最近除了詐騙,又來些令人感到恐怖的電腦安全問題。
有些是之前提過,有些則是最近看到的資料。
安全性與便利性是個trade off,大家若有空,
多一點防範,即可少一點風險(但絕不是零風險,
因為世界上沒有絕對安全的系統)
下面東西講的雜一點,沒有分的很清楚,不過常看(或者中過@_@")
大概就瞭解意思了>_<"
1. wi-fi部分,有的使用者為了方便性,沒有設定access right,結果因機器
有開shared folder,只要附近的人連上該AP,則可直接access其shared folder.
一種保護方式,是把每個shared folder加上帳號、密碼保護。
比較安全作法則是在Wi-fi AP做設定(WEP)。
2. 有套anti-trackware軟體之前介紹過-
http://www.lavasoftusa.com/
執行前先按check for updates, 建議採用custom scanning options(Customize),
然後將所有選擇項目都enable在開始掃。
3. firewall部分,可以的話建議躲在NAT後面,可檔掉不少亂來的連線。
個人電腦推薦使用tinyfirewall 2.0。
4. Mail與IM方面,可參考之前寫的:
http://www.vegevill.org/forum/Article.asp?no=102234
下面附上昨天看到的一些資料:
Appendix-(A)
附件:基本快速發現及移除惡意程式方法
一、 關閉所有已知對外連線程式,在確定網路沒有正常對外連線情況下,開啟cmd.exe,輸入利用「netstat -an -p tcp」指令清查異常對外通訊的應用程式,檢查是否有對外TCP 53及80 port連線,觀察是否具惡意程式特質,並注意VNC、Terminal Service 等遠端遙控5800、5000 and 3389 port之不明外來遙控連線。若使用者本身有安裝遠端遙控程式如VNC或Terminal Server,建議更改預設連線port,並設定存取連線之IP,以防駭客使用該遠端遙控程式。
二、 檢查登錄編輯器(Registry):清查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run等自動啟動路徑下是否有「iexplore.exe」、「peep.exe」、「r_server.exe」及「hiderun.exe」等字樣之機碼,若存在的話將該機碼刪除。
三、 檢核微軟系統目錄中(路徑大多為C:\WINNT\SYSTEM32\)是否存在下列異常檔案,並刪除之:
(一)、惡意程式—peep.exe:通常會存放在c:\winnt\system32目錄之下,執行後會自動產生explorer.exe於c:\winnt\system32目錄(正常之explorer.exe是存放在c:\winnt之目錄之下),並於網路連線後自動連線至跳板主機之80port,一般80port為網頁主機之用,peep.exe木馬程式則用做遠端遙控並可傳遞受感染之電腦內任何檔案資料。
(二)、惡意程式—service.exe:正常之系統檔為services.exe,存放於c:\winnt\system32目錄之下,若電腦有service.exe或非位於c:\winnt\system32目錄下之services.exe檔案則可能受到感染。Service.exe執行後會產生MFC42G.DLL及WinCom32.exe等兩個檔案,並於網路連線後以TCP方式連線至跳版主機之53port,一般53port為DNS之用,且是以UDP方式連線。
