2012年7月29日 星期日

與病毒專家對話 : 揭火焰「Flame」病毒始作俑者


與病毒專家對話 : 揭火焰「Flame」病毒始作俑者


講起戰爭,大家都會想起第一次和第二次世界大戰,這些大類型戰爭已經很多年沒有發生過,主要是世界各國都明白戰爭只有害處,並沒好處。不過隨著人類的思想和通訊技術不斷進步,現時國與國之間的戰爭又何需使用真實的武器呢?只要你對網絡原理、編程及系統流程有非常充分的理解,當然亦需了解用戶心態的話,也能對國家社會造成威脅,那究竟是什麼厲害的東西呢?它就是近期在報紙雜誌都有報導的火焰「Flame」電腦病毒,只要將這病毒植入電腦內就可以偷取機密資料或者偷錄用戶的聲音,所做成的損失可想而知。

提到 Flame 病毒,最近筆者忽發奇想,希望與發現這種病毒的專家對話,從而希望能夠更詳細了解 Flame 病毒當中的秘密及厲害之處。經代理 Lapcom 及與 Kaspersky 多次聯絡後,終於如願了,感激。Kaspersky 是首間防毒軟件公司發現這個病毒,所以筆者第一時間找他們了解 Flame 病毒絕對是明智之舉;除非你是始作俑者,否則應該沒有人比病毒發現者更了解 Flame 了。

如何發現這種病毒?

發現這種病毒的過程,相信要從聯合國國際電信聯盟開始講起。聯合國國際電信聯盟(ITU, International Telecommunications Union)最初委託了 Kaspersky 調查一種名為「Wiper」的病毒,當時在調查 Wiper 病毒的過程中,卻無意發現了一種容量有 20MB 大的病毒,細看之下發現此病毒非比尋常,而且其潛伏期已達兩年多。專家當時發現了 Flame 最主要負責攻擊和感染其他電腦的模塊名為 Flame。因此很自然的 Kaspersky 便將之命名為 Flame,中文翻譯為「火焰病毒」。直到截稿前仍未確實病毒源自那裡,但觀乎其結構,似乎始作俑者有心針對中東國家製造此病毒。




究竟 Flame 的目的是……?

簡單來說 Flame 是用來收集資料的間諜病毒,反而主動針對系統進行破壞是其次。駭客首先會利用多種途徑散播 Flame 病毒,例如經由電子郵件、即時通訊軟件、USB 和 CD / DVD 等,當其中一部電腦不小心被植入 Flame 病毒後,駭客便可在該電腦之中盜取資料;同時專家更發現病毒可偷錄用戶的對話聲音,甚至可靠網絡散播,因為 Flame 可以被界定為木馬病毒,但如果說是蠕蟲病毒亦不為過,簡單來說 Flame 可以在無聲無影下偷取機密資料,非常恐怖。

更深入的解釋是 Flame 病毒與 UTM 多模塊的情況相似。舉個例子,現時在一台 UTM 之中,不同的模塊各有不同功能,例如殺死電腦病毒模組、阻隔垃圾電郵及防止駭客入侵模組等等,利用模組的好處相信各位 IT 人都知道,那就是靈活性高、更新容易以及更切合不同的網絡環境需要。將此種方式應用到病毒之內,可想而知這種病毒的適應力是多強大。通常現時發現的病毒只有幾百 KB 的容量,但 Flame 病毒卻達到 20MB 容量,這便是因為病毒以多模塊組成所致。

背後的始作俑者是……?

以往小型木馬病毒最多都是盜取銀行戶口的密碼來偷取金錢,Flame 病毒以模組型式運作,加上這麼大的體積及懂得以 Wiper 為其進行隱藏,專家均認定 Flame 並非一人所為,其背後有可以是一個大型的犯罪集團,更甚者可能是某些國家的政府製造出來,不過到現時為止仍未發現誰是始作俑者。

的確,近期針對基建設施的病毒愈來愈多,在 Flame 病毒之前其實還有兩種較大的病毒,它們分別是 Duqu 及 Stuxnet,而 Stuxnet 已經存在了五年之久,它是用來關閉和騷擾大型工廠機器,所以有人稱它為工廠病毒。現時病毒製造者主要分為三種,第一種是「個人」,他們想成功入侵電腦或者網絡後而「出名」,等待大型機構招聘;第二種是「集團性質」,這些集團主要會偷取密碼,然後在網上銀行轉帳金錢;最後一種是背後有「國家贊助」(nation-state sponsored) 的,就好像 Stuxnet 便是其中一個例子。因為 Stuxnet 並不是一個簡單的病毒,他們亦都不是為了金錢,其目的竟只是想關閉主要基建設施以圖影響社會運作,這非常明顯的是國與國之間的網絡戰爭。

「數碼戰爭」味愈來愈濃烈,因為各國政府都知道「數碼戰爭」更具摧毀性,透過入侵敵方系統除可以偷取軍事機密外,更嚴重的便是直接控制已發射的軍方飛彈「逆轉」,所以「數碼戰爭」已不是單單偷取你金錢般簡單,已經去到「nation-state sponsored」的層面。

為什麼覺得 Stuxnet 和 Flame 有關連的呢?

專家認為 StuxnetFlame 並不是同一隊伍製造的,因為 Stuxnet 和 Flame 的操作明顯不一樣,Stuxnet 主要是關閉和騷擾機器,而 Flame 是一個間諜病毒,喜歡時才於網絡上偷取資料。然而專家指曾發現 Flame 存取過 Stuxnet,因而推測出 Stuxnet 與 Flame 有互相交換資訊作參考,所以認為背後有同一國家贊助。

專家建議安全措施

Gartner 最資深的安全分析師 John Pescatore 稱 Kaspersky 所發現的火焰病毒為「超級複雜的針對性攻擊形病毒」,這表示沒有那一個網絡它不能夠進入,建議不要去關注誰人發起的攻擊,反而應該要注意正在使用的程式有沒有漏洞讓火焰病毒有機可乘。Kaspersky 建議大家要提高電腦的安全性,並且不要開啟有可疑的電郵或者網站;不要隨意接收從 IM 軟件寄過來的文件;使用 USB 或者 CD/DVD 之前,最好使用 Kaspersky 防毒軟件掃描一次才開啟;定期為系統補丁來防治漏洞;為 Kaspersky 防毒軟件升級到最新版本;將本機管理員的密碼設定得較為複雜,建議密碼要同時包含數字和英文組合;不要在一些不可靠的網站下載軟件,因為這些軟件有可能帶有病毒。

想更深入了解 Flame?立即按此進入 [與病毒專家對話 : 初探 Flame 運作原理]

轉載自《HKITBlog》

沒有留言:

張貼留言