系統安全漏洞剖析

敦陽科技

大綱

前言

惡意程式種類

Rootkit檢測工具

Rootkit檢測實做

常用檢測工具

惡意程式檢測實做

伺服器檢測流程

Windows安全強化

問題與討論

前言

關於我

吳東霖 , Alex

現任敦陽科技資安服務處資安顧問

經歷 –多次政府、金融、電信、教育、企業單位之滲透測試服務

資安事件處理與蒐證

資安設備規劃與建置

聲明

本系列課程內容，僅用於瞭解攻擊手法以利進行防禦部署，若有任何學員以之進行非法活動，一切行為與本人及敦陽科技無關，由學員自行負責。

刑法第 三十六章 妨害電腦使用罪

第 358 條 –入侵電腦或其相關設備罪

第 359 條 –破壞電磁紀錄罪

第 360 條 –干擾電腦或其相關設備罪

第 361 條 –對公務機關，加重其刑至1/2

第 362 條 –製作犯罪電腦程式罪

第 363 條 – 358 ~ 360 須告訴乃論

6

惡意程式種類

惡意程式種類

Rootkit定義：難以察覺的方式隱藏自己，盜取資料為主要目的常見症狀：程式異常，系統資源異常，網路流量異常啟動方式： Drivers 、 BIOS…

Trojan定義：盜取資料為主要目的常見症狀：程式異常，系統資源異常，網路流量異常啟動方式： Registry 、 Services 、 Drivers 、 Autorun.Inf

Virus定義：破壞為目的常見症狀：作業系統異常啟動方式： Registry 、 Autorun.Inf

Spyware定義：廣告、木馬之間常見症狀：介於廣告、木馬之間

啟動方式： Registry 、 Services

Adware定義：為了達成廣告目的，使用特殊手段造成清除不易

常見症狀：首頁綁架、IE出現不明工具列、出現不明程式

啟動方式： Registry 、 Services

Worm定義：既有破壞行為，部份也有木馬行為

常見症狀：作業系統異常，檔案異常，大量連線異常

啟動方式： Registry 、 Services 、 Drivers

Rootkit

主要功能

隱匿自己，或其他程式

遠端遙控

檔案傳輸

鍵盤記錄

代理伺服器

特殊藏匿方式

BIOS 、 VGA、CPU 、NB電池…無孔不入

Sony's USB software rootkit

兇殘比較表

12

Rootkit Trojan Virus Spyware Adware Worm

感染其他檔案

被動散播

主動散播

造成程式大量增加

兇殘度

對企業的影響性

高 高 中 低 低 高

Rootkit檢測工具

Anti-Rootkit tools

Rootkit Unhooker

SSDT

MbrRoot (ver: 3.8.341.553)

Processes

Drivers

Code Hook

Win 2000 、XP 、2003 、Vista 、2008

Last update : 2008/08

Rootkit Unhooker

15

Anti-Rootkit tools

Gmer

SSDT

MbrRootkit

Processes

Drivers

Autostart

Service

Win 2000 、XP 、2003

Last update : 2009/03

16

GMER

17

Anti-Rootkit tools

Wsyscheck

SSDT

微軟檔案簽署

Processes

Drivers

Code Hook

FSD

Service

TCP/IP

Win 2000 、XP 、2003

Last update : 2008/0218

Wsyscheck

19

常用檢測工具

網路流量

Wireshark

網路封包監聽

URL

http://www.wireshark.org/download.html

TCPView

檢視TCP/IP與Process關係

URL

http://technet.microsoft.com/en-

us/sysinternals/bb897437.aspx

Wireshark

22

TCPView

23

網路流量

CurrPorts

檢視TCP/IP與Process關係

具有過濾功能

URL

http://www.nirsoft.net/utils/cports.html

24

CurrPorts

25

應用程式

FileMon記錄程式所有動作

URL

http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx

Process Monitor記錄程式所有動作

DLL模組對應

強大的過濾功能

URL

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

FileMon

27

Process Monitor

28

應用程式

Process Explorer瀏覽程式與DLL模組對應關係

URL

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Autoruns瀏覽、變更自動執行的程式

URL

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

29

Process Explorer

30

Autoruns

31

伺服器檢測流程

環境需求

外接硬碟 (建議介面為Firewire、eSATA)

高時脈和記憶體大的電腦

映像檔製作軟體 (例如:Ghost)

VMWare Workstation

多套防毒軟體

33

檢測流程

1. 製作伺服器系統磁碟區映像檔

2. 將映像檔複製兩分至外接硬碟

3. 準備第二台電腦，並安裝VM

4. VM的作業系統，必須為新安裝

5. 在VM上安裝防毒軟體

6. 更新病毒碼

7. 將映像檔掛載於VM

8. 以防毒軟體掃描掛載的磁碟區

9. 紀錄掃描結果，自動/手動移除惡意程式34

檢測流程

10.依照VMWare上的移除方式至伺服器移除

11.可使用Process Explorer強制關閉惡意程式

12.將惡意程式的檔名至Registry搜尋，移除機碼

35

Windows 安全強化

安全強化

每天執行Windows Update

每天更新病毒碼

不執行不明程式、附件

不使用盜版軟體、Keygen

上網時跳出對話視窗，建議選否

開啟Windows Firewall

開啟DEP

關閉自動播放功能

37

問題與討論