從 phpMyAdmin 弱點 看 IRC Botnet

校園資安防護

從 phpMyAdmin 弱點 看 IRC Botnet

By 臺中市教育網路中心 劉育彰

Profile

劉育彰

brucelyc@tc.edu.tw

經歷：臺中縣教網中心研發組 　　　臺中縣教網中心執秘 現任：臺中市教網中心資安組 證照： ISMS LAC, CEH

領域：程式開發

　　　虛擬化

　　　雲端應用

　　　資訊安全

Agenda

近期資安新聞 　　 近期資安報告 　　 話說 IRC Botnet 　

簡易入侵追查　　

未來的資安防護　

近期資安新聞 　　 近期資安報告 　　 話說 IRC Botnet 　

簡易入侵追查　　

未來的資安防護　

前有僵屍？

前有僵屍？駭客入侵！

 道路有疆屍出沒？

 美國德州的奧斯丁 (Austin) 出現離譜的交通 號誌，號誌燈上寫著「前方有殭屍」的警語，

嚇得駕駛人倒抽一口氣，而經當局調查後發現

，原來是駭客闖入電子系統，把原本「前方有 工地」的標語改成驚悚警語。

( 新聞來源：東森新聞 01/30/2009)

網路相片 小心沒隱私



據紐約時報周四報導，將照片放上網路和朋友分享，如果不透 露個人資料，看似安全無虞，不過若是使用具備 GPS 功能的智 慧型手機或數位相機，拍攝的相片或視訊卻隱藏著「地理位置 標記」 (Geotag) ，它能洩露相片中隱含的祕密，包括你住在哪 裏。



照片所隱含的「地理位置標記」，提供了照片拍攝地點的經緯 度，但「很少人知道地理位置標記功能有多大，或是如何關閉 智慧型手機的這項功能。」



停用這項功能需要經過手機層層選單，才能費力找到「定位」

設定，之後選擇關閉或停用，不過這麼做也通常會關閉所有 GPS 功能，包括地圖功能。



紐約時報指出， ICanStalkU.com 網站有提供步驟操作指引，協 助使用者關閉 iPhone 、黑莓機、 Android 和 Palm 手機上的照 片地理位置標記功能。

( 新聞來源： iThome 08/13/2010)

網路相片 小心沒隱私

密碼痕跡？

小心指痕可能洩漏 Android 手機密碼！

 賓夕法尼亞大學的安全研究人員認為， Android 的觸控螢幕最容易導致密碼被破解，因為該平台 使用類似「一筆畫」的方式，用手指畫過數字，

結果手指的油污痕跡可以非常明顯的看出起點、

轉折與終點。

 研究人員主要使用宏達電所生產的 G1 與 Nexus One ，搭配各種燈光與相機，發現在最佳的環境 值之下，他們可以完整破解 68% 的密碼，但如果 在不理想的條件之下，只能破解 14% 。

( 新聞來源： iThome 08/13/2010)

補習班惡鬥偷個資 判賠 1500 萬

 補習班惡鬥風波又一樁！台中康培士英語補習班 被對手哥倫比亞美語補習班控告，以駭客方式竊 取兩萬多筆客戶資料，哥倫比亞公司提起二點四 億多的附帶民事賠償，台中地院判決應賠償一千 五百萬元。

 康培士被控自九十五年十二月起，負責人余武森 指示該公司程式設計及網路管理工程師許勝為、

游勝鈞利用自己撰寫的程式，駭入哥倫比亞電腦

，竊取該公司客戶資料、客戶訪談記錄及相關營 業資訊等紀錄。

( 新聞來源：中國時報 08/21/2010)

微軟： Windows 繪圖成像引擎有新漏洞



微軟發佈警告表示，目前多種 Windows 作業系統中的繪圖成像 引擎（ Graphics Rendering Engine ）發現一個漏洞，讓駭客 能夠從遠端執行程式。另外， Office 亦有一個漏洞，若文件中 藏有特定 RTF 資料，將會啟動木馬並下載惡意程式。



微軟指出，駭客可能引誘使用戶開啟特定的網頁、 Word 文件 或 PowerPoint 文件來進行攻擊，所幸目前要利用該漏洞進行攻 擊的前提條件太多，因此還 未發現有人利用此漏洞進行攻擊。

微軟認為，除非駭客將該程式包裝入 Word 或 PowerPoint 文件 中，以 OLE 物件方式呈現，否則不易進行大量攻擊， 而新版本 Office 的保護模式可以避免啟動網路來的附加內容。

( 新聞來源： iThome 01/05/2011)

Facebook 又傳洩漏用戶地址及電話



Facebook 於上周五晚上發布新的使用權限，允許應用程式讀取 使用者的地址及電話資料。換句話說，如果用戶使用臉書上的 應用程式如遊戲時，系統會自動出現一個允許該程式讀取個人 資料的對話框，用戶必須選擇「同意」才可開始使用遊戲，一 旦用戶同意，將增加個資洩漏的風險。



