好工具變成駭客利器　網際網路已佈滿惡意iFrame

原本良好強大的工具，到了駭客手中也可能變成極其可怕的武器。iFrame原本是個可將其他網頁嵌入其中，並增添網站豐富性及互動性的浮動框架，然而駭客看好該元件具備可大可小，甚至可隱形的能耐，因而可隱秘地將數量龐大的iFrame撒落到網際網路上每個角落，進而發動各種惡意攻擊行為。

前不久，ScanSafe Web安全公司與Betanews IT媒體網站即分別發現有多達6萬~8萬個網頁內含惡意iFrame，由此可見惡意iFrame泛濫猖獗的程度，已到了企業不得不正視並著手整治的地步。

數以萬計網站充滿惡意iFrame元件　
竊取使用者帳密攻擊企業內網

例如總統府曾爆發網站新聞稿頁面中被嵌入Kuso影片的事件，即為一起典型的iFrame攻擊事件。該事件是由駭客透過網站漏洞，將馬蕭等人大跳Sorry Sorry舞的Kuso YouTube影片之iFrame元件直接嵌入網站所致。儘管府方極力澄清網站並未遭到駭客入侵，但如果該網站中沒有任何弱點，又怎麼會被強行植入搞笑的iFrame元件？所幸攻擊者其意不在惡意攻擊，否則總統府網站可能成為召喚其他惡意程式的毒窟。

事實上，總統府遭到「Kuso攻擊」只不過是日趨嚴重之惡意iFrame攻擊案例中的冰山一角，因為據安全商ScanSafe的調查報告顯示，當前竟有高達約5.5萬個網站被發現內含惡意iFrame元件。

ScanSafe指出，該元件是透過資料隱碼(SQL Injection)攻擊的手法，將惡意iFrame嵌入目標網站中，一旦使用者點取該惡意iFrame元件，會先導到1個名為「http://a0v.org/x.js」的入侵攻擊中介網站上，該網站會立即分別自7個不同惡意網域，將1個同時由後門、密碼記錄器及自動下載程式所組成的混合式木馬程式下載植入到使用者電腦中。不僅如此，Betanews網站所提出的搜尋結果更驚人，該網站只是透過Google搜尋引擎進行簡單測試，結果發現竟有高達82,800個網站，存在可被SQL Injection等惡意攻擊觸發啟動的惡意iFrame。

令人好奇的是，即使企業對外網站如同前述，紛紛遭到惡意程式進駐，但這些惡意程式大致上並無法直接侵入企業內部網站(除非該企業沒有做好內外網該有的安全分離措施)，頂多只能對瀏覽該網站的使用者發動攻擊而已，難道攻擊企業網站的目的，只是為了攻擊個人使用者？答案當然不是，駭客既不會放過個人，也不會放棄任何直搗企業核心的可趁之機。

當前最常見的Web惡意攻擊手法，不外SQL Injection與跨站指令碼(XSS或CSS)等攻擊方式。其中，SQL Injection即利用寫入惡意SQL指令碼，對特定應用程式發動攻擊，以一般網站上常見可供使用者輸入資料的介面來說，若網站設計者沒有針對這個介面進行適當的安全防範措施或管控，就有遭到SQL Injection攻擊的可能性。此外，網站該補的漏洞未更新修補，也有遭致攻擊的可能。當前駭客多半透過SQL Injection攻擊，讓受害網站遭到掛馬，進而成為廣布惡意程式的中繼站，除了藉此竊取使用者機密資訊，作為後續攻擊之用，並建立為數龐大的殭屍網路大軍。

至於跨站指令碼攻擊，故名思義，就是跨過伺服器主機，直接攻擊使用者的1種攻擊手法，它是以透過對具備XSS漏洞網頁，植入內含惡意JavaScript的HTML代碼方式，進而竊取使用者帳戶密碼等敏感性資訊。尤其當前許多網站不但漏洞百出，對於cookie也沒有任何防護措施，因此，惡意攻擊者可透過XSS漏洞攻擊，輕易擷取使用者cookie資訊，cookie中豐富的登錄帳密等敏感資料因而落入駭客手中。

