Microsoft PowerPoint - 惡意程式分析.ppt

惡意程式分析

Agenda 惡意程式介紹惡意程式手法分析惡意程式分析工具 USB 病毒攻擊手法分析實際案例探討從郵件安全角度看惡意程式如何預防惡意程式結論

惡意程式介紹

存在於電腦和網路中的威脅惡意軟體系統弱點資源分享非法軟體防毒軟體廣告軟體垃圾郵件釣魚網站駭客攻擊操作習慣

惡意程式的定義惡意程式 (Malware) 惡意程式是由電腦程式或一段可卸除程式碼 (Code) 所組成, 並試圖攻擊侵入破壞電腦系統存取相關資源, 但確未經使用者授權或是未提示及通知使用者的行為

惡意程式的演進

惡意程式的特性自我複製與感染物件刪除檔案強制安裝且難以移除首頁綁架 (hijacking) 與廣告彈出搜集使用者與系統資訊移除用戶端程式干擾電腦運作與影響系統網路效能

惡意程式的類型電腦病毒 (Computer Virus) 蠕蟲 (Worms) 木馬 (Trojans) 殭屍電腦 (Bot) 隱碼程式 (Rootkit) 駭客工具與其它惡意程式 (Hacker Utilities and other )

電腦病毒 (Computer Virus)

早期的電腦病毒名稱年代描述 Darwin 1962 達爾文, 含有物競天擇,適者生存的意思雙方各寫一支程式,叫有機體 (organism), 這兩個程式在電腦裡爭鬥不休, 直到把另一方殺掉而取代之, 便算分出勝負 PERVADE 1975 會感染動物遊戲 ( 要玩家聯想一種動物, 接著就發問, 要玩家提供那一型生物的線索 ), 並讓遊戲自我複製 Elk Cloner 1982 史上第一支 PC 病毒, 針對 Apple II 電腦 Core Ware 1984 磁蕊大戰, Darwin 遊戲的一種版本, 因為遊戲程式在電腦的記憶磁蕊中遊走, 因此得到了磁蕊大戰之名 Brain 1986 由巴基斯坦的二兄弟所撰寫, 是第一個 MS-DOS 病毒, 會感染磁片開機區 Virdem 1986 早期 MS-DOS 病毒, 會感染磁片.com 檔案 10

電腦病毒的特性自我複製感染檔案 2008/01/01 2007/12/3 01 破壞系統檔案特定時間觸發

電腦病毒的生命週期因利益或需求製作惡意程式偵測並刪除利用網路或儲存媒體擴散病毒發作入侵電腦感染物件自我複製

電腦病毒的危害降低電腦效能影響電腦操作影響應用程式執行破壞檔案關聯性破壞檔案無法開機刪除系統磁區所有檔案

蠕蟲 (Worms)

蠕蟲的特性自我複製感染檔案攻擊其他電腦利用程式傳播

有名的蠕蟲惡名昭彰的蠕蟲

蠕蟲的特性蠕蟲相似於電腦病毒, 具備一些共性, 能探測系統弱點取得電腦控制權偵測網路環境透過網路服務找尋其他電腦再入侵結合其他惡意程式持續攻擊, 依其行為可區分以下種類 : IM-Worms IRC-Worms P2P-Worms NET-Worms Email-Worms

蠕蟲的生命週期因利益或需求製作惡意程式偵測並刪除利用網路或儲存媒體擴散下載惡意程式入侵電腦偵測網路環境攻擊電腦弱點自我複製感染物件

降低電腦安全降低電腦效能蠕蟲的危害降低網路效能 ( 區域 / 廣域網路效能 ) 影響電腦操作結合木馬 (Trojans) 與後門 (Backdoors) 竊取資訊遭受 DoS DDoS(Distributed Denial of Service) 攻擊當成惡意程式傳播或攻擊主機, 網域遭到國際組織列入黑名單, 或可能遭受巨大求償

木馬 (Trojans)

特洛伊木馬斯巴達國王美內勞斯因為其太太被帕里斯所帶走, 因此向希臘各城邦求助, 共同出兵特洛伊但特洛伊因為有亞馬遜女戰士和黎明女神兒子梅農的幫忙, 與維納斯暗中協助, 所以能抵抗希臘聯軍但因為雅典娜得不到金蘋果, 所以不願放過特洛伊, 而且指示奧德修斯向希臘聯軍獻上木馬屠城之計有一天, 希臘聯軍突然撤退, 並留下一隻木馬, 特洛伊人將其當作戰利品帶回城內在當天晚上, 當特洛伊士兵為勝利而慶祝時, 藏匿在木馬中的希臘兵悄悄打開城門, 將城外的軍艦迎進, 在一夜間消滅特洛伊城, 城內男丁悉數被殺

