微軟上周警告視窗作業系統Windows Shell含有安全漏洞,使駭客得透過lnk捷徑檔嵌入惡意程式。原本微軟表示僅出現有限的目標式攻擊,但資安業者指出,透過該漏洞的惡意程式感染應已超越工廠與發電廠的範疇,而且出現變種的Stuxnet程式。
駭客主要透過內含惡意lnk檔的USB可攜式磁碟來感染有漏洞的電腦,使用者只要將USB磁碟連接到電腦上,系統的自動執行功能就會裝載該lnk檔及所夾帶的惡意程式,上周所傳出的攻擊目標為西門子的自動化生產與控制(SCADA)系統,該系統多半用於製造工廠中,災情報告顯示,美國受害最為嚴重,有57%的案例來自美國,其次是伊朗的30%。
不過,資安業者ESET資深研究人員David Harley表示,雖然該攻擊行動最初是瞄準SCADA系統,但該木馬程式的自我複製能力讓相關的威脅已經擴散到工廠與發電廠以外,極有可能禍延整個網路。Harley並因此而認為駭客只是一個普通的軟體工程師而非駭客集團,因為駭客集團通常會避免打造具自我複製功能的病毒,以防止情況失控且還引起外界注意。
根據資安業者的發現,駭客所使用的惡意程式為Stuxnet木馬程式,當系統自動開啟惡意lnk檔時,會自動安裝Stuxnet與Rootkit程式等惡意檔案,ESET另一研究人員Pierre-Marc Bureau指出,先前惡意檔案中有一個含有台灣瑞昱半導體(Realtek Semiconductor Corp)所發布的程式碼簽章,該簽章已被VeriSign取消,但變種的Stuxnet所含的jmidebs.sys惡意檔案,則含有另一台灣業者─智微科技(JMicron Technology Corp)所發布的程式碼簽章。jmidebs.sys主要負責辨識並將惡意程式注入視窗系統中,以用來竊取資訊。
由VeriSign所主導的程式碼簽章服務主要是針對程式碼與內容建立數位化的保護,以驗證內容的來源與完整性,並防止使用者下載有害的檔案,許多台灣新竹科學園區業者皆採用上述簽章。
Bureau認為,此一發現透露這是一個專業操作,駭客也許是竊取了瑞昱半導體或智微科技的程式碼簽章,或者是向別的駭客購買,不論駭客為何更改所使用的簽章,都顯示出駭客具有強大的資源。
SANS表示,這是一個嚴重的漏洞,因為相關的惡意軟體除了可透過USB磁碟散布外,還可透過遠端分享進行感染,雖然防毒軟體業者已開始新增對惡意lnk檔案的偵測,但目前情況仍然危急。各家防毒軟體業者對Stuxnet的命名不同,例如賽門鐵克稱其為W32.Temphid、卡巴斯基稱其為Rootkit.Win32.Stuxnet.a,趨勢科技所使用的名稱則為RTKT_STUXNET.A。(編譯/陳曉莉)
熱門新聞
2025-02-26
2025-02-25
2025-02-24
2025-02-26
2025-02-24
