銀行木馬程式 DOWNAD (又名 CONFICKER,趨勢科技命名為 DOWNAD 家族) 首次現身於 2008 年,是當時破壞力最強的惡意程式之一,高達 9 百萬台電腦受到感染,全球皆聞之喪膽。儘管 DOWNAD 現身至今已將近十年,而且已過了巔峰期,但它並未徹底消失。讓我們回顧一下 DOWNAD 近十年來的一些數據,就能理解為何它至今仍是全球最普遍的惡意程式之一。
巔峰時期曾經創下全球 9 百萬的感染案例, 至今每月偵測數量仍維持在 2 萬以上
DOWNAD 在巔峰時期曾經創下全球 9 百萬的感染案例。四年之後,DOWNAD 仍是當年最紅的惡意程式,全球偵測數量仍有 250 萬左右 (2,564,618)。到了 2013 年,DOWNAD 數量銳減,從第一季的 74.1 萬一路下滑至第四季的 22.9 萬,原因應該是越來越多使用者已升級至新版 Windows 作業系統,因此它少了可攻擊的漏洞。但儘管如此,DOWNAD 仍位居 2013 年惡意程式排行榜榜首,偵測總數高達 180 萬左右 (1,824,000)。到了 2014 和 2015 年依然維持同樣情況,DOWNAD 仍穩居企業惡意程式年度感染數量前二名 (不論大型企業或中小企業),分別為 288,374 和 298,000。
圖 1:2012 至 2016 年 DOWNAD 偵測數量。
儘管在過了顛峰之後 DOWNAD 的感染情況已經緩和下來了,但根據趨勢科技 Smart Protection Network™ 全球威脅情報網 2016 和 2017 年的 DOWNAD 偵測數據顯示,該惡意程式每月偵測數量仍維持在 2 萬以上,所以依然還是相當活躍。
這樣的情況多年來一直相當穩定,如果只看最近兩年的話,WORM_DOWNAD.AD 的偵測數量一直維持在一定水準,只有些微的起伏變化:
圖 2:2016 和 2017 年 WORM_DOWNAD.AD 每月偵測數量。
主要分布於三大產業:政府、製造和醫療
DOWNAD 主要分布於三大產業:政府、製造和醫療,占 2016 年所有 WORM_DOWNAD.AD 偵測數量的 34%,同時也占 2017 年的 41%。這些產業的企業通常比較專注於原本的專業領域,所以不像一些科技相關產業 (如軟體和委外服務) 那麼重視技術升級投資。此外,這些產業的企業由於規模和複雜度的緣故,系統升級需耗費龐大的人力和時間,而這些都是 DOWNAD 為何在這些產業特別興盛的原因。
圖 3:WORM_DOWNAD.AD 在各產業的分布 (2016 年)。
圖 4:WORM_DOWNAD.AD 在各產業的分布 (2017 年)。
接著,讓我們來看看 WORM_DOWNAD.AD 在各區域的分布情況以及數量最多的國家。在這方面,2016 和 2017 年的情況相同,都是開發中國家最多,尤其是金磚四國當中的印度、中國和巴西,都是高成長且製造業發達的國家。
圖 5:感染 WORM_DOWNAD.AD 最多的國家 (2016 年)。
圖 6:感染 WORM_DOWNAD.AD 最多的國家 (2017 年)。
根據趨勢科技 Smart Protection Network 全球威脅情報網的資料,我們偵測最多的 DOWNAD 樣本就是WORM_DOWNAD.AD 變種,而它也是目前偵測數量最多的惡意程式威脅。WORM_DOWNAD.AD 是最早在外流傳的變種之一,它會將自己複製一份到隨身碟上,或者透過系統漏洞隨機感染網際網路上的目標。
圖 7:WORM_DOWNAD.AD 的感染過程。
WORM_DOWNAD.AD 一旦感染系統之後,就會將自己複製一份到該系統連接的所有磁碟 (包括隨身碟和網路磁碟) 當中的「資源回收桶」。接著在磁碟上建立一個加密編碼的 AUTORUN.INF 檔案,如此一來,每當使用者瀏覽受感染的網路磁碟或隨身碟時,就會執行這個惡意程式 (注意:該手法在現行的 Windows 版本已經無效)。接下來,惡意程式會搜尋網路上可用的伺服器並蒐集某些使用者帳號資料。最後,再利用預先設定好的密碼字典來試圖登入這些帳號。此外,WORM_DOWNAD.AD 為了避免使用者將它移除,它會修改電腦的 DNS 設定來防止使用者連上防毒軟體相關網站 (利用某些字串來過濾)。
當 WORM_DOWNAD.AD 一旦成功進入伺服器,就會利用 CVE-2008-4250 漏洞 (2008 年 10 月已修正) 從遠端在目標系統上執行其所要的程式碼。
由於 WORM_DOWNAD.AD 可經由多重管道散布,所以就算過了巔峰期已經九年,至今它依然相當活躍,這一點毫不令人意。既然我們現在知道哪個變種最普遍,那就讓我們仔細看看該蠕蟲都出現在哪裡。
為何 DOWNAD 在這麼多年之後依然相當普遍?舊版 Windows 未修補的漏洞是關鍵!