木馬程式的特性竊取資訊偽裝 x@!as% 下載更新程式開啟連接埠

木馬程式的特性與蠕蟲的分別, 不會自行複製與感染檔案, 而會衍生出關連性木馬檔案, 安裝後即進行監視, 只要木馬被刪除立即產生木馬程式依其在受害電腦的行為區分以下種類 : Backdoors General Trojans PSW Trojans Trojan Clickers Trojan Downloaders Troja Droppers Trojan Proxies Trojan Spies Trojan Notifiers Rootkits

木馬程式的生命週期因利益或需求製作惡意程式偵測並刪除利用網路或儲存媒體擴散下載惡意程式入侵電腦安裝後產生其他木馬並進行監視

木馬程式的行為中止防毒軟體運作發動緩衝區溢位攻擊 (Buffer Overflow) 產生關連性木馬檔案並隱藏, 進行監視偽裝系統或應用程式檔案名稱圖示或執行程序阻止安裝防毒軟體及使用防駭工具竊取並傳送個人可識別資訊 (PII) 開啟連接埠 ( 後門 ) 入侵電腦成為網路攻擊代理主機 (Agent) 結合蠕蟲 (Worms) 其他惡意程式, 持續進行攻擊

木馬程式的危害降低電腦安全降低電腦效能影響電腦操作竊取資訊結合間諜程式與垃圾信件, 遭受網路詐騙機會增加發送垃圾信件, 網域遭到國際組織列入黑名單當成惡意程式傳播或攻擊主機, 可能遭受具大求償

殭屍電腦, 網路 (Bot,NetWork)

BotNet 簡介殭屍電腦 (Zombie) 指被植入 bot 遙控程式的電腦, 可被駭客任意擺佈殭屍網路 (Botnet ) 由被殭屍程式所控制的電腦所組成的網路, 而攻擊者可由遠端透過這些受控制的殭屍電腦發動分散式阻斷服務攻擊 (DDOS) 散佈垃圾郵件或作為匿名代理器

BotNet 特性針對有漏洞的主機, 會自行展開攻擊會自動變種且自我複製隱藏能力高不易被發覺可在短時間內造成大規模感染具有自動刪除功能

BotNet 的生命週期

IRC Bot Net 架構殭屍電腦 : 嗨! 我是殭屍電腦第 XX 號, 我已經受到感染, 向指定 IRC 伺服器報到註冊 IRC Server Attacker

IRC Bot Net 架構 Attacker: 向 x.x.x.x 電腦發動 DDoS 攻擊

IRC Bot Net 架構無辜第三者遭到大量殭屍電腦的 DDoS 攻擊!!

Bot 的感染途徑與惡意行為模式電子郵件社交工程網頁流覽網頁重導, 釣魚網站未修補的漏洞 P2P 軟體免費工具軟體即時通軟體 MSN Messenger 其它後門軟體分散式阻斷攻擊 SYN Flood,UDP Flood 竊取使用者資料側錄程式銀行帳號, 信用卡卡號散佈垃圾郵件蒐集通訊錄中電子郵件恐嚇或綁架檔案 DDOS 將重要檔案加密

Bot 與其他惡意程式比較可控性竊秘性危害等級病毒一般沒有一般沒有感染檔案 : 中蠕蟲一般沒有一般沒有網路流量 : 高間諜程式一般沒有有資訊洩漏 : 中木馬程式可控有全部控制 : 高殭屍程式高度可控有全部控制 : 高

Bot 偵測工具網路連線狀況 TcpView 網路封包解析 tcpdump 特徵值 PE Table 行為分析登錄檔, 系統呼叫, 攔截 API 差異性比對 Tripwire Rootkit 檢查程式 IceSword