(三)、惡意程式—iexplore.exe:iexplore.exe被置於c:\windows\system32目錄中(正常位於c:\program Files\Internet Explorer),該程式改編自知名偷密碼程式之passwordspy、Backdoor.PowerSpider及PWSteal.Netsnake,為知名收集密碼資訊程式的變種,會蒐集受害者所輸入的帳號密碼後以電子郵件方式傳送至中國大陸的某個郵件主機。
(四)、其他異常程式:包括exec3.exe、r_server.exe、hiderun.exe、gatec.exe、gates.exe、gatew.exe、nc1.exe、radmin.exe、hbulot.exe等已知檔名之惡意程式,另需人工檢核是否有異常程式,如「*.bat」及「*.reg」通常為駭客入侵後安裝惡意程式使用之檔案,及pslist.exe、pskill.exe、pulist.exe等p開頭之檔案則為駭客工具檔案,以上檔案通常存放於c:\winnt\system32目錄之下。
四、 重新開機並注意電腦對外通訊情形。
警政署刑事局偵九隊 製
Appendix-(B)
國內企業電腦遭駭客大規模入侵植入木馬案
http://www.cib.gov.tw/tw/news/news01_2.aspx?no=372
發稿時間 2004/5/3 上午 11:17:20
標題 國內企業電腦遭駭客大規模入侵植入木馬案
查獲時間 民國93年05月03日上午00時00分
查獲單位 內政部警政署刑事警察局偵九隊
附件 移除方法
一、刑事局偵九隊自九十三年初開始先後接獲多家企業機構及個人報案表示,電腦出現異常、CPU使用量激增、電腦反應遲緩及帳號密碼無端遭竊等問題,旋在各受害公司及相關受害當事人協助下前往查察並偵測網路連線狀態實際瞭解相關狀況,發現受害企業內網之多台伺服器主機及個人電腦會有主動對外報到連線,甚至外洩鍵盤輸入帳號密碼情事,嚴重影響我國網路金融交易秩序,造成多家金融機構的恐慌,如多數銀行已暫停非約定帳戶的網路轉帳功能。復經初步檢查後,證實國內數百台受害企業(含金融、科技、網路、資訊及模具零件等傳統行業)、學校或個人電腦已大規模遭駭客入侵,並遭植入多種惡意木馬程式,電腦檔案內容,甚至整個資料庫或帳號密碼均被竊走,由於事態嚴重且惡意程式有不斷擴散、交叉感染情形,已非單靠刑事局偵九隊成員便能清除完畢,故警方特別發佈新聞稿公開呼籲且在刑事局網站(網址為
http://www.cib.gov.tw/)之「破案快訊」上公布此次基本快速發現及移除惡意程式方法,並呼籲各重要私人企業及個人電腦使用者應儘速全面清查、移除可能潛在的惡意程式,避免受害事態持續擴大。如任何受害企業或個人發現電腦受害情節重大或存有非本單位的電腦檔案資料,請與刑事局偵九隊電腦技術組(02-27495471)聯絡。
二、續經初步分析採得惡意程式之行為模式,發現無論於何處執行,均會主動對受害電腦外部之中繼跳板主機或特定郵件帳號進行通訊。而這些受害電腦已分別遭入侵者植入多種不同行為態樣的惡意程式,相關不明主動連線主機逾數百餘台並散布於世界各國。局長侯友宜獲悉案情後,研判事關國內企業電腦內部重要研發資料及個人資料如帳號密碼等可能遭不當使用,嚴重損害企業權益,為立即防止相關損害擴大,乃下令偵九隊成員立即組成專案小組,經專案小組全面研析、偵辦,為查明攻擊來源,警方前往網路通訊流量較為可疑的十餘處中繼跳板主機查訪,以瞭解事件發生經過並調查入侵來源。