表面上，駭客所有矛頭似乎都指向使用者，但使用者背後的企業內部網路才是駭客的終極目標。駭客無法直接取得進入內部網路大門的鑰匙也沒關係，因為只要偷公司員工手上的鑰匙即可，無論員工使用任何裝置，或身在何處，駭客會預先在有程式或安全防護漏洞的企業網站上佈下陷阱，等候使用者上鉤，一旦成功竊取到使用者手上的帳密，接下來就可能淪到企業倒大楣。

結合惡意iFrame讓Web攻擊效益大增　
以量取勝的惡意iFrame將成網路安全大患

當前高竿的惡意攻擊者絕對不會只用一兩種攻擊手法行事，而會集結各種攻擊手法與工具的混合式攻擊技術，以增加攻擊成功率，並讓攻擊效益最大化。也因為如此，透過惡意iFrame元件的結合，原有SQL Injection與XSS攻擊更加無往不利，因為當前iFrame浮動框架的應用本來就非常普遍，最常見的代表，莫過於iGoogle的自訂個人化網頁功能。

在強調動態互動性的Web 2.0時代，網頁上充斥各種浮動的iFrame視窗已是司空見慣的事，方便好用的iFrame元件不但深受網頁設計者與使用者的喜愛，同樣也獲得駭客的青睞。iFrame可以明著來，也能暗裡去，駭客可調整iFrame大小，甚至長寬可設置成1或0，讓惡意iFrame完全隱身在目標網頁中。僅管當前防毒軟體大致可掃出網頁中長寬皆設定成0,0或1,1的惡意iFrame，但駭客只要稍微變換一下參數，例如0,123等方式，即可躲過安全偵測。

所以，結合有如變形蟲的惡意iFrame之混合式攻擊手法，既可透過寫入惡意Javascript等手法，將使用者導入到充滿各種惡意程式的惡意網站或釣魚網站，進而一步步竊取個人乃至企業機密資訊，同時又能透過惡意程式的下載，把個人電腦或企業網站當成惡意程式、垃圾郵件發布的中繼站，抑或納入旗下殭屍網路大軍中的成員。總之，當前駭客不但要成功出擊，還要進一步讓受害個人及企業成為下一波攻擊的生力軍。

2008年5月間亞洲各地發生有史以來最大規模的SQL Injection攻擊事件，有多達10萬個中文網站遭到惡意掛馬，並在隔週再度遭到史無前例的全自動化Flash零時差漏洞攻擊。事後各界對攻擊者發動如此大規模掛馬攻擊事件背後之動機議論紛紛，據安全商趨勢科技對常駐惡意程式回傳駭客主機相關資訊及行為的研究指出，這起攻擊不排除是為了廣泛收集整個遊戲世界中的相關資訊，以進一步從熱度不斷的網路虛擬世界中獲取可觀利益。由此可見，今後駭客會極度仰賴iFrame等惡意手法，來收集各種有利於接下來攻擊的任何資訊。

這一點倒是與當前科學家積極研發的智慧塵(Smart Dust)有部分相似之處，所謂智慧塵，就是有如米粒大小(未來會更小)，並同時具備感測、運算、無線傳輸與電力等多功能於一身的無線微感測晶片。將這個以量取勝的智慧塵灑在人們生活四周，會對生活四周的所有資訊加以簡單運算與收集，並建立相互串聯溝通的無線網路。這些感測器可以偵測建物、橋梁或軌道的強度、結構等狀況資訊，可在故障或有結構性問題出現時主動警示相關單位。智慧塵可灑在大樓屋頂，用以監控天氣狀況，或灑在馬路上，讓使用者不用兜圈子，就可避開塞車的道路而改走其他便道。

不過，這個方便的發明若用在駭客手上，恐怕成為萬劫不復的夢魘，因為駭客可以方便地將「惡意」智慧塵灑在人們身上、車上或住宅四周，接著便可掌握受害者的一舉一動。雖然當前的惡意iFrame與智慧塵的科技水準相差太遠，但同樣具備極度迷你的身驅，事實上，甚至可隱形的惡意iFrame正被駭客狂灑在網際網路的各個角落，作為精準攻擊發動前的重要資訊收集利器。雖然科技始終來自人性，但人性也有好壞之別，唯有多發揮良善面的科技力量，並對惡意科技力量做好充足防備，才是最理想的因應之道。