資 訊 安 全 - 惡 意 軟 體 的 深 度 防 禦 胡 瑞 宸
大 綱 資 訊 安 全 概 念 現 在 流 行 什 麼? 病 毒 清 除 與 分 析 建 議 程 序 正 確 有 效 的 防 護 觀 念 Free Tool ( 免 費 工 具 ) Cloud technology ( 雲 端 技 術 ) 惡 意 程 式 威 脅 管 理
資 訊 安 全 概 念
資 訊 安 全 概 念 沒 有 任 何 一 套 產 品 或 系 統 可 提 供 100% 的 安 全 防 護 資 訊 安 全 的 管 理 是 建 立 在 風 險 管 理 的 基 礎 上 任 何 系 統 最 薄 弱 的 一 環 是 人, 安 全 警 覺 訓 練 是 投 資 報 酬 率 最 高 的 安 全 對 策 資 訊 安 全 人 人 有 責 進 不 來, 拿 不 走, 看 不 懂
安 全 威 脅 來 自 於 那 裡 I 非 人 為 因 素 天 災 ( 火 災 地 震 ) 硬 體 異 常 備 地 援 異 台 北 總 公 司 高 雄 分 公 司 Security
安 全 威 脅 來 自 於 那 裡 II 人 為 因 素 惡 意 破 壞 ( 駭 客 ) 非 惡 意 破 壞 電 子 郵 件 駭 客 線 上 通 訊 軟 體 網 頁 瀏 覽 分 享 資 料 夾 網 路 孔 隨 身 碟 USB 埠 CD-Rom IEEE 1394 軟 碟 程 式 漏 洞 Security
常 見 入 侵 方 式 分 析 正 面 入 侵 目 標 : 企 業 網 站 與 對 外 IP 投 資 成 本 : 低 投 資 回 收 時 間 : 短 側 翼 入 侵 目 標 : 企 業 客 戶 或 合 作 夥 伴 投 資 成 本 : 中 等 投 資 回 收 時 間 : 中 等 裡 應 外 合 目 標 : 企 業 客 戶 或 合 作 夥 伴 投 資 成 本 : 中 等 投 資 回 收 時 間 : 中 等
如 何 從 內 部 下 手? 社 交 工 程 可 能 是 其 中 最 容 易 達 到 目 的 的 手 法
何 謂 社 交 工 程 社 交 工 程 以 人 性 弱 點 瓦 解 組 織 安 全 利 用 非 技 術 性 手 段, 獲 得 存 取 資 訊 或 系 統 的 機 會 和 善 的 聲 音 假 冒 的 能 力 誘 惑 人 的 內 容 等 是 社 交 工 程 的 武 器 通 常 運 用 於 特 定 目 標 對 特 定 目 標 而 言, 社 交 工 程 最 具 滲 透 力
短 片 觀 賞 影 片 取 材 於 刑 事 警 察 局 網 站
短 片 討 論 阿 嬤 做 對 了 那 些 事? 阿 嬤 那 些 事 做 錯 了? 網 路 上 會 碰 到 類 似 的 事 嗎?
現 在 流 行 什 麼?
垃 圾 郵 件 絕 大 多 數 的 信 件 都 是 垃 圾 郵 件, 而 且 不 斷 的 增 加 Zombies 和 Botnets 讓 發 送 垃 圾 郵 件 變 的 更 容 易, 現 在 垃 圾 郵 件 幾 乎 是 利 用 此 管 道 散 播 Spam 新 技 術 不 斷 的 演 進, 例 如 Image Spam 既 使 已 經 採 取 過 濾 垃 圾 郵 件, 大 量 的 垃 圾 郵 件 訊 仍 然 佔 用 了 頻 寬 伺 服 器 容 量 和 其 他 的 網 路 問 題
Image Spam 圖 像 式 垃 圾 郵 件 圖 像 取 代 文 字 利 用 程 式 隨 機 改 變 影 像 結 合 釣 魚 郵 件
垃 圾 郵 件 氾 濫 亞 洲 的 垃 圾 郵 件 數 量 持 續 上 揚 1/3 非 英 文 垃 圾 郵 件 為 中 文
網 路 釣 魚 攻 擊 何 謂 網 路 釣 魚 (phishing)? 網 路 釣 魚 是 一 種 偷 取 您 身 分 的 欺 騙 方 式 詐 騙 人 士 利 用 各 種 矇 騙 手 段 讓 您 提 供 他 們 所 需 的 個 人 資 料 ; 例 如 信 用 卡 號 碼 密 碼 帳 號 或 其 他 資 料 網 路 釣 魚 的 途 徑 可 以 透 過 人 或 電 話 在 線 上 則 是 經 由 垃 圾 信 件 或 彈 跳 式 視 窗 網 路 釣 魚 詐 騙 的 外 觀 像 什 麼? 騙 子 的 詐 騙 技 術 進 步, 他 們 的 網 路 釣 魚 郵 件 與 網 頁 也 一 樣 他 們 通 常 複 製 官 方 網 頁 的 圖 像 與 其 他 重 要 特 徵 網 路 釣 魚 詐 騙 信 件 的 範 例 :