目前臉書並不提供使用者拒絕個資被存取的選項，意謂著使用 者的所有個人資料，包括姓名、電話、年齡等，都將被攤在陽 光下。舉例來說，如果使用者想玩臉書上的開心農場，必須先 授權給這個應用程式讀取 個人資料，當然電話跟地址等項目也 包括在內。如果用戶拒絕讓這個應用程式讀取個人資料，那麼 很抱歉，你也無法開始玩這個遊戲。



臉書此舉將可讓程式開發人員或廠商輕易的拿到詳細個人資料

，在這樣的情況下，將造成有心人士蒐集個人資料以販售給第 三方。

( 新聞來源： ZDNet 01/19/2011)

思科：垃圾郵件減少，駭客轉向開發社交惡意程式



Cisco （思科）發布 2010 年資安報告指出，垃圾電子郵件首次出現減 少的趨勢，但利用社交工程的惡意軟體增多。



該份報告直接以「網際罪犯最具威力的工具」來形容社交工程，也指出 網路罪犯正在發展各式各樣的方式來利用人類的信任。例如對親友的信 任，假冒朋友的信箱發送郵件，誘使用戶到假造的網站進行登入，以取 得用戶的帳號密碼，或者誘導使用者點擊附件來啟動駭客的木馬程式。



駭客也更積極挾持各種社交服務的使用者帳號，或者用工具自動產生帳 號，做為發佈惡意訊息的工具。 Cisco 認為今年這類手法會持續增加。



該份報告指出，點擊廣告及木馬軟體仍是駭客的主要收入來源，因此駭 客還是會繼續投資在釣魚網站與木馬網路相關的技術或工具。另外，不 管是銀行或信用卡帳號，都很難轉換成金錢，罪犯為提高轉換現金的比 例，會尋找「錢驢」協助，部分還會以高報酬誘騙吸毒或失業人士，以 在家工作為藉口，協助罪犯轉帳，或轉寄罪犯盜用信用卡買來的包裹。

( 新聞來源： iThome01/24/2011)

駭客手法走復古風 透過網路傳輸 23 埠入侵

！



「駭客入侵」，這樣的現象其實已經是少見多怪了，不過根據 近期的統計報告指出，駭客們似乎開始回頭透過 23 埠管道進行 入侵。



根據 Akamai 網站的統計，大約有 17% 的攻擊是透過 Telnet 進 行，而目前統計最多被攻擊的國家分別為埃及、秘魯以及土耳 其。另外，雖然攻擊都是透過行動網路發動，但並未有相關證 據顯示攻擊主要來源是透過行動裝置。而 Akamai 網站則是建議 網管人員若沒有特別使用 23 埠需求的話，最好是將其予以關閉

，避免被外來攻擊所入侵。



另外根據 Akamai 網站透露，雖然近期頻率已經沒有那樣高，但 微軟旗下產品經常使用的 445 埠也是經常遭受攻擊的管道之一。

而透過 445 埠攻擊的現象經常出現在巴西、德國、義大利、俄 羅斯、台灣以及美國，至於中國地區則多以透過 22 埠的攻擊居 多。

( 新聞來源：聯合新聞網 02/01/2011)

甲骨文緊急修補 10 年前的 Java 漏洞



甲骨文本周緊急修補了 Java 執行環境元件中的一個漏洞，該漏 洞允許未經授權的網路攻擊，受影響的包括 Java SE 及企業版 Java 產品，隨後即有開發人員指出該漏洞存在已接近 10 年。



根據甲骨文的說明， Java 執行環境（ JRE ）在將

2.2250738585072012e-308 轉成浮點數字時就會突然中止，

該漏洞允許未經授權的網路攻擊，成功的攻擊可能導致系統中 止或重覆當機， Java 程式或伺服器風險更高。



安全專家 Amichai Shulman 認為甲骨文以往動輒修補數十個甚 至上百個漏洞，但在去年併購多家公司後，漏洞修補數量竟然 減少了，同時也抨擊甲骨文對漏洞細節多半含糊帶過，駭客一 樣能透過反向工程找到漏洞，受害的卻是甲骨文客戶。

( 新聞來源： iThome02/10/2011)

紐約 170 萬民眾醫療資料遭竊



紐約市健康醫療總局 (HHC) 表示，這些失竊的電腦備份磁帶儲 存的是 Jacobi Medical Center 、 North Central Bronx

Hospital 及其所屬的兩個醫療中心 20 年以來的資料，內含上述 醫療組織的員工、供應商或承包商的個人資訊，以及病人的健 康醫療資訊，涵蓋姓名、地 址、社會安全碼、病歷等資料。