儘管過了將近十年,DOWNAD 依然歷久不衰。為何資安軟體已經對抗它這麼多年,這個老舊的惡意程式還是非常普遍?除了它的散布技巧之外,從數據上也能看出一些端倪。
一份針對 DOWNAD 蠕蟲如何感染 IoT 裝置的報告指出,它能利用舊版 Windows 未修補的漏洞來進入裝置,這仍是今日許多資安系統無法有效防範的問題。而感染 DOWNAD 最多的都是那些還在使用老舊應用軟體的電腦系統,尤其是那些不定期更新的系統。除此之外,DOWNAD 還會利用一個 2008 年已經修補的漏洞,但因為該問題很久以前就已經解決,所以一般人會以為只有少數系統還有這項漏洞。其實根據我們的資料顯示,CVE-2008-4250 是最常被攻擊的漏洞,光是 2017 年 10 月就偵測到 60,000 多次這類漏洞攻擊。
這一切線索都告訴我們,最典型的 DOWNAD 蠕蟲受害者就是那些重要產業當中的企業 (尤其是開發中國家) 並且其網路上仍有許多過時、未修補的老舊系統。
此外,這也傳達了一個相當重要的訊息:DOWNAD 這九年來已經找到了一非常適合它成長的地方,也就是那些老舊的系統。儘管它不像一些新的惡意程式 (如 WannaCry 和 Petya) 那樣吸引大眾目光,但仍是一項久久揮之不去的威脅,而且只要是那些終止支援、不再更新的老舊系統存在的一天,它們就會繼續生存下去。
企業如何防範 DOWNAD 這類惡意程式?
市面上已有許多通過考驗的資安防護產品可讓使用者和企業對抗 DOWNAD 這類惡意程式。
- 就算不是重金投資於資安防護的企業,也能防範 DOWNAD 的威脅。只要正確掃瞄隨身碟,確保隨身碟不被感染,就能大幅降低危險。
- 企業應避免使用過時的作業系統,尤其是 Windows XP 這類已經終止支援的系統。前一陣子的 WannaCry(想哭)勒索蠕蟲就是專門攻擊老舊作業系統的漏洞,其案例清楚告訴我們為何繼續使用終止支援的系統可能導致災難。
- 我們一再強調保持電腦系統更新的重要性,然而專門攻擊老舊漏洞的老舊惡意程式在 2017 年惡意程式排行榜當中仍名列前茅,證明企業在這方面仍做得不夠。
老舊系統的更新有時相當耗費人力和資源。最理想的狀況是,廠商一旦終止老舊作業系統與軟體的支援,企業就應該加以淘汰。然而,就像很多人還在使用已有 16 年歷史的 Windows XP 一樣,要期望每一個人都做到這點或許不太實際,因為淘汰老舊系統可能會面臨一些重大挑戰:
- 耗費龐大的時間、資源和人力。
- 現有的應用程式可能無法在新作業系統上順利執行。
- 企業 IT 人員缺乏充分的知識、技能和專業能力來進行系統移轉。
- 重新撰寫應用程式 (尤其是必須大幅修改時) 不符合成本效益也缺乏效率。
所幸,那些無法或不願意升級系統的企業,還是有方法可以防範 DOWNAD 這類惡意程式,答案就是:虛擬修補。
基本上,虛擬修補是防範 DOWNAD 這類專門攻擊老舊漏洞的惡意程式最理想的方法。虛擬修補能提供方便又自動化的更新來保護老舊系統。企業不僅可以受到保護,而且還能降低系統修補管理的成本。它可保護各式各樣的裝置和系統,是一種全方位的防護,可確保整體網路的安全。
趨勢科技Deep Security和 趨勢科技 Vulnerability Protection 漏洞防護 都能提供虛擬修補來防範企業端點因未修補的漏洞而遭到攻擊。趨勢科技 OfficeScan™ 的漏洞防護功能,也能在修補更新部署之前防止端點裝置遭到已知及未知的漏洞攻擊。
TippingPoint 也可協助企業管理老舊的系統並掌控修補管理的週期,為老舊、終止支援的軟體提供一道額外防護,而且每週都會定期更新,或者當出現重大漏洞時也會緊急更新。此更新流程完全自動,數位疫苗 (Digital Vaccine) 過濾規則會自動部署,不須使用者操心。
原文出處:CONFICKER/ DOWNAD 9 Years After: Examining its Impact on Legacy Systems