Botnet 預防部署 IPS 系統防止 Bot 利用系統漏洞入侵擴散 IPS 解析應用層封包內容, 可發掘並阻擋可疑的 IRC 登入及連線行為管理 IM/P2P 使用, 減少惡意軟體擴散管道隔離受感染的電腦定期弱點掃瞄, 安裝修補程式在主機端安裝防毒軟體, 加強主機端防護加強使用者資訊安全認知教育 : 不任意開啟 Email 附件檔不任意依據 Email 或 IM 所提供的 URL 下載執行檔案採用強密碼, 防止 Bot 透過破解懶人密碼擴散

隱碼程式 (Rootkit)

Rootkit 簡介它源自於 UNIX 電腦系統, 原本是一組指令, 是一種可以獲得電腦系統 root 存取權限的軟體工具組 (kit), 因此稱為 rootkit;root 是 UNIX 系統權限最高的帳號, 也就是系統管理者帳號的名稱 rootkit 最重要的特性, 就是會想盡一切辦法隱匿攻擊者的所有行為, 不能被發現已經被植入或正在執行 rootkit; 因為只要被發現, 管理者當然就會想盡辦法要移除 rootkit

Rootkit 特性能偽裝成一般正常的程式, 把正常程式換掉能完全隱藏入侵痕跡並保留後門讓攻擊者可以再一次進入可提供攻擊者 telnet shell 與 finger 等服務, 並可用來清理登入資料

RootKit 類型應用層 (application level) 會以假冒的程式換掉一般的正常程式, 或者利用 hook 等各種方法更改正常程式的功能核心層 (kernel level) 會更換或更改系統核心, 因此需要利用驅動程式 (Windows) 或可載入模組取代系統中的 library( 程式庫 ), 使得使用到這些 library 的程式相當於都有潛在的問題較難編寫, 但也更不易偵測

不同層次的惡意程式村莊護城河城堡武士 0 國王 00 應用程式作業系統作業系統核心 BIOS CPU Excel,Word Win Xp,Linux

不同層次的惡意程式程式名稱影響層次動作比喻範例工具後門程式應用程式略過安全機制入侵者在牆上挖洞 Netcat,vnc 木馬程式應用程式表面有用, 私下執行惡意動作入侵者假裝是和善的村人 NetBus, SubSeven 使用者模式 Rootkit 作業系統替換指令, 隱藏蹤跡入侵者躲入護城河 Windows AFX Rootkit 核心模式 Rootkit 作業系統核心修改核心, 隱藏蹤跡入侵者登上城堡, 改變階級 Window NT Rootkit Bios 層次惡意軟體 BIOS BIOS 啟動系統時將惡意程式載入入侵者命令武士蓋城堡 CIH 惡意的 microcode BIOS 及 CPU 修改 Bios 及 cpu 微碼入侵者強迫國王妥協, 交出控制權 N/A

RootKit 偵測方式特徵辨識 (signature-based) 找出已知 rootkit 程式的一段二進位碼作為辨識特徵與掃毒程式利用病毒碼辨識病毒的方式類似行為辨識 (behavior-based) 搜尋 rootkit 程式隱藏的元素, 包括檔案或記錄

RootKit 偵測工具 Tripwire 提供許多演算法如 MD5 / Snefu / SHA 等, 可以驗證檔案是否被竄改, 如果與原先的檔案不符, 將提醒管理者參閱 http://www.tripwire.org/ chkrootkit chkrootkit 提供許多工具檢查是否被植入 rootkits, 例如 chkrootkit 會檢查幾個可能被竄改過的系統程式, 以及檢查是否有 rootkits 常使用的工具

惡意程式手法分析

惡意程式入侵的方式使用者網際網路網際網路業者數據機 IP 分享器儲存媒體使用者

惡意程式入侵的方式阻絕服務弱點未補的系統弱點已補的系統隨機攻擊阻絕服務阻絕服務阻絕服務阻絕服務作者散播者網路型病毒隨機攻擊隨機攻擊阻絕服務阻絕服務 5 透過系統漏洞感染 3 發作, 發動隨機攻擊 4 造成阻絕服務效應 1 製造 2 散播感染潛伏

