Transcript - Internet Technology Lab

Module 11：
惡意程式偵測與防護技術實習
網路安全
學習目的
1.
2.
近年來惡意程式的氾濫跟變種及Botnet引起的大範圍攻擊，使得攻
擊者更能輕易竊取使用者資料並獲取利潤。瞭解這些惡意程式的架
構、感染途徑及防護方式，就成為刻不容緩需要努力的目標
本模組共有以下六個小節包括
(1)惡意程式介紹(*)
(2)惡意程式攻擊與防護方式(*)
(3)特別討論 - Botnet(**)
(4)特別討論 - Rootkits(**)
(5)Rootkit之攻防演練的實務(**)
(6)惡意程式的專案實作(**)
(7)WebSecurify Scanner實作(*)
共需三個鐘點
網路安全
11-2
Module 11：惡意程式偵測與防護技術實習
•
•
•
•
•
•
•
Module 11-1：惡意程式介紹(*)
Module 11-2：惡意程式攻擊與防護方法(*)
Module 11-3：特別討論 - Botnet(**)
Module 11-4：特別討論 - Rootkits(**)
Module 11-5：Rootkit之攻防演練的實務(**)
Module 11-6：惡意程式的專案實作(**)
Module 11-7： WebSecurify Scanner實作(*)
* 初級(basic)：基礎性教材內容
**中級(moderate)：教師依據學生的吸收情況，選擇性介紹本節的內容
***高級(advanced)：適用於深入研究的內容
網路安全
11-3
Module 11-1：惡意程式介紹(*)
網路安全
11-4
前言
• 惡意程式包括病毒、特洛伊木馬或入侵者所撰寫
的惡意腳本(script)，可能利用自我複製、電子郵
件或即時通訊軟體快速傳播，造成資料流失、當
機和服務中斷等安全事件
• 駭客會把惡意程式附在有趣的動畫或小程式上，
當使用者開啟這些程式，就會開啟一到數個Port
常駐在系統上，此時駭客就能利用程式來得到系
統上的資料
• 惡意程式成駭客獲利的來源
網路安全
11-5
程式
• 在這邊我們定義為可執行檔，為一種可被電腦所
解讀並運行特定動作的檔案
網路安全
11-6
惡意程式定義
• 泛指任何惡意、未經使用者授權存取及不符合預
期的程式碼皆為惡意程式
• 惡意程式依其行為特徵可以區分為三大類型
– 病毒(Virus)
– 蠕蟲(Worm)
– 特洛伊木馬(Trojan horse)
• 惡意程式依據作者的目的，朝向綜合上述類型的
惡意程式的優點，發展出兼具自動化、結構化及
不易偵測等特性的混和式惡意程式
網路安全
11-7
惡意程式分類 - 病毒(Virus)
• 病毒是惡意的程式碼，會將自身附加到某些檔案
中，進行偽裝
• 會在不同主機間散佈，可是不具自行複製的能力
，必須藉由傳播的媒介讓病毒移動
• 病毒也具破壞軟體、硬體及檔案的能力
• 相較之前的攻擊模式，具破壞軟體的能力是一種
比較新穎的攻擊方式，藉由過度使用硬碟，或是
對CMOS與Flash BIOS以進行清除
網路安全
11-8
惡意程式分類 - 蠕蟲(Worm)
• 蠕蟲算是病毒的子類別，最大差別在於蠕蟲具有
自行複製的功能，並自動感染其它主機的能力
– 會自行掃描其它主機的漏洞，並透過該漏洞，複製
自己到該主機上
– 會大量複製，因而出現巨大流量，降低傳輸速度
– 佔用所寄生的主機資源
• 蠕蟲依其目的，可分為兩類
– 對單一主機進行攻擊與佔用單一運算資源
– 對大規模環境進行攻擊與佔用區域主機資源
網路安全
11-9
感染病毒徵兆
硬體突然發生
問題
作業系統與程
式啟動變慢
無法載入作業
系統
電腦發出聲響
且沒畫面
電腦經常當機
檔案夾突然消
失
符毒軟體發出
警告
沒有操作動作
卻存取頻繁
硬碟標示改變
網路安全
11-10
病毒分類
• 基於感染目標與媒介作分類:
–
–
–
–
–
–
系統磁區即開機型病毒
檔案型病毒
巨集型病毒
程式碼病毒
網路病毒
千面人病毒
網路安全
