新聞快訊

第五屆駭客年會(HIT)於日前落幕，會中可以發現Botnet已成為最大的攻擊威脅來源。今年議程中，針對 Botnet的研究相較於往年的會議明顯增加多。包含CIH(同名病毒作者)、QQ、Ant等專家都針對Botnet造成的威脅提出研究報告。其他專家在報告綜合的攻擊手法時，也有提到一些技術可供實作Botnet；同時在學界方面，教育部也舉辦了一場「Botnet偵測與防治技術研討會」。由產、學界均針對此議題不斷發表最新研究，顯示Botnet造成的資安威脅，已到達不容忽視的程度。

雖然在前述會議中，針對Botnet的攻擊手法不斷有人提出，然而令人沮喪的是，包含講師在內，針對許多攻擊手法仍無法有一套有效的解決方案。事實上，問題的起源就在於Botnet的攻擊方式是由正常的來源作動，受害的電腦不知道自己有問題，被攻的主機也無法針對來源做有效的判別。同時會中的專家甚至展示了一篇看來平淡無奇的內容，其實是經過精心設計的偽裝，連一般人都無法判定這個內容是有問題的。

針對最新的Botnet Spam也是有相同的情形：（1）來源合法，導致傳統以來源過濾查殺的手法失效；（2）內容偽裝成正常，能騙過傳統內容過濾的機制。這也乎應了NOPAM垃郵防治中心，在今年年初觀察到的Spam驅勢：（1）一定造假（2）來源位置一直變，讓你抓不勝抓（3）內容不斷扭曲偽裝，令你防不勝防。這三種特徵，會令傳統用「查來源」跟「濾內容」來防Spam的手法完全失效，更槽的是，目前廠商普遍提出「機器自動學習機制」，但Spam卻同時具有正常信跟垃圾信的特徵，送入自動學習，反而會讓該攔的Spam沒攔到，不該攔的商業書信反而被濾掉。

針對此問題，NoPam垃郵防治中心，提出全新的雲端防治技術。有別於以往見樹不見林的Antispam手法根本是捨本逐末，NoPam垃郵防治中心提出的方式，利用雲端掌握目前最新的信件發送行為，方能有效掌握來自Botnet的Spam為何，同時做進一步的防治。此外，由於此技術是由確實掌握Botnet的發送行為下手，所以有別於傳統方式，可以達成幾乎零誤判（把正常信誤判成垃圾信）的成效。NoPam垃郵防治中心也表示，以往傳統的方式針對最新的Botnet Spam可說是束手無策，然而據去年的統計，有90%的垃郵已改用Botnet來發送，可以預想未來這個數字只會更高，不會更低。因此我們需要捨棄以往的因應方式，採用新的防護技術，方能有效解除眼前的資安威脅。

本文作者：TONY SHIH
2009資安展講師