投影片 1

Size: px

Start display at page:

Download "投影片 1"

矿蜂别
4 years ago
Views:

1 基礎鑑識課程與案例實作 Training By TACERT 曾昭銘

2 課程簡介學術網路內各級單位多多少少都遭遇過惡意程式的入侵或攻擊, 而被開立資安事件單或者預警事件單主要希望能讓各位老師能夠學習簡易的問題排除, 了解感染主機的造成的網路行為, 並提升資訊安全的防護觀念課程中透過實際的三個案例進行操作演練, 讓各位能夠更瞭解惡意程式可能造成的網路行為 2

3 學習目標學習如何判斷並找出主機中的惡意程式學會使用免費系統工具協助排除惡意程式學習使用免費網路工具側錄及分析封包透過網路封包分析了解惡意程式的行為修補感染漏洞, 避免再次感染 3

4 系統工具 Microsoft Sysinternal Suite Tcpview: 網路連線 ( 通訊埠 ) 狀態 Procexp: 執行程式檢查 Procmon: 程式執行監控 Autoruns: 註冊表 ( 登錄檔 ) 檢查 NirSoft Currports : IP 連線紀錄工具 4

5 網路封包工具 ( 一 ) Wireshark 免費方便使用的封包側錄工具圖形化介面容易操作可針對特定的 IP 或 MAC 位址篩選側錄可設定將錄製的封包檔案切割可篩選顯示特定協定封包 5

6 網路封包工具 ( 二 ) Netwitness Investigator 可以支援 IPV4 及 IPV6 的協定分析可以從網路封包資料中還原顯示應用層的狀態資料, 將電子郵件網頁內容 MSN FTP 等各協定的應用層資料還原回使用者可檢視的資料形態即時對所側錄的封包進行 MetaData 的資料檢索, 可以針對所檢索的封包內容進行階層式的檢視分析 (Drill Down Analysis) 6

7 網路封包工具 ( 二 ) Netwitness Investigator MetaData 的資料型態包含 MAC IP TCP 位址網址 Port 帳號協定服務文件格式(Content-type) 使用者端瀏覽器等支援超過 100 種以上 MetaData 的分析及檢索機制可針對所建立的 MetaData 顯示所擷取到的網路連線數可直接點選連線數直接過濾只顯示此連線數下所有的分析結果可以針對來源的 IP 地址分析出來源的國家及城市, 分析與研判駭客來源地域, 並可結合 Google Earch 以地圖方式顯示遠端電腦的位置 7

8 網路封包工具 ( 二 ) Netwitness Investigator 可以額外分析過濾出各種協定所使用的登入帳號以進一步分析來源者的身份, 對於協定中的明文密碼則直接分類顯示出來可以滙入及滙出 TCP dump Pcap 格式封包內容以方便追蹤與分析, 監控網路流量並可以顯示在二元狀態中 8

9 檢查步驟 Linux 系統 : 使用指令 cat /proc/version 查看系統版本使用指令 ifconfig 查看網路 IP 資訊使用指令 top 檢查 CPU 及記憶體資源使用狀態使用指令 netstat anpt 檢查網路通訊埠連線狀態搭配其他指令例如 lsof ps 查看異常程式檢查 /rc.d 和 crontab 有無開機異常啟動程式 9

10 檢查步驟 Windows 系統 : 查看系統版本記憶體資訊及遠端桌面服務指令視窗 ipconfig/all 查看主機網路 IP 資訊使用工具 Tcpview 查看主機網路連線狀態使用工具 Procexp 檢查是否有惡意程式使用工具 Autoruns 檢查是否有異常開機自動啟用程式 10

11 網路行為分析使用免費工具 Wireshark 外部錄製網路流量封包最後可以使用免費版 Netwitess Investigator 分析網路封包行為 11

12 Google Earth Netwitness Investigator 針對封包紀錄可以用 Google Earth 輔助顯示連線狀態 12

13 測試環境架構測試系統 Win 7 (x86 x64) Linux : Ubuntu Centos 虛擬機器 VMware VM Player 網路環境 NAT 或 Bridge mode 13

14 Windows 程式測試準備關閉測試系統的防毒軟體關閉測試系統的系統更新檢查測試系統網路是否正常開啟 Currports 紀錄網路連線開啟 Procmon 紀錄系統程序開啟外部 Wireshark 封包側錄 14

15 惡意程式測試準備 CurrPorts Auto Refresh Log Changes Open Log File cports.log 15

16 惡意程式測試準備 Procmon : 目的 : 能夠詳細記錄惡意程式行為 Clear Display: 先清除紀錄資料 Backing Files: 選擇存檔位置 Capture Events: 啟動紀錄功能 16

17 17

18 惡意程式測試準備 Wireshark 目的 : 側錄惡意程式網路行為 Show the capture options : 設定主機及存檔位置 Interface: 乙太網路 Capture Filter: host [IP] 或 ether host [MAC] 取消 Use pcap-ng formart 選項 Use multiple files: 切割 pcap 檔案大小 (50MB) 18

19 惡意程式測試準備 19

20 惡意程式測試準備 20

21 Autoruns 惡意程式測試準備以工作管理員身分執行 autoruns 選擇頁籤 Logon 查看開機自動啟用程式點選 save 以紀錄測試前的開機啟用程式狀態 21

22 惡意程式測試將惡意程式樣本於虛擬系統中執行開啟 Tcpview 工具觀察網路狀態開啟 Procexp 工具查看所有程序執行狀態檢查 Currports 的 Log 紀錄檢查側錄封包檔案大小是否有明顯增加 22