11-11
病毒排除步驟
•
•
•
•
步驟1
步驟2
步驟3
步驟4
切斷網路連線
重新開機進入安全模式
安裝必要更新，載入防毒軟體與新病毒碼
重新開機讓新病毒碼發揮效能
若仍然無效
• 步驟5 準備開機光碟，進行硬碟掃描，拆下硬碟
以外接硬碟方是由另一台電腦執行掃毒
• 步驟6 重新開機
• 步驟7 檢查各項安全措施
• 步驟8 確定病毒排除，重新連線到網路
網路安全
11-12
惡意程式分類 - 特洛伊木馬(Trojan horse)
• 特洛伊木馬通常是指被動式的惡意程式，且當它
被執行後會自行與外界主機進行連線，進行更進
階的惡意行為
– 特洛伊木馬與後門不同，後門指的是能讓攻擊者連
線進入受害主機的途徑
• 特洛伊木馬依據控制方式分為兩種
– Universal：可以被遠端控制的
– Transitive：無法進行遠端控制，其行為是固定的
網路安全
11-13
常見木馬程式
• 攻擊型態
– 遠端管理木馬程式，資料傳送木馬程式，破壞木馬
程式，阻斷服務攻擊木馬程式，代理木馬程式，檔
案傳輸木馬程式，關閉安全軟體木馬程式
木馬程式
協定
Ports
Back Orifice
UDP
31337 or 31338
Deep Throat
UDP
2140 and 3150
NetBus
TCP
12345 and 12346
Whack-a-mole
TCP
12361 and 12362
NetBus 2 Pro
TCP
20034
GirlFriend
TCP
21544
Masters Paradise
TCP
3129,40421,40422,40423, and 40426
網路安全
11-14
惡意程式命名
病毒種類 含義
• 惡意程式命名法：在1991
年，由CARO(Computer
Antivirus Researchers
Organization)所提出。些許
類似生物界，界門綱目科
屬種的命名法
– <惡意程式種類>://<平台
>/<family名稱>.<group名
稱>.<infective_長度>.<變
種>.<子變種名稱>
XF
Excel程式病毒
W32
32位元Windows病毒，
感染所有32位Windows
系統
WINT
32位元Windows病毒，
只感染Windows NT
Troj
特洛伊木馬
VBS
VBScript程式語言編寫
的病毒
VSM
感染 Visio VBA巨集或
script的巨集或script病
毒
JS
JScript程式語言編寫的
病毒
資料來源：The Art of Computer Virus Research and Defense
網路安全
11-15
惡意程式的威脅嚴重性
2008 FBI/CSI Survey
資料來源：http://i.cmpnet.com/v2.gocsi.com/pdf/CSIsurvey2008.pdf
網路安全
11-16
惡意程式的威脅嚴重性 (續)
2007資策會資安調查
網路安全
11-17
新型態的惡意程式 - 更新時才出現
• 在2011年，隨著Android等智慧型手機擴張，有越
來越顯著的手機病毒攻擊現象
• 下載到安裝時並無發現攻擊現象，在軟體更新時
，才會現出惡意程式真面貌
• 「Spyware:Android/SndApps」的Android間諜程式
– 偽裝成一般App內容
– 下載安裝後可以正常使用相關功能
– 更新App內容版本後，出現惡意程式的異常現象
資料來源: 惡意程式新手法：下載時無毒 更新後再變病毒 | 網路衝浪 | 線上漫遊 | udn數
位資訊http://mag.udn.com/mag/digital/storypage.jsp?f_ART_ID=351007#ixzz1n02uIVq6
網路安全
11-18
惡意程式攻擊目的演化
• 惡意程式所想達到的目的，不停的在變化
–
–
–
–
破壞使用者電腦環境
取得對方主機內的重要資訊或資料
取得單一跳板主機，利用來對目標主機進行攻擊