網 路 釣 魚 攻 擊 網 路 釣 魚 (phishing) 詐 騙 的 電 子 郵 件 特 徵 確 認 您 的 帳 號 親 愛 的 重 要 客 戶 如 果 您 不 在 48 小 時 內 回 覆, 您 的 帳 號 將 被 關 閉 按 一 下 以 下 連 結 來 存 取 您 的 帳 號 Masked URL 住 址 範 例 對 於 可 疑 信 件 的 應 變 方 式 檢 舉 可 疑 信 件 點 選 電 子 郵 件 中 的 超 連 結 時 請 小 心 使 用 您 個 人 書 籤 或 直 接 在 網 址 列 上 輸 入 網 址 當 您 在 網 站 輸 入 個 人 或 金 融 資 料 前 確 認 安 全 簽 章 (SSL) 不 要 在 跳 出 視 窗 中 輸 入 個 人 或 金 融 資 料 經 常 檢 查 您 的 信 用 卡 與 銀 行 明 細
更 厲 害 的 網 域 / 址 嫁 接 (pharming) Pharming( 網 域 / 址 嫁 接 ) 跟 Phishing( 網 路 釣 魚 ) 最 大 的 不 同 是, 後 者 仿 冒 銀 行 等 金 融 機 構 發 出 帶 有 假 網 址 連 結 的 E- mail, 而 Pharming( 網 域 / 址 嫁 接 ) 採 用 更 難 識 破 的 網 域 / 址 嫁 接 手 法 因 為 它 是 藉 由 入 侵 DNS( Domain Name Server) 伺 服 器 的 方 式, 植 入 惡 意 程 式 修 改 HOSTS 檔 案 使 用 者 即 使 輸 入 正 確 網 址, 經 DNS 的 IP 位 址 轉 換, 也 會 不 知 不 覺 地 被 導 引 到 偽 造 網 站 駭 客 有 機 會 竊 取 個 人 的 機 密 資 料, 在 各 大 搜 尋 引 擎 討 論 區 以 及 社 交 網 路 網 站 發 佈 惡 意 連 結, 藉 此 感 染 廣 大 的 使 用 者 族 群 網 路 罪 犯 還 會 利 用 別 出 心 裁 的 社 交 工 程 手 法 引 誘 或 欺 騙 受 害 者 按 下 連 結 或 造 訪 已 遭 感 染 的 網 站
傀 儡 網 路 (botnet) 植 入 魁 儡 程 式 分 散 式 阻 斷 攻 擊 駭 客 網 路 釣 魚 攻 擊 散 播 垃 圾 郵 件 被 攻 擊 主 機 現 象 近 年 來 網 路 掛 馬 事 件 頻 傳, 尤 其 是 資 料 搜 尋 下 載 的 重 度 使 用 者, 難 免 成 為 網 頁 病 毒 中 獎 的 常 客, 而 這 些 受 害 者 往 往 成 為 發 動 分 散 式 服 務 阻 斷 攻 擊 (DDOS), 甚 至 是 資 料 竊 取 的 傀 儡 電 腦 Security
USB 病 毒 成 為 頭 痛 的 資 安 漏 洞 Security Page 21 根 據 趨 勢 科 技 調 查, 前 10 大 惡 意 程 式 中, 有 2 成 是 USB 病 毒 USB 隨 身 碟 因 為 輕 薄 方 便 存 取 資 料 的 特 性, 取 代 早 期 的 磁 片, 成 為 最 普 遍 的 可 攜 式 儲 存 媒 體 但 也 成 為 病 毒 滋 養 肆 虐 的 溫 床 USB 病 毒 擴 散 的 關 鍵 在 於 受 感 染 的 USB 裝 置 會 自 動 執 行 autorun.inf 內 的 指 令, 複 製 受 感 染 USB 中 的 惡 意 程 式, 甚 至 可 以 連 線 自 動 更 新 病 毒 或 竊 取 個 人 資 料 USB 病 毒 透 過 USB 感 染 其 他 電 腦 的 速 度, 並 不 會 比 透 過 網 路 芳 鄰 感 染 其 他 電 腦 的 速 度 快, 但 它 卻 是 突 破 企 業 閘 道 層 層 防 護 的 利 器
Security
防 毒 軟 體 有 假 的 Oct 24,2008 趨 勢 科 技 毒 賣 新 聞 Security 23
資 料 夾 也 有 假 的 Security
來 勢 洶 洶 的 機 器 狗 病 毒 1. 特 性 即 使 有 裝 還 原 卡 依 舊 無 法 復 原, 持 續 竊 取 系 統 中 的 資 料 可 能 會 修 改 系 統 時 間 至 西 元 2000 年 或 是 2099 年 連 線 至 特 定 網 址 大 量 下 載 特 洛 依 木 馬 病 毒 檔 案 不 斷 的 自 我 更 新 避 免 防 毒 軟 體 的 偵 測 2. 散 播 方 式 透 過 MS06-014 與 MS07-017 等 作 業 系 統 的 弱 點 入 侵 電 腦 透 過 RealPlayer 與 Adobe Flash Player 的 程 式 弱 點 感 染 目 標 電 腦 透 過 USB 可 攜 式 裝 置 感 染 透 過 ARP 的 攻 擊 方 式, 影 響 區 域 網 路 內 的 其 他 電 腦 Security
