网页的烟幕弹愈来愈多,使用者除担心恶意程序透过不明邮件的附件文件散播外,还得当心浏览网页却误触木马间谍软件暗中埋设的地雷。间谍程序惯用的路径下载/随看随下( drive-by downloads)技术,可能因为使用者浏览了某个网站,或预览某些邮件,而在没有察觉的情况下被安装后门程序。常见的攻击手法是不法分子或犯罪组织发出一封电子邮件,邀请收件人前往浏览某个网站,趋势科技资深安全专家Jamz Yaneza 指出这是一场尔虞我诈的攻防战,因为:恶意程序下载工具能随机产生不同的字符。当每次联机到恶意网站时,都会在连结之后使用不同的新参数,因此下载的档案类型就会随着改变。佯攻手法在层层烟幕的掩护下,更显得虚实难辨。 Jamz 认为这种攻击手法相当难破解,因为每次下载的程序都不相同,此外由于这是全新的攻击方式,而且往往都经过加密,因此侦测更是难上加难。趋势科技表示要防范这些类型的标准资安威胁,就必须要能扫瞄通过 80 通讯端口 (浏览器 (HTTP) 通讯端口) 的封包。不过防火墙的设定通常都允许浏览器存取网页,因此无法防止这种攻击方式,因此务必设置可在网际网络网关拦截恶意程序的解决方案。一款可以从源头猎杀间谍软件等恶意程序的网关安全设备,必须具备可防止路径下载并封锁可疑网站,且部署容易、降低服务负担与管理成本等条件。
PDF 阅读程序可能成为恶意程序激活平台
趋势科技表示,愈来愈多暗藏木马、后门程序、间谍软件或 Rookit的恶意网站,其外表往往看似正当,企图让警觉性不高的使用者因此而上当。IDC 报告(IDC: Private Internet Use Insecure.)也指出网页浏览器已超越电子邮件,成为恶意程序最常使用的散播方法。现在散播恶意程序的网站提供的不一定是色情图片或软件序号产生工具等别有用心的内容。甚至连可使用 Adobe Reader 阅读的 PDF 档案可能也面临同样的状况。
网络防毒及内容安全专家趋势科技(Trend Micro)表示Adobe Reader 7.0 提供了一项新功能,可让 PDF 档案中的 JavaScript 指令码执行,若 PDF 档案中含有网址连结,该应用程序也可自动使用浏览器开启网站。无庸置疑地,这项延伸功能最终可能导致 PDF 活页夹带可存取网址的恶意程序,甚至可能将恶意档案下载到受感染的系统中。对攻击者而言唯一美中不足之处,是应用程序会提示使用者是否要继续存取网站。然而,狡诈的攻击者只要运用社交工程技巧,便能成功达成目的,成功回避这项安全措施。趋势科技提醒,这并不是这个应用程序的安全弱点。这项功能已整合在应用程序本身当中,而且可从 "Edit" 菜单的使用者偏好设定中将它停用。只要停用 Javascript,便可避免 PDF 文件中的恶意程序代码顺利执行。企业采用可以透过对ActiveX 与 Java applet 进行验证并分析威胁来防止路径下载(drive-by downloads)的安全设备,可避免将来遭受恶意ActiveX 与 Java applet的攻击,比如趋势科技互联网网关安全设备--IWSA
网关源头猎杀恶意程序 网页烟幕弹难以引爆
使用者无意间浏览网站被自动下载的间谍程序,很难避免在键盘弹指间将机密资料送予别有所图的入侵者。趋势科技表示近日出现的几则恶意网页威胁实例,更让使用者难以在重重烟雾弹中提升警觉心,比如上个月藉由IM 散播世界小姐选美拉票行动,却引导至看似替信用卡负债整合网站宣传的页面,实际上却暗中至其它页面下载TROJ_AGENT.EVJ木马;点击藉由搜寻结果而来的页面,在貌似等待下载图片过程的页面显示中,却暗中下载含有 rookit 等恶名昭彰后门程序-HAXDOOR。趋势科技互联网网关安全设备- InterScan Web Security Appliance(IWSA),除了侦测并封锁间谍软件下载,有可以阻挡中毒计算机向外传送机密档案,甚至可启用 Damage Cleanup Server(DCS)损害清除服务,远程主动清除受害计算机。 IWSA亦可启用Intellitrap智能型扫毒机制或封锁,可在第一时间阻挡新型变种透过HTTP方式入侵。
网关安全控管采用硬件形式的好处
网关安全控管采用硬件形式的好处,以趋势科技互联网网关安全设备- InterScan Web Security Appliance(IWSA)为例,这套随插即用型设备,可在网际网络网关上封锁间谍软件、灰色软件、病毒及网络钓鱼攻击等入侵的第一道防线, IWSA不仅安装设定容易,它经过强化的 Linux 操作系统更降低了安全服务器本身受到安全威胁的风险。且已针对更快速的部署及更低的复杂性目标进行最佳化的工作,藉以降低操作成本。