駭客犯罪常用策略密碼是否簡單提供那些服務方法一 : 人工方式猜密碼方法二 : 利用自動化工具竊取密碼獲取系統資訊並分析內容該服務是否有漏洞

惡意程式入侵手法它也可以暗地打開某些通訊埠 (port), 作為駭客自由進出你的電腦系統的後門, 進而隨意存取你系統裡面各種重要的檔案駭客工具通常會偽裝成一些有這些經過偽裝的程式可以取得 Net Hack Tools are usually 趣的小程式使用者電腦系統中的重要資料 access disguised the User s, as 然後由駭客送出 by hackers system, or get 或使用者自行從 downloaded, 並偷偷的回傳給駭客 from Internet the Internet 下載 These interesting programs can Internet 駭客駭客工具是一種具有特殊目的惡性程式, 它可以設計來做遠端遙控或挖掘某些系統的後門等等

惡意程式常用攻擊手法

駭客會怎麼做

入侵前的準備

入侵系統

E-mail 欺騙

入侵系統

惡意網站攻擊

網路釣魚攻擊

擴散受害範圍

持續維護所取得的存取控制權

竊取重要資料及檔案

常見的攻擊手法 I 使用現成的攻擊工具猜測密碼法 Remote Password Guessing Local Password Cracking 設定錯誤設定不詳盡的系統預設帳號密碼存取設定錯誤 (NFS) 安裝系統時, 自動安裝的不必要程式 (showcode.asp )

http://www.???gsm.com.tw/??????????/ showcode.asp?source=/msadc/samples/../../../../../../boot.ini

常見的攻擊手法 II 程式本身的設計缺陷 Buffer Overflow 路徑檢查不嚴謹 (../../../etc/passwd) 參數檢查不嚴謹 ( 例如 phf) 監聽網路上的封包 (Sniffing) 搜尋順序的問題安裝木馬 ( 陷阱 ) 動態函式替代法安裝後門程式

Buffer OverFlow 藉由輸入過長的資料給固定長度的 buffer 造成 buffer overrun 實例 : NCSA httpd buffer overflow NCSA s httpd v1.4 的 MAX_STRING_LEN 只能容忍 256 個字元 Crack : 當一個 client 連到 server 的 port 80, 利用 GET command 輸入超過 256 字元, server 便會要求結束程式

Buffer OverFlow POP3d Buffer overflow with `USER username'» username > 152 字元 Buffer overflow with `PASS passwd'» password > 104 字元 SMTPd Buffer overflow with `HELO hostname'» hostname > 471 字元 Buffer overflow with `HELP topic'» topic > 514 字元

CGI:PHF 檢查參數不嚴格

常見的攻擊手法 III 利用通訊協定的弱點 (SYN-Flood SMTP) 假造 IP 位址 (IP Spoofing) 偽造 DNS 資訊 (DNS Spoofing) 攔截替代封包 (Session Hijack) 偽裝 Client 或 Server 遠端掃瞄 (Port Scanning)

針對個人 (Windows) 的攻擊存取未經限制的資源分享電子郵件資料檔網頁 ( 夾帶病毒巨集程式碼 ) Web Bomb ICQ Bomb Mail Bomb 程式的漏洞 (MSIE ICQ FTP) OOB IGMP( 一擊必殺 ) Bo2k( 後門程式 ) 常見的攻擊手法 IV

惡意程式攻擊手法分析破壞防毒軟體防護 - 電腦病毒木馬程式修改系統日期停止防毒 ( 防駭 ) 軟體及安全性服務修改系統登錄值偽裝 - 蠕蟲木馬程式圖示檔名 E-amil 服務及驅動程式網站

惡意程式攻擊手法分析自動執行 - 電腦病毒木馬程式蠕蟲修改登錄值掛載 ( 替換 ) 驅動程式載入服務啟動項目執行程式侵入利用系統特性 ( 功能 ) 結合登錄值其它惡意行為 - 電腦病毒木馬程式蠕蟲隱藏程序鍵盤側錄網路探測竊取資訊

惡意程式分析工具

惡意程式分析工具 RootKit Detective Process Explorer(Procexp) TCP/UDP endpoint Viewer(Tcp view) RootkitRevealer NPASCAN GetSystemInfo HijackThis System Repair Engineer(SREng) RootKit Buster

RootKit Detective 惡意程式分析工具掃瞄系統中的 RootKit

惡意程式分析工具 Process Explorer(Procexp) Sysinternals 開發免費工具檢視系統執行程序與相關即時資訊及存檔刪除暫停重新啟動執行程序與除錯調整執行程序優先權線上查詢執行程序相關資訊調整執行程式的使用者權限

惡意程式分析工具 TCP/UDP endpoint Viewer(Tcpview) Sysinternals 開發免費工具檢視已開啟連接埠即時狀態檢視與終止已開啟連接埠系統執行程序儲存目前系統開啟連接埠資訊

