偵測系統核心木馬技術有新進展

核心木馬攻擊開始具有針對性，只有特定對象才會受害。賽門鐵克首席工程師來臺展示最新的木馬偵測程式，可以監控出未知驅動程式的隱藏木馬行為。



賽門鐵克資安研究室首席工程師Matthew Conover來臺展示偵測系統核心木馬（Kernel Rootkit）的新技術，將在新的防毒產品上運用這個偵測技術，讓防毒軟體可以發現過去難以偵測的「目標性（Target）木馬攻擊」。

Matthew Conover指出：「最近出現新的木馬攻擊手法，不只針對特定目標攻擊，還使用了難以發現的核心木馬感染技術，因而傳統的防毒偵測技術，很難完全發現這些隱藏在系統核心中的木馬程式。」

在木馬感染技術中，一般防毒軟體的系統執行權限，多半只能發現函式庫等級（Library Level）或應用程式等級（ApplicationLevel）的木馬，而一般防毒軟體最難預防的，正是隱藏成系統元件或驅動程式的核心木馬程式。他表示，通常只有在這些核心木馬程式發生了破壞系統的行為，否則防毒軟體很難偵測到。

Matthew Conover解釋最新出現的目標性木馬攻擊，他說：「只有遇到特定企業或機構的使用者，木馬程式才會啟動感染機制，例如顧客傳一份申請文件給銀行時，顧客打開文件不會中木馬，但是銀行行員打開文件才會啟動木馬，讓木馬潛伏期更長，風險也更大。」

過去偵測核心木馬的技術，是建立一個追蹤環境，觀察未知驅動程式的執行結果，但因為追蹤環境只是模擬使用者的一般系統環境，對需要特定條件才會啟動的目標性木馬，因為會誤判為正常的驅動程式而沒有效果。MatthewConover所開發的偵測技術，則是建立一個監控未知驅動程式與系統溝通過程的Sandbox環境，可以在正常的使用環境中，觀察可疑程式與系統正常元件的資訊傳遞，進而發現異常的元件使用行為，例如可以發現不需要使用者輸入資料的驅動程式，卻呼叫了鍵盤指令，那這個程式就有可能是要偷取使用者輸入密碼的木馬程式。

目前賽門鐵克已經使用這個技術，來累積木馬程式的可疑行為特徵。Matthew Conover表示：「賽門鐵克會先在防毒程式中使用實驗室累積的行為特徵資料來偵測，下一階段才應用在防毒程式中，來監控未知的木馬程式。」文☉王宏仁

連高中生也能偷走低頻RFID中的資訊

國外知名RFID資安專家AdamLaurie在亞洲資安技術年會中提醒臺灣企業，必須了解RFID產品限制，避免在不適當的使用方式中，洩漏了個人隱私或企業資訊。他說：「現在上網可以下載免費RFID複製程式，只要再花幾十塊美金購買讀卡機，就算是不懂技術的高中生，也能夠偷走低頻RFID中的資訊。」他進一步補充：「目前低頻RFID多半沒有加密處理，內容被複製時等同完全洩漏。企業應避免在未加密的RFID卡中儲存機敏資料，用在門禁識別時，也需要增加第二道認證程序。」據Adam Laurie觀察，臺灣便利商店使用的儲值卡或捷運悠遊卡就可能有被盜用的風險，但是企業常用來識別產品資訊的高頻RFID，AdamLaurie則說：「目前還未聽到有高頻RFID被盜用的情形，但是未來有可能，企業仍需小心使用RFID。」文☉王宏仁