《電腦病毒30演變史》趁虛而入! 2001年CodRed 開啟漏洞攻擊元年-盤點歷年漏洞攻擊

1988年趨勢科技成立之初,你知道當年出現的病毒,是靠磁碟片傳播的嗎?
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年病毒演變史。
本篇從2001年漏洞攻擊元年談起…

2001年可說是漏洞攻擊蠕蟲崛起之年,包括:Code Red I、Code Red II、Klez、Nimda、Sadmind 以及 Sircam。它們專門攻擊 Solaris 和 Microsoft Internet Information Services (IIS) 伺服器的漏洞。尤其 Code Red 可說是給了全球企業機構一記響亮的警鐘,造成了 26 億美元的生產力損失與伺服器清除成本。同時,這些蠕蟲也突顯了網路修補與防護對企業機構的重要,尤其那些不安全的網路共用磁碟更是威脅鎖定的目標。
2001年可說是漏洞攻擊蠕蟲崛起之年,這些蠕蟲突顯了網路修補與防護對企業機構的重要,尤其那些不安全的網路共用磁碟更是威脅鎖定的目標。

2001年可說是漏洞攻擊蠕蟲崛起之年,包括:Code Red I、Code Red II、Klez、Nimda、Sadmind 以及 Sircam。它們專門攻擊 Solaris 和 Microsoft Internet Information Services (IIS) 伺服器的漏洞。尤其 Code Red 可說是給了全球企業機構一記響亮的警鐘,造成了 26 億美元的生產力損失與伺服器清除成本。同時,這些蠕蟲也突顯了網路修補與防護對企業機構的重要,尤其那些不安全的網路共用磁碟更是威脅鎖定的目標。

2003-2008年間爆發了幾個重大的漏洞攻擊事件,包含導致班機無法正常起飛的Blast;駭到CNN現場新聞大停擺達數十分鐘的ZOTOB;還有2008年現身,至今10年後( 2018年)依然活躍的 銀行木馬程式 Conficker

2014年OpenSSL加密出包, 臉書、Instagram、google、yahoo都受影響,這個讓全球六成網站拉警報的漏洞被命名為Heartbleed(心淌血) 。根據密碼學、安全和隱私專家Bruce Schneiere 給這個個災難性臭蟲評分,如果從1~10要評分的話,他給11分。

到了 2015年Angler 主宰了整個漏洞攻擊套件版圖;2017年WannaCry及Petya勒索病毒利用EternalBlue漏洞大規模攻擊,隔年EternalBlue入侵家用網路 台灣成重災區。

2001年7月Code Red開啟漏洞攻擊蠕蟲崛起之年,造成了 26 億美元的生產力損失與伺服器清除成本

2001年7月爆發的Code Red紅色警戒病毒,是以一款暢銷的含高咖啡因不含酒精之飲料為名,這隻網路病毒不需透過電子郵件或網頁來散佈,它自己會去尋找並感染具弱點漏洞之電腦。Code Red用微軟 IIS的漏洞進行大規模感染,開啟漏洞攻擊蠕蟲崛起之年,給了全球企業機構一記響亮的警鐘,造成了 26 億美元的生產力損失與伺服器清除成本。同時,這些蠕蟲也突顯了網路修補與防護對企業機構的重要,尤其那些不安全的網路共用磁碟更是威脅鎖定的目標。

2001年9月Nimda 病毒,只要有一台電腦未清乾淨,這個僅存的”活口”就會在網路上繼續蔓延再生

不到 2 個月同樣攻擊 IIS 漏洞的Nimda 病毒,其破壞指數卻遠高於 CodeRed。利用安全漏洞的反傳統的攻擊模式,考驗著 MIS 人員的應變能力。
同年9月在全球蔓延的Nimda「娜妲」被稱為「瑞士萬用刀」的Nimda,它使用緩衝區溢位、電子郵件、網路資源分享、瀏覽網頁、系統安全漏洞等不下10 種之方式進入到網路中。以每 15 秒一次的攻擊頻率,襲擊數以百萬計的電腦,在 24 小時內竄升爲全球感染率第一的病毒。

