新攻击手法挑战现有资安管理机制
第5届骇客年会所揭露的攻击手法，让企业重新检视资安工具，包括防毒软体、应用程式防火墙，甚至是每个人都会使用的浏览器，以「早于骇客攻击」思维提出许多反省之道

在今年7月下旬，由Chroot举办的第5届台湾骇客年会（Hacks In Taiwan），报名人数超过380人，超过3分之1是学生报名，此次更首度有美国军方资安人员、日本国家级资安人员参与此次活动。

主办人网骇科技总经理徐千洋表示，企业资安环境挑战越来越严峻，从今年骇客年会的各种资安议题来看，企业使用各种资安产品都已经必须「进阶」优化的阶段，单一功能或单一面向的产品，面对骇客思维的改变，已经不敷企业使用。他希望企业透过骇客年会的议程，能「预先」了解骇客攻击思维，才能有效反思企业现有的资安政策走向。

防毒软体都不防毒了
台湾超过9成以上的企业，都有安装防毒软体。但是IT人员知道吗？随着骇客思维的进步，原本企业以为安全的环境都已经不安全了。专注于微软平台安全的资安研究人员Nanika在第5届台湾骇客年会中表示，如何反制防毒软体的侦测，一直是许多骇客积极努力的目标。

Nanika收集了很多国、内外的相关免杀与Rootkit技术，并以自己实务经验与能力进行整理，制作成一个将Rookit技术装进系统的小工具，称之为「送行者」。这个工具一旦置入系统，便会将Windows作业系统相关的通讯机制拦截掉。换句话说，就是把作业系统弄哑，因此所有防毒软体都看不到也听不到病毒。

会中，Nanika利用军队打仗与警卫防守要塞，往往会顾及前方却疏于后方当作例子，并用了一个透过还原程式的小技巧，然后将整个作业系统的沟通通讯机制换掉。现场，他还开放听众点播，让大家点名要躲避哪一套防毒软体。在这个测试该恶意程式是否能够躲过各家防毒软体的侦测时，从国际知名大厂，甚至是中国防毒软体，都无法侦测到该恶意程式，顺利回避成功。

这样的入侵手法，就好像找到一个系统的门口，骇客偷偷跑进去装窃听器，但只要能够先把门口漏洞防堵掉，骇客也无法顺利安装窃听器。

Nanika指出，目前主要系统入侵的方式包括，把旧的修补程式（Patch）替换成新的修补程式，利用旧有的漏洞进入，利用微软MS07-067的漏洞进入，或者是复制一个系统指令突破系统环境。他表示，上述几种方式都是骇客用来入侵企业系统环境的第一步。

实做全球第一个浏览器附加元件的傀儡电脑
除了多数企业都有安装的防毒软体，骇客透过还原或将Rootkit装进系统的方式，让所有恶意程式得以回避各种防毒软体的侦测外，对企业而言，另外一个最重要的应用程式就是浏览器，加上近年来为了便利不同分公司同仁，也都能使用企业内部的系统，都将系统登入作成Web化，透过浏览器当入该系统。

中研院资讯科技创新研究中心自由软体铸造场软体工程师曾义峰（Ant）目前已经实做出全球第一个新型态的傀儡电脑，这是一种基于浏览器、社交工程和纯JavaScript语言的傀儡电脑研究。

曾义峰表示，传统傀儡电脑1.0只能攻击单一平台，但到了傀儡电脑2.0则可以利用浏览器跨平台的特性进行攻击。由于傀儡电脑具有高隐匿难追踪的特性，他认为可以透过了解傀儡电脑的演化史，推对傀儡电脑未来演进的方向。

目前傀儡电脑大部分会利用包括IRC、Http、P2P、IM（即时通讯）以及自己特殊的通讯埠和外界进行沟通，随着浏览器越来越贴近每个使用者，曾义峰认为，奠基在浏览器上的傀儡电脑，因为非常容易模拟正常行为、具有跨平台特性，也是企业最常使用的应用程式和白名单的常客外，也能够完全使用正常的DNS 查询，「这也使得奠基于浏览器上的傀儡电脑，极易被人忽略。」

曾义峰在现场示范，将傀儡电脑伪装成浏览器的附加元件（Plug In），嵌入在浏览器的页面上，安装后除了有正常功能也可听令行事。他指出，目前资安研究最大的盲点在于，多数研究员或企业IT、资安人员，都等到骇客把某技术纯熟化后，才进行防堵研究。这次新型的傀儡电脑就是预测骇客未来的攻击模式，而且，这个新型态的傀儡电脑，的确可以绕过目前所有的防护措施，而且目前一点防堵办法也没有。

身为资安研究人员，曾义峰认为，资安研究不应该跟着骇客的脚步走，而是在更前瞻的预测未来攻击，这样，他所提出新型态的傀儡电脑，企业才能够防范这种未来的攻击模式。他指出，浏览器附件安全性只是其中的一种入侵途径，即使浏览器安全措施做得好，骇客还是有办法从其它地方达到一样的入侵手法，只是实作的方法是使用浏览器附件。

如何防止这样的恶意程式攻击？曾义峰认为，如果是浏览器附件的话，要各家浏览器厂商提供合法验证码，每个元件要经厂商认定后方可安装，否则用户安装时，会显示警告讯息。但他说，这种方法价值不大，因为很多人会直接按yes，根本不会看任何警告讯息。

各种系统漏洞都容易修补，但大脑的安全训练确是耗时又艰难，他预测，未来骇客将会大量转往社交工程攻击行为，对企业用户而言，最好的防护方式，还是随时加强资讯安全训练课程，加强攻击模式及未来可能模式的宣导，以及社交工程攻击的问题。

网路银行应避免任何不必要的讯息回传
中央大学先进防御实验室（ADL）博士班研究生林佳润则对于许多网路银行的安全性提出质疑。在不涉及任何入侵手法，单就许多网路银行回传的错误讯息，林佳润就有相关的资讯判定该网路银行可能会潜藏哪些网路或系统漏洞。

林佳润表示，他在看国、内外各网路银行所回传的各种错误讯息中，他发现日本和瑞士的网路银行，因为设计较为严谨，几乎找不到任何可以利用的错误讯息，也较难了解该网路银行潜藏的漏洞。
他认为，许多台湾的银行业者在设计网路银行时，因为设计还不够严谨，只要了解相关技术的人，极有机会透过许多网站回传的错误讯息，找到网路银行可能的漏洞。

他认为，「如何确保不要有任何可用的错误讯息从网站回传」，其实是台湾的网路银行业者应该注意的关键点，也是其该承担的责任。他说，这些因为网路银行本身设计不良造成的后果，若遭到恶意人士的误用，损害的不只是银行本身，有更多网路银行的使用者也将沦为受害者。

此外，在这次骇客年会中，也有资安研究员QQ提出一个乡民型傀儡网路，他表示，这是一个可以利用BBS来控制受害者和傀儡电脑的后门程式，虽然是一种骇客攻击概念的PoC（观念验证），但他也认同，企业资安人员唯有站在骇客攻击行为的前方，才能真正回头审视企业现有的资安部署并予以调整。

资料来源：http://www.ithome.com.tw/it...php?c=56618