危机四伏:即时传讯面临的威胁 赛门铁克安全机制应变中心 Neal Hindocha
http://www.savetime.com.tw.../2003_2.asp//简介
即时传讯即将成为恶意软体(malware)的传播媒介。越来越多人使用即时传讯,不论是作为个人联系或企业商务用途。即时传讯网路不只提供文字讯息的传递,也可以作为档案传输之用。因此,即时传讯也可传输病虫与恶意软体。即时传讯也可以成为特洛依木马的进入点。骇客可以透过即时传讯,使用后门来存取电脑,而不需开启一个接听埠(listening port),就可以有效地绕过桌上型电脑与闸道防火墙。而且,骇客并不需要去扫描未知的 IP 位址,就可以轻易地从一个更新的好友名单资料库中选出一个受害者。当即时传讯新增的功能越来越多(例如:点对点的档案分享),即时传讯也将会变得更容易传递恶意软体。
而且,在使用如防火墙等传统安全防护的企业中,即时传讯是很难被拦截的。此外,一般而言,伺服器层级的防毒软体不会监控即时传讯的网路通讯。这意味着,只有在桌上型电脑上安装防毒软体才能抓到即时传讯的病虫。
幸运的是,防毒厂商已经了解到即时传讯的危险,且已经开始在桌上型电脑用的防毒产品设计外挂程式(plug-ins),以保护各种即时传讯用户端的安全。Norton AntiVirus 2003 即是一例,它可以扫描任何即时传讯用户端收进来的档案。
当电子邮件变成我们日常生活的一部份时,它也变成大量病虫的传播媒介。即使已有许多电子邮件病虫疫情的爆发,但还是有许多人没有真正了解使用电子邮件的潜在危害。我们很希望这样的状况不会在即时传讯上重演。
//即时传讯的威胁
即时传讯的威胁不仅限于病虫,也包括会汇出资料,并在系统安装后门的特洛依木马。而且,使用即时传讯最大的威胁便是隐私权的问题。
病虫:
藉由电子邮件扩散的病虫已成为任何电脑安全专家日常生活的一部份。某些病虫因为社交工程术(social engineering)或者利用骇客工具(exploits)成功达到大量扩散的目的。但是,因为防毒软体可以监控电子邮件流量,而且一般使用者也已经知道电子邮件病毒的威胁,因此通常可以快速的处理这些威胁。即时传讯病虫的数量持续成长,但目前还没有防毒软体可以直接监控即时传讯的流量,而且只有少数是可以直接外挂到即时传讯用户端,并即时的监控接收的档案。部分原因是因为:监控即时传讯流量的难度,就跟监控它们所使用之不固定的用户端与通讯协定是一样的。
不幸的是,这使得即时传讯变成进出电脑的任意门;因为它的流量会绕过大多数无法扫描到潜在病虫的伺服器端安全工具。因此只有安装在电脑上的防毒软体才能抓到病虫。
以下是某些利用各种即时传讯来自行扩散的病虫:
W95.SoFunny.Worm@m
W32.Aplore@mm
W32.Goner.A@mm
W32.Choke
JS.Menger.Worm
W32.FunnyFiles.Worm
W32.Annoying.Worm
W32.Mylife
W32.Maldal (some versions)
W32.Seesix.Worm
W32.Led@mm
VBS.Msnb.Worm
您可在以下网址找到更多关于这些病虫的资讯:
http://securityrespo...ntec.com特洛依木马:
使用即时传讯你就可以分享某人电脑上的每个档案。所有热门的即时传讯都有档案分享的功能,或者让您可以运用修补程式或外挂程式来增加这样的功能。骇客以即时传讯取代在远端电脑安装后门木马来存取档案的好处在于:即使电脑使用的是动态 IP 位址,它的用户名称(screen name)也可能不会改变。再者,只要每次受害者上线,骇客就会收到通知。因此,这使得骇客可以更轻易的持续追踪并存取被感染的电脑。另外,骇客不需要开启一个新的可疑埠来进行通讯,只要透过已经开启的即时传讯埠就可以了。