三、經警方清查部分受害企業防火牆的稽核紀錄檔後發現,多台內部伺服主機(或電腦)會對中繼跳板主機進行連線,復觀察本案所使用的惡意程式可知,入侵行為早在今(九十三)年初即發生,經警方偵查人員側錄遭植入惡意程式之主機對外連線封包並經解析後發現,主動式對外通訊方式採TCP協定,具備對外(或對外)傳送機密資料能力(包含電腦檔案或帳號密碼),這便是網路入侵問題可怕的主因。復在刑事局偵九隊成員連月來兵分多路前往台北縣、台北市及桃園縣等地查訪較為可疑的十餘處中繼跳板主機發現,這些受害電腦的某些程式會使用已知(或常用)的系統程式與通訊協定主動對外部之中繼跳板主機報到聯絡,除藏有竊自受害主機的不同機密等級的檔案資料或帳號密碼外,並在刪除、壓縮或變更檔名等不同掩飾技巧下,傳向境外的網路主機,由於這些攻擊主機來源大多來自中、美、韓、日等地,警方正加緊聯絡各國執法機關,期望透過跨國合作模式成功阻斷入侵者的攻擊行徑。
四、在本局侯局長指示偵九隊加派人力清查十餘台中繼跳板主機後發現,部分中繼跳板主機的網路通訊情形出現交集情形。復經側錄中繼跳板主機網路封包發現部分主機分別分別具有相同模式(如偽冒正常的WWW、DNS及Email)連線至我國、中國大陸、美國、日本、加拿大、土耳其、香港、荷蘭、義大利、德國、澳洲、韓國及馬來西亞等地主機,目前統計相關連通主機達數百餘台,相關主機個別擔任角色為何(攻擊來源主機或受害主機),正由刑事局偵九隊透過國際高科技犯罪二十四小時聯絡管道機制與各國相關機關加緊密切聯繫中。
五、此次發現的惡意程式部分會偽冒系統檔案,以相同(或類似)檔名命名,並藏身在系統目錄中,由於採開機自動執行且對外部主機主動報到方式,一般的資訊人員很難注意,以下,謹將本案惡意程式功能特徵做一說明與分析。
(一)、利用已知系統服務:
已知受害主機主動利用已知(常用)系統程式或通訊服務對外聯絡,大多利用已知TCP 53(DNS)、25(Email)或80(WWW) Port對外進行通訊服務,由於這些多被視為正常使用致無法輕易察覺入侵異狀。資訊人員應協助使用者注意電腦未執行該通訊服務時,如發現異常對外之主動式連線通訊,便需檢查啟動該電腦通訊服務的應用程式、所在目錄與實質通訊內容。
(二)、程式匿身系統目錄:
本案入侵者會將惡意程式及竊得檔案藏在系統檔案目錄(如c:\window、c:\winnt\system或c:\winnt\system32等),減少擁有電腦者的察覺可能,致較難察覺異狀。大部分的中繼跳板主機的入侵者竊密所得檔案也多藏於此處。
(三)、電腦開機自動啟動:
該惡意程式在電腦重新開機時設定為自動啟動,保持電腦處於被入侵狀態。此部分可藉由檢查登錄編輯器(Registry)中HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\RunServices或HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run等開機組態設定觀察異常程式得知異狀。
(四)、變種程式不易防堵:
由於本案惡意程式原始碼公開,程式設計者可隨意變化,致使變種程式不易防堵,個別行為態樣多變,難以偵測發覺,惟仍具一定的行為模式。此外,由於攻擊者使用正常的系統服務,一般防毒、防火牆及入侵偵測系統無法察覺,需要由專業能力足夠的資訊安全人員才能發現。
(五)、非標準協定傳資料:
本案攻擊者建置龐大的不明連線網路,使用非標準的通訊封包協定,對外傳輸資料。雖然傳輸過程無法解譯,但透過特定程式還是可以還原成原始文件格式,受害企業內網資料得已被竊成為必然。
六、在警方偵辦成員積極投入並長時間監控下發現,本案惡意程式可針對受害電腦中的電腦檔案進行初步過濾(以doc、txt、eml及xls等檔案為主要目標,舉凡「日期」、「安全」等相關檔名均為必竊檔案),再視需要竊密攜回,甚至經由中繼跳板主機轉介進入各受害企業內網電腦執行檔案或傳回檔案資料,甚至可以遠端遙控受害主機的鍵盤、滑鼠及應用程式(包含代為輸入Word文件)。由於此次惡意程式之行為模式,均是透過已知常用通訊埠(port 80或port 53等)主動向外單位中繼跳板主機做報到連線,且惡意程式在植入受害主機後,均會更改系統註冊值,讓受害主機一開機後即能自動啟動執行。由於入侵者所布建的主動報到之中繼跳板主機分佈甚廣,散居世界各地,整體潛在資安影響不可忽視。然而國內部分,在警方強力清除下,已陸續清查移除,未發現的部分仍須各網路使用者詳加注意防制。所以,警方特別針對本案提出一些基本的快速發現及移除惡意程式方法供社會大眾參考(如附件)。