惡意程式分析工具 RootkitRevealer 掃瞄電腦系統中的 RootKit

惡意程式分析工具 NPAScan 掃瞄電腦系統中所有啟動的項目辨識檔案是否為可疑程式可移除掃瞄後的檔案

惡意程式分析工具 GetSystemInfo 收集系統資訊

惡意程式分析工具 HijackThis 收集使用者系統中的資訊與設定管理與觀察目前系統運作中的 Process

惡意程式分析工具 System Repair Engineer(SREng) KZTechs.com 網站作者 Samllfrogs 開發免費工具收集系統資訊系統維護與修復主要診斷未經簽署的程序與被修改的登錄資訊資訊較少約 15 至 40kb, 分析簡易迅速

惡意程式分析工具 RootKit Buster 掃瞄電腦系統中的 RootKit, 並予以刪除

USB 病毒分析與處理

1. USB 病毒的演進 2. 感染症狀感染過程 3. 解毒的迷思 4. 如何預防 USB 病毒

USB 病毒的演進

USB 病毒的演進 2006 年開始出現相關的報導 :MP3 隨身聽拇指碟記憶卡全新的硬碟 2007 年七月台灣開始大量散播 ( 地區性 ) 主要目的 : 竊取線上遊戲的帳號和密碼傳染途徑 :USB 裝置損害 : 系統效能變慢無法檢視隱藏檔或開啟磁碟

USB 病毒的演進新手法 : 看門狗自動隱藏自動更新社交工程附加破壞 : 破壞網路裝置 ( 網路中斷 ) 無法進入安全模式停用防毒軟體無法執行某些程式其他傳染途徑 : 網路磁碟執行檔郵件附件檔都可能感染

USB 病毒中毒畫面

感染症狀過程

感染症狀破壞作業系統 : 程式執行發生錯誤系統當機 (BSOD) 系統日期錯誤破壞防毒軟體 : 防毒軟體無法運作, 或部份元件無法執行網路裝置元件故障 : 無法上網及更新解毒後可能無法直接開啟磁碟機, 或是出現程式執行錯誤的提示訊息

感染過程第 1 階段 : 木馬程式開始執行 1. 在 %tmep% 資料夾產生 DLL 格式的木馬程式 2. 替換系統驅動程式檔案 vga.sys, 造成防毒軟體元件損毀, 無法進入安全模式 3. 產生隱藏屬性的檔案, 例如 :kxvo.exe kxvox.dll(x 為累加數 ) 4.kxvoX.dll 插入 explorer.exe 執行程序, 並持續惡意行為

感染過程第 2 階段 :IExplorer.exe 自動下載惡意軟體 1.IExplorer.exe 自動下載木馬程式 cc.exe 至 %temp% 下, 此惡意軟體一直變種, 名稱為 Trojan-GameThief.Win32.OnLineGames.xxxx 2.IExplorer.exe 會持續在 %temp% 路徑刪除與建立 cc.exe

感染過程第 3 階段 :cc.exe 自動執行 1.cc.exe 執行後會破壞防毒軟體 2. 替換 tdi.sys 造成網路裝置無法使用 3. 產生隱藏屬性的檔案, 例如 :j3ewro.exe jwedsfdo0.dll 4. 新增登錄檔, 以便在登入系統後自動執行 5. 由 jwedsfdo0.dll 持續惡意行為,cc.exe 即停止運作

感染過程第 4 階段 :IExplorer.exe 自動下載惡意軟體 1.IExplorer.exe 自動下載木馬程式 ff.exe 至 %temp% 路徑, 此惡意軟體經常變種 2.IExplorer.exe 會持續在 %temp% 路徑刪除與建立 ff.exe

感染症狀第 5 階段 : 惡意軟體藉由 explorer.exe 執行程序進行惡意攻擊 1. 刪除 %temp% 路徑下 cc&ff.exe 惡意軟體 2. 持續修改登錄檔, 藉以隱藏惡意檔案 3. 新增登錄檔 : 當使用者透過我的電腦開啟任何磁碟區, 就會觸發惡意軟體執行 4. 持續在磁碟根目錄刪除與建立 autorun.inf 及對應的執行檔