去年 12 月時，這些備份磁碟原本是要由 GRM 資訊管理服務公 司負責運送到安全的儲存地點，在運送途中由於司機下車取貨 忘了上鎖，而讓竊賊有機可趁。雖然當天就已報警，但迄今尚 未尋獲失竊的備份磁帶。



由於資料是存於磁帶中，因此 HCC 表示，這些資料若無相關專 業技術或資料探勘工具是無法存取的，而且現在並無證據顯示 相關資料已遭濫用。

( 新聞來源： iThome02/17/2011)

密碼不斷被破解 釣魚郵件繞過 IT 部門滲透全組織 - 1



去年以來陸續發生幾起持續性滲透攻擊事件，因此在剛落幕的美國 RSA 2011 活動中， APT(Advanced Persistent Threat 攻擊成為熱 門議題。台灣政府部門及企業對此類的滲透攻擊也不陌生。儘管政府部 門定期做社交工程演練，加強資安教育訓練，但恐怕有些問題需要更全 面的檢視，甚至是否要採取更徹底的補救措施，例如全盤更換使用者帳 號。



電子郵件向來是被滲透利用的管道，假冒寄件者的帳號並寄發與其執掌 業務相關的文件，從中埋入木馬，然後擴大感染與其相關的業務往來單 位，更是常見的社交工程手段。一直以來，社交工程演練或教育訓練是 強化使用者的重要工作，但往往成效卻有限。資安顧問表示，這代表其 中方式是有問題的。例如，密碼設定原則一直是教育訓練宣導重點，但 只一味要求使用者密碼變更頻率、次數，卻沒有做到基本的去建立規則 並比對字典檔，這樣使用者密碼再怎麼勤於更換，還是可以不斷被試出 來。

密碼不斷被破解 釣魚郵件繞過 IT 部門滲透全組織 - 2



例如，許多政府部門員工習慣把密碼設定為分機號碼，或穿插 該單位的英文簡稱，這樣的密碼很容易就被破解。加上帳號也 已經不是秘密，許多單位的使用者帳號就是員工編號，而這些 駭客可能都已瞭若指掌。從一些過往案例來看，只要一個系統 管理者中了木馬，很可能全單位的所有使用者帳號就全部淪陷。

緊接著，駭客製作有毒的釣魚郵件對全單位寄發，甚至狡猾到 知道要跳過資訊部門，以拖延被發現的時間。因此，要強化端 點安全，先不論部署桌面虛擬化或其他各種代理程式。帳號、

密碼是最基本的使用者身份認證措施，也是最根本的一把鎖，

企業組織別讓它形同虛設。

( 新聞來源：資安人 02/21/2011)

Zeus 變種手機木馬　專偷銀行交易驗證簡訊 - 1



多家資安公司指出，東歐地區出現一系列新的 Zeus 木馬，鎖定 黑莓機、 Symbian 及 Windows Phone 等手機平台，會攔截並 隱銀行網站所發出的交易驗證簡訊。



首先是資安公司 Trusteer 在數個月前發現這個新木馬並向治安 單位檢舉，該公司將此木馬命名為 OddJob 。該公司認為是東 歐地區的罪犯所主導，影響 涵蓋美國、丹麥、波蘭等地的數十 個銀行。這個木馬最特殊的地方在於他不竊取帳號與密碼，而 是在使用者登入銀行網站之後，取得連線辨識令牌 (sesson ID token) ，因此在用戶退出銀行網站後還能保持與網路銀行的連 線狀態並進行犯罪。



後續 F-Security 、 S21sec 等資安公司發現與其相關的 Zeus 木 馬 Mitmo ，該木馬感染電腦之後，首先竊取用戶的網路銀行帳 號與密碼，用戶 使用網路銀行過程中要求用戶輸入手機號碼、

廠牌與型號等資料，再利用簡訊提供連結誘導用戶安裝惡意軟 體到智慧手機，該木馬會自動安裝黑莓機、 Symbian 及

Windows Phone 對應的惡意軟體。

Zeus 變種手機木馬　專偷銀行交易驗證簡訊 - 2



一旦用戶手機安裝過惡意軟體之後，該軟體會攔截並隱藏所有 簡訊，並將相關資料傳送到另一個門號，因此罪犯可以取得認 證簡訊中的資料。根據 SecuList 所公布的資料顯示，該惡意程 式將簡訊資料傳送到一個英國的手機門號。

( 新聞來源： iThome 02/23/2011)

禍不單行　研究機構發現 Android 存在更嚴重 bug



研究人員發現 Android 軟體市集的 BUG ，可能讓駭客趁虛而入

。



Google 於上周宣布將從 Android 軟體市集移除 58 個惡意程式 並將透過遠端控制的方式從已安裝的 26 萬台 Android 裝置中移 除，就在同時，資安公司 Duo Security 發表 XSS 漏洞的消息。