事件分析
一、歷史稽核紀錄的防護分析:網路駭客不僅侵入,還會利用作業系統的漏洞,搖身一變成為系統的超級使用者,必須靜靜地、暗中記錄下駭客的活動,以完整地記錄他所下達的指令與電腦的回應,這必須依靠電腦的歷史稽核紀錄。再怎麼設計精良的資訊系統,也不能保證完全沒有漏洞,還是有被入侵的可能。經由系統漏洞而達成的侵入事件,常隱藏許多未被授權的行為,並無法使用身分辨別或是存取控制的方法來防範,也很難能夠預期侵入者所採用的攻擊方式。因此,這樣的入侵必須用電腦歷史稽核的方法來對付與蒐證。電腦歷史稽核檔的功能在於讓系統管理者可以檢視帳號使用者的存取過程、執行程序等歷史紀錄,並使主機具備基本的保護機制且可偵測出企圖避開保護機制的嘗試,以有效保護系統主機的安全。
二、遭竊電腦檔案資料的不易估算:網路時代,許多資訊必須透過網路傳遞,安全問題不容忽視。入侵者隱形在各個受害網站間,攻擊成員們不但熟悉資訊網路戰場的滲透戰鬥,更可埋伏隱匿在正常網路通訊服務中。當網路環境日益複雜、連線需求日趨頻繁、防護檢查負擔日重及資安要求日益嚴苛之狀況下,面對大量資料的流量傳輸,實難保證能夠真實有效防衛電腦資產的安全。在許多不斷發生的資安事件中,我們也經常發現人們不大會吸取先前所受的教訓,遭入侵的電腦系統若未能保持警覺,審慎因應異常資安事件,再次被入侵也就不用感到意外!而日漸增多的惡意程式全球性感染行為,讓我們意識到即使是國內知名企業也不願意花費金錢人力於資安投資(因為需要用錢買)上,相關高科技電腦機密資料遭竊也就不感到意外,畢竟,「冰凍三尺非一日之寒」,許多資安事件發生背後都是人為疏忽或主事者不在乎所導致的。資安事件的投資往往不易看出效果,自然也就不易受到重視(最多是口頭重視),待事後內部離職員工或外來入侵攻擊者竊取內部機密時,也只能苦笑因應。
三、惡意程式多變的防護不易:惡意程式(Malicious Programs)乃包括木馬、病毒、蠕蟲、後門、間諜(偷資料)程式的綜合型工具之統稱。惡意程式最厲害的地方在於強大的變異性,版本愈新,其攻擊能力愈強,猶如定時炸彈之不明破壞力,不僅有癱瘓國內資訊系統之憂,更有竊密之慮。目前比較新型的惡意程式可機動性竊取資料,各受害單位資訊人員不宜用一般病毒觀察視之,尚須注意網路正常服務的異常通訊內容與電腦不明檔案,並瞭解基本手動檢查步驟,方能遏阻其他變種惡意程式的可能侵害。
四、虛擬入侵身分的匿蹤多變:目前網路上入侵者的身分千變萬化,不論學者專家、學生網友或企業人士,其虛擬身分的千變萬化更加顯現跨國入侵的詭異可怕,並在網路使用者缺乏警戒心下,透過病毒、蠕蟲、駭客工具或侵入技術,深入各個電腦系統之中,隨意瀏覽、竊取、刪改資訊內容,促使資訊系統做出錯誤判斷,甚至在關鍵時間予以跳板入侵、刪改竊密或癱瘓攻擊。
五、套裝攻擊工具的便利入侵:大多數的套裝攻擊工具需藉由人工介入方式操作運用,才可獲致良好入侵功效,但如入侵者將本身的技術、經驗與資源,透過教學分享方式,指導一群人利用標準作業程序之分工方式針對特定的作業系統、網路架構與電腦環境,其所需的事前攻擊準備工作往往更為輕鬆,亦可輕易達成大規模的入侵成效。就如同中國大陸駭客討論區經常會將已開發好的攻擊工具附上完整的教學手冊,只要經過測試使用,便能朗朗上手使用,並對管理不善的特定網路入侵施行入侵滲透之工作,其所可能應驗的入侵成效將十分可觀,這是所有相關網管人員所應有的深切體認。