有少数的特洛依木马程式是针对即时传讯。某些会改变组态的设定,所以可以分享整个硬碟的档案。这种型态的特洛依木马会造成很大的威胁,因为它们允许任何人可以完全的存取电脑里的档案。
也有许多传统的特洛依木马会使用即时传讯来传送讯息给特洛依木马的作者,提供骇客被感染电脑的相关资讯。此资讯会包括被感染电脑的 IP 位址以及已经被开启的埠号码。
特洛依木马藉由使用即时传讯用户端来存取电脑的档案,这可能会比用传统(classic)的特洛依木马更难被发现。传统的特洛依木马会在电脑上开启一个收听或对外的埠( listening or outgoing port ),以连上远端电脑。桌上型防火墙可以有效地拦截这些传统的特洛依木马。
然而,如果特洛依木马透过即时传讯用户端来操作的话,它就不会开启一个新的埠,因此,就不会被传统的桌上型防火墙所拦截。
今日的特洛依木马已经会利用即时传讯。最近便发现有一个特洛依木马会传送 ICQ pager 讯息给特洛依木马作者。它被命名为 Backdoor.AIMvision,会让骇客窃取储存在 Windows 登录档(register)的 AIM 相关资讯。也会让骇客可以架构 AIM 用户端。
另一个使用ICQ传讯来联络作者的特洛依木马称为 Backdoor.Sparta.C。
劫夺与冒名(Hijacking and Impersonation):
骇客可以用许多不同的方法来假冒其他使用者。最常用的攻击手法就是窃取没有戒心的使用者(unsuspecting user)的帐号资讯。
帐号资讯遭窃对任何即时传讯来说都是非常危险的。受害者好友名单上的人会信任骇客。因此,对骇客来说,这会使他们更容易说服好友名单上的人在电脑上执行某些档案,或者公开机密资讯。因此遗失即时传讯帐号密码所造成的危险并不只限于遗失密码的人,而是会影响更多人。
如果骇客想要取得使用者的帐号资讯,他们可以使用窃取密码的特洛依木马。假使即时传讯用户端的密码储存在电脑上,骇客就可以传送特洛依木马给没有戒心的使用者。当此特洛依木马执行时,它会找到受害者的即时传讯密码,并将密码传送给骇客。有很多工具都可以将资讯传回给骇客,包括使用即时传讯本身、IRC以及电子邮件。
因为这四家即时传讯(AIM、Yahoo! Messenger、ICQ、MSN Messenger)通讯协定都没有将他们的网路流量加密,因此骇客可以透过拦截式攻击(man-in-the-middle attacks)来劫夺连线。骇客可以藉由插入讯息到进行中的聊天连线(chat-session),以假冒在聊天室里的人。
虽然这很困难,但骇客也可以使用拦截式攻击(man-in-the-middle attacks)来劫夺整个连线。例如,一个离线的讯息看起来会像是来自伺服器,但有可能是骇客寄给受害者的。这有可能会导致用户端断线。骇客也可以使用简单的拒绝服务骇客工具,或是其他无关的骇客工具(unrelated exploits)使用户端断线。
因为伺服器会维持连线状态(keeps the connection open),而它并不知道用户端已经离线,因此骇客就可以假冒受害者。再者,因为所有的资料都没有加密或者认证,骇客就可以使用像 ARP 欺骗的传统拦截式攻击(man-in-the-middle attacks)。
拒绝服务 (Denial of Service):
骇客可以使用许多方式来造成即时传讯用户端的拒绝服务(denial of service)。
某些拒绝服务攻击会使即时传讯当机。而有些型态的攻击则会让用户端暂停(hang),有时会消耗大量的 CPU,让整个电脑变得很不稳定。
另一个常见的攻击型态是用大量的讯息来灌爆特定使用者。许多即时传讯用户端会藉由允许受害者忽略某个特定的使用者,以避免遭到流量攻击(flood-attacks)。但是,有许多工具让骇客可以同时地使用许多帐号,或者自动地建立大量帐号以达到流量攻击的目的。而且,在流量攻击开始之后,当被攻击的使用者了解发生什么时,电脑可能已经没有回应了。因此,你很难将攻击的使用者帐号加到即时传讯用户端黑名单中(ignore list)。