此類電腦蠕蟲有一個令網管人員頭痛的問題,那就是只要有一台電腦未清乾淨,這個僅存的”活口”就會在網路上繼續蔓延再生。

2003Blast 疾風病毒導致班機無法正常起飛 ;Sobig 病毒拖垮包含麻省理工學院電子郵件系統

Blast 是繼2001年 CodeRed,Nimda以來最嚴重的漏洞攻擊型病毒。Nimda娜坦病毒是在系統廠商公布漏洞後的第五個月,才現身發動大規模攻擊。2003年 Blast疾風病毒是在第二十五天就現身並且發動攻擊,速度超過其他病毒。一隻可以自動下載 Blast 的修正程式,卻形成另一波感染高峰,導致加拿大等航空公司,部分班機被迫延後或取消。Blast 在程式碼中隱藏兩段話,其中一句是"I just wannt to say LOVE YOU SAN!!" 因此它也被稱為 love san worm。另一句則是"Bill Gates why do you make this possible? Stop making money and fix your software!!"。中了Blast 疾風病毒的電腦會每 60 秒進行一次重開機或空白的開機畫面。

IT 人員焦頭爛額的尋找未安裝修正程式而四處亂竄攻擊他人的電腦之際,災難卻接踵而來……. 7個月前發現的 Sobig 病毒,也於此時出現變種來攪局,且如其名的形成的郵件流量宛若龐然大物,拖垮包含麻省理工學院(MIT)的電子郵件系統。
根據美國聯邦調查局FBI的發現,Sobig最初可能出現在一個色情網路論壇中。只要用戶按下色情圖片聯結,就會遭到感染。

Blast 和Sobig 兩個電腦病毒相繼發威,各地防毒軟體公司接獲數千起要求協助支援的電話,粗估上百萬台電腦受損,企業因為電腦無法正常運作,或是網路頻寬被佔,造成生產力下降,損失難以估計。

2005 ZOTOB蠕蟲 駭到CNN


美國有線電視新聞網CNN 的中央電腦系統,2005年8月遭到史上最快利用微軟漏洞發動攻擊的ZOTO 蠕蟲入侵,造成副控室電腦當機、現場新聞大停擺達數十分鐘。宛如熱鍋螞蟻、試著解除突發蟲蟲危機的電腦維修人員,頓時成為新聞現場主角,而 ZOTOB 卻成為悶不出聲的最佳現場導播。
ZOTOB利用了微軟公布的編號為 MS05-039的隨插即用中的漏洞,通過TCP埠445散布。該病毒只感染未經修補的 Windows2000系統,但也拿下了數個主要的媒體網站,包括 CNN 和 New York Time 紐約時報。 

2008 年銀行木馬程式 Conficker 蠕蟲現身,至今仍持續發威
銀行木馬程式 DOWNAD (又名 CONFICKER, 首次現身於 2008 年,是當時破壞力最強的惡意程式之一,高達 9 百萬台電腦受到感染,全球皆聞之喪膽。其利用 MS08-067 中所描述的安全弱點攻擊電腦系統,感染了高達 900 萬台電腦,並衍生出多個變種。巔峰時期曾經創下全球 9 百萬的感染案例, 至2018年一月偵測數量仍維持在 2 萬以上

2014年OpenSSL加密出包, Heartbleed漏洞讓 5% 的前一百萬大網站心在淌血!
2014年4月 OpenSSL加密鎖出包,名為「Heartbleed」安全漏洞, 被喻為網路史上最嚴重的安全漏洞, OpenSSL 發布重大安全通告,這個潛伏兩年的臭蟲,影響了全球網路加密資料的傳輸安全。這個全球近三分之二網站使用的加密技術出現漏洞, 會導致用戶帳號、密碼、信用卡帳號等各種機敏資料曝光, 無論是伺服器還是用戶端,都可能因此而受到攻擊。
Heartbleed

SSL是用來保護你在網路上資料的技術。你如果要進行網路購物或在網站上輸入敏感資料就可能對SSL很熟悉,會看到一個「鎖頭」告訴你你的資料受到保護。Heartbleed臭蟲,存在於所有實作 Heartbeat 擴充程式的 OpenSSL。當攻擊一個有漏洞的伺服器時,可以讓攻擊者一次讀取部分(最多64KB)的電腦記憶體而不會留下任何痕跡。

