I'n Blog 之萬象真藏

利用網站入侵使用者PC的駭客，現在也愈來愈知道如何不讓惡意程式被查到，安全專家周三指出。

用於攻擊PC的程式碼，可藏在Flash動畫或自我打散使企圖檢查網頁程式碼的人員難以發覺，其中又以JavaScript為主，Arbor Networks 資深安全工程師Jose Nazario在CanSecWest security confab大會上簡報指出。

「模糊化(obfuscation)工具相當原始，卻也很有用，」Nazario說。「惡意程式作者利用模糊化的技倆就可以躲過簡單的簽章比對，」他提及仰賴簽章來偵測惡意網站的技術時說道。簽章可說是可知攻擊的指紋。

Web攻擊已愈來愈普遍。根據StopBadware.org的資料，有成千上萬的網站可能植入惡意程式，其中大部份網站是被入侵，然後透過瀏覽器弱點將木馬程式等惡意程式植入用戶PC中。

而許多攻擊都是利用JavaScript。一開始攻擊者是利用一般的JavaScript，後來就不一樣了，Nazario說。他已發現一種名為「makemelaugh」的script功能，可植入木馬程式並蒐集銀行資料或是透過社交名媛Paris Hilton的Flash動畫誘使使用者成為傀儡網路的一員。

攻擊者另一高招是讓惡意程式碼只在一台PC上執行一次。此外，一種稱為NeoSploit的工具還會辨識瀏覽器種類再選擇適當的攻擊方式，他說。

不過安全人員也有方法可以檢查，Nazario說。「JavaScript在被瀏覽器使用前必須先解碼(decode)，只要你能在瀏覽器外加以分析，就可以知道該怎麼做了，」他說。

打散的程式碼則也可辨讀，因為它一般是用Base64製碼來打亂程式碼，而非真的加密，Nazario說。他建議利用NJS、SpiderMonkey及Rhino檢查script程式碼。Flash檔案則可用Flasm來分析，他說。

惡意JavaScript可嵌入網頁中，並在使用者不知情情況下開始執行。攻擊者可能誘騙使用者去到他們設立的惡意網站，或是利用稱為跨網站攻擊(cross-site scripting)的弱點侵入受信賴的網站中。

要防範惡意JavaScript，使用者雖然可以關閉JavaScript功能，但也因此使許多網站功能無法發揮。另一個方法是使用具有已知不良網站黑名單的工具，像是McAfee的SiteAdvisor或Google的工具列或桌面軟體。

再不然，就是利用Exploit Prevention Labas的LinkScanner，它可監控進入PC的流量並攔阻已知攻擊。（鍾翠玲/譯）