23 網路封包分析 Wireshark 雖然能夠瀏覽網路封包內容, 但是非常不容易使用分析 Netwitness 可以協助我們容易去分析網路行為, 然而免費版本只能一次分析最高 1GB 的封包檔案 23

24 線上掃毒工具大多較新或者客製化的惡意程式許多防毒軟體無法偵測出可以將惡意網址或惡意程式上傳到 Virustotal 網站分析 24

25 實作個案 ( 一 ) 25

26 實作個案 ( 一 ) Linux VM: FC18 Snapshot: testing1 帳號 : johnwu / root 密碼 : tacert

27 環境設定 ( 一 ) 1. 回復 shapshot 到 testing1 後重開機取得新 IP 2. 指令 ifconfig 查看是否 IP 正常 3. 因為環境變更, 需重新執行惡意程式 /boot/lktpdesmdi ( 名稱可能不同 ) 4. Wireshark 側錄 IP 封包 (MAC 位址 ) 5. 檢察主機系統行為 6. Netwitness 分析封包 27

28 事件個案 ( 一 ) 事件問題簡介某學校資安管理人員反映, 有一台主機占用大量的網路頻寬流量該主機疑似可能遭受入侵成為殭屍主機該主機作業系統為 Linux Ubuntu, 本單位協助進行問題排除分析判斷該主機產生何種網路攻擊行為 28

29 事件個案 ( 一 ) 檢測流程先用 Wireshark 進行網路流量的封包側錄檢測該主機的網路連線狀態檢查是否有程式產生可疑的網路流量找出惡意程式的位置及其作用現象最後透過 Netwitness Investigator 分析網路封包 29

30 事件個案 ( 一 ) 檢查該主機網路狀態, 透過 netstat 指令發現有啟用 SSH service 另有可疑連線正與外部 IP 的 port 2822 進行連線該連線的程式名稱是 gnome-terminal, 實為偽裝成正常程式的惡意程式 30

31 事件個案 ( 一 ) 透過指令 lsof 觀察惡意程式 PID 883 的狀態, 得知其原始檔案名稱應為 woqcayiya, 並確實正與 IP 位址進行連線, 且其路徑為 /boot/woqcayiya 31

32 事件個案 ( 一 ) 測試將網路介面 eth0 手動關閉, 發現網路介面會立刻再啟用, 以確保網路恢復正常故檢查背景程式發現到有一可疑檔案 cron (3865) 在執行, 追查其路徑存在於 /etc/cron.hourly/cron.sh 32

33 事件個案 ( 一 ) 檢視 cron.sh 腳本內容得知, 該程式主要目的是持續檢查所有網路卡的介面狀態, 一旦有被關閉就會自動啟用, 確保惡意程式不會因為網路中斷而停止連線 for i in do ifconfig $i up& done 於背景執行啟用網路 33

34 事件個案 ( 一 ) 測試將主機 reboot 重新開機, 惡意程式依然會自動啟用故檢查開機自動啟動區的目錄有發現到可疑程式 /etc/rc[1-5].d/s90woqcayiyan 34

35 事件個案 ( 一 ) 捷徑檔 S90woqcayiyan 為連結至路徑檔案 /etc/ init.d/woqcayiyan 並檢視其內容可知真正作用的執行檔確實位於 /boot/woqcayiyan, 且不論以何運行級別 [1-5] 開機皆會啟用 35

36 事件個案 ( 一 ) 檢查其側錄的封包內容得知, 惡意程式主要會連到外部的 port 80 和 port 2822, 其中 port 2822 的連線數很少, 大多都是 port 80 連線數最多查看 port 2822 的連線狀態, 主要都是以該主機 IP 向外部少數 IP 進行連線, 可能為上層 C&C 或中繼站 36

事件個案 ( 一 ) 隨機檢視一個封包 session, 由主機 IP 向美國的位址 162.212.

37 事件個案 ( 一 ) 隨機檢視一個封包 session, 由主機 IP 向美國的位址的 TCP port 2822 進行資料傳送, 而傳送資料都是經過加密, 此可能為回報用途 37

事件個案 ( 一 ) 另一種是主機端會偽造成其他 IP 向 C&C 162.212.180.

38 事件個案 ( 一 ) 另一種是主機端會偽造成其他 IP 向 C&C 的 UDP port 2822 進行資料回報, 其為 132bytes 經過加密的內容大小 38

39 事件個案 ( 一 ) 惡意程式會偽造來源端 IP, 其規則通常只是隨機改變來源端 IP 的幾個數字 39

40 事件個案 ( 一 ) 待上層 C&C 中繼站收到殭屍電腦回報的資料後, 有可能會回覆一串加密的資料, 作為下達 SYN Flood 攻擊的指令以及攻擊的對象主機 IP 40

41 事件個案 ( 一 ) 查看 port 80 的連線狀態, 主要殭屍主機收到上層 C&C 指令後, 在短時間內耗盡可用頻寬, 開始大量向外部 IP :80 等進行 SYN Flood 的攻擊, 並且送出的都是 payload 為 1Kbyte 的 SYN 加密封包 41

42 事件個案 ( 一 ) 該惡意程式進行 SYN Flood 的攻擊態樣有兩種 : 一種是由本機單一 IP 對外部數十個 IP 進行攻擊, 受害者大多為 X.X 的加拿大網段, 皆為 port 80 的網站伺服器受害者國家約有 5 個國家 42