感染過程第 6 階段 :ff.exe 自動執行 1. 如同 cc.exe,ff.exe 會下載 tdi.sys 並置換 2. 產生隱藏屬性的檔案, 例如 :kxvo.exe kxvox.dll 3. 新增登錄檔, 以便在登入系統後自動執行 4. 由 kxvox.dll 持續惡意行為,ff.exe 即停止運作

感染症狀第 7 階段 : 惡意軟體在開機時自動啟動及更新若未即時解毒, 即會產生新的變種病毒

感染手法補充增加以下登錄值, 開機後即自動執行 kxvo.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run tasoft"= "C:\WINDOWS\SYSTEM32\kxvo.exe jvsoft"= "C:\WINDOWS\SYSTEM32\j3ewro.exe 持續修改以下登錄值, 無法顯示所有檔案和資料夾 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue"=dword:00000000( 正常為 1)

解毒的迷思

解毒的迷思 USB 病毒讓許多使用者和 MIS 頭痛不已, 因為它防不勝防, 殺了又中中了再殺無止盡的變種病毒更讓防毒軟體防不勝防抓不到病毒成了防毒軟體的原罪! 專殺工具民俗療法真的有效嗎?

解毒的迷思坊間常見的民俗療法

感染症狀為什麼防毒軟體無法提供有效的防護呢? 防毒軟體屬於被動防護, 必須要有病毒特徵碼, 才能偵測與解毒現今病毒都是小區域暴發, 不易收集樣本 ( 之前是全球大規則暴發 ) 化被動為主動, 善用新的防護技術 ( 免疫防護啟發式分析 HIPS) 才能偵測未知病毒

如何預防 USB 病毒

解毒的迷思如何防範 USB 類型病毒? ( 預防勝於治療 ) 不要因為一時好奇, 而任意開啟或執行來路不明的檔案在開啟檔案之前, 建議先以防毒軟體進行掃瞄定期更新防毒軟體並執行完整掃瞄將磁碟或 USB 外接式儲存媒體轉換為 NTFS 格式, 在根目錄設置 Autorun.inf 目錄並移除所有權限透過教育訓練灌輸使用者正確防護概念與良好電腦操作習慣

實際案例探討

Sony DRM Rootkit 2003 年發現 Sony DRM Rootkit 的是一位知名軟體工程師講師顧問和作家 Mark Russinovich Russinovich 測試自己創作的 RootkitRevealer 時, 赫然發現自己的其中一部電腦竟然藏著 rootkit 程式, 但在確定電腦所安裝的程式來源無誤, 也找不出 rootkit 程式來源後來經過反覆的測試, Russinovich 發現 Rootkit 來源竟然是從亞馬遜網站買了一張 Sony BMG 發行的音樂光碟

Sony DRM Rootkit 這張光碟有一種稱為 XCP 的內容保護技術, 用 Google 查詢才得知, 有好幾家唱片公司都採用了這家公司的 XCP 技術, 作為音樂光碟的數位版權管理這張光碟在電腦上只能以光碟內建的程式播放, 而且限制只能複製三次 Russinovich 以 Process Explorer 檢視光碟內建的程式播放, 發現程式是來自 Macromedia, 但是當開始播放音樂之後, $sys$drmserver.exe 的 CPU 使用率就越來越高, 而這支程式就是之前找到的 rootkit 所附帶的程式

Sony DRM Rootkit 這起事件引發了相當多的效應, 除了隱私權和電腦控制權之外, 系統管理者可能又得多擔心一項資安威脅的入侵管道 : 原本非常單純的播放音樂光碟, 沒想到竟然可以植入 rootkit 程式這個 rootkit 會隱藏任何名稱是 $sys$ 開頭的行程檔案資料夾或登錄資料庫機碼, 而目前也已經出現利用這個 rootkit 達到隱藏效果的惡意軟體

Seagate Trojan 2007 年 8 月之後購買 Maxtor Basics Personal Storage 3200 產品, 該產品可能已遭到病毒感染 Seagate 提出警示, 已在至少一套 Maxtor Basics Personal Storage 3200 產品中發現一種病毒根據 Kaspersky 的資料, 該病毒名為 Virus.Win32.AutoRun.ah, 這種竊密病毒會搜尋線上遊戲的密碼, 然後傳送到位於中國的伺服器此外, 它還會刪除其他竊密軟體, 並且停用病毒偵測軟體

Asus Trojan ASUS 公佈於日本出售的 Eee BOX B202 桌面電腦產品, 被發現被感染病毒需全面回收及更換新品, 而搭配 Eee PC 出貨的 30G USB 外接式硬碟配件亦同樣發現感染病毒這次感染的是 W32.SillyFDC, 也就是俗稱隨身碟病毒的蠕蟲程式這次的病毒是存在於 D 槽的 Recycled.exe, 並且也有 autorun.inf 所以只要一打開 D 槽, 病毒立即開始感染擴散, 只要做儲存媒體的讀寫動作, 或使用 USB 隨身碟, 都會造成病毒的感染!