Web Threat 嚴 重 威 脅 電 腦 用 戶
當 您 要 找 尋 破 解 軟 體 時 當 您 要 找 尋 破 解 軟 體 時, 除 了 違 反 智 財 權, 還 有. 請 三 思 請 看 影 片 Demo Security
藉 由 HTTP 散 播 的 攻 擊 手 法 竊 取 資 料 瀏 覽 者 殭 屍 網 路 惡 意 連 結 取 得 資 料 SQL injection 瀏 覽 網 頁 知 名 網 站 5. 竊 取 資 訊 至 伺 服 器 犯 罪 者 4. 植 入 惡 意 程 式 碼 1. 攻 擊 網 站 漏 洞 2. 植 入 惡 意 連 結 3. 背 景 導 向 惡 意 連 結 Web Threats!! Security
病 毒 簡 介 病 毒 名 稱 TROJ_ANICMOO 攻 擊 方 式 利 用 Windows 動 態 游 標 缺 陷 (Vulnerability in Windows Animated Cursor Handling) 發 動 零 時 差 攻 擊 病 毒 爆 發 日 期 03/29/2007 微 軟 修 補 程 式 尚 未 公 佈 ( 微 軟 已 提 供 修 補 程 式, 更 新 日 期 :2007/4/4)
攻 擊 與 散 播 方 式 駭 客 利 用 SQL injection 相 關 技 術 植 入 惡 意 連 結 至 各 大 知 名 網 站 使 用 者 連 上 知 名 網 站 之 後, 遭 背 景 導 向 惡 意 連 結, 該 惡 意 連 結 利 用 微 軟 的 弱 點 在 用 戶 端 執 行 惡 意 程 式 取 得 權 限 受 感 染 的 使 用 者 電 腦 會 到 僵 屍 網 路 下 載 其 他 的 惡 意 程 式 ( 目 前 發 現 類 型 均 為 特 洛 伊 木 馬 類 型 的 病 毒 ) 特 洛 伊 木 馬 病 毒 有 竊 取 使 用 者 電 腦 資 料 的 行 為
惡 意 程 式 的 行 為 模 式 修 改 系 統 登 錄 值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\run HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 常 駐 在 記 憶 體 工 作 管 理 員 修 改 系 統 檔 Win.ini System.ini
近 期 流 行 的 惡 意 程 式 PE_LOOKED 病 毒 會 感 染 正 常 執 行 檔 會 透 過 網 路 芳 鄰 感 染 感 染 後 會 自 Internet 上 下 載 其 他 特 洛 依 木 馬 程 式 會 不 斷 自 我 更 新
近 期 流 行 的 惡 意 程 式 TSPY_LINEAGE 一 開 始 竊 取 遊 戲 帳 號 密 碼 為 主 不 會 自 我 散 播 利 用 正 常 網 頁 作 跳 板, 使 用 者 實 際 上 被 導 到 其 他 惡 意 程 式 網 站 會 對 外 連 線 傳 送 資 料
近 期 流 行 的 惡 意 程 式 USB 病 毒 透 過 USB 介 面 的 可 攜 式 裝 置 散 播 利 用 系 統 自 動 播 放 功 能, 主 動 執 行 可 攜 式 裝 置 內 的 病 毒 檔 案 感 染 病 毒 後 會 修 改 系 統 設 定, 無 法 顯 示 隱 藏 檔 病 毒 會 在 所 有 磁 碟 機 產 生 autorun.inf 檔 案 若 病 毒 檔 案 清 除 後 autorun.inf 檔 案 還 存 在, 會 無 法 瀏 覽 磁 碟 機
近 期 流 行 的 惡 意 程 式 ARP 病 毒 病 毒 會 修 改 ARP Table 網 路 封 包 傳 送 至 錯 誤 的 位 置, 造 成 使 用 者 無 法 上 網 駭 客 可 以 利 用 ARP 病 毒 竊 取 網 路 封 包, 並 修 改 封 包 內 容
近 期 流 行 的 惡 意 程 式 CMD 病 毒 透 過 電 子 郵 件 夾 帶 副 檔 名 為 CMD 的 檔 案, 使 用 Winzip 壓 縮 成 壓 縮 檔 寄 件 者 多 為 奇 摩 信 箱 的 用 戶 利 用 社 交 工 程 手 法, 使 用 著 名 的 新 聞 事 件 作 為 主 題 陳 冠 希 事 件
Demo 木 馬 所 帶 來 的 威 脅!!!!!
