透視圖片木馬攻擊
淺談圖片木馬攻擊與防禦
文／圖成大資通安全研發中心．責任編輯／陳啟川

2007/12/04安全軟體廠商賽門鐵克(Symantec)發現一種利用JPEG圖像漏洞的進行攻擊行為的特洛伊木馬程式，發佈到了幾個新聞論壇(News Forum)中，電腦安全專家警告，這樣的程式碼只要稍微修改，就會成為實質有效的電腦病毒。

---

前陣子網路上常流傳著一些像是「被詛咒的油畫」、「被詛咒的眼睛」或「一幅看久會讓人想自殺的圖」等令人聳動的網頁及檔案標題。使用者在好奇心使然的情況下，點擊這些網頁或開啟圖像檔案，表面上只是很正常的圖片，待使用者發現異常時電腦早已不受控制而開始作怪了，這一切都是所謂圖片木馬所引起的。此外，除了JPEG圖檔可偽裝成病毒攻擊使用者外，還有大家所熟悉的BMP圖片木馬，同樣是利用圖片來欺騙使用者達到入侵的目的，本文將以JPEG及BMP兩種圖片木馬如何入侵電腦的手法、防治方式以及未來趨勢發展作進一步說明。
實際案例
近來網路上出現許多提供新奇圖片或女星私密照片的網站及部落格，吸引民眾連結觀賞。經調查局發現，當民眾連上網站或部落格瀏覽及點選圖片時，惡意木馬程式也同時植入電腦系統，並可控制或竊取機密資料。有關當局調查指出，這些帶有木馬病毒的信件是駭客利用特殊工具取得網路使用者帳號密碼，透過使用者的電子信箱寄送帶有木馬惡意程式信件給該使用者通訊錄裡所有的聯絡人，經由此方式一傳十，十傳百的寄送給每一位使用者達到木馬病毒大量擴散的效果，藉此進一步獲取相關私人資料以及控制或損害使用者的電腦，估計已有不計其數的使用者受到損害。
圖片木馬之定義及原理
從連線的行為上可將木馬分為兩類，一類是可透過遠端控制方式來獲取被入侵之電腦中的資訊或控制被入侵電腦之行為，像是Sub 7、Back Orifice、Optix PRO等。另一類則是屬於單兵作業型的木馬，它會自行收集某些資料傳送給駭客或控制被入侵電腦進行駭客指定的行為，例如：間諜程式、殭屍程式、後門程式、蠕蟲、側錄與監控程式等。

常見木馬種類與其型態演進方式
以下將簡介一些常見木馬種類與其型態演進方式。
．傳統EXE執行檔木馬
這是最傳統也最常見的普通型態木馬，就是在被入侵之電腦中以一般.exe檔執行的木馬，其容易被防毒軟體發現並隔離，加上有經驗的使用者很容易就可察覺到並刪除之。
．傳統DLL/VxD木馬
由於這類木馬本身無法自己執行，因此設定在登錄資料中利用Windows啟動時一併被載入執行，或是使用Rundll32.exe、svchost.exe來執行它，如此一來在工作管理員或網路連線監控軟體等之類的工具便不會發現它的蹤跡。
．取代掛勾式DLL木馬
本質上仍是DLL木馬，但它卻是取代某個系統DLL檔並將它改名，然後對該系統DLL檔所提供之各函式進行掛鉤(Hook)，如果收到遠端木馬客戶端程式傳來的訊息，就進行相關的駭客行為。
．嵌入式DLL木馬
這型態之木馬是利用嵌入技術將DLL木馬寄生到某個系統檔案中，像是Explorer.exe，當該系統檔案執行時木馬也一併被執行。
．一般工具製作之木馬
木馬最主要的就是躲過防毒軟體偵測才能進行駭客行為，因此就有發展出利用一般的工具軟體，包含Windows系統提供的各種小工具，製造組合出自己想要的木馬，甚至利用安裝軟體打包工具也能夠讓不會寫程式的初學者設計出專屬自己的木馬，這不僅能躲過防毒軟體之偵測也有相當的機會不被防火牆阻擋，反較高深技術設計之木馬有更高的機率完成駭客行為。
演變至今，木馬的變化型態層出不窮，像是遊戲木馬、網頁木馬、圖片木馬、播放軟體木馬等。以下將就圖片木馬作進一步的探討。


JPEG圖片木馬
所謂JPEG病毒，並不是JPEG圖片能放出病毒，而是系統處理JPEG圖片的模組自己執行了JPEG圖片所夾帶的病毒，該漏洞主要涉及作業系統中一個名為GdiPlus.dll的文件。由於許多軟體都利用了這個動態連接來處理JPEG圖片，使得該漏洞涉及的層面非常廣，如Windows XP SP1、Microsoft Office系列等。入侵者可以將木馬後門通過這個漏洞原理來插入至圖片中，這樣存在此漏洞的程式會無條件執行圖片中的木馬後門程式，進而控制受影響的系統。