43 事件個案 ( 一 ) 一種是偽造本機端的大量 IP 對單一特定主機進行攻擊, 此種方式完全捨棄原本機端的 IP, 全而偽造成其他 IP 來進行攻擊, 來躲避追查來源端, 受害者也多為網站伺服器從記錄上來看偽造的 IP 數量約筆, 國家數為 171 國 43

44 事件個案 ( 一 ) 最後在 /tmp/vun/ 資料夾中發現兩支可疑的程式, 分別為 tcmcwyhivs 和 wisczuhpvm 兩支執行檔案實際於 VM 虛擬機中執行後, 該兩支程式會自動自我刪除, 判斷此為駭客一開始植入的程式, 而以上分析的行為及產生的檔案都是執行產生的結果 44

45 事件個案 ( 一 ) 45

46 網路架構 ( 一 ) Hacker STEP 1 SSH 入侵植入程式 STEP 2 控制上層 C&C 中繼站 STEP 4 SYN Flood 攻擊外部特定主機 port 80 STEP 3.2 下達攻擊指令 Victims 受害的殭屍電腦 140.X.X.Y STEP 3.1 資料定期回報 Port 2822 STEP 1 : 駭客透過 SSH 破解登入受害主機並植入執行惡意程式 STEP 2 : 駭客能夠存取控制多數的 C&C 中繼站 STEP 3.1 : 受害的殭屍電腦定期回報資料給中繼站的 Port 2822 STEP 3.2 : C&C 中繼站下達攻擊指令給殭屍電腦 C&C 中繼站群 : 等 STEP 4 : 殭屍電腦開始大量對外主機 port 80 進行 SYN Flood 攻擊 46

47 建議與結論 ( 一 ) 1. 首先駭客透過 SSH 破解帳號密碼登入該校主機並於 /tmp/vun/ 植入後門程式 tcmcwyhivs 和 wisczuhpvm, 成為殭屍電腦 2. 該後門程式執行後會於 /etc/cron.hourly/ 產生 cron.sh 的 script, 用來偵測網路卡啟用狀態 3. 該後門程式另外會於開機排程中 /etc/rc[1-5].d/ 自動執行產生的惡意程式 /boot/woqcayiyan 4. 該 woqcayiyan 會自動向上層 C&C 中繼站的 port 2822 進行回報, 並接受上層的攻擊指令 5. 殭屍電腦收到攻擊指令後開始向特定主機進行 SYN Flood 攻擊, 且會於封包中偽造來源端的 IP 位置以規避受害方偵測 47

48 建議與結論 ( 一 ) 1. 先移除被植入的後門檔案 /tmp/vun/ tcmcwyhivs 和 wisczuhpvm 2. 透過 ps aux grep woqcayiya 找出惡意程式的 PID 3. 使用 kill -9 [PID] 刪除該程式背景運作 4. 刪除 cron.hourly/cron.sh 及 rc[1-5].d/s90woqcayiyan 的自動排程 5. 關閉或限制 SSH 外部登入 IP 網段權限, 並更改帳號及提升密碼強度 6. 定期檢查主機網路通訊埠的連線狀態, 以及注意是否有異常大量的網路流量, 以防範被入侵的可能 48

49 Q&A 49

50 實作個案 ( 二 ) 50

51 實作個案 ( 二 ) Linux VM: testing2 請先手動做 snapshot 以便還原操作帳號密碼 : root / tacert

52 環境設定 ( 二 ) ifconfig 查看是否 IP 正常 Wireshark 側錄 IP 封包檢測主機行為 Netwitness 分析封包 52

53 事件個案 ( 二 ) 事件問題簡介某學校資安管理人員反映, 有一台主機占用大量的網路頻寬流量, 可能遭受入侵成為殭屍主機該主機為一台虛擬主機, 使用作業系統為 Linux 的 Centos 版本, 並有安裝網站套件 Apache 該主機有啟用 SSH Server 的服務供管理者可以登入管理 53

54 事件個案 ( 二 ) 事件檢測首先透過 SSH 連入該主機, 並使用指令 netstat anpt 觀察網路通訊埠的連線狀態, 得知除了預設的 port 之外, 尚有其他可疑連線正在活動檢查 Web service 的 access log, 並無發現異常的連入狀態, 排除掉可能的 phpmyadmin 和 shellshock 網站漏洞 54

事件個案 ( 二 ) 從圖中紅框標示知道, 有一支名為 lss 的程式正在與 218.244.148.

55 事件個案 ( 二 ) 從圖中紅框標示知道, 有一支名為 lss 的程式正在與的 port 進行 SYN_SENT 的資料傳送, 而該主機是位於中國北京, 可能是作為報到中繼站用途 55

56 事件個案 ( 二 ) 接著透過指令 lsof 觀察該程式 lss 的運行狀況, 可以得知 lss 位於路徑 /tmp/ 中, 並啟用兩個 PID 為 1681 和 6823 的程序, 皆是向中繼站進行 SYN SENT 動作此時也發現到另一支惡意程式 /tmp/gates.lod 也參與其中 56

57 事件個案 ( 二 ) 透過線索檢查 /tmp/ 中發現到其他可疑檔案 gates.lod 和 moni.lod, 該兩個檔案也是執行檔, 系統中會以綠色顯示 57

58 事件個案 ( 二 ) 嘗試手動將背景程式 lss 進行 kill, 發現就算移除後一段時間還是會再次產生新的 lss 程序故再次進行程序 kill, 並且手動將檔案 lss 進行刪除, 經過短暫時間該程式 lss 又再次執行最後嘗試將三個檔案都進行刪除, 經過短暫時間該三個檔案又再次復活並執行, 此時確定應還有其他程式在監控主導還原, 故此 /tmp/ 下的惡意程式並非源頭 58