在即时传讯用户端造成拒绝服务的只是一般的骇客工具。这些骇客工具极有可能变成最危险的拒绝服务攻击类型,因为它是很难防范的。再者,某些骇客工具并不会真正的让用户端当机。相反的,它们会让即时传讯用户端消耗大量的 CPU 时间。这会让电脑变得没有回应,而不只是即时传讯用户端暂停而已。
尽管拒绝服务攻击的恼人程度大于实际的危害,但他们可以和其他攻击结合,例如:劫夺连线等。
资讯泄漏 (Information Disclosure):
试图从即时传讯使用者找到系统资讯是现今很常使用的工具。IP address retriever 即是一例。
IP address retrievers 可以被用来达到许多目的。例如,如果 IP address retriever 与特洛依木马一起使用,每一次只要受害者一上线,骇客就可以收到包含受感染电脑 IP 位址的讯息。
这样一来,骇客就会知道被感染使用者的 IP 位址,即使使用者用的是动态 IP 位址。
骇客有许多像是 IP address retriever 等方式可以传送资料,汇出特洛依木马给没有戒心的使用者(unsuspecting user)。藉由利用社交工程术( social engineering)或者潜在无关的骇客工具(unrelated exploits),骇客可以让没有戒心的使用者执行档案。该资料汇出特洛依木马找到使用者电脑上的资料,并且透过即时传讯网路将它回传给骇客。
有许多针对各种即时传讯用户端之不同类型的资料窃取特洛依木马。
例如,骇客可能会窃取使用者帐号的密码。当使用者登出时,骇客就有该帐号的完全控制权。骇客可以执行各种工作,诸如改变密码并传送档案给好友名单上的人。
另外,骇客无须使用特洛依木马也有可能达到资讯泄漏的目的。因为透过即时传讯网路传送的资料是没有加密的,所以骇客可以 sniff 封包,监控整个即时传讯的通讯。这会非常危险,例如:假使企业内的员工使用即时传讯来沟通敏感的企业资料,骇客就可以看到这个通讯,因此取得资讯。
针对 AIM 的特定威胁:
病虫
有许多病虫使用各种即时传讯网路来扩散蔓延。W32.Aplore@mm 是使用 AIM 网路来扩散蔓延的病虫。该病虫藉由传送讯息到 AIM 好友名单上的所有联络人来扩散。会出现以下讯息之一:
' btw, download this,
' I wanted to show you this,
' please check out,
' hey go to,
' see if you can get this to work,
' this is cool,
' tell me what you think about,
' try this,
' I almost forgot about,
' I like this,
' what about,
' have you seen,
' interesting,
' lol,
' wow,
' whoa,
' neat,
' cool,
' hmm,
' psst,
' hehe,
' haha,
' silly,
' weird,
在讯息中也会提供一个网页参考讯息。此网页是在一个被感染的电脑上,因为病虫在埠 8180 上就像是个网页伺服器。网页会出现以下资讯:
Browser Plugin Required
You may need to restart your browser for changes to take affect.
Security Certificate by Verisign 2002.
MD5:9DD756AC-80E057FC-E00703A2-F801F2E3
Click HERE and choose "Run" to install.