BMP圖片木馬
所謂BMP木馬就是將木馬的EXE檔偽裝成BMP圖片檔，欺騙IE自動下載，再利用網頁中的JavaScript腳本尋找用戶端的Internet暫存資料夾，找到下載後的BMP檔，把它拷貝到暫存目錄，再撰寫一個腳本把找到的BMP檔用Debug的方式還原成EXE檔，並把它放到註冊表啟動項目中，並在下一次開機時執行。
分類及其特性
介紹完有關圖片木馬之運作原理後，接著就來探討圖片木馬有何特性及其感染途徑。

JPEG圖片木馬之特性
前陣子美國微軟發佈了MS04-082安全公告，作業系統中處理JPEG的動態連結庫「GdiPlus.dll」文件出現漏洞，且此漏洞涉及作業系統層面相當廣泛，包括Window xpSp1、MS Office…等，多數是以此圖形程序處理JPEG格式的圖片。
當使用者從IE瀏覽器開啟圖檔時，IE會自動辨識文件的格式檔，而此判斷依據並不是以檔案的副檔名，而是文件的標頭檔及MIME（Multipurpose Internet Mail Extensions；多用途網際信件延伸），當用戶打開文件時，IE會讀取該文件的標頭檔，並在系統中的註冊表找尋所對應的MIME。MIME為文件檔案的格式，定義目的是要讓文件可夾帶文字、音效、圖片…等，發佈者可以自行定義格式，如E-mail寄信時可選擇所要夾帶的檔案。
在系統讀取圖檔時，系統內需有處理JPEG的模組，然後JPEG處理模組再把圖片資料讀進緩衝區內，而在此讀取步驟發生了錯誤，因為Window規定了此緩衝區的大小，卻沒有檢查圖片資料量的大小，入侵者把圖片資料加工後，將檔案變得異常的大，使圖片資料塞滿處理模組，將惡意程式從緩衝區溢出到程序自身所執行的區域，此部份即為緩衝區所執行指令的核心區，便誤執行了惡意程式。

JPEG圖片木馬之感染途徑
Step1. 經由IE瀏覽器開啟網路圖片。
Step2. 透過MIME定義文件標頭檔並更改為圖片格式，再利用IE漏洞通過檢查。
Step3. 下載更改過的圖片，造成緩衝區溢位。
Step4. 利用緩衝區溢位的漏洞，執行惡意程式指令。
Step5. 入侵使用者電腦。


BMP圖片木馬之特性
BMP與JPEG的執行方法不同，它將EXE執行檔偽裝成BMP圖片文件，但此文件的PE標頭已經更改為點陣格式，系統在檢查此文件時將誤判為BMP點陣圖片。而IE瀏覽器在開啟圖檔之前必需利用Java Script將此文件下載至Internet暫存資料夾中顯示出來，而此動作已將木馬存入使用者電腦中。
但圖片檔在電腦中並不會自動的執行，因為文件的標頭已被改為圖片格式，所以在電腦在下載圖片的同時，入侵者早已將編寫好的腳本檔，一樣透過溢位漏洞將圖片以Debug的方式把PE標頭還原成EXE執行檔，並將它放至註冊表啟動項中，在下次開機時便可執行，

BMP圖片木馬之感染途徑
Step1. 更改EXE檔的PE標頭，偽裝成BMP點陣圖檔。
Step2. 利用IE漏洞通過文件標頭的檢查。
Step3. 通過檢查後，利用Java Script尋找Internet暫存資料夾將圖片下載至此。
Step4. 利用緩衝區溢位的漏洞，執行攻擊者已設置好的網頁腳本檔，將圖片的PE標頭還原成可執行檔。
Step5. 當使用者下次開機時即執行木馬，達到入侵的目的。

解決方法與建議
瞭解圖片木馬的攻擊模式及流程後，有效的防範措施是不可避免的，本實驗室在此也提供一些相關的解決辦法和防護建議，希望幫助使用者能夠確實有效的阻隔圖片木馬及相關惡意程式之攻擊。

JPEG圖片木馬
JPEG漏洞會影響好幾個微軟的軟體應用與作業系統，包括Windows XP、Windows Server 2003、Office XP、Office 2003、IE 6 SP1、Project、Visio、Picture It與Digital Image Pro。微軟於2004年9月已經公布所有會受影響的軟體，至於最新公布的Windows XP SP2則不會受到影響。對於虛假圖片文件的欺騙手法，只要修補MIME和IFRAME漏洞。而對於JPEG圖片木馬病毒，微軟已提供JPEG模組的更新，只要即時修補及系統安全更新即可免除JEPG圖片木馬的攻擊。

BMP圖片木馬
基本上這個漏洞是無法進行修補的，因為用戶很難知道他們正在瀏覽的頁面是否正在偷偷下載木馬資料，因為即使他們修補了所有漏洞也無濟於事，木馬是被IE「合法」下載的，不屬於程式碼漏洞，而單靠程式本身也很難判斷這個圖片是不是木馬程式。但由於這也是需要下載文件的入侵方式，它能否下載完畢以及使用者願不願意去開啟網頁就要取決使用者本身，最重要的還是安裝效能較高的防毒軟體及避免瀏覽不明網站。