59 事件個案 ( 二 ) 此圖可以看到 lss 還原後會再次執行, 且 PID 從原本的 6823 重新產生變成

60 事件個案 ( 二 ) 為了找出源頭的惡意程式, 透過指令 lsof 觀察惡意程式 moni.lod 的行為, 發現到該程式的父程式名為.sshd 的隱藏檔, 其 PID 為再次透過指令 lsof 查詢程式.sshd 的行為, 能看到它的存在路徑為 /usr/bin/.sshd, 因為它是隱藏檔故不易從 ls 指令看出 60

61 事件個案 ( 二 ) 因該惡意程式會在開機時候自動啟動, 表示說該惡意程式一定有執行可開機啟用的腳本中追查.sshd 及 lss 這兩支執行檔的啟用情形後, 發現只有 /tmp/lss 被寫入 etc/rc[1-5].d/s97dbsecurityspt, 對應到的實體路徑為 /etc/init.d/dbsecurityspt 61

62 事件個案 ( 二 ) 由啟動的腳本得知,lss 應該才是惡意程式的主體, 而.sshd 則是 lss 執行後產生出的 watchdog 監控程式, 用來還原 lss moni.lod 和 gates.lod 惡意程式故以上 lss 和.sshd 惡意程式必須都刪除掉才能阻止再次還原 62

63 事件個案 ( 二 ) 仔細比較 lss 和.sshd 的差異, 這兩支檔案都是執行檔, 且檔案大小都是 1.2M 的大小, 且.sshd 可以在無網路環境下還原被刪除的 lss 檔案, 故 lss 和.sshd 實質上為同一支程式 63

事件個案 ( 二 ) 觀察惡意程式產生的網路流量封包得知, 該惡意程式 lss 一開始會向中國北京上層主機 218.244.148.

64 事件個案 ( 二 ) 觀察惡意程式產生的網路流量封包得知, 該惡意程式 lss 一開始會向中國北京上層主機的 port 進行 SYN_SENT 的資料傳送封包中帶有感染主機的 linux 版本資訊, 且上層中繼站會回傳 IP 資訊 , 此 IP 為被感染主機攻擊的目標 64

事件個案 ( 二 ) 從封包紀錄來看感染主機在短短 2 分鐘內就向 154.35.164.

65 事件個案 ( 二 ) 從封包紀錄來看感染主機在短短 2 分鐘內就向的 port 80 發送了 259,008 個 1KB 的 TCP SYN 封包, 速度大約是 17.27Mbps, 也就是 SYN Flood 攻擊阻斷 Web 服務 65

66 事件個案 ( 二 ) 瀏覽被攻擊的主機 IP, 是一個位在美國的博訊新聞網站, 引述維基百科說明, 博訊新聞網, 是一個中文資訊網, 基於公民記者模式運作主要報道國際時事新聞, 以及來自中國大陸的消息 66

67 事件個案 ( 二 ) 67

68 惡意程式運作流程圖 ( 二 ) /usr/bin/.sshd STEP 2 lss 產生.sshd STEP 3 監控存活並還原檔案 lss moni.lod gates /tmp/ lss moni.lod gates.lod STEP 5 開機自動執行 /tmp/lss /etc/rc[1-5].d/ S97DbSecuritySpt STEP 1 SSH 植入 lss STEP 4 SSH 寫入開機啟動腳本 Hackers 68

69 惡意程式運作流程圖 ( 二 ) 1. 駭客透過 SSH 植入惡意程式至 /tmp/lss 2. 執行 lss 後產生出看門狗程式.sshd 和 moni.lod 及 gates.lod 3. 看門狗程式.sshd 持續監控 /tmp/ 中的三支程式是否存活並能夠還原 4. 駭客寫入開機自動執行惡意程式 /tmp/lss 的腳本 S97DbSecuritySpt 5. 就算主機重開機也能夠自動執行惡意程式 lss 69

70 網路架構圖 ( 二 ) 70

71 網路架構圖 ( 二 ) 1. 駭客透過 SSH 弱密碼方式入侵受害主機並植入惡意程式 2. 惡意程式開機執行後持續向上層中繼站進行報到動作 3. 中繼站收到報到的主機資訊後回覆將被攻擊者的主機 IP 4. 遭入侵的主機收到將被攻擊者主機 IP 後, 開始向主機的 port 80 進行 SYN Flood 攻擊, 以阻斷該主機 Web 服務 71

72 建議與總結 ( 二 ) 此次受害主機遭受駭客透過 SSH 弱密碼方式入侵並植入惡意程式.sshd 在背景進行網路通訊的惡意程式偽裝成 lss 的檔案名稱植入的惡意程式具有看門狗的功能, 也就是.sshd 會持續監控 lss moni.lod 和 gates.lod 的存活, 一旦這三個惡意程式被移除都能夠透過.sshd 還原駭客在 /etc/rc[1-5].d/ 寫入開機啟動的腳本 S97DbSecuritySpt, 會自動執行 /tmp/lss 惡意程式 72

73 建議與總結 ( 二 ) 雖然.sshd 能夠還原其他惡意程式, 反之 lss 也能還原被刪除的.sshd 惡意程式故要同時刪除.sshd 和 lss 才能徹底移除病毒感染的主機持續會接收上層中繼站命令去 SYN Flood 攻擊特定 IP 主機建議將主機的 root 密碼強度增強, 並限制 SSH 來源端網段連線限制, 確保不會遭受駭客破解入侵時常檢查是否有大量異常網路流量, 或檢查服務的網路連線狀態是否異常, 確保無遭受惡意程式感染 73