無獨有偶，行動安全業者 Lookout 也發表更多與這個惡意程式 DroidDream 相關的訊息，該公司表示，這個惡意程式被設定 在晚上 11 點到早上 8 點間執行，通常這個時間是使用者的睡眠 時間而裝置也大多在關機狀態。根據 Lookout 的形容，這個惡 意程式就像殭屍主機 (zombie agent) 一樣，會偷偷的安裝第二 個程式以將裝置相關訊息傳送至外面的伺服器。



Lookout 發佈一個免費的掃描軟體供使用者檢查是否受此惡意 程式感染。 Lookout 也提醒受感染的用戶將裝置還原至出廠設 定值並無法完全殲滅惡意程式，必須使用 Google 的 " kill

switch" 工具來完成。

( 新聞來源： ZDNet 03/09/2011)

Google 官方 Android 安全工具被重新打包夾帶木馬



賽門鐵克指出，中國地區再度出現被加料修改以夾帶惡意指令 的 Android 軟體，比較特別的是，駭客這次拿 Google 官方釋 出的安全工具軟體來重新打包。



該改造過的軟體可能可以傳送簡訊，並與伺服器通訊。賽門鐵 克指出，該改造過的安全工具夾帶來自 Google

Code 「 mmsbg 」專案的程式碼。另一家資安公司義集思 (Aegis Lab) 指出，他們上週在中國發現一個重新打包的惡意軟 體也夾帶相同的程式碼。



而中國地區的論壇、第三方軟體商店頻頻出現重新打包的軟體

，一方面侵犯原作者的版權，另一方面夾帶惡意程式碼成為駭 客入侵行動裝置的先鋒，這也讓想在 Android Market 之外取得 軟體的使用者，必須更加小心注意。

( 新聞來源： iThome 03/11/2011)