病 毒 清 除 與 分 析 建 議 程 序 及 Trend iclean 解 毒 快 手 工 具 介 紹
可 能 的 中 毒 徵 兆 症 頭 1: 忽 然 自 動 關 機 ( 沒 有 任 何 不 正 常 的 停 電 或 是 不 小 心 踢 到 電 源 電 腦 卻 忽 然 關 機 ) 症 頭 2: 電 腦 出 現 一 些 明 顯 奇 怪 的 舉 動 ( 一 開 網 頁 卻 出 現 莫 名 寄 怪 不 相 干 的 網 頁, 例 如 色 情 網 站 ) 症 頭 3: 沒 有 上 網 或 收 email 等, 但 連 線 燈 號 卻 閃 爍 不 停 ( 明 明 沒 有 出 現 連 線 小 電 腦, 電 腦 連 線 燈 卻 閃 爍 個 不 停 ) 症 頭 4: 上 網 速 度 越 來 越 遲 緩 ( 一 個 工 作 程 式 都 沒 有 開, 電 腦 卻 像 烏 龜 散 步 一 樣 的 速 度 開 啟 檔 案 )
防 毒 軟 體 訊 息 的 判 讀
防 毒 軟 體 訊 息 的 判 讀 檢 視 掃 瞄 記 錄 依 照 狀 態 來 決 定 處 理 步 驟 清 除 成 功 -- 正 常 清 除 失 敗 ( 隔 離 成 功 ) 正 常 清 除 失 敗 ( 刪 除 成 功 ) 正 常 清 除 失 敗 ( 隔 離 失 敗 ) 異 常 清 除 失 敗 ( 刪 除 失 敗 ) 異 常
由 病 毒 紀 錄 找 出 電 腦 的 弱 點 從 病 毒 偵 測 位 置 判 別 中 毒 原 因 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\... 經 由 Web 或 Outlook 開 啟 或 載 入 的 病 毒 C:\Windows,C:\Windows\System32,C:\,D:\ 透 過 具 有 管 理 員 權 限 登 入 用 戶 端 感 染 系 統 目 錄 的 病 毒 D:\ 共 用 區,D:\work 等 分 享 資 料 夾 透 過 分 享 資 料 夾 感 染 的 病 毒 依 照 不 同 的 原 因 採 取 不 同 的 防 護 機 制 調 整 策 略
清 除 失 敗 ( 隔 離 或 刪 除 失 敗 ) 處 理 步 驟 先 確 認 病 毒 名 稱 路 徑 及 副 檔 名 病 毒 名 稱 路 徑 若 為 Worm_XX, PE_XX,VBS_XX 表 示 可 能 己 中 毒 需 下 載 清 除 程 式 c:\...\temporary Internet File c:\recycle c:\_restore(winme Only) C:\temp 副 檔 名 *.zip. Doc 表 示 檔 案 可 能 有 密 碼 保 護 Copyright 2006
若 電 腦 中 毒 應 如 何 處 理 請 先 判 斷 是 否 真 的 中 毒, 或 者 只 是 OfficeScan 偵 測 攔 截 到 病 毒 立 刻 拔 掉 網 路 線 執 行 防 毒 軟 體 手 動 掃 描 若 確 定 是 中 毒, 保 留 電 腦 畫 面, 並 馬 上 與 電 腦 管 理 人 員 聯 繫
執 行 手 動 掃 描 Copyright 2006
執 行 手 動 掃 描 Copyright 2006
掃 描 結 果 Copyright 2006
Trend iclean 解 毒 快 手 當 電 腦 偵 測 到 惡 意 程 式 無 法 清 除 或 刪 除, 或 是 感 覺 電 腦 運 作 異 常, 可 能 感 染 惡 意 程 式 時, 請 先 下 載 此 常 見 病 毒 清 除 及 可 疑 程 式 分 析 工 具 Trend iclean 解 毒 快 手 Trend iclean 解 毒 快 手 的 功 能 如 下 : 清 除 常 見 病 毒 與 Rootkit 程 式 清 理 IE 快 取 資 料 夾 清 理 系 統 Temp 資 料 夾 收 集 趨 勢 防 毒 軟 體 病 毒 記 錄 檔 收 集 惡 意 程 式 相 關 診 斷 資 訊 特 殊 防 範 功 能 Trend iclean 解 毒 快 手 下 載 位 址 : http://www.trendmicro.com.tw/edm/tracking.asp?id=399& name=2008q2_iclean_download
Trend iclean 解 毒 快 手 有 效 清 除 近 期 台 灣 地 區 常 見 的 變 種 病 毒 及 惡 意 程 式 防 止 持 續 變 種 的 惡 意 程 式 再 次 寫 入 電 腦 系 統 中 可 收 集 系 統 相 關 資 訊 及 趨 勢 科 技 防 毒 軟 體 病 毒 記 錄 檔, 並 可 回 傳 趨 勢 科 技 技 術 服 務 中 心 作 進 一 步 分 析 http://www.trendmicro.com.tw/iclean/index.htm Security Page 49
Trend iclean 解 毒 快 手 將 下 載 的 壓 縮 檔 解 壓 縮 至 某 暫 存 路 徑, 並 點 選 執 行
Security
Trend iclean 解 毒 快 手 如 果 重 新 開 機 後 發 現 問 題 仍 然 存 在, 此 工 具 執 行 完 成 後, 會 於 桌 面 上 產 生 Upload.zip 檔 案, 請 將 此 工 具 存 放 在 桌 面 上 的 收 集 結 果 檔 案 回 傳 給 趨 勢 科 技 pc-cillin 技 術 服 務 中 心, 我 們 將 進 行 分 析 請 開 啟 瀏 覽 器, 連 結 至 :http://www.trend.com.tw/pccmail/ 請 填 寫 使 用 產 品 產 品 序 號 Windows 作 業 系 統 版 本 聯 絡 人 電 子 郵 件 信 箱 聯 絡 人 姓 名 連 絡 人 行 動 電 話 問 題 描 述, 點 選 " 瀏 覽 ", 指 定 您 所 要 上 傳 的 檔 案 後, 按 送 出 即 可