74 Q&A 74

75 實作個案 ( 三 ) 75

76 環境設定 ( 三 ) Win7 - VM: testing3 檢查 IP 是否正常開啟檢測工具 Wireshark 側錄 IP 封包執行惡意程式 mobile7.exe 檢測主機行為 Netwitness 分析封包 76

77 事件個案 ( 三 ) 事件問題簡介該大學某主機被行政院計服中心偵測到有中繼站惡意連線行為, 並偕同本單位協助進行處裡該主機為一台作業系統 Win7 的實驗用虛擬機器該主機會占用大量的網路頻寬, 並且被偵測到有惡意網域名稱對應到該主機 IP 本單位偕同計服中心針對該主機進行封包側錄並數位鑑識 77

78 事件個案 ( 三 ) 事件檢測首先檢測該主機的網路連線行為是否異常透過 tcpview 工具可以看到, 有一支 PID 為 0 的未知程式和 mobile7.exe 產生大量的對外網路連線, 並且都是連到外部 IP 的網站通訊埠 port 80 此外 mobile7.exe 的程式開啟了本地通訊埠, 分別是 TCP port 80 和 UDP port 53 進行監聽接收 78

79 事件個案 ( 三 ) 79

80 事件個案 ( 三 ) 使用 procexp 工具來檢視所有背景程式的執行狀態, 發現該程式 mobile7.exe 確實正在執行中, 並且沒有顯示明確的 Description 和 Company Name, 研判應為惡意程式 80

81 事件個案 ( 三 ) 檢視 mobile7.exe 程式的網路狀態, 可以看到該程式正在發送封包至外部 IP 主機, 並且開啟 port 80 和 53 為 Listening 狀態 81

82 事件個案 ( 三 ) 實地檢查該檔案的位置資料夾, 發現到該檔案為隱藏的執行檔, 因此若無開啟顯示隱藏檔選項則不易發現其存在 82

83 事件個案 ( 三 ) 通常惡意程式會伴隨該機自動啟動, 因此透過 autoruns 工具檢查是否異常的確出現一個名為 CrashReportSaver 的開機啟動註冊碼, 路徑名稱就為 mobile7.exe 所有 83

84 事件個案 ( 三 ) 透過隨身碟插入測試是否會感染外接 USB 裝置, 發現惡意程式的確會植入到隨身碟根目錄中, 產生 1.03MB 的隱藏檔 click.exe 值得注意的是隨身碟內所有的資料夾都會被惡意程式改成隱藏資料夾, 而會另外產生相同資料夾名稱的捷徑, 這些捷徑通通指向 click.exe 執行 84

$事件個案 ( 三 ) 捷徑內容為 C:\WINDOWS\system32\cmd.$

85 事件個案 ( 三 ) 捷徑內容為 C:\WINDOWS\system32\cmd.exe F/c "start %cd%\click.exe && %windir%\explorer %cd%\sources" 一旦不注意開啟偽裝資料夾, 就會執行到惡意程式 85

86 事件個案 ( 三 ) 透過 Virustotal 線上掃描 mobile7.exe 和 click.exe 發現, 其實就是完全相同的惡意程式, 且相當高的偵測率為 29/57 的木馬程式 86

87 事件個案 ( 三 ) 檢測網路封包觀察其網路行為, 觀察到此主機有開啟 port 53 去接收外部主機的封包, 確實為 DNS 伺服器功能, 專門用來解析其他惡意網域名稱從紀錄來看至少有 600 個惡意網址的解析紀錄, 依查詢排名前幾名為 bayermun.biz gorodkoff.com demyator.biz mydear.name 等 87

88 事件個案 ( 三 ) 這些惡意網址透過 Virustotal 掃描, 偵測出的比率其實很低或者是零 88

89 事件個案 ( 三 ) 紀錄中出現的惡意網址總覽 89

90 事件個案 ( 三 ) 以上這些網址透過 DNS 解析出來的 IP 每個時間點都不同, 所以產生一個網址對應至多個 IP 現象, 表示駭客透過 Fast Flux 技術快速切換中繼站網域名稱的 IP 位址, 以提高中繼站存活的機會 90

91 事件個案 ( 三 ) 從另一角度觀察網域名稱與 IP 關係, 由於也有許多惡意網域名稱對應到單一感染主機 140.X.X.116, 表示此中繼站群是透過 Double-Flux 技術雙向切換, 更不易被相關單位追查發現, 屬於大型的殭屍網路活動 91

92 事件個案 ( 三 ) 觀察該中繼站網路行為, 底層的殭屍電腦會向該中繼站的 port 80 發送封包, 而中繼站則將收到封包中繼至遠端的 SMTP 伺服器封包內容為登入 SMTP 伺服器郵件帳號, 透過該帳號向外發送惡意釣魚郵件, 故中繼站成為殭屍電腦的 proxy 伺服器去登入遠端郵件伺服器藉由此方式單從郵件伺服器紀錄來看就無法追查到底層殭屍電腦位址 92

93 事件個案 ( 三 ) 從下圖舉例可知, 底層殭屍電腦發送封包給中繼站的 port 80, 中繼站則再向上層 SMTP 伺服器進行帳號登入並發送惡意電子郵件 93