近期資安新聞 　　 近期資安報告 　　 話說 IRC Botnet 　

簡易入侵追查　　

未來的資安防護　

2009 年亞太地區惡意活動分析表

APJ 排行 全球排行

地區

百分比 2009 惡意活動排行

2009 2008 2009 2009 2008 惡意碼 垃圾郵件

僵屍電腦 釣魚主機 僵屍電腦 攻擊源

1 1 2 中國 32% 41% 2 2 2 1 1

2 3 5 印度 15% 10% 1 1 6 5 6

3 2 14 南韓 11% 11% 8 4 1 4 3

4 4 11 臺灣 11% 8% 7 6 3 2 4

5 5 15 日本 8% 7% 3 8 4 3 2

6 7 21 泰國 5% 4% 11 5 5 6 8

7 8 20 越南 5% 3% 9 3 12 11 7

8 6 22 澳洲 4% 5% 4 11 7 8 5

9 12 32 印尼 3% 2% 6 7 8 12 9

10 10 33 菲律賓 2% 2% 5 10 9 10 11

資料來源：賽門鐵克

2010 年第三季全球惡意活動分析表

資料來源：賽門鐵克

排行 國家/ 地區 百分比 惡意碼

排行 垃圾郵件

僵屍排行 釣魚主

機排行 僵屍電

腦排行 攻擊源 排行

1 美國 23% 1 3 1 2 1

2 巴西 6% 6 2 10 3 3

3 印度 6% 2 1 30 20 8

4 德國 5% 11 5 3 4 7

5 中國 4% 3 28 7 6 2

6 英國 4% 4 7 4 9 4

7 臺灣 4% 23 12 15 1 9

8 義大利 4% 21 11 11 5 6

9 俄羅斯 3% 15 9 8 16 5

10 加拿大 3% 8 41 2 17 12

2009 年亞太地區惡意攻擊目標分析表

APJ 排行

地區 百分比

2009 2008 2009APJ 2008APJ 2009 全球

1 1 美國 26% 28% 23%

2 4 日本 15% 5% 3%

3 2 中國大陸 11% 15% 12%

4 3 南韓 11% 11% 2%

5 5 澳大利亞 6% 4% 2%

6 14 新加坡 4% 2% <1%

7 11 臺灣 3% 2% 2%

8 16 印度 2% 1% 1%

9 12 法國 2% 2% 4%

10 6 英國 2% 3% 6%

資料來源：賽門鐵克

2009 年亞太地區網頁攻擊分析表

排行 攻擊 百分比

1 MSIE ADODB.Stream Object File Installation Weakness 23%

2 HTTP MSIE7 Uninitialized Memory Code Execution 22%

3 PDF Suspicious File Download 16%

4 HTTP MS MPEG2 TuneRequestControl ActiveX Buffer Overload 10%

5 HTTP Adobe SWF Remote Code Execution 7%

6 HTTP MSIE Malformed XML Buffer Overload 4%

7 HTTP MSIE WPAD Spoofing 3%

8 HTTP MS MPEG2 TuneRequestControl ActiveX Instantiation 2%

9 MSIE BaoFeng MPS ActiveX Buffer Overload 2%

10 MSIE Baidu Soba Search Bar ActiveX Buffer Overload 1%

資料來源：賽門鐵克

2010 年第三季全球網頁攻擊分析表

排行 攻擊 百分比

1 MSIE ADODB.Stream Object File Installation Weakness 36%

2 PDF Suspicious File Download 29%

3 HTTP Embed Tag NPDSPlay DLL Buffer Overflow 10%

4 HTTP C6 Messenger ActiveX File Overwrite 5%

5 Adobe SWF Remote Code Execution 5%

6 MSIE WPAD Spoofing 3%

7 Microsoft GDI Malformed BMP Code Execution 2%

8 MSIE Popup Window Address Bar Spoofing Weakness 2%

9 MSIE CreateTextRange Remote Code Execution 2%

10 Adobe Acrobat Plugin Cross-Site Scripting 1%

資料來源：賽門鐵克

2009 年亞太地區網頁攻擊所在地分析表

資料來源：賽門鐵克 排行

地區 百分比

APJ 全球 APJ 全球

1 2 中國 37% 7%

2 7 印度 16% 3%

3 12 日本 10% 2%

4 15 南韓 9% 2%

5 16 臺灣 8% 2%

6 20 菲律賓 6% 1%

7 25 澳大利亞 4% 1%

8 26 印尼 3% 1%

9 32 泰國 2% <1%

10 36 新加坡 2% <1%

2009 年亞太地區僵屍電腦感染分析表

資料來源：賽門鐵克 APJ 排行 全球排行

地區 百分比

2009 2008 2009 2009APJ 2008APJ 2009 全球

1 1 2 中國 41% 58% 11%

2 2 4 臺灣 28% 12% 7%

3 5 11 日本 11% 4% 3%

4 3 16 南韓 6% 8% 2%

5 4 20 印度 4% 5% 1%

6 8 27 泰國 2% 2% 1%

7 6 28 新加坡 2% 3% 1%

8 7 30 澳大利亞 2% 3% <1%

9 9 33 馬來西亞 1% 2% <1%

10 10 38 菲律賓 1% 1% <1%

2009 年亞太地區惡意碼樣本分析表

資料來源：賽門鐵克

排行 樣本 類型 感染媒介 最嚴重

地區

次嚴重

地區 影響

1 Sality.AE Virus, worm Executables 印度 印尼 移除安全防護應用程式和服務

2 SillyFDC Worm Mapped and

Removable drives 印度 中國 下載並安裝額外威脅 3 Downadup Worm,

back door

P2P, CIFS, remote

vulnerabilities 印度 印尼 下載並安裝額外威脅

4 Gampass Trojan N/A 中國 印度 盜取線上遊戲帳密

5 Almanahe Worm, virus CIFS 印度 印尼 下載並安裝額外威脅

6 Fujacks Worm, virus CIFS, executables 中國 印度 降低安全設定, 下載並安裝更多安全威 脅

7 Gammima Worm, virus Removable drives 印度 臺灣 盜取線上遊戲帳密

8 Imaut Worm Instant messages,