Trend iclean 解 毒 快 手
Trend Micro 免 費 線 上 掃 毒 http://tw.trendmicro.com/tw/products/personal/house-call/ 54
USB 病 毒 感 染 途 徑 1. 最 初 的 病 毒 檔 案, 利 用 電 子 郵 件 散 布, 或 藉 由 瀏 覽 器 漏 洞, 下 載 到 個 人 電 腦 上 執 行 一 般 會 在 C:\WINDOWS\system32 建 立 一 病 毒 執 行 檔 ( 如 sysudisk.exe), 偽 裝 成 開 機 常 駐 程 式 2. 受 病 毒 感 染 的 電 腦 (Windows 作 業 系 統 ) 上, 會 在 各 分 割 區 (c:\,d:\, e:\ ) 建 立 隱 藏 的 系 統 檔 案 autorun.inf, 並 建 立 一 隱 藏 系 統 資 料 夾 來 存 放 其 病 毒 執 行 程 式 (udisk.exe,shell.exe), 資 料 夾 名 稱 會 偽 裝 成 recycle 或 recyled( 病 毒 會 變 種 而 有 不 同 的 資 料 夾 名 稱 ), 確 保 重 灌 作 業 系 統 後 也 能 繼 續 感 染 該 主 機 3. 當 使 用 者 將 USB 裝 置 插 入 受 病 毒 感 染 的 電 腦 掛 載 網 路 磁 碟 機 新 增 分 割 區, 受 病 毒 感 染 的 電 腦 會 將 病 毒 複 製 到 USB 裝 置 網 路 磁 碟 機 新 增 分 割 區 4. 當 受 感 染 的 USB 裝 置 插 入 到 其 他 電 腦 時, 因 Windows 作 業 系 統 內 的 自 動 播 放 或 執 行 用 功 能 預 設 是 啟 用, 所 以 USB 內 的 autorun.inf 內 的 指 令 會 被 執 行, 而 成 為 繼 續 傳 染 其 它 電 腦 的 帶 原 者 5. 因 USB 裝 置 具 有 可 攜 性 與 便 利 性, 且 Windows 作 業 系 統 內 的 自 動 播 放 或 執 行 用 功 能 預 設 是 啟 用, 使 得 受 感 染 的 USB 裝 置 快 速 傳 播 病 毒
USB 病 毒 建 議 的 預 防 方 式 關 閉 自 動 播 放 功 能, 但 是 效 率 不 好, 因 為 一 般 使 用 者 並 不 會 以 檔 案 總 管 的 方 式 來 開 啟, 而 是 用 雙 擊 方 式 來 開 啟, 一 樣 會 受 病 毒 感 染 自 行 刪 除 autorun.inf, 但 會 造 成 USB 裝 置 無 法 用 雙 擊 方 式 來 開 啟, 一 定 要 用 檔 案 總 管 的 方 式 來 開 啟 USB 裝 置 插 入 他 人 電 腦 前, 將 唯 讀 功 能 鎖 打 開 設 置 一 個 檔 名 為 autorun.inf 的 資 料 夾, 防 止 病 毒 寫 入 autorun.inf 檔 案 若 該 病 毒 會 做 檢 查, 並 自 行 刪 除 該 資 料 夾 和 檔 案, 再 重 新 寫 入 病 毒 執 行 程 式, 則 此 法 會 無 效
正 確 有 效 的 防 護 觀 念
防 毒 小 秘 訣 安 裝 最 少 的 系 統 元 件 ( 降 低 被 入 侵 的 風 險 ) 密 碼 是 保 護 電 腦 的 第 一 防 線, 密 碼 安 全 的 四 大 守 則 不 告 訴 任 何 人 密 碼 ( 包 括 親 人 職 務 代 理 人 等 ) 不 寫 下 密 碼 貼 於 可 被 找 到 的 地 方 請 勿 將 密 碼 設 為 生 日 身 分 證 字 號 學 號 電 話, 密 碼 長 度 6 碼 以 上, 中 英 數 字 穿 插, 加 個 特 殊 符 號 如, ( ) # @.. 等 一 旦 懷 疑 有 人 可 能 知 道 你 的 密 碼, 即 刻 更 改 遠 離 來 路 不 明 的 軟 體, 檔 案, 磁 片 及 光 碟 ; 並 隨 時 注 意 電 腦 異 常 狀 況 安 裝 防 毒 軟 體 : 定 期 更 新 病 毒 碼 掃 毒 引 擎 及 程 式 定 期 備 份 Security
關 閉 Outlook Express 預 覽 功 能 59
確 認 電 子 郵 件 的 真 實 性 部 份 沒 有 內 容 的 郵 件 可 能 就 是 信 箱 的 驗 證 信 這 些 信 件 的 主 旨 往 往 十 分 聳 動, 如 退 信 通 知, 你 寄 錯 了, 系 統 公 告, 停 機 通 告, 最 新 病 毒 等, 讓 你 會 主 動 開 啟 這 種 信 件 一 但 開 啟 後, 信 內 完 全 沒 有 內 容, 事 實 上 信 中 的 scrip 已 經 回 報 信 箱 的 可 用 性, 你 的 信 箱 就 會 成 為 廣 告 信 的 寄 發 目 標
定 期 刪 除 cookie 和 不 必 要 的 檔 案
拒 絕 安 裝 來 源 不 明 之 ActiveX 簽 署 程 式 簽 署 來 源 不 詳 62 拒 絕 簽 署 安 裝
Windows 設 定 篇 I 開 啟 IE 的 網 路 釣 魚 篩 選 工 具 開 啟 IE 工 具 >> 網 路 釣 魚 篩 選 工 具 >> 開 啟 自 動 網 站 檢 查 Security
設 定 IE 安 全 層 級 設 定 至 少 是 [ 中 安 全 性 ] 開 啟 快 顯 封 鎖 程 式 Security