94 事件個案 ( 三 ) 檢視底層殭屍電腦發送至中繼站的封包內容, 包含了加密過的帳號密碼, 以及誘使他人開啟的惡意網址連結 94

95 事件個案 ( 三 ) 檢視中繼站發送至 SMTP 伺服器的封包內容, 其內容與殭屍電腦發送至中繼站內容一樣, 都包含帳號密碼以及惡意網址 95

96 事件個案 ( 三 ) 從封包記錄上來看, 約有 900 個相異的 SMTP 伺服器被中繼站嘗試登入帳號密碼發送惡意釣魚郵件 96

97 事件個案 ( 三 ) 除此之外中繼站也被殭屍電腦用來登入遠端的 FTP 伺服器例如殭屍電腦透過中繼站的 port 80 發送登入封包至 FTP 伺服器 :21 97

98 事件個案 ( 三 ) 封包內容中包含了明文的 FTP 帳號和密碼, 以及 FTP server 的 IP 資訊, 並透過此帳號密碼測試確實能登入該 FTP 伺服器 98

99 事件個案 ( 三 ) 除此之外中繼站也會用來傳送 EXE 執行檔, 大多殭屍主機會透過 fast-flux 網域名稱 gorodkoff.com 連到中繼站, 再透過中繼站向上層主機下載惡意程式執行檔這些上層主機有共四個 99

100 事件個案 ( 三 ) 然而底層主機直接連到中繼站 IP 而非網域名稱, 向上層主機登入帳號密碼 infected:infected 來下載惡意程式 cclub02.exe, 研判可能是上層駭客所用的 IP 經外部檢測該惡意程式的主機位於烏克蘭, 使用 linux 系統並有開啟 port 80 作為中繼站使用 100

101 事件個案 ( 三 ) 從中繼站到上層主機的封包中, 會帶有底層主機的 IP 資訊 (X-My-Real-IP: ), 用來讓中繼站能夠正確將檔案 cclub02.exe 回覆給來源端該檔案大小約為 1.06MB 的惡意程式, 透過 Virustotal 的檢測比例為 13/56 101

102 事件個案 ( 三 ) 102

103 事件個案 ( 三 ) 103

104 事件個案 ( 三 ) 封包紀錄中側錄到的惡意程式有以下 10 個檔案, 雖然檔案名稱不同但應該皆為相同作用的惡意程式 104

105 網路架構圖 ( 三 ) SMTP servers :25... STEP 2-2 郵件中繼 STEP 2-1 SMTP Login 殭屍主機 STEP 3-1 FTP Login FTP servers :21... STEP 2-3 發送惡意郵件 STEP 3-2 FTP Login demyator.biz mydear.name 郵件收件者 Double Fast Flux STEP 4-2 下載惡意 EXE 檔案惡意程式主機 : : : :80 殭屍主機 STEP 1 DNS query gorodkoff.com bayermun.biz STEP 4-1 下載惡意 EXE 檔案殭屍主機 105

106 事件個案 ( 三 ) 1. 殭屍主機會向中繼站群發送 DNS query 封包, 因此中繼站為 DNS Proxy Servers 2. 殭屍主機透過中繼站群登入遠端 SMTP 郵件伺服器, 並且發送惡意郵件給其他使用者 3. 殭屍主機也會透過中繼站群登入遠端 FTP 伺服器, 上傳或竊取 FTP 伺服器的資料 4. 殭屍主機也會透過中繼站群向惡意檔案伺服器下載惡意 EXE 檔案, 讓惡意程式在擴散出去 5. 殭屍主機與中繼站間的連接方式大多是透過惡意網域名稱連接, 因此每次建立連線都可能是不同的中繼站 106

107 建議與總結 ( 三 ) 此事件是一個跨國際的大型中繼站殭屍網路, 駭客使用 double Fast Flux 技術變換中繼站的網域名稱及 IP 位址, 且至少有 600 個以上惡意網域名稱再做切換主機感染後惡意程式 mobile7.exe 會開啟 TCP port 80 進行中繼站資料傳送, 開啟 UDP port 53 作為 DNS proxy server, 並寫入開機註冊碼中自動執行, 主機的相關帳號密碼可能會外洩透過 TCP port 80 進行的網路行為有 SMTP relay FTP relay 以及 HTTP 的惡意 EXE 程式下載 107

108 建議與總結 ( 三 ) 殭屍主機能夠登入外部的 SMTP 或 FTP 伺服器, 可能是因為感染病毒後帳號密碼被竊取, 被駭客利用來發送郵件或竊取 FTP 檔案此病毒感染方式通常會透過惡意電子郵件或者隨身碟交叉感染, 隨身碟一旦插入感染主機, 內部自動會產生隱藏病毒檔, 並置換資料夾為惡意捷徑, 易使人上當執行電子郵件和隨身碟開啟前務必檢查有無可疑之處, 避免誤觸惡意程式感染此病毒後網路頻寬會被大量使用, 只要透過 tcpview 和 procexp 工具就能找出惡意程式位置並且將之移除, 並立刻更換常用的帳號密碼 108

109 Q&A 109

110 實作個案 ( 四 )

111 實作個案 ( 四 ) VM: FC18 Snapshot: shellshock 帳號 : johnwu / root 密碼 : tacert

112 環境設定 ( 四 ) 回復 snapshot 後務必先重新開機取得 IP 用 root 帳號執行 usr/local/apachevul/bin/apachectl start iptables -F 請勿對外部 IP 進行漏洞測試, 會被 SOC 偵測到 112