Remote vulnerabilities 印度 菲律賓 結束安全相關程序, 播廣告並產生廣告 按鈕

9 SillyDC Worm Removable drives 中囼 印度

下載並安裝額外威脅

10 Brisv Trojan N/A 印度 中國 修改多媒體檔, 讓播放器開啟惡意連結

2010 年第三季全球惡意碼樣本分析表

資料來源：賽門鐵克

排行 樣本 類型 感染媒介 影響

1 Sality.AE Virus, worm Executables 移除安全應用程式和服務, 自遠端下載檔案

2 Downadup.B Worm, back door P2P, CIFS, Remote vulnerability

停用安全應用程式和Windows 更新 , 下載並 安裝額外威脅

3 SillyFDC Worm N/A 下載並安裝額外威脅

4 Mabezat.B Virus, worm SMTP, CIFS,

Removable drives 加密和感染檔案 5 Almanahe.B Virus, worm CIFS, mapped

and removable drives

感染可執行檔, 結束安全相關程序且安裝額 外烕脅

6 Gammima.AG Virus, worm Removable drives 盜取線上遊戲帳密

7 Imaut Worm IM 停止安全相關程序, 下載額外威脅

8 Gampass Trojan N/A 盜取線上遊戲帳密

9 Chir.B Virus, Worm SMTP 複製email, 感染可執行檔 , 寄發垃圾信

10 SillyDC Worm Removable drives 下載額外威脅

2009 年亞太地區新惡意碼家族分析表

資料來源：賽門鐵克

排行 樣本 類型 感染媒介 最嚴重

地區

次嚴重

地區 影響

1 Induc Virus Delphi compiled

application 南韓 中國 感染Delphi 編寫的程序

2 Zbot Trojan N/A 日本 澳洲 盜取機密性資料並下載額外檔案

3 Ergrun Trojan N/A 日本 印度

下載額外檔案

4 Bredolab Trojan N/A 日本 澳洲 下載額外檔案

5 Pilleuz Worm, Back door

P2P, IM,

removable drives 印度 馬來西

亞 開啟後門, 自我複製到分享資料匣並發 送訊息給連結者

6 Kuaiput Trojan N/A 臺灣 中國　

下載額外檔案 7 Changeup Worm Mapped and

removable drives 印度 新加坡 連接外部連結

8 Fostrem Trojan N/A 中國 印度 利用ActiveX 弱點並下載額外檔案

9 Swifi Trojan N/A 中國 澳洲

利用Adobe Flash Player 弱點

10 Palevo Trojan Exploits

vulnerabilities 印度 澳洲 降低安全設定並接收外部指令

2009 年全球與亞太地區機密資料威脅

資料來源：賽門鐵克

全球 APJ

98%

89% 90%

86%

86% 84%

78%

72% 71% 76%

允許遠端控制 取得使用者資料 鍵盤側錄 取得系統資料 取得電郵位址

2009 年亞太地區惡意碼散佈機制分析表

資料來源：賽門鐵克

排行 散佈機制 百分比

APJ 全球

1 網路分享的可執行檔 67% 72%

2 檔案傳輸－ CIFS 33% 42%

3 遠端弱點利用 20% 24%

4 檔案傳輸－電郵附件 14% 25%

5 檔案傳輸－ HTTP URI 內嵌 , 即時通訊 6% 4%

6 檔案分享－ P2P 5% 5%

7 SQL 1% 2%

8 後門程式－ Kuang2 1% 2%

9 後門程式－ SubSeven 1% 2%

10 檔案傳輸－資料檔案 1% 1%

2010 年第三季全球地下經濟商品價格表

資料來源：賽門鐵克

排行 項目 百分比 價格區間

1 Credit cards 23% $2-$20 或 $100-$150/100

或$300/1000

2 Bank accounts 18% 無特定價格

3 Email accounts 11% 無特定價格

4 Credit card dumps 6% $15-$120

5 Email addresses 6% $10-$20 ( 每 MB)

6 Cash-out services 5% $400-$500 或 50%-60%

7 Full identifies 5% $6-$80 或 $20/(30-40)

8 Attack toolkits 3% $500-$650

9 R57 & C99 shells 3% $4 或 $70/20

10 Scams 2% 無特定價格

2011 年二月份惡意碼排行

資料來源： SecureList

排行 名稱

排行變化

1 Trojan-Downloader.HTML.Agent.sl 新進榜

2 Trojan-Downloader.Java.OpenConnection.cx ↑18

3 Trojan-Downloader.Java.OpenConnection.dd 新進榜

4 Exploit.HTML.CVE-2010-1885.ad 新進榜

5 AdWare.Win32.FunWeb.gq ↓1

6 AdWare.Win32.HorBar.dh ↓5

7 Trojan.Java.Agent.ak 新進榜

8 Exploit.JS.Pdfka.ak 新進榜

9 Trojan-Downloader.Java.OpenConnection.dc 新進榜

10 Trojan.JS.Iframe.rg 新進榜

2011 年二月份惡意碼排行

資料來源： SecureList

排行 名稱

排行變化 11 Trojan-Downloader.Java.OpneConnection.cg ↓2

12 Trojan.HTML.Iframe.dl ↓7

13 Exploit.JS.StyleSheeter.b 新進榜

14 Trojan.JS.Fraud.ba ↓1

15 Trojan-Clicker.JS.Agent.op ↓8

16 Trojan.JS.Popupper.aw ↓8

17 Trojan.JS.Agent.bhr ↓7

18 Trojan-SMS.J2ME.Agent.cd 新進榜

19 Trojan.JS.Agent.bte 新進榜

20 Exploit.JS.Agent.bab ↓6

2011 年二月份惡意軟體狀況 - 1



卡巴斯基實驗室最新發布的月度惡意軟體行為報告中，指出目 前瀏覽即下載感染方式非常普遍。這種攻擊方式危險性很強，

因為其攻擊和感染行為通常在用戶不知情的情況下發生，而且 可以通過已經被感染的合法網站發動攻擊。瀏覽被感染網站的 用戶會被重導向到包含腳本下載器的頁面。此外，網路罪犯還 會利用多種類型的漏洞利用程式啟動腳本下載器，從而向用戶 電腦上下載惡意軟體。