Windows 設 定 篇 II 顯 示 所 有 檔 案 和 資 料 夾 取 消 隱 藏 已 知 檔 案 類 型 的 副 檔 名 選 擇 顯 示 所 有 檔 案 和 資 料 夾 Security
Windows 設 定 篇 III 關 閉 Windows 的 自 動 播 放 功 能 通 常 當 我 們 將 隨 身 碟 插 入 到 USB 插 座 時, Windows 會 自 動 讀 取 碟 中 的 檔 案, 並 執 行 自 動 播 放 的 功 能 如 果 你 覺 得 這 樣 一 直 自 動 跑 很 煩 的 話, 或 者 你 擔 心 某 些 隨 身 碟 病 毒 會 因 為 自 動 播 放 功 能 而 在 自 己 毫 無 防 備 的 狀 況 下 讓 電 腦 中 毒 的 話, 可 以 用 下 面 方 法 將 自 動 播 放 (AutoPlay) 的 功 能 給 關 閉 Windows Vista / Server 2008 須 安 裝 安 全 性 更 新 950582 Windows 2000 / XP / Server 2003 須 安 裝 安 全 性 更 新 950582 更 新 967715 或 更 新 953252 Security
修 改 群 組 原 則, 停 用 所 有 磁 碟 的 自 動 播 放 功 能 此 設 定 方 式 只 支 援 Windows XP 專 業 版, 如 果 你 是 HOME 家 用 版, 請 使 用 下 面 第 二 段 所 介 紹 的 TweakUI 軟 體 第 1 步 依 序 按 下 開 始 執 行, 開 啟 執 行 對 話 盒 後, 請 輸 入 gpedit.msc, 再 按 一 下 確 定 按 鈕, 開 啟 群 組 原 則 設 定 頁 面 67
第 2 步 如 圖, 先 從 左 邊 的 目 錄 切 換 到 電 腦 設 定 系 統 管 理 範 本 系 統, 在 系 統 頁 面 中 ( 右 邊 視 窗 ) 可 以 找 到 一 個 關 閉 自 動 播 放 的 項 目, 請 在 上 面 按 兩 下 滑 鼠 左 鍵, 開 啟 它 68
第 3 步 接 著 先 點 選 已 啟 用, 然 後 在 停 用 自 動 播 放 在 下 拉 選 單 中 點 選 所 有 磁 碟 機, 然 後 再 按 下 確 定 按 鈕, 即 可 設 定 完 成, 重 開 機 後 就 可 生 效 69
Windows 設 定 篇 IV 開 啟 Windows Update 系 統 自 動 更 新 : 使 用 Microsoft Windows 2000 Service Pack 3 (SP3) 或 更 新 版 本, 可 利 用 自 動 更 新, 在 您 電 腦 開 啟 且 連 上 電 腦 時, 它 可 自 動 下 載 Microsoft 安 全 性 更 新 的 最 新 版 本 70
使 用 Windows Update : 自 動 更 新 不 會 下 載 非 重 要 性 的 更 新 而 且, 在 您 設 定 自 動 更 新 前, 它 不 會 下 載 已 發 行 的 重 要 更 新 請 到 http://windowsupdate.microsoft.com 上 的 Windows Update 網 站 71
Windows 設 定 篇 V 定 期 更 新 作 業 系 統 的 Hotfix 我 的 電 腦 右 鍵 >> 內 容 >> 自 動 更 新 >> 自 動 ( 建 議 選 項 ) >> 選 取 更 新 及 安 裝 的 時 間 Security
Windows 設 定 篇 VI 管 制 資 料 夾 共 享 ( 預 防 發 生 病 毒 透 過 網 路 上 的 芳 鄰 大 量 擴 散 開 來 ) 建 議 立 即 關 閉 共 享 資 料 夾 共 享 的 資 料 夾 右 鍵 >> 共 用 和 安 全 性 >> 不 共 用 此 資 料 夾 若 有 共 享 的 必 要 性, 建 議 設 定 密 碼, 以 預 防 發 生 疫 情 時 大 量 擴 散 共 享 的 資 料 夾 右 鍵 >> 共 用 和 安 全 性 >> 使 用 權 限 >> 移 除 掉 Everyone 群 組 的 權 限, 另 外 新 增 一 個 群 組 或 使 用 者, 設 定 此 群 組 或 使 用 者 的 權 限 ( 建 議 設 定 成 唯 讀 ) Security Page 74
MSN 設 定 篇 工 具 >> 選 項 >> 1. 檔 案 傳 輸 >> 建 議 勾 選 自 動 拒 絕 傳 輸 已 知 為 不 安 全 的 檔 案 類 型 2. 安 全 性 >> 建 議 取 消 在 對 話 視 窗 中 與 我 的 連 絡 人 清 單 中 允 許 連 結 Security
Free Tool ( 免 費 工 具 )
免 費 工 具 (Wow! USB Protector ) 1. 此 系 列 軟 體 有 兩 種 Wow! USB Protector 及 Wow! USB VirusKiller 一 般 使 用 者 建 議 安 裝 Wow! USB VirusKiller, 請 先 上 網 下 載 最 新 版 本 的 軟 體 (http://of.openfoundry.org/projects/906/download) 進 階 使 用 者 建 議 安 裝 Wow! USB Protector 請 先 上 網 下 載 最 新 版 本 的 軟 體 (http://of.openfoundry.org/projects/905/download) 77