113 事件簡介 ( 四 ) 該校資訊管理人員接獲國外組織 Profihost AG Team 來信檢舉, 該校有台主機疑似對大量特定網段 IP 進行 SSH/FTP 的帳號密碼暴力破解攻擊該校資安人員請 TACERT 透過 SSH 遠端進行數位鑑識及故障排除該台主機主要用途為監控設備的 Linux 主機 113

114 事件簡介 ( 四 ) 以下為節錄檢舉信部分內容, 主旨為 SSH brute-force 的攻擊行為, 以下為遭受攻擊的 IP 位址 114

115 事件檢測 ( 四 ) 因為該主機的 SSH 服務有限定內部網段能連入, 故排除掉駭客透過此方式入侵主機首先透過 netstat 指令檢查網路狀態, 暫無發現可疑的應用程式及通訊連線, 主要有啟用到的正常服務為 port 80 和 443 的網頁服務, 此為管理者網站登入所需要 115

116 事件檢測 ( 四 ) 因為有啟用 httpd 的網站服務, 故檢查網站的 access log 是否有異常, 雖然沒有 phpmyadmin 的 setup.php 漏洞, 但記錄上仍可以看到許多人嘗試存取該漏洞位址, 失敗會出現 HTTP 404 的紀錄此例為多次嘗試存取可能的 setup.php 漏洞失敗 116

117 事件檢測 ( 四 ) 研究發現實際上遭受入侵的方式就是近期很有名的 Shellshock 漏洞, 此漏洞的嚴重程度是相當高的, 駭客可以透過它執行 apache 帳號的權限行為, 作為攻擊用殭屍主機從以下 LOG 紀錄發現, 駭客 ( 紫色 IP) 在 HTTP 標頭裡面插入特殊符號 (){ :;} 後, 並利用已存在 /www/cgi-bin/test.sh 或其他 sh 的檔案就能夠進行紅底線標註的呼叫指令動作, 主要原因是舊版本的 BASH SHELL 可以透過此方式進行操控 117

事件檢測 ( 四 ) 以下這兩個指令來看, 駭客應該是到 209.20.86.222 下載一個 j.

118 事件檢測 ( 四 ) 以下這兩個指令來看, 駭客應該是到下載一個 j.txt 的執行檔案到目錄 /tmp 和 /var/tmp 中, 並且執行 perl 檔 j.txt 向或進行報到動作, 之後再透過 rm rf *.txt*\ 刪除下載的所有的 txt 檔案 118

事件檢測 ( 四 ) 實際到網址 209.20.86.222 的確能下載到 j.

119 事件檢測 ( 四 ) 實際到網址的確能下載到 j.txt, 其內容適用 perl 語法撰寫的腳本, 從以下內容節錄部分得知, 會利用到本地端的 port 80 和 443 向 IRC 伺服器進行回報 j.txt 119

120 事件檢測 ( 四 ) 從 Virustotal 線上病毒掃描,j.txt 被檢出病毒的比例為 29/57, 主要特徵是用 Perl 製作的 ShellBot 惡意程式 120

121 事件檢測 ( 四 ) 駭客從透過漏洞到下載一個 b.pl 的執行檔案到目錄 /tmp 中, 並且執行 perl 檔 b.pl, 之後再透過 rm rf /tmp/b.pl* 刪除下載的檔案 121

122 事件檢測 ( 四 ) 檢測網址出現的是國家不丹的一個網站, 疑似是學校的資訊管理頁面, 而 /guide/ 目錄下卻可以直接存取到許多的惡意程式, 可能已經遭受駭客入侵成為跳板 122

123 事件檢測 ( 四 ) 此為 /guide/ 中駭客所存放的惡意程式工具, 因為沒有上鎖任何人都能存取使用 123

事件檢測 ( 四 ) 駭客從 74.219.225.231 透過漏洞到 http://it-mattes.de 下載一個 q.

124 事件檢測 ( 四 ) 駭客從透過漏洞到下載一個 q.jpg 的執行檔案到目錄 /tmp 中, 並且執行 perl 檔 q.jpg, 之後再透過 rm rf /tmp/q.jpg* 刪除下載的檔案 124

125 事件檢測 ( 四 ) 檢測德國網址的網頁服務的確還是啟用中, 不過出現的是網站維護中, 而原本的目錄下的 q.jpg 已經不存在 125

126 事件檢測 ( 四 ) 檢測系統資料夾檔案中有發現到, 在目錄 /var/tmp/ 底下藏有一個壓縮檔 new3.tar.gz, 疑似為駭客植入的後門程式, 且從檔案權限擁有者為 apache, 故得知駭客是透過 Shellshock 漏洞存取進入的 126

127 事件檢測 ( 四 ) 解開壓縮檔 new3.tar.gz 後有五個檔案, 分別有 b f r print 和 pass.txt, 其中 b 因為編譯過其內容並非明文, 應該是用來作為 brute-force 的執行檔案, 透過 Virustotal 掃描有 28/56 的偵測比例為 HackTool 127

事件檢測 ( 四 ) pass.txt 可能為記錄當時破解到的帳號密碼, 而檔案 f 為初始先刪除先前得所有檔案, 再從 37.

128 事件檢測 ( 四 ) pass.txt 可能為記錄當時破解到的帳號密碼, 而檔案 f 為初始先刪除先前得所有檔案, 再從取得要掃描破解的 IP 資訊存入 scan.log, 然後執行檔案 b 將資料存入 t.log, 128

129 事件檢測 ( 四 ) 再透過執行 print 將 t.log 傳至 IP /.p.php 進行接收, 最後會將取得的紀錄通通刪除 129

130 事件檢測 ( 四 ) 最後檔案 r 的內容看起來只是部分的字典資料, 可能為用來做暴力破解的資料庫 130

事件檢測 ( 四 ) 駭客透過網站掃描到目錄下的 http://[host]/chibin/test.

