【轉錄】臺灣已有企業遭受IE漏洞攻擊

今年1月上旬Google和30多家美國企業遭到大規模攻擊，駭客利用微軟IE未知的漏洞發動零時差攻擊（Zero Day Attack）。不過，這樣的攻擊事件並非只有發生在美國而已，中華電信資安辦公室主任吳怡芳表示，中華電信資安監控中心在1月21日發現，臺灣也有企業被駭客鎖定，利用IE漏洞發動零時差攻擊。有鑑於此次IE漏洞造成的後遺症頗大，微軟也緊急在1月22日發布IE DOM漏洞的修補程式。

資安公司McAfee在去年12月中旬就偵測到有來自中國大規模的網路攻擊活動，在今年1月12日，包括Google、Yahoo、Symantec等34家公司，都遭遇來自中國大規模的網路攻擊，McAfee更將此次命名為Aurora（極光行動）。臺灣McAfee技術顧問沈志明表示，McAfee在分析攻擊事件時，發現駭客用「Aurora」作為惡意程式部分檔案路徑（用於標記原始程式碼在機器中所保存的位置）並因此為命名代號。而微軟則將此弱點命名為MS10-002。

吳怡芳表示，這新一波利用IE漏洞發動的大規模攻擊，手法和以往駭客利用IE漏洞發動的攻擊有很大的不同，這次的攻擊多是針對性的，並不是漫無目的的攻擊，不像之前的Mass SQL Injection動輒造成數十萬個企業網站受駭，因而多數企業資安管理人員對此次攻擊的警覺性也相對較小。此外，吳怡芳說：「這次的攻擊程式都經過編碼與加密，傳統的ISP或者是防毒軟體，很難達到遏阻的效果。」

沈志明進一步補充表示，這次駭客的攻擊手法，從目標的鎖定，透過社交工程讓使用者點選惡意連結、造訪惡意網站，並利用微軟未發現的IE弱點植入惡意程式、竊取機密。而且這些攻擊行為則都是經由加密通道送出，即使是資安人員，也可能會不留意而誤觸陷阱。

某位曾經分析過這類攻擊手法的資安顧問表示，從駭客攻擊的手法來看，不得不佩服這次駭客利用IE漏洞發動針對性零時差攻擊的巧妙之處。他認為，這次中國駭客的攻擊手法幾乎很難查到中國的IP位址，加上駭客撰寫的惡意程式，就跟一般網頁工程師寫的功能語法類似，並使用加密通道，讓一般人只要瀏覽到已經被植入惡意程式的網頁之後，隱藏在該惡意網頁背後的Downloadder，就立刻不知不覺地下載到使用者端的電腦中，讓該臺電腦成為駭客控制的傀儡電腦，達到成功入侵內網的目的。他也認為，這次中國駭客採用針對性攻擊，避免無謂的風吹草動，也提高了成功機率，這代表中國駭客攻擊手法的進步，同樣地，也讓資安專家應對的難度增加。

吳怡芳表示，也因為此次駭客利用IE漏洞發動的零時差攻擊手法更為隱匿，中華電信資安監控中心很難靠以往入侵偵測系統的特徵碼、防毒軟體的病毒碼，以及作業系統廠商的修補程式保護客戶安全。她說，「幾乎所有版本的IE瀏覽器，在這次攻擊發生時都受到影響，」且經過測試，大部分防毒軟體皆無法偵測出該攻擊植入的後門程式，這也讓使用者遭受到的威脅隨之提升。

因此，這次中華電信資安監控中心在發現有客戶遭受到這次的攻擊後，便利用流量監控與惡意程式分析技術，在第一時間內找出攻擊的惡意程式和惡意網站，監控後門程式中繼站的各種控制指令，也直接封鎖該惡意網站，避免臺灣用戶誤闖虎口。

對於多數的資安顧問而言，這次IE漏洞的零時差攻擊對象主要都是先前媒體報導的知名企業，但中華電信資安監控中心則發現，臺灣身處複雜的政治環境中，早就是許多駭客針對性攻擊的鎖定對象，對於此次來自中國的攻擊，臺灣使用者並無法倖免。