2 月份，大部分瀏覽即下載攻擊行為中都會使用層疊樣式表單

（ CSS ）儲存腳本下載器數據。這種新型的增強手段使得很多 防毒軟體都無法檢測到其中包含的惡意腳本，使得漏洞利用程 式可以被下載到電腦中。

2011 年二月份惡意軟體狀況 - 2



2011 年 2 月的網路排名前 20 位的惡意程式中，有三種均包含 CSS 數據和惡意腳本下載器。其中一種位居排行榜第一名，而 另兩種則分列第 13 和第 19 位。這些惡意網頁中包含的腳本下 載器會下載兩種漏洞利用程式。其中一種漏洞利用程式可以攻 擊微軟 Windows 操作系統的「幫助和支持中心」的 CVE-

2010-1885 漏洞。該惡意程式在本月惡意軟體排行榜上居第 4 位，平均每天檢測到感染該惡意程式的電腦數量大約在 10000 台。第二種漏洞利用程式可以攻擊 Java 虛擬機中的 CVE-2010- 0840 漏洞。該惡意程式在本月網際網路惡意程式排行榜上佔據 三個位置（分別為第 3 、第 7 和第 9 位）。



本月的數據顯示網路上依然充斥著具有潛在危險的 PDF 漏洞。

2 月份，我們檢測到的包含 PDF 漏洞的電腦數量超過 58000 台。

此外，還有一種 PDF 漏洞利用程式登上了本月網路惡意程式排 行榜的第 8 位。

2011 年二月份惡意軟體狀況 - 3



本月，我們在超過 67000 台電腦上檢測到一種惡意加殼程式。

這種加殼程式主要用來保護 Palevo P2P 蠕蟲。這種蠕蟲主要用 來創建殭屍網路。前段時間剛被西班牙警方關閉的 Mariposa 殭 屍網路就是利用這種蠕蟲創建的。最近加殼蠕蟲的大肆傳播很 可能是網路罪犯正在試圖創建新的殭屍網路或恢復被關閉的殭 屍網路。



此外， 2 月份新出現了幾種針對 Android 平台的的惡意程式。

而 J2ME 平台的惡意軟體仍然頗受網路罪犯的青睞。以 Trojan- SMS.J2ME.Agent.cd 為例，該惡意程式的主要功能是向高額收 費號碼發送簡訊。該惡意程式也登上了本月排名前 20 位網路惡 意程式排行榜。

( 資料來源：卡巴斯基 /Securelist)

2011 年一月壁紙

2011 年二月壁紙

近期資安新聞 　　 近期資安報告 　　 話說 IRC Botnet 　

簡易入侵追查　　

未來的資安防護　

何謂殭屍網路 (BotNet)

• 什麼是 BotNet ？

• BotNet 俗稱「殭屍網路」（ Zombie Network

) ，也稱「機器人網路」（ Robot Network ) 。

惡意程式通常會隨著 e-mail 、即時通訊軟體或

電腦系統漏洞，侵入電腦，再藏身於任何一個程

式裡。

BotNet 的特性 (1)

• BotNet 惡意程式病毒與木馬程式的使用方式相

似，但觀 BotNet 不但會攻擊其他電腦，而且它

具有「蟲」的特性，會慢慢在網路空間中「爬

行」，一遇到有漏洞的電腦主機，就自行展開攻

擊。

BotNet 的特性 (2)

• 駭客會藉由網路聊天軟體「 IRC 」，遠端控制 受感染主機，發動網路攻擊，其中包括竊取私密 資料、散佈垃圾郵件、發動阻斷式服

務， BotNet 具有自我複製並主動散播的特性，

受感染主機不易發覺，最近駭客製造出變種

BotNet ，防毒軟體更不易偵測。當一個擁有數

千、數萬甚至數百萬台電腦組成的殭屍網絡形成

後，壞蛋就可以招攬垃圾郵件生意，他們透過所

控制的伺服器，下令殭屍電腦向郵件伺服器發送

垃圾郵件。現在有超過 80 ％垃圾郵件來自殭屍

網路。

IRC Botnet 的故事

• 話說 2010 年十月 22 日…

• 開始分析台中縣教育網路中心 netflow 中未分

類的流量

中縣教網 netflow 與網路封鎖說明

中縣教網 netflow- 學校下載分析

中縣教網 netflow- 學校上傳分析

中縣教網 netflow- 單一學校分析 1

中縣教網 netflow- 單一學校分析 2

從開始偵測到封鎖

偵測期偵測期 發作期發作期 阻擋期阻擋期

10/29~

實作封鎖機制 並發揮功效 10/27~10/29

IRC 流量爆量 10/22~10/26

以 Netflow 分

析並協助受害

學校清除

偵測期（ 10/22 ～ 10/26)