So-net 網站遭駭 2007 年臺灣 So-net 網站遭駭客入侵, 會員個人資料外洩, 導致信用卡被盜刷約 1,840 張經警方調查, 駭客來自中國大陸, 係以俗稱釣魚網站的假網頁, 藉由郵寄電子郵件圖檔等方式夾帶木馬程式入侵,So-net 員工甚至高層幹部都不知自己的電腦已中毒

警察機關使用 P2P 軟體洩密事件 2007 年 4 月爆發警察機關因員警違規使用 P2P 分享軟體 FOXY, 而導致內部筆錄外洩的新聞事件, 刑事局則發現, 有部份以刑案筆錄等文字為檔名的假檔案, 在新聞熱潮下透過 FOXY 傳散, 實際內容則為援交訊息護膚按摩廣告甚至內含惡意程式在 P2P 軟體上, 檔名與實際內容不符的假檔案相當常見, 也是駭客散佈惡意程式的途徑之一, 類似的社交工程手法本身雖不算新, 但常會利用熱門新聞事件的話題性, 引誘使用者下載點選, 導致木馬上身

真實案例中國駭客攻擊遊戲網站, 脅迫配合宣傳 (2008/05/04) 國內最知名的遊戲討論社群遊戲基地與巴哈姆特, 分別遭到 DDoS( 分散式阻斷服務 ) 攻擊, 來自中國大陸的駭客甚至要求網站配合宣傳, 否則將繼續攻擊, 行徑令業者咋舌擁有眾多使用者的巴哈姆特與遊戲基地網站, 自前 (27) 天起分別傳出因同時湧現大量連線要求導致首頁主機當機事件 http://vbb.twftp.org/showthread.php?t=12019 首例 DDOS 攻擊案告破, 遐邇防火牆老總羅春被抓 (2007/07/25) 2007 年 6 月 10 日晚, 北京海澱區, 完美時空公司總部遭遇駭客攻擊公司技術部工作人員最先發現異常, 大量攻擊數據突然從網上湧來, 衝向公司 DNS 伺服器, 隨後網站癱瘓無法打開 http://202.99.120.116:82/gate/big5/jike.it168.com/88763 89/viewspace-1793

從郵件安全角度看惡意程式

E-mail 社交工程手法

社交工程定義

軟體弱點與零時差攻擊

惡意郵件分析

惡意郵件運用軟體弱點

惡意郵件內容分析

社交工程手法歸納

電子郵件社交工程演練 ( 政治新聞 )

電子郵件社交工程演練 ( 影劇新聞 )

電子郵件社交工程演練 ( 色情主旨 )

電子郵件社交工程演練 ( 政治新聞 )

電子郵件社交工程演練 ( 影劇新聞 )

電子郵件社交工程演練 ( 休閒娛樂 )

電子郵件社交工程演練 ( 體育新聞 )

電子郵件社交工程演練 ( 情色內容 )

電子郵件社交工程演練 ( 休閒娛樂 )

電子郵件社交工程演練 ( 保健養生 )

電子郵件社交工程演練 ( 影視八卦 )

電子郵件社交工程演練 ( 科技新知 )

社交工程演練統計

郵件安全防範策略阻絕連結鑑別身分數位簽章郵件加密

阻絕連結設定垃圾郵件過濾機制取消郵件預覽功能以純文字模式開啟郵件 Webmail 環境設定 - 讀信模式 -> 關閉預覽 - 去除 JavaScript - 強制純文字轉換 - 封鎖外部圖檔

