※※※※※※※※※※※※※※※※※※※※※※
※※※※※※※※※※※※※※※※※※※※※※
【殭屍網路染指Web伺服器 恐釀成新一波資安隱憂】+01
2010/05/24-明雲青
【DigiTimes-企業IT】
按多數人的認知,一般賴以發動 DoS攻擊的殭屍網路,其覆蓋範圍多為Windows-based個人電腦,正所謂積沙成塔,一旦成功控制為數眾多的PC,便足以釀成難以逆料的災厄。那麼,Web伺服器會是殭屍網路所染指的對象嗎?回顧10年前,確實比比皆是,然由於PC躍居最大「苦主」,因此愈來愈多網管人員忘記「Web伺服器其實也可能慘遭毒手」,於是疏於針對該系統配置太多防護措施;然有1家名為Imperva的公司近期發現,鎖定Web伺服器的DoS攻擊有死灰復燃之趨勢,值得加以正視。
根據外電披露,資訊安全產品供應商Imperva最近發現,1個名為「Honeypot」的Web伺服器,成為被有心人士利用的工具,據此發動一連串DoS攻擊;經深入追查,更意外發現,其相關殭屍網路結構已涵蓋多達300餘苦主,且清一色為Web伺服器,而非個人電腦,同時該項DoS攻擊,係植基於Google搜尋之攻擊特徵碼。
已經有很長一段時間,鮮少成為DoS攻擊者覬覦對象的Web伺服器,近期卻開始被有心人士盯哨,使之淪為殭屍網路的禁臠。DIGITIMES資料庫
值得一提的,深究此次攻擊的來龍去脈,最有可能的立足點,在於1個源自PHP的漏洞,而根據此一漏洞所延展而成的攻擊特徵碼,可同時對於運行IIS、Apache等不同軟體的Web伺服器系統產生危害。
儘管發動這項攻擊、且名為Exeman的有心人士,巧妙地透過使用Tor匿名服務網路,成功隱藏其蹤跡,也就是說,至少在當下,意欲揪出罪魁禍首,恐怕不甚容易。至於其攻擊手法,其實並不複雜,僅是簡單利用1個單一使用者介面,但此一介面不只能讓攻擊者有能力指定受害者的IP位址及埠口,亦可據此確認攻擊時間之長短。
而Imperva在揭發此項攻擊行徑時,也展示1個受害系統的螢幕截圖,畫面中呈現1段印尼語,原意是「不要對你的朋友進行此類攻擊」。論及攻擊者背後動機,據研判,理當與大多數DoS攻擊行為相似,意即對網站擁有者進行敲詐之實。
Web伺服器長期不設防 俾使毒害得以長驅直入
或許不少人乍聞此訊息,往往會忽略該項攻擊行為的嚴重性,甚至認為「不過爾爾」,但若仔細解構相關殭屍網路,則不難嗅出一絲不尋常氣息,甚至讓人不禁佩服「造孽者」確實有幾分巧思。
寄託於Web伺服器,有助DoS攻擊廣度之擴大,其強度肯定勝過個人電腦,如此一來,攻擊者只消控制少數殭屍電腦,便有可能演化為大規模的災情,若就效率角度而論,比起過去憑藉滿坑滿谷的殭屍PC,自然更勝一籌。
正因為賴以發動攻勢的節點變少,故相關殭屍網路的結構變得更加簡潔清爽,而正所謂「凡走過必留下痕跡」,如今將控制標的物投注於數量相對較少的Web伺服器,也就意謂著,整段攻擊路徑所殘留的痕跡其實不多,因此,各方資安專家意欲檢測其攻擊特徵碼的機率,自然相對較低,致使該項毒害較不易遭到連根拔除,縱使終將有其解決之道,但空窗期勢必不短。
難免有人好奇,以Web伺服器系統而論,由於攸關網站之正常運行,因此通常都有網管人員隨侍在側、從旁呵護,相對於個人電腦而言,本該不是如此「不設防」的脆弱節點,何以此番名為Exeman的攻擊竟能輕易得逞?這般質疑,看似合情合理,但可能忽略1個事實,近10年來,幾乎所有的DoS攻擊,都朝向個人電腦下手,也讓許多網路公司、乃至一般企業或機構如臨大敵,始終抱持戒慎恐懼之心態,故早已將個人電腦視為最大資安死角,繼而為此接續引進一系列防護解決方案,故當下個人電腦抵禦DoS攻擊的能力,就算難免百密一疏,但其實已臻至一定水準,未必能讓有心人士這麼容易予取予求。
相形之下,過去幾可用「西線無戰事」來形容的Web伺服器,倒是歷經了一段不算短的安逸歲月,既然如此,人們也就愈來愈不認為其有可能受到染指,於是乎,各項資訊安全防護措施,當然不會朝Web伺服器集結靠攏,再加上其系統的功能屬性,其實迥異於一般個人電腦或其他應用伺服器,並不見得那麼容易另外附掛其他資安軟體,在此前提下,當前有搭載防毒軟體的Web伺服器,委實少之又少。
長期缺乏防毒軟體的倚靠,致使Web伺服器面對各項攻擊的基本防禦能力不甚堅強,此番意外淪為有心人士下手的標的,演化成為「超級殭屍電腦」(註:相較於個人電腦),卻苦無對策可在短期間內察覺敵人的蹤跡,無異就像1顆頗大的不定時炸彈,恐將釀成難以收拾的資安事故,值得各方加以正視;而亡羊補牢、為時未晚,在歷經此一特殊案件後,相信不管是資安解決方案供應商,抑或用戶本身,都學習到莫大教訓,從而重新檢視及評估Web伺服器的安全機制,尤其在個人資料保護法效應下,一些可能引發疑慮的資安破口,都亟待逐一加以填補,絕對不容等閒視之。
※※※※※※※※※※※※※※※※※※※※※※
沒有留言:
張貼留言