報告：惡意程式多階段攻擊手法逐漸增多

資安廠商發佈上半年資安報告指出，分階段進行以提高攻擊效果的多階段攻擊手法，漸成趨勢。(記者馬培治／台北報導)

CA（組合國際）與賽門鐵克不約而同發表今(2007)上半年的資訊安全威脅報告，兩家業者同時指出，駭客為增加惡意攻擊成功率，採用不同於過去利用單一程式進行攻擊的舊手法，而是透過先植入的自動下載程式(Downloader)，再下載其他威脅，此種步步進逼的多階段(Multi-staged)手法，被資安公司指為惡意程式攻擊的新趨勢。

賽門鐵克與CA報告之資料來源，皆為各自其下的用戶與資安應變中心或諮詢團隊的回報統計。賽門鐵克表示，其數據反映的是其收集資料來源的狀況，並不具普遍的科學確定性。

所謂多階段攻擊，即是第一次的攻擊僅是為了未來的攻擊進行準備，首次攻擊多半是採用負責階段性任務的自動下載程式，藉以配合駭客目標下載，風暴蠕蟲Trojan. Peacomm即屬此類。

「駭客必須尋找更容易成功的攻擊手法，」賽門鐵克技術顧問總監王岳忠說，傳統一個惡意程式可能只有偷資料、破壞系統等單一功能，且若其攻擊目標在使用者電腦上不存在，就算成功植入，也沒辦法達到目的，例如在不玩遊戲的使用者電腦植入天堂病毒等。

常見的多階段攻擊手法，王岳忠舉例道，可能是駭客先入侵合法網站，利用iFrame弱點藏入惡意連結，再將此合法網站的連結以電子郵件方式傳送出去，誘導點擊，再透過iFrame把使用者引導至惡意伺服器，自動下載其他惡意程式，而其中可能又包含會自動下載更多惡意程式的Downloader，「戰線雖拉長，但由於都藏在使用者一般正常的使用行為中，很難被察覺，」王岳忠說。

CA技術顧問林宏嘉則補充，除了攻擊行為本身以多階段進行，惡意程式也走向多功能，且其製作也採用了多步驟、加殼或加密的方式，藉以躲避防毒軟體的偵測。此外，由於惡意程式偏向多元件化(Multi-component)，使得惡意軟體可同時攻擊使用者電腦、偷資料、下載或通知遠端電腦運作狀況等，惡意程式也變得多功能化。

專家建議，使用者必須確定作業系統與所安裝的防毒等各種應用軟體維持在最新的版本，做好自我防護。

王岳忠表示，由於惡意程式多半仍是利用作業系統或軟體本身的漏洞入侵，因此保持安裝最新的修補程式便顯得重要。林宏嘉則說，使用者還可留意系統運作有無異常，利如網路連線狀態與CPU使用率，以及正在運作的程式種類等，上網行為亦應提高警覺，避免遭受攻擊。

台北蟬聯亞太區最多釣魚網站城市

根據賽門鐵克所發表的第12期全球網路安全威脅研究報告，延續2006年下半年的統計結果，台北市再度登上亞太（含日本）地區最多釣魚網站的城市。

但若由國家排名來看，台灣則由全球第6變為第10，釣魚網站主機數量佔全球比例則由3%降至1%，在亞太地區僅次於日本(3%至2%)與中國(2%至1%)。

王岳忠解釋，台北市居亞太之冠不代表駭客都在本地，而可能是因為寬頻環境與網頁主機普及，「只要網頁管理者稍不留意，很容易便會被駭客入侵，利用來當成釣魚網站主機，」他說。