作,讓提供服務的廠商較難察覺異狀,這也證明駭客更會利用時事議題,讓網路使用者誤上惡意網站。
根據中華電信現有Log(登錄檔)記錄發現,該惡意程式下載網站總共有25筆網頁點擊記錄,其中19筆點擊記錄,是從該日全蝕直播網站惡意連結導引過去的,另外6個點擊,則是其他惡意網站連結過去。
吳怡芳表示,中華電信第一時間發現相關的惡意連結後,立刻將相關的惡意網址,輸入中華電信入侵防護系統的設備中,提供第一時間的防護,也降低損害。她表示,企業用戶可以將上述惡意連結和中繼站網址,輸入各該公司的URL過濾設備,達到基本的阻擋效果。
吳怡芳說,中華電信資安辦公室針對該惡意程式分析發現,這個惡意程式在虛擬環境中會自我隱藏,一般資安研究員若在虛擬環境進行惡意程式的分析,這個惡意程式會隱藏惡意行為,讓研究員難發現異狀。
阿碼科技資深資安研究員邱銘彰表示,目前的惡意程式已經進化到能反偵測分析環境,不論分析者是採取靜態的惡意程式分析,或者是行為監控的惡意程式分析,這種惡意程式可偵測出虛擬環境(VM)或沙箱(SandBox)在內的偵測環境,以及各種攻擊分析程式和穿越還原系統。
中華電信資安辦公室資安技術組組長李倫銓則指出,包括傀儡電腦在內的各種惡意程式,都進化到具有自我隱匿的技術,所有資安研究員目前面臨最大隱憂則是,這些惡意程式都可以反除錯和反偵測虛擬環境,若資安研究員還是習慣在既有的虛擬環境測試、分析惡意程式,將可能被惡意程式欺騙、反將一軍。文⊙黃彥棻
留言列表