設定郵件過濾機制

取消郵件預覽功能

以純文字開啟

信件開啟範例

Webmail 環境設定

鑑別身分查明信件來源鑑別寄件者身分確認收件者郵件位址

查明信件來源

驗證寄件者身分

數位簽章

S/MIME 簽章寄件端流程擷取郵件本文將郵件本文產生文件摘要 (hash) 附加郵件簽章以及寄件人憑證至郵件, 將郵件寄出利用寄件人私鑰加密文件摘要產生郵件簽章取得寄件人郵件地址資訊取出寄件人私鑰

S/MIME 簽章收件端流程寄件人憑證為受信任的憑證授權單位 (CA) 發出, 才可正確檢驗否則收件端必須要信任該憑證授權單位取出郵件本文進行文件摘要運算接收郵件後, 擷取郵件本文 SMIME 簽章以及寄件人憑證從寄件人憑證中取出寄件人公鑰比對文件摘要是否正確取出簽章資訊使用寄件人公鑰將簽章解密得到原始郵件摘要

附件檔壓縮, 加密

SMTP Protocol 一般的電子郵件為明碼傳輸, 並不具備安全性, 容易被駭客側錄偷看竄改內容 Internet Internet 撰寫郵件偷看郵件竄改郵件內容駭客

S/MIME 寄件端加密流程取出郵件本文 (1) 使用 Session Key 將郵件本文進行加密 (3) 將加密過的 Session Key 附加到加密過的郵件 (5) 將郵件寄給收件者 CEF 產生 56bit session key (2) 使用收件者公開金鑰加密 Session Key (6) (4) 擷取收件人資訊並從收件人憑證中取出收件人的公開金鑰

S/MIME 加密收件端流程取出加密的郵件本文 (1) 使用 Session Key 將郵件解密 (5) 收件者閱讀郵件 (6) 取出加密過的 Session Key (2) 使用收件者私密金鑰將 Session Key 解密 (4) 取出收件者的私密金鑰 (3)

1. 將收件人憑證匯入 CEF Mail Gateway 2. 設定郵件政策, 讓寄出的郵件進行 S/MIME 加密

Step1: 將收件人憑證匯出若曾接收有加 S/MIME 簽章的信件, 則在憑證管理區會有該寄件人憑證, 需把該寄件人的憑證匯出 [IE > 工具 > 網際網路選項 > 內容 > 憑證 > 其他人 ]

匯入收件人憑證到 Mail Gateway

Step2: 設定寄外郵件政策 1. 將寄件人條件加入 2. 執行條件選擇無 " 3. 點選 [ 更多選項 > 安全性 > S/MIME 加密 ]

Step2: 設定寄外郵件政策

收件人若不具有私密金鑰則無法檢視信件

收件人若具有私密金鑰則可以檢視信件

如何預防惡意程式

預防惡意程式要有正確的資訊安全觀念不隨意開啟或下載郵件或軟體定期做系統更新集資料備份避免使用 P2P 軟體安裝防毒軟體並定時更新病毒碼不使用來路不明的軟硬體提高警覺, 加強危機意識

預防惡意程式定期掃瞄電腦裡的檔案移除電腦中不必要的程式使用者權限的設定不隨便開啟不明的連結或檔案定期更換各種應用程式的密碼, 注意密碼複雜度使用個人防火牆, 增加系統安全性

結論

網路跟現實的世界一樣, 處處都是危機, 每分每秒都充滿著威脅, 時時提高自己的警覺性, 不讓威脅靠近自己的身邊

網頁瀏覽電子郵件即時通訊這些使我們生活上更便利的工具, 一個不小心卻也可能為我們帶來更大的災害 ; 例如自己的網路銀行帳號密碼被竊取等等的事件 ; 要能善用這些工具, 同時也能保障自己的安全

使用者應該謹慎的使用網路上的各項服務, 並且時時吸收新知, 了解目前網路存在著什麼樣新型態的威脅, 且避免使用非法軟體, 這樣可以盡量避免自己受到新的惡意程式威脅

電腦系統中各種軟體的版本漏洞都應定時檢查是否有更新或是安裝 ; 並且利用各種防護工具來保持電腦系統隨時都維持在安全無虞狀態下, 這樣電腦使用起來也會放心許多

電腦使用習慣要良好, 不用時就關機, 這樣一來可以避免受到莫名其妙的攻擊, 二來也可以為地球節能減碳, 平時勤做系統健康的檢查, 讓電腦隨持維持在高檔狀態下運作

Reference 奕瑞科技國家資通安全會報趨勢科技邁克菲有限公司基點資訊

Thank You