131 事件檢測 ( 四 ) 駭客透過網站掃描到目錄下的直接透過網頁開啟會顯示該主機的版本相關資訊, 也同時表示 bash 的指令可能透過此漏洞運行 131

132 事件檢測 ( 四 ) 引述維基百科對 Shellshock 的簡單說明,Shellshock 又稱 Bashdoor, 是在 Unix 中廣泛使用的 Bash shell 中的一個安全漏洞, 首次於 2014 年 9 月 24 日公開許多網際網路守護行程, 如網頁伺服器, 使用 bash 來處理某些命令, 從而允許攻擊者在易受攻擊的 Bash 版本上執行任意代碼, 這可使攻擊者在未授權的情況下存取電腦系統 132

133 事件檢測 ( 四 ) 這次事件封包側錄時間較短, 並無發現到有特定 IP 利用 Shellshock 漏洞 (){ :;} 嘗試存取 GET test.sh 動作, 故只能從先前的 Access Log 紀錄中得知駭客的行為因此判定該惡意程式必須收到上層駭客指令後才會開始進行對外攻擊 133

134 事件檢測 ( 四 ) 簡易測試主機是否有此 Shellshock 的漏洞, 我們可以在 linux console 下指令 env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test", 如果 Bash 是有問題的話則會出現以下訊息 Bash is vulnerable! Bash Test 修補方式則是盡快更新 Bash 版本至最新版, 以此 CentOS 系統為例只要做 yum update bash 即可以修復此漏洞 134

135 網路架構圖 ( 四 ) 中繼站 (A) ( 美國 ) (B) ( 不丹 ) (C)it-mattes.de ( 德國 ) STEP 2 HTTP 下載惡意程式 j.txt b.pl q.jpg STEP 1 Shellshock 漏洞入侵 HTTP HEADER Hackers & C&C (A) ( 法國 ) (B) ( 美國 ) (C) ( 美國 ) Victims STEP 5 SSH brute-force 攻擊 Port 22 受害的 Web 主機 140.X.X.Y (TANET) STEP 3 受害主機受報到資料 Port STEP 4 下載 SCAN.log HTTP Method IRC servers: ( 美國 ) ( 美國 ) STEP 6 回報 SSH 破解成功的主機資訊 HTTP Method 蒐集用中繼站 : /.p.php ( 英國 ) 提供需掃描 IP 的 C&C: ( 德國雲端主機 ) 135

136 網路架構圖 ( 四 ) 1. 駭客透過 HTTP 方式 Shellshock 漏洞入侵受害主機, 並帶有 bash shell 指令 2. 受害主機接受到指令開始向上層中繼站群下載可用的惡意執行程式 j.txt b.pl 或 q.jpg 3. 同時受害主機也會向上層 IRC 主機 port80 或 443 進行報到動作 4. 惡意程式中會去向另 C&C 下載欲破解的主機 IP 資料和字典庫 5. 受害主機開始向特定大量的 IP 進行 SSH brute-force 破解 6. 受害主機將破解成功的主機 SSH 帳號密碼 HTTP 回報給中繼站 /.p.php 接收 136

137 建議與總結 ( 四 ) 此次受害主機是遭受名為 Shellshock 的漏洞攻擊此攻擊的危害程度頗大, 駭客無須直接入侵主機就能透過 HTTP 利用 BASH Shell 漏洞執行或植入惡意程式受害主機成為殭屍電腦後開始向特定主機進行 SSH 或 Telnet 的暴力破解並將破解後的資料回傳給上層中中繼站, 且大多惡意主機都是用雲端租用主機或免費空間, 更難以追查源頭 137

138 建議與總結 ( 四 ) 使用者可以透過特殊指令或網站去測試是否有此 Shellshock 漏洞, 並且盡快進行 Bash 套件的更新即可修補此漏洞使用者建議時常留意是否有異常的流量或檢查 Access log 也能防範被入侵的可能目前 Shellshock 的漏洞參數已可被 IPS 或 IDS 設備規則偵測到, 故勿以直接用此漏洞做主機測試以免被開立資安事件安 138

139 ShellShock 相關資訊連結 TACERT 漏洞預警 GNU Bash 存在高風險 CVE 與 CVE (ShellShock) 弱點 ( ) TWNCERT - GNU Bash Shellshock 弱點資訊更新 (2014/10/2) ithome - Linux 大廠二度釋出 Shellshock 漏洞的修補程式! 檢查及修復 Shellshock 漏洞 139

140 Q&A 140

個案分析 - N 大學受感染的中繼站主機事件分析報告 TACERT 臺灣學術網路危機處理中心團隊製 2015/8 1

個案分析 - N 大學受感染的中繼站主機事件分析報告 TACERT 臺灣學術網路危機處理中心團隊製 2015/8 1 個案分析 - N 大學受感染的中繼站主機事件分析報告 TACERT 臺灣學術網路危機處理中心團隊製 2015/8 1 I. 事件簡介 1. 該大學某主機被行政院技服中心偵測到有中繼站惡意連線行為, 並偕同本單位協助進行處裡 2. 該主機為一台作業系統 Win7 的實驗用虛擬機器 3. 該主機會占用大量的網路頻寬, 並且被偵測到有惡意網域名稱對應到該主機 IP 4. 本單位偕同技服中心針對該主機進行封包側錄並數位鑑識