今天晚上運動完回到電腦前, 看到了漏接的 MSN 訊息...
「安 我想買只諾基亞N92手機 我覺得好漂亮你也幫我看看.看完了要和我說說感覺怎麼樣哦 hxxp://www.blogo.tw」
剛好朋友也是位女生, 這樣的一句話, 語氣跟用詞也都蠻符合女生的用語。差點就熱心的想要幫她看一下。
『會不會是MSN 病毒的釣魚聯結?』
腦海裡念頭一閃, 才覺得這應該是惡意聯結, 雖然病毒作者已經很用心的想要融入台灣的文化, 不過『買支』跟『買只』還是不同, 諾基亞大家也少用, 都是打 Nokia 比較多。不過, 這都只是非技術的分析, 當然我還是要來追根究底。
在測試環境裡輸入了聯結 wxx.blogo.tw, 彈出了這樣的視窗:
很明顯的, 這是病毒很常使用的檔案格式 .scr (塋幕保護程式), 而且病毒作者很細心的取了 jpg 為檔名, 企圖讓人真以為是 N92 手機的照片。
阿湯把檔案下載下來, 傳到 VirusTotal 去掃掃看!
VirusTotal 掃描的時間是 2007.10.22 19:13:40 (CET), 掃描結果: 17/32 (53.13%), 也就是說到目前為止, 還有一半以的的防毒軟體還沒有病毒定義檔, 再換句話說, 雖然你裝了防毒軟體, 但你使用到目前還掃不到這隻病毒的防毒軟體的機會, 是 1/2。
接下來再向 Google 查詢這個網站的資訊, 使用 site:www.blogo.tw 的語法查詢, 得到了以下的結果:
從 Google 的結果, 可以看到這個網站, 已經被 Google 列為有安全風險的網站, 阿湯研判很可能是被入侵, 然後當做是散播惡意程式的網站。
總結:
從這隻惡意程式的攻擊手法來看, 可以總結以下的幾點心得:
(1) MSN 釣魚攻擊, 已經愈來愈細緻:
釣魚的訊息, 不是大家會有戒心的英文或是簡體中文, 而是精心巧思, 結合最新的手機資訊, 吸引大家去點選。
(2) 防毒軟體真的是不夠用了:
單純的靠病毒定義碼的更新速度跟網路上無數的病毒作者 (犯罪集團) 比賽, 你能保證自已使用的防毒軟體是已經有病毒定義檔的那一半? 企業應該思考, 如何過濾掉這些惡意聯結, 或是防止使用者點擊, 或是教育使用者看到 MSN 的聯結就像是接到詐騙電話一樣, 不要輕信!!
所以企業內部閘道上應有過濾的機制, 集中過濾這些惡意聯結; 在用戶端, 除了防毒軟體, 也應有進階的端點防護方案, 加強公司內部愈來愈多的筆電在公司外上網的安全防護。
(3) 社交工程 (Social Engineering) 是目前用戶端攻擊常見的模式
目前的攻擊己經是組織化, 犯罪集團利用這些攻擊, 植入木馬或鍵盤側錄器, 竊取使用者的帳號密碼資訊, 企圖獲得不法的利益。而這樣的用戶端攻擊, 大量的使用社交工程的方式, 利用大家的好奇心、熱心, 來進行攻擊, 一不小心, 很容易就誤入這樣的陷井。
最後, 給大家一條安全守則.....
若是 MSN 視窗第一個訊息是一個聯結? STOP!! 先問清楚再按吧!!!
後記:
為了這隻病毒, 還特地去看了一下 Nokia N92 手機, 真的蠻酷的, 具有行動電視的功能, 造型也不錯, 但台灣目前尚未發行。
不過, 這算不算是一種另類行銷, 不知道 Nokia 需不需要付給病毒作者廣告費 :)
作者: Thomas Chuang
- CISSP。
- 美國卡內基美隆大學資訊安全及電腦輔助工程雙碩士。
- 『WiFi Hacking! 無線網路駭客攻防戰』一書作者。
- 目前為國際資訊安全公司資深技術顧問。
- 曾任職資訊公司亞太區資深資安顧問。主要領域為資安防護規劃、風險管理與弱點評估、攻擊與滲透測試,以及無線網路安全,並且也曾擔任Foundstone Ultimate Hacking 講師,於亞太區六個國家十餘個城市開課。
