阿碼科技非官方網站在日前公告了IE 7 零時差攻擊(Zero Day Attack) 重大威脅警訊,剛剛讀到保哥的文章,提及昨日真的發現有客戶收到Mail,點擊連結就被植入木馬的情事(雖然無法證實是否就是利用該漏洞攻擊),大驚!

零時差攻擊是指軟體被發現有漏洞後,在廠商還來不及出修補更新前,就有人開發針對該漏洞攻擊的病毒、蠕蟲、木馬等惡意程式。由於軟體在修補漏洞前尚無任何防備,惡意程式如入無人之境,得以為所欲為。

聽來挺可怕的,不過光發抖也不是辦法,我們還是要有積極一點的作為。避用IE7是不錯的主意,不過我還是很有興趣了解這波攻擊的原理,面對可疑狀況時,比較能辨別是真的中鏢或另有原因。

Google了一下,發現目前查得到的資料有限,大多指向Knowsec Team的那篇文章,文章裡並沒有提及太多技術細節(也許是基於負責任揭露的原則吧?),不過由其中提到的"内存越界"、"开启DEP保护"等線索推敲,應屬於緩衝區溢位攻擊(Buffer Overflow Attack)的一種。若是如此,如Windows版本為XP SP2以後的OS,CPU又支援NX開啟DEP防護(Date Execution Prevention)應該就可大幅降低中箭落馬的機會。千萬別因某些程式的不相容,一氣之下就把DEP給關閉。真有不相容問題,建議針對特定程式關閉DEP即可,別嫌重就把防彈衣給脫了。

另外,關於中毒的徵兆,目前看到的是IE會開啟cmd.exe及下載/執行ko.exe木馬程式。不過,駭客界人才濟濟,也許過兩天就會有其他品種的新攻擊手法出籠,因此看到cmd.exe/ko.exe很有可能是中鏢,但沒看到卻不代表沒事。(搞資安就是要如此草木皆兵才稱得上是"政治正確",很辛苦吧!)

既然講到DEP,順道還是要為另一個被罵到臭頭的"好東西"說幾句公道話--害Vista背負罵名的凶手之一,那個惱人至極的UAC(User Access Control)。

我不知為什麼大家都這麼痛恨它,Google一下vista+uac,搜尋結果的第一頁有一半的文章在教你怎麼關掉它,真是諷刺極了。(讓我不禁想到在Share Ware網站上看過網友酸溜溜的評語: 這軟體唯一有用的功能是它的移除程式)

雖然我也覺得UAC很煩人,但打死我都不會關上它! 如果你研究過木馬、病毒是如何潛行鑽營,也發現過防毒軟體黑名單比對法下的漏網之魚,就會覺得忍受Vista/Windows 2008有人走近就大聲嚷嚷的歇斯底里,好過家當被搬個精光後的不勝唏噓。

安全,是要付出代價的!


Comments

# by Will 保哥

UAC 真的是好東西,我之前真的遇到過一次電腦正常使用下跳出來,經查詢後原來是 Java Runtime 在背景自動更新,不過還好是「正常」的軟體在執行,要是真的中了木馬,那才是夢魘的開始吧!所以我個人強烈建議不要關閉 UAC,也不要太習慣按下 Alt + C (繼續) 跳過 UAC 提示,認真的看 UAC 的提示對話框吧。 一則小故事分享: 由於我的 Notebook 剛買的時候就內建 Vista,取貨的時候店員很驕傲的跟我說:「來,安裝 Vista 的第一步就是先關掉 UAC 功能,那個功能沒用啦,我們的客戶幾乎每一位都問我怎麼關掉」,真的無言......

# by 小熊子

快速勿忘穩建,方便勿忘安全

# by 小傑

我並不認為UAC有用! 就如你所說的木馬病毒等,若有安全並且持續更新中的防毒軟體,對於這謝應該沒有多大的影響力喔! 我手上有正版的防毒軟體,根本沒有在怕的! 況且這UAC真的很不方便,開個程式還要問那麼多 許多狀況下還得"事先"使用"以管理員開啟程式" 許多傻瓜使用者,也都不知道什麼都按確定 這跟關閉有差別嗎?

# by Jeffrey

to 小傑,我後來的確也體認到,UAC對絕大多數的User真的沒什麼用處,很大比例的使用者都閉著眼睛按"同意",然後被煩到每天幹譙,直到學會來自天堂的"關閉UAC"功能為止。 因為一些機緣巧合,見過好幾次成功閃過防毒軟體的木馬病毒,也目睹過一些駭客案例,我並不是很信任防毒軟體,所以倒是很甘願買下UAC這份"昂貴的保險"。

Post a comment