六、網路使用安全的注意防護:國內許多民間企業只想利用電腦輔助本身工作之進行,卻不管伴隨電腦系統出現的漏洞破壞,未能關心異常連線狀態,即使是高科技公司的逾百台電腦主機,也僅僅只有少數一、二人負責,更別談那電腦設備較少的中小型企業面對資訊蛻變的高科技時代,不斷充實、日日更新、深入解析原委,才能走在時代的尖端。
附件:基本快速發現及移除惡意程式方法
一、 關閉所有已知對外連線程式,在確定網路沒有正常對外連線情況下,開啟cmd.exe,輸入利用「netstat -an -p tcp」指令清查異常對外通訊的應用程式,檢查是否有對外TCP 53及80 port連線,觀察是否具惡意程式特質,並注意VNC、Terminal Service 等遠端遙控5800、5000 and 3389 port之不明外來遙控連線。若使用者本身有安裝遠端遙控程式如VNC或Terminal Server,建議更改預設連線port,並設定存取連線之IP,以防駭客使用該遠端遙控程式。
二、 檢查登錄編輯器(Registry):清查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run等自動啟動路徑下是否有「iexplore.exe」、「peep.exe」、「r_server.exe」及「hiderun.exe」等字樣之機碼,若存在的話將該機碼刪除。
三、 檢核微軟系統目錄中(路徑大多為C:\WINNT\SYSTEM32\)是否存在下列異常檔案,並刪除之:
(一)、惡意程式—peep.exe:通常會存放在c:\winnt\system32目錄之下,執行後會自動產生explorer.exe於c:\winnt\system32目錄(正常之explorer.exe是存放在c:\winnt之目錄之下),並於網路連線後自動連線至跳板主機之80port,一般80port為網頁主機之用,peep.exe木馬程式則用做遠端遙控並可傳遞受感染之電腦內任何檔案資料。
(二)、惡意程式—service.exe:正常之系統檔為services.exe,存放於c:\winnt\system32目錄之下,若電腦有service.exe或非位於c:\winnt\system32目錄下之services.exe檔案則可能受到感染。Service.exe執行後會產生MFC42G.DLL及WinCom32.exe等兩個檔案,並於網路連線後以TCP方式連線至跳版主機之53port,一般53port為DNS之用,且是以UDP方式連線。
(三)、惡意程式—iexplore.exe:iexplore.exe被置於c:\windows\system32目錄中(正常位於c:\program Files\Internet Explorer),該程式改編自知名偷密碼程式之passwordspy、Backdoor.PowerSpider及PWSteal.Netsnake,為知名收集密碼資訊程式的變種,會蒐集受害者所輸入的帳號密碼後以電子郵件方式傳送至中國大陸的某個郵件主機。
(四)、其他異常程式:包括exec3.exe、r_server.exe、hiderun.exe、gatec.exe、gates.exe、gatew.exe、nc1.exe、radmin.exe、hbulot.exe等已知檔名之惡意程式,另需人工檢核是否有異常程式,如「*.bat」及「*.reg」通常為駭客入侵後安裝惡意程式使用之檔案,及pslist.exe、pskill.exe、pulist.exe等p開頭之檔案則為駭客工具檔案,以上檔案通常存放於c:\winnt\system32目錄之下。
四、 重新開機並注意電腦對外通訊情形。