当然,您所下载的档案会是病毒的副本。
你可在以下网址找到更多该病虫的相关资讯:
http://securityresponse.symantec.com/av...w32.Aplore@mm.htm漏洞(Exploits)
骇客常用的威胁型态是漏洞(exploit)。有几个已知的 AIM 漏洞。AOL 藉由过滤恶意流量来快速修复伺服器端上大多数的漏洞。因此,在大多数的状况下,使用者不需要更新他们的用户端以免于漏洞的威胁。但是,有些漏洞需要使用者在用户端上执行修补程式。
以下所列为近期的漏洞:
AIM Link Special Character Remote Heap Overflow Vulnerability
一个设计精巧特殊的 URL 字串可以导致 AIM 用户端当机。
资料来源:http://online.securityfocus.com/bid/5492/info/
AIM Unauthorized Actions Vulnerability
藉由增加 AIM 资讯到网页上的 meta refresh tag (重新整理标签),AIM 用户端可以强制加到 AIM 好友名单上的群组与好友名单。
资料来源:http://online.securityfocus.com/bid/5246
AIM AddBuddy Hyperlink Vulnerability
大型目标:在网页新增好友连结可能会导致 AIM 用户端当机。
资料来源:http://online.securityfocus.com/bid/4709/info/
在 1999 年底,一种称为 AIMThief 的工具被用来窃取 AIM 帐号。在 AIM 通讯协定使用骇客工具,该工具让骇客可以输入受害者的用户名称(screen name)。然后此工具会改变用户名称的密码。
即使此工具无法再运作,它也会显示出即时传讯系统的弱点。再者,像这样的弱点需要即时传讯厂商采取某些行动,而且目前没有暂时性的解决方案或修补程式可以提供给一般使用者。
针对 Yahoo! Messenger 的特定威胁:
病虫
目前尚未有病虫利用 Yahoo! Messenger 来进行扩散。
漏洞
Yahoo!Messenger Call Center Buffer Overflow Vulnerability
它可能会在网页上插入 ymsgr:// 以连结 Yahoo! 。Yahoo! Messenger 应用程式就会处理这些问题。如果有出现大量连结的要求,就有可能在 Yahoo! Messenger 的用户端造成缓冲区溢位。
资料来源:http://online.securityfocus.com/bid/4837
Yahoo!Messenger Script Injection Vulnerability
如果 Yahoo!Messenger 与网页浏览器整合,此弱点会在即时传讯用户端建立一个可以开启网页的连结,并且执行选择的程序档(script)。
资料来源:http://online.securityfocus.com/bid/4838
针对 ICQ 的特定威胁:
病虫
W32.Goner.A@mm是会利用 ICQ 即时传讯网路来大量发送邮件以扩散蔓延的病虫。它是以 Visual Basic 写成的病虫,并已使用 UPX 压缩过。如果电脑上已安装了 ICQ,该病虫就会执行以下动作:
检查 ICQ DLL 档案的版本并确认该档案包含了此病虫想要利用的 APIs 。如果它找到一个正确的版本,此病虫就会继续进行。
取得目前在线上所有联络人的清单。
取得每个使用者的个别资讯,而此资讯是传送档案必要的。
病虫会将自己传送给清单上的所有使用者。
你可在以下网址找到更多 W32.Goner.A@mm 的相关资讯:
http://securityresponse.symantec.com/avc...2.goner.a@mm.html 特洛依木马
ICQ 让使用者可以使用网页浏览器传送讯息。特洛依木马的作者开始利用这个功能。例如,名为 Backdoor.Sparta.C 是一只传统的特洛依木马,它会在电脑上开启埠,以接收传送进来的连线。然而,在感染某个使用者后,Backdoor.Sparta.C 将会在网站上使用 ICQ 传送一个讯息给后门作者。该讯息传送的资讯包括 IP 位址,有哪些埠被开启以及一些关于被感染电脑的资讯。
你可在以下网址找到更多这个特洛依木马的相关资讯:
http://www.sarc.com/avcenter/venc....sparta.c.html 漏洞