免 費 工 具 (Wow! USB Protector ) 2. 下 載 安 裝 後, 直 接 啟 動 軟 體 ( 介 面 是 相 同 的 ), 在 網 路 連 線 情 形 下 按 更 新 病 毒 庫, 將 病 毒 庫 更 新 至 最 新 病 毒 碼 3. 按 開 機 時 啟 動, 使 程 式 在 每 次 開 機 時 都 能 自 動 執 行, 提 供 保 護 4. 此 後 請 在 每 次 插 入 隨 身 碟 的 時 候, 先 等 候 USB VirusKiller 掃 描 78 完 磁 碟, 確 定 沒 有 病 毒 後 再 開 始 使 用 隨 身 碟
免 費 工 具 (TweakUI- 停 用 自 動 播 放 功 能 ) 此 TweakUI 軟 體 適 用 於 Windows XP 專 業 版 與 HOME 家 用 版 軟 體 下 載 :http://orzhd.com/briian/2007/11/tweakui.zip 第 1 步 依 照 上 面 的 網 址 將 TweakUI 軟 體 下 載 回 來 並 解 壓 縮 後, 直 接 按 兩 下 執 行 TweakUI.exe 檔 案 接 著 從 左 邊 的 目 錄 區 切 換 到 我 的 電 腦 磁 碟 機, 並 將 右 邊 你 不 希 望 自 動 播 放 的 磁 碟 取 消 勾 選, 有 勾 選 的 話 就 會 自 動 播 放, 沒 勾 選 的 話 就 不 會 自 動 播 放 79
第 2 步 另 外 我 們 也 可 以 依 照 磁 碟 類 型 來 設 定, 切 換 到 類 型 功 能 頁 面, 並 將 為 CD 或 DVD 光 碟 機 啟 用 自 動 播 放 跟 為 可 卸 除 式 媒 體 啟 用 自 動 播 放 兩 個 選 項 取 消 勾 選, 最 後 再 按 下 確 定 按 鈕 只 要 你 不 勾 選 這 些 選 項, 以 後 電 腦 就 不 會 在 你 插 入 光 碟 片 或 USB 隨 身 碟 時, 自 動 幫 你 讀 裡 面 的 檔 案, 等 你 要 用 時 再 自 己 去 找 80
Unlocker 如 果 你 希 望 刪 除 某 個 電 腦 內 發 現 的 異 常 程 式 檔 案, 但 在 刪 除 檔 案 或 目 錄 時, 卻 被 系 統 告 知 因 為 檔 案 正 在 被 某 個 程 序 使 用 而 無 法 順 利 刪 除, 可 是 卻 又 無 法 找 出 到 底 是 那 個 程 序 佔 用 了 該 檔 案 此 時 可 以 使 用 一 套 免 費 的 軟 體 Unlocker 來 幫 你 解 決 問 題,Unlocker 是 一 套 專 門 解 決 類 似 問 題 的 軟 體, 安 裝 此 軟 體 後, 若 我 們 遇 到 類 似 問 題 時, 對 著 檔 案 或 是 資 料 夾 按 下 滑 鼠 右 鍵 再 執 行 Unlocker 它 就 可 以 幫 我 們 查 出 到 底 是 哪 一 個 程 式 佔 用 檔 案 或 者 是 資 料 夾, 而 導 致 我 們 無 法 刪 除 Unlocker 下 載 位 址 : http://ccollomb.free.fr/unlocker/unlocker1.8.7.exe
Unlocker 在 你 嘗 詴 刪 除 某 惡 意 程 式 時, 如 檔 案 正 在 使 用 中, 會 出 現 以 下 類 似 訊 息 ~ 此 時 您 可 在 此 檔 案 上 按 下 滑 鼠 右 鍵 選 擇 Unlocker
Unlocker 如 果 此 檔 案 遭 某 程 序 鎖 住, 您 可 以 選 擇 解 鎖, 按 下 解 鎖 會 將 鎖 定 此 檔 案 的 程 序 釋 放, 如 此 便 可 刪 除 此 檔 案 如 果 此 檔 案 未 遭 程 序 鎖 定, 也 可 選 擇 如 刪 除 或 移 動 等 動 作 將 此 檔 案 移 除
TCPView 檢 查 重 點 是 否 有 不 明 的 對 外 連 線 84
TCPView 85
Process Explorers 檢 查 重 點 列 出 的 process 中 空 白 的 公 司 名 稱 或 說 明 未 知 的 process 86
Process Explorers 87
Autoruns Autoruns 是 一 款 免 費 且 免 安 裝 的 開 機 程 式 管 理 工 具, 它 能 夠 提 供 使 用 者 詳 細 的 開 機 過 程 中 所 會 被 執 行 的 程 式 的 列 表, 不 論 是 放 置 於 一 般 的 啟 動 項 目 中 或 是 隱 身 於 機 碼 之 中 的 程 式, 全 都 可 以 透 過 Autoruns 而 一 覽 無 遺 讓 使 用 者 能 夠 完 全 瞭 解 究 竟 有 哪 些 程 式 會 在 開 機 過 程 中 被 執 行 Security Page 88 http://download.sysinternals.com/files/autoruns.zip
AutoRuns 89
Google 的 安 全 瀏 覽 診 斷 工 具 例 如, 為 了 測 詴 www.zerone.com.tw 此 網 站, 您 可 輸 入 http://www.google.com/safebrowsing/diagnostic?site=http://xx.xx.xx.xx/ 90
趨 勢 科 技 WTP( 網 頁 威 脅 防 禦 工 具 ) 猶 如 線 上 大 型 掃 毒 引 擎, 為 你 偵 測 並 阻 擋 變 種 新 病 毒 有 效 防 止 Downloader 病 毒 下 載 器, 在 背 景 偷 偷 自 動 下 載 病 毒 能 與 您 電 腦 上 既 有 的 防 毒 軟 體 同 時 安 裝 相 互 支 援, 完 整 彌 補 重 要 的 安 全 漏 洞 避 免 讓 你 瀏 覽 或 連 結 至 惡 意 網 站, 降 低 與 被 植 入 惡 意 程 式 或 掛 馬 網 頁 接 觸 的 機 會 當 偵 測 到 網 頁 威 脅 或 Bot 程 式 等 相 關 可 疑 行 為, 會 立 即 跳 出 警 訊 通 知 Security Page 91 http://www.trendmicro.com.tw/wtp/micro/index.asp
