系統安全漏洞剖析 敦陽科技
系統安全漏洞剖析
敦陽科技
大綱
前言
惡意程式種類
Rootkit檢測工具
Rootkit檢測實做
常用檢測工具
惡意程式檢測實做
伺服器檢測流程
Windows安全強化
問題與討論
前言
關於我
吳東霖 , Alex
現任敦陽科技資安服務處資安顧問
經歷 –多次政府、金融、電信、教育、企業單位之滲透測試服務
資安事件處理與蒐證
資安設備規劃與建置
聲明
本系列課程內容,僅用於瞭解攻擊手法以利進行防禦部署,若有任何學員以之進行非法活動,一切行為與本人及敦陽科技無關,由學員自行負責。
刑法第 三十六章 妨害電腦使用罪
第 358 條 –入侵電腦或其相關設備罪
第 359 條 –破壞電磁紀錄罪
第 360 條 –干擾電腦或其相關設備罪
第 361 條 –對公務機關,加重其刑至1/2
第 362 條 –製作犯罪電腦程式罪
第 363 條 – 358 ~ 360 須告訴乃論
6
惡意程式種類
惡意程式種類
Rootkit定義:難以察覺的方式隱藏自己,盜取資料為主要目的常見症狀:程式異常,系統資源異常,網路流量異常啟動方式: Drivers 、 BIOS…
Trojan定義:盜取資料為主要目的常見症狀:程式異常,系統資源異常,網路流量異常啟動方式: Registry 、 Services 、 Drivers 、 Autorun.Inf
Virus定義:破壞為目的常見症狀:作業系統異常啟動方式: Registry 、 Autorun.Inf
Spyware定義:廣告、木馬之間常見症狀:介於廣告、木馬之間
啟動方式: Registry 、 Services
Adware定義:為了達成廣告目的,使用特殊手段造成清除不易
常見症狀:首頁綁架、IE出現不明工具列、出現不明程式
啟動方式: Registry 、 Services
Worm定義:既有破壞行為,部份也有木馬行為
常見症狀:作業系統異常,檔案異常,大量連線異常
啟動方式: Registry 、 Services 、 Drivers
Rootkit
主要功能
隱匿自己,或其他程式
遠端遙控
檔案傳輸
鍵盤記錄
代理伺服器
特殊藏匿方式
BIOS 、 VGA、CPU 、NB電池…無孔不入
Sony's USB software rootkit
兇殘比較表
12
Rootkit Trojan Virus Spyware Adware Worm
感染其他檔案
被動散播
主動散播
造成程式大量增加
兇殘度
對企業的影響性
高 高 中 低 低 高
Rootkit檢測工具
Anti-Rootkit tools
Rootkit Unhooker
SSDT
MbrRoot (ver: 3.8.341.553)
Processes
Drivers
Code Hook
Win 2000 、XP 、2003 、Vista 、2008
Last update : 2008/08
Rootkit Unhooker
15
Anti-Rootkit tools
Gmer
SSDT
MbrRootkit
Processes
Drivers
Autostart
Service
Win 2000 、XP 、2003
Last update : 2009/03
16
GMER
17
Anti-Rootkit tools
Wsyscheck
SSDT
微軟檔案簽署
Processes
Drivers
Code Hook
FSD
Service
TCP/IP
Win 2000 、XP 、2003
Last update : 2008/0218
Wsyscheck
19
常用檢測工具
網路流量
Wireshark
網路封包監聽
URL
http://www.wireshark.org/download.html
TCPView
檢視TCP/IP與Process關係
URL
http://technet.microsoft.com/en-
us/sysinternals/bb897437.aspx
Wireshark
22
TCPView
23
網路流量
CurrPorts
檢視TCP/IP與Process關係
具有過濾功能
URL
http://www.nirsoft.net/utils/cports.html
24
CurrPorts
25
應用程式
FileMon記錄程式所有動作
URL
http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx
Process Monitor記錄程式所有動作
DLL模組對應
強大的過濾功能
URL
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
FileMon
27
Process Monitor
28
應用程式
Process Explorer瀏覽程式與DLL模組對應關係
URL
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
Autoruns瀏覽、變更自動執行的程式
URL
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
29
Process Explorer
30
Autoruns
31
伺服器檢測流程
環境需求
外接硬碟 (建議介面為Firewire、eSATA)
高時脈和記憶體大的電腦
映像檔製作軟體 (例如:Ghost)
VMWare Workstation
多套防毒軟體
33
檢測流程
1. 製作伺服器系統磁碟區映像檔
2. 將映像檔複製兩分至外接硬碟
3. 準備第二台電腦,並安裝VM
4. VM的作業系統,必須為新安裝
5. 在VM上安裝防毒軟體
6. 更新病毒碼
7. 將映像檔掛載於VM
8. 以防毒軟體掃描掛載的磁碟區
9. 紀錄掃描結果,自動/手動移除惡意程式34
檢測流程
10.依照VMWare上的移除方式至伺服器移除
11.可使用Process Explorer強制關閉惡意程式
12.將惡意程式的檔名至Registry搜尋,移除機碼
35
Windows 安全強化
安全強化
每天執行Windows Update
每天更新病毒碼
不執行不明程式、附件
不使用盜版軟體、Keygen
上網時跳出對話視窗,建議選否
開啟Windows Firewall
開啟DEP
關閉自動播放功能
37
問題與討論