趨勢科技在當時嘗試著評估Heartbleed漏洞的影響,根據Alexa排名的前1,000,000名網域來掃描幾個特定國家的頂級網域(TLD)。接著挑出有使用SSL的網站,進一步地分類成「受影響」或「安全」。我們從收集到的資料裡發現了一總共大約5%的網站受到CVE-2014-0160的影響。

趨勢科技發現了針對SMTP伺服器的新式Shellshock攻擊。攻擊者利用電子郵件來攻擊這個漏洞。如果漏洞攻擊碼在有漏洞的SMTP伺服器上被執行成功,就會下載並執行被稱為「JST Perl IrcBot」的IRC殭屍程式。它會在執行後刪除自己,這很有可能是潛伏在雷達之下而不被偵測的方法。
攻擊週期:

  1. 攻擊者將Shellshock惡意程式碼插入到主旨、寄件者、收件者和副本欄位來製造出惡意電子郵件。
  2. 攻擊者接著將這封電子郵件發送到任何可能有此漏洞的SMTP伺服器。
  3. 當有漏洞的SMTP郵件伺服器收到此惡意電子郵件時,內嵌的Shellshock惡意程式碼就會被執行,然後下載並執行一個IRC僵屍程式。接著會建立對IRC伺服器的連線。
  4. 攻擊者之後就能夠利用郵件伺服器來進行各種惡意活動,如發動垃圾郵件攻擊活動。

 

2015年Angler 主宰了整個漏洞攻擊套件版圖

Angler是2015年最成功的漏洞攻擊包。Angler定期地加入新的漏洞攻擊碼,2015年11月,我們報導過EITest攻擊活動會使用Angler漏洞攻擊包將勒索軟體派送給淪陷網站訪客。這個攻擊活動控制了超過1500個網站來散播勒索軟體。EITest攻擊活動通常會將SWF物件加到淪陷網站頁面上,載入另一個Flash檔案來注入隱藏iframe以導致漏洞攻擊包。這一切都在使用者不知情下發生。

》 請參考:2015年的漏洞攻擊包(Exploit Kit):充斥著Flash漏洞、淪陷網站和惡意廣告

 

2018年CPU驚爆兩大漏洞Meltdown與Spectre

2018年一月初,資安研究人員發現了 Meltdown 和 Spectre 兩個 CPU 設計上的資安漏洞,並且公布了詳盡的技術細節。根據研究人員指出,全球數十億裝置皆可能因這些漏洞而讓惡意程式竊取應用程式正在處理的資料。

2018年駭客利用「永恆之藍」入侵家用網路 台灣受攻擊次數連三週高居全球首位!

包括去年引發全球恐慌的 WannaCry(想哭)及 Petya 勒索軟體等都同樣利用知名 Eternalblue (永恆之藍)漏洞發動攻擊, 此類型的攻擊可影響使用包含Windows Vista、Windows 7等微軟作業系統的連網智慧裝置,一但裝置受駭,駭客將可遠端控制此受駭裝置對用戶進行勒索或是安裝挖礦軟體成為駭客的挖礦機,甚至進一步擴大攻擊目標,對其他包含桌上型電腦、筆記型電腦,乃至家庭智慧連網裝置如智慧型電視與網路攝影機等發動攻擊,造成使用者資料、通訊與財務威脅。

2001-2018 重大漏洞攻擊事件:

《延伸閱讀 》
利用 CPU 效能計數器來偵測 Meltdown 和 Spectre 漏洞攻擊
Cloudflare和 Github 成為新DDoS 放大攻擊受害者 攻擊規模為Mirai攻擊兩倍
2018年一月惡意程式藉 Intel CPU 漏洞修補程式散布網釣郵件,10 招防上鉤
關於Intel CPU 漏洞,微軟新修補程式部署流程 8 個常見問題
Windows XP系統轉移,Heartbleed漏洞持續淌血 ….IT人員你累了嗎?