ICQ 2001/2002 Malformed Message Denial Of Service Vulnerability
ICQ 允许在讯息中插入笑脸的图案。如果大量的笑脸被插进讯息中,则接收该讯息的 ICQ 用户端就会暂停 10~20 秒,消耗掉所有的 CPU 时间。它也可能会当机而不只是暂停。
资料来源:http://online.securityfocus.com/bid/5295
Mirabilis ICQ Soundscheme Predictable File Location Vulnerability
ICQ soundscheme (scm) 档案预设的动作是:开启它并且将包含 scm 档案的声音档放在硬碟的一个已知位置。此档案将会被下载并且安装在下列的位置: C:\ProgramFiles\ICQ\Sounds\[name]。如果知道档案会被储存在哪里,档案执行弱点就可以被利用。有几个利用 Internet Explorer 已经被提报出来。
资料来源:http://online.securityfocus.com/bid/5247
回避认证工具(Authorization Bypassing Tools)
在 ICQ 里,您可以在将某个使用者加到另一个使用者的好友清单前,设定是否需要认证。但是,有许多工具可以回避认证的要求,这会让未经授权的使用者可以决定另一个使用者的状态是在线上或是离线。
这些工具可以绕过认证的要求,因为 ICQ 将好友清单储存在本机电脑上,但是其他所有的即时传讯都是将好友清单储存在伺服器上。伺服器ICQ 的最新版也使用伺服器来储存好友清单。但是,因为回溯相容性(backwards compatibility)的缘故,存放在本机电脑的好友清单就可以被送到伺服器。
针对 MSN Messenger 的特定威胁
病虫
已有许多病虫利用MSN Messenger 即时传讯网路扩散。这可能是因为 MSN Messenger 提供大量的文件服务、以及让应用程式和服务互动的简便性。
W32.Choke.Worm 是利用 MSN Messenger 网路来扩散蔓延的病虫。
此病虫会钩住(hook) MSN Messenger,因此当某好友首次开始和一个被感染的系统进行文字交谈时,远端的系统会传送以下文字讯息:
President bush shooter is game that allows you to shoot Bush balzz hahaha
和讯息同时出现的是邀请使用者下载一个名为 ShootPresidentBUSH.exe 的档案。如果好友拒绝下载,此病虫就会重复传送此邀约。此病虫会记得每一个已经接受病虫副本的好友名称,并以笑脸回应他们所传回的每个讯息。
你可在以下网址找到更多关于该病虫的资讯:
http://securityresponse.symantec.com/avc...2.choke.worm.html 漏洞
Microsoft MSN Messenger Malformed Invite Request Denial of Service
MSN Messenger 中会有一个遭破坏的标头(corrupted header),它的邀请需求会导致 MSN Messenger 用户端当机。
资料来源:http://online.securityfocus.com/bid/4827/info/
Microsoft MSN Messenger Message Spoofing Vulnerability
资料来源:http://online.securityfocus.com/bid/4316/info/
Microsoft MSN ActiveX Object Information Disclosure Vulnerability
因为文件开启功能中的软体错误,您将可以读取某个使用者的好友清单,并假冒该使用者。该恶意程式码会与病虫使用的骇客工具一起传送出去。此病虫称为 JS.Menger.Worm。您可在以下网址找到更多关于该病虫的资讯:
http://securityrespo...ntec.com 资料来源:http://online.securityfocus.com/bid/4028/info/
//拦截即时传讯
我们很难避免使用即时传讯。如果用户端可以使用如 HTTP port 80 与 FTP port 21 等一般的通讯埠(destination ports),则简易的埠拦截防火墙会法无效拦截它,。如果用户端无法透过预设的埠来进行沟通,则大多数的用户端都会自动架构(auto-configure)以使用其他非预设的埠