中縣教網自 10/22( 五 ) 起以 netflow 開始分 析 6667 port 流量，結果發現部份學校伺服器 的確出現異常流量。

經過 10/23( 六 ) 、 10/24( 日 ) 持續監測，

鎖定可疑伺服器。

10/25( 一 ) ～ 10/26( 二 ) 聯絡異常流量學校 並連入可疑伺服器，根據歸納結果，初步認定 可能是以 phpMyAdmin 弱點植入惡意程式，

並發 email 至 tanet-cnc 群組告警。

10/26 公告請臺中縣各國中小對

phpMyAdmin 進行修補。

發作期（ 10/27 ～ 10/29)

10/25 ～ 10/26 已陸續清除十幾部伺服器，

但可疑流量伺服器仍持續增加中，甚至有某國 中一次被攻陷至少四部伺服器。

於 TANet 2010 研討會會場求援，同時亦以 email 求援。

10/27( 三 ) ～ 10/29( 五 ) 被植入惡意程式伺

服器持續增加， 6667 port 流量也同時暴增。

阻擋期（ 10/29 ～ )

根據連日觀察的結果暫以每十分鐘 100 個 flows 為門檻值做為封鎖依據。

臺中縣內學術網路 IP 封鎖後由學校資訊或網管 人員以公務帳號解除封鎖，其他 IP 則封鎖一天 後自動解除。

臺中縣內學術網路 IP 若發現未處理即解除者，

手動列入資安事件 ( 需通過學校主任、校長電

子簽核才能解除 ) 。

中縣教網資安回報網頁 -1

中縣教網資安回報網頁 -2

以 A 國中為例 – 發現異常 (1)

以 A 國中為例 – 發現異常 (2)

以 A 國中為例 – 發現異常 (3)

以 A 國中為例 – 發現異常 (4)

以 A 國中為例 – 發現異常 (5)

以 A 國中為例 – 發現異常 (6)

發現大量 6667 port 流量且集中

從 A 國中的例子可以發現，如果學校發現大量 6667 port 封包，且集中於某幾臺伺服器時，

則該主機極有可能已遭植入 IRC Botnet 惡意程

式。

netstat -na(B 國中 )

netstat -ap(B 國中 )

可先利用 netstat 找出異常程序

netstat –na 與 netstat –ap 可找出 IP 與域 名，並找出有問題的程序名。

本次發現的惡意程式使用的 IRC Server 清單：

Tampa.FL.US.Undernet.org 6667 Lidingo.SE.EU.Undernet.org 6660

Vancouver.BC.CA.Undernet.org 6667 bucharest.ro.eu.undernet.org 6667 Diemen.NL.EU.Undernet.Org 6667 Ede.NL.EU.UnderNet.Org 6667

Elsene.Be.Eu.undernet.org 6667

若 netstat 程式遭置換的話，則該重新傳入正

常的程式。

netstat -na(C 國小 )

netstat -ap(C 國小 )

lsof | grep shm(C 國小 )

可利用 lsof 找出異常程序的位置

以 netstat 找出可疑程序代碼後，可利用 lsof 找 出可疑程序的位置。

lsof | grep 程序代碼

ls /tmp(C 國小 )

lsof | grep bash(D 國小 )

cd “/tmp/ /.a”(D 國小 )

惡意程式可能存在的位置

2010-10-28 情形

內部可疑流量自動封鎖機制

內部可疑流量封鎖解除紀錄

外部可疑流量自動封鎖機制

自動封鎖機制說明

從 6667 到 6660

近期資安新聞 　　 近期資安報告 　　 話說 IRC Botnet 　

簡易入侵追查　　

未來的資安防護　

入侵檢視 – last log

 last -f /var/log/wtmp

入侵檢視 – history

 history

入侵檢視 – secure log

 vi /var/log/auth.log

 cat /var/log/auth.log | grep "Accepted"

入侵檢視 – access_log

 vi /var/log/apache2/access.log

入侵檢視 – error_log

 vi /var/log/apache2/error.log

近期資安新聞 　　 近期資安報告 　　 話說 IRC Botnet 　

簡易入侵追查　　

未來的資安防護　

陽明機房新增防護架構

比對特徵來源

清大 anti-botnet 團隊收集之特徵規則。

收集源： honeynet, shadowserver…

版本：第十二版 (2011/3/28)

崑山科大 AISAC 團隊所接收之 GISAC 分享之中

繼站黑名單。

進行方式

清大 anti-botnet 團隊收集之特徵規則。

先在測試系統使用完整特徵規則。

當告警初次發生時，與學校連絡進行分析。

當告警確認有效後，加入正式營運系統。

正式營運系統發出告警時，由自動分析機制加入自動 封鎖機制資料庫。

崑山科大 AISAC 團隊所接收之 GISAC 分享之中 繼站黑名單。

因為資料為上千筆，處理方式仍在研究中。

敬請配合下列事項

若疑似被入侵的是伺服器

請提供權限讓教網中心人員登入做資料收集

若疑似被入侵的是個人電腦

請自行檢查、掃毒後回報結果 (email 即可 )

敬請配合下列事項