發 現 可 疑 檔 案 處 理 方 式 將 檔 案 交 給 資 訊 人 員 檢 查 可 疑 檔 案 的 網 站 http://scanner.virus.org http://www.virustotal.com 92
93
94
Cloud technology ( 雲 端 技 術 )
零 接 觸, 零 感 染, 零 威 脅 感 染 數 量 病 毒 碼 更 新 病 毒 碼 更 新 病 毒 碼 更 新 阻 斷 惡 意 連 結 終 止 病 毒 感 染 病 毒 碼 更 新 病 毒 碼 更 新 病 毒 碼 更 新 病 毒 碼 更 新 防 毒 戰 線 提 前, 避 免 接 觸 惡 意 程 式, 解 決 病 毒 困 境 時 間 Security
疫 管 局 疫 區 非 疫 區 Security
信 譽 評 等 服 務 應 用 URL 即 時 查 詢, 避 免 接 觸 惡 意 連 結 Client URL Category Domain Reputation 企 業 外 部 網 路 Query Client 企 業 內 部 網 路 Internet 防 毒 閘 道 端 Security
網 頁 威 脅 防 護 示 意 安 全 連 結 WRS URL Category Domain Reputation 瀏 覽 正 常 網 站 WRS 查 詢 Http Client 瀏 覽 正 常 網 站 Security
網 頁 威 脅 防 護 示 意 危 險 連 結 WRS URL Category Domain Reputation 瀏 覽 惡 意 網 站 WRS 查 詢 Http Client 瀏 覽 惡 意 網 站 Security
網 頁 威 脅 防 護 示 意 危 險 連 結 WRS URL Category Domain Reputation 惡 意 程 式 殭 屍 網 路 惡 意 連 結 病 毒 自 動 下 載 器 Http Client 阻 斷 已 感 染 者 下 載 惡 意 程 式 途 徑 WRS 查 詢 Security
惡 意 程 式 威 脅 管 理
惡 意 程 式 的 演 化 及 改 變 數 量 成 長 驚 人 Complexity 多 樣 化 方 式 迴 避 偵 測 Web 商 業 利 導 向 Botnets Spam Spyware Worms 惡 意 程 式 數 量 1988: 1738 1998: 177615 2008: 1100,000 & up IT/ 病 毒 碼 的 管 理 週 期 以 無 法 有 效 跟 上 多 樣 化 方 式 多 重 備 援 快 速 的 變 種 迴 避 式 難 以 偵 測 主 要 目 的 資 訊 竊 取 針 對 式 攻 擊 商 業 犯 罪 惡 意 程 式 愈 來 愈 危 險, 愈 來 不 易 偵 測.
資 訊 風 險 分 析 External Internal Hosted Computing 市 面 上 既 有 的 資 安 防 禦 架 構, 仍 然 著 重 在 外 到 內 的 防 護
現 有 資 訊 風 險 走 向 External Internal Hosted Computing 間 諜 程 式 駭 客 軟 體 側 錄 軟 體 105 目 前 新 型 態 的 資 安 威 脅, 多 來 自 於 內 部 髮 起 的 攻 擊 事 件 後 門 程 式 2009/11/12
Threat Management Solution TMS 解 決 方 案 的 理 念 因 為 威 脅 / 惡 意 程 式 的 行 為 改 變, 傳 統 的 防 治 方 法 變 得 緩 不 濟 急 像 人 體 自 我 免 疫 系 統 一 樣, 能 自 動 / 或 藉 由 醫 療 的 幫 助 針 對 病 原 產 生 抗 體 企 業 所 面 臨 的 問 題 趨 勢 的 願 景 人 體 免 疫 系 統 感 染 消 除 自 我 產 生 病 原 抗 體 Damage + Worm + Downloader 1 Downloader 2 Variant A, B, C Trojan Spyware Time Threats 專 業 醫 療 團 隊
TMS 解 決 方 案 簡 介 趨 勢 科 技 威 脅 監 控 維 運 中 心 第 一 階 段 範 疇 TDS-Threat Discovery Suite 網 路 內 容 探 勘 / 監 控 / 分 析 技 術 ( 從 第 二 層 到 第 七 層 圴 可 涵 蓋 ) 偵 測 惡 意 程 式, 不 當 軟 體 的 活 動 * TM TM Agent TD A DHCP Server 第 二 階 段 範 疇 TMS-Threat Mitigation Suite 工 作 站 政 策 規 範 控 管 DHCP enforcement, 其 他 NAC 相 關 方 案 安 全 基 準 評 量 Pattern-free 惡 意 程 式 清 除 功 能 多 功 能 之 工 作 站 端 代 理 程 式 Out-of-band Strategy TDA Threat Discovery Appliance TM Threat Mitigator
結 論 -- 資 訊 安 全 人 人 有 責 人 員 是 一 切 資 訊 安 全 的 基 礎 加 強 人 員 資 訊 安 全 警 覺 制 訂 資 安 事 件 處 理 標 準 程 序 加 強 資 訊 安 全 的 教 育 訓 練 定 期 演 練 持 續 改 進
Thank You