具备通讯协定分析的防火墙,可防止即时传讯用户端透过如 port 80 的一般目的地埠来进行通讯,因为即时传讯的流量与 HTTP 流量是不同的。然而,所有的用户端将通讯资料嵌入在一个 HTTP 连线要求里,以避开通讯协定的分析。
用户端与回应基本上必须预先搁置(prepend) HTTP 标头到每一个传送的封包,因此巧妙地避开任何通讯协定分析的防火墙。例如 ICQ 与 AIM 的用户端,只有在必须使用 HTTP proxy 时,HTTP 标头才会被加上去。虽然,AOL提供免费的 proxy 存取,(网址为:www.proxy.aol.com),如果所有的埠都会拦截直接存取的话,那么用户端就会自动架构(auto-configure)以使用这个 proxy。
即使如此,在 AIM 与 ICQ 的中,还是可以藉由拦截位址来防止存取 proxy,网路上有许多其他免费提供的 proxy 伺服器。您只要在网路上稍微搜寻一下,就会出现上百个免费提供的 proxy 伺服器。要拦截每个 proxy 伺服器是很困难的,而且也会是管理上的恶梦。
制定企业政策是防止内部员工使用即时传讯的最佳方法。
//即时传讯的未来
即时传讯已经被证明是人们进行沟通的良好辅助工具,而且它兼具隐密性与专业性。即时传讯用户端已经变得更好使用,而且它们也开始运用如语音通讯与档案传输等其他功能。
即时传讯使用者的数量目前已有上百万,而且越来越多人申请这四家主要即时传讯网路的服务。
即时传讯有许多问题,但提供这些服务的公司若能加以教育与提供更好的回应,将可协助减少这些问题。许多公司修复伺服器端的漏洞(exploits),因此可以避免使用者在用户端执行修补程式的问题。
令人讶异的是,目前只有少数的病虫与其他型态的恶意软体利用即时传讯来进行扩散;但在未来,这种情况却会越来越多。而且我们也可以看到这些网路有更多的协同运作。AOL 已经和 ICQ 合作,我们很快的就可以看到 AIM 与 ICQ 的协同运作。但是,此协同运作却可能会让病虫可以游走于这四个网路之间,而不仅限于一个单一的网路。
隐私议题与记录即时传讯流量的能力对企业来说也是重要的功能,某些即时传讯提供用户端加密的通讯。然而,当这些功能被整合进合法的用户端以及它们使用的网路时,企业就会更依赖即时传讯来进行通讯。
//结论
因为目前骇客针对的是个人使用者,所以整体而言,骇客对任何即时传讯网路并不是大威胁。从另一方面来说,病虫会针对特定网路的所有使用者,因此在未来它们显然会造成更大的威胁。
我们已经可以看到使用安全漏洞(security exploits)的病虫可在短时间内迅速扩散蔓延。红色警戒(Code Red)与宁达病虫(Nimda)就是利用安全漏洞(security exploits)来迅速扩散蔓延。
即时传讯不太可能在短期内变成像今日电子邮件般的成为病虫主要的传播媒介。今日使用电子邮件的人数多于即时传讯,因此病虫利用电子邮件才能使扩散范围更大。如果病虫将自己传送给通讯录上的所有联络人,则它也有潜力将自己传送给您企业中的每个员工。然而,如果相同的病虫将自己传送给即时传讯好友名单上的所有联络人,则它可能只会接触到几个人而已。
再者,主要的即时传讯网路仍然使用专属的通讯协定(proprietary protocols)。所以,使用 MSN Messenger 的病虫不会影响使用 Yahoo! Messenger 服务的使用者。因此,如果用户端变得可以彼此协同运作,或使用者利用某个主要的网路,则即时传讯病虫可能会变得更容易扩散。
然而,以上的讨论并不表示您就可以无视于即时传讯可能造成的威胁。目前已有超过 20 只的病虫可以透过即时传讯扩散,同时也有许多针对各种即时传讯用户端的漏洞(exploits)。
未来,系统漏洞(exploits)将会变成骇客攻击系统的主要方式。如果不同的即时传讯可以协同运作,即时传讯厂商的安全追踪纪录就可能是企业决定用哪一种即时传讯的关键因素。
企业内的电子邮件流量通常是由防毒软体来监控。因此,一旦侦测到特定的病虫,被感染的电子邮件会在伺服器被阻断。但就即时传讯而言,防毒软体目前无法监控闸道端的流量。如果病虫开始使用即时传讯扩散,我们就无法在它到达使用者电脑前加以阻止。
即时传讯病虫的数量正在逐月增加中,再看看这些得逞的病虫,我们可以想像即时传讯很快的就会成为恶意威胁的温床。
我们应该更小心地使用即时传讯,教育使用者是我们可以确保安全使用它们的最佳方式。我们诚心希望,在未来不会看到任何即时传讯被病虫利用而造成可怕的疫情。