防毒軟體的選用與推薦
在此也提供本實驗室自行從市面上多種防毒軟體進行病毒掃瞄與防治的測試結果與數據供各位使用者作為參考。本實驗室測試用防毒軟體為Kaspersky、F-secure、PC-Cillin、Avg Anti-Spyware、AD-Aware SE、CounterSpy等，而病毒樣本壓縮包為網路資安論壇 (http://www.avpclub.ddns.info/) 所搜集而來，且測試時間從2008/1/1~2008/1/31止為期一個月。經測試發現，在不同作業系統下所搭配不同的防毒軟體測試出來的結果會有所不同。圖3為各防毒軟體之掃毒效能。
掃描結果。

由圖3得知，六套防毒軟體的掃描效能最佳為Kaspersky，而AD-Aware SE因病毒資料庫核心並不著重於木馬及其他惡意程式的防護，而是以惡意廣告軟體防護為主，故掃描效率最低。
除了在整體的掃毒率有明顯差異外，執行病毒後所產生的特徵也有所不同，故在不同的作業系統下，應搭配不同的防毒軟體是使用者必需深思的議題。作完以上各防毒軟體測試後，針對效能較佳的兩套防毒軟體優缺點進行SWOT分析，並以其掃毒效能做兩兩搭配，達到更完整的掃毒功效。

Kaspersky-SWOT分析
由圖4來看，Kaspersky的功能強大、掃毒能力也強，是個不錯的防毒軟體，但須加強對木馬的防護，且因為它具有較強的掃毒引擎，所以對電腦所佔用資源也較大是使用者所要注意的部份。
Kaspersky-SWOT分析。



F-secure-SWOT分析
由圖5得知，F-secure掃毒快，又整合了多個病毒監測引擎，加上可無限期自動更新病毒碼，是個不錯的防毒軟體，但也因為功能強大，所佔用的電腦資源也多，對電腦效能較差的使用者會造成某種程度的負擔。
F-secure-SWOT分析。

綜整以上兩套防毒軟體的優缺點後，在使用防毒軟體的同時，使用者除了估算最基本的預算外，也必需考量到自身電腦效能及防毒軟體特性，如果要徹底防禦病毒入侵，則建議使用到兩套以上的其他防毒軟體做混搭，如Kaspersky對木馬防禦能力較低，則可搭配Avg Anti-Spyware做防護，提高防毒軟體的整體效能。而下表是針對各防毒軟體的價格及效能做搭配上的建議。
由圖6可以得出以下的結論
各防毒軟體的價格及效能搭配結果。

1. 在不考量價格因素下，本實驗室推薦Kaspersky搭配Avg-Anti Spyware和F-Secure搭配Avg-Anti Spyware，這樣的組合不只具有極佳的防毒效能，且所佔用的資源也不會很高。
2. 若以價格為主要衡量因素，可考慮選用Kaspersky搭配Ad-Aware SE、F-Secure搭配Ad-Aware SE及PC-Cillin搭配Avg-Anti Spyware，這樣的搭配方式價格適中，使用的系統資源較少，適合預算較少的使用者或企業。
3. Kaspersky搭配CounterSpy與F-Secure搭配CounterSpy由於價格昂貴，佔用資源太大不建議使用者選購，而PC-Cillin搭配CounterSpy及PC-Cillin搭配Ad-Aware SE其優點是價格便宜，佔用的資源少，可是其防毒效能差，因此本實驗室不予以推薦。

病毒未來發展與趨勢預測
趨勢科技在2008年2月21日公布「2007資安威脅報告與2008年預測」，發現病毒的擴散，已從個人電腦延伸到行動裝置如手機，以及個人部落格網站，預測今年政府及知名銀行、旅遊網站等，都將成為駭客攻擊的目標。隨著行動上網逐漸普及，駭客也開始把茅頭指向手機、PDA等能夠上網的裝置，資安公司公佈今年十大資安攻擊預測中，行動平台就名列其中，分析原因，主要是因為駭客想要竊取手機、PDA中個人的私密資料藉此圖利。從2004年6月以來，已經發現手機病毒超過150種，全球被感染的案例達到上千個，但都是在國外，之前賽門鐵克(Symantec)的資料也顯示，個人電腦病毒與手機病毒的比率是650比1。
以目前趨勢看來，資安威脅已不再侷限於個人電腦，由於行動裝置不但功能複雜，而且日益強大，其面臨的威脅已經與個人電腦類似（病毒、垃圾郵件、木馬程式、惡意程式等等）；而具備無線連線能力的（如Wi-Fi及藍芽）以及儲存能力的裝置，也開始成為資料外洩以及感染源突破邊界防禦的主要來源之一，所以未來資安威脅的防治不只是在個人電腦的部份，甚至是在如手機等的行動裝置上仍然是一個勢必要解決的難題。


6