取得大量殭屍主機，利用來對目標主機進行大型攻
擊
• 惡意程式不再把目標放在單台主機，而是區域性
或大規模的攻擊
網路安全
11-19
惡意程式技術的演化
• 演化的方法就如同生態系一般，隨著環境變化而
淘汰掉部份技術(能被偵測或被防制的惡意程式)
，並隨著新技術的產生
– 惡意程式研究人員研發抵禦的技術
• 偵測與分析
• 防制與阻檔攔截
– 惡意程式作者研發反抵禦或新型的技術
• 傳播方法
• 隱匿與反制技術
• 攻擊技術
網路安全
11-20
Module 11-2：惡意程式攻擊與防護方法(*)
網路安全
11-21
惡意程式傳播方法
• 惡意程式必須透過一些途徑，方能進入受害者的
電腦，並進行感染或繁殖
–
–
–
–
–
–
惡意網站
隨身儲存裝置
IM (Internet Message)服務
Email
P2P檔案方享
檔案型病毒
網路安全
11-22
惡意程式隱匿與反制技術
• 行為隱蔽技術
– 利用隱避技術將惡意行為隱藏在正常行為之下
• 利用RegisterServiceProcess技術將自己註冊為服務
• DLL injection
• 程式碼加殼
– 對程式本身進行二次封裝、加密或壓縮等等變化
– 防止被防毒軟體利用特徵碼分析來進行鑑別
• 反制防毒軟體或分析系統
– 特徵碼擾亂
網路安全
11-23
行為隱蔽技術
• DLL Injection：可以讓一個它人的程式，運行攻
擊者自行定義的程式碼
– 可透過修改註冊機碼來指定DLL檔的存取路徑
– 利用SetWindowsHookEx函式，直接修改DLL的記
憶體中的參考位置，並指向到攻擊者定義的惡意
DLL位置
• API Hooking
– API為Windows所提供的服務，攻擊者可利用類似
DLL Injection的方法來使正常程式使用惡意的API
網路安全
11-24
程式碼加殼(Packer)
• 惡意程式執行檔是可以透過反組譯工具，反組譯
成右下圖的組合語言，可以供分析人員進一步得
到更詳細的執行流程和邏輯
• 而加殼技術則是對惡意程式執行檔的二進位內容
進行加密，使分析者無法理解其內容，此技術亦
應用於一般軟體的智慧財產保護上
• 可抵擋傳統防毒技術的特徵碼分析比對
網路安全
11-25
反制防毒軟體或分析系統
• 部份惡意程式能對防毒軟體進行攻擊
– 修改防毒軟體的重要檔案
– 與防毒軟體爭奪資源
• 有些分析方法是利用除錯器或者是虛擬機器的方式
實現，惡意程式會利用一些反監測的方法來逃避這
類型分析方法的監控
– 反虛擬機器監控(Anti-VM or Anti-Emulator)
網路安全
11-26
惡意程式多型技術(Polymorphism)
• 此類的技術目的為混淆防毒軟體與分析者，藉由插
入許多無關緊要的程式碼，改變其執行檔的樣貌
– 例：
原始程式碼
MOV AX, 0E88
;set key 1
多型程式碼
MOV [di], AX
MOV BX, [BP+0D2B] ;pick next word MOV AX, 0E88
INC SI
MOV [di], AX
CLC
NOP
MOV BX, [BP+0D2B]
網路安全
;set key 1
;無義
;無義
;無義
;pick next word
11-27
惡意程式偵測與分析
• 偵測與分析主要可以分為下列項目
– 惡意程式分析
• 靜態分析
• 動態分析
• 惡意程式偵測
– 加總比對法(checksum)
– 病毒特徵碼掃描
網路安全
11-28
惡意程式分析 - 靜態分析
• 靜態分析通常是針對程式碼進行分析，分析器會
對程式碼進行掃描，試圖找出符合特徵碼的區塊
– 反組譯分析
• 反組譯工具的開發難度極高
• 常用反組譯工具：IDA pro與Ollydebug
– 脫殼工具
• 因為惡意程式常會加上殼，防止被靜態分析，所以
就需要此類工具來協助
• 常用脫殼工具：PEID
• 而有經驗的分析人員可以利用手動脫殼來進行
網路安全
11-29
惡意程式分析 - 動態分析
• 靜態分析太過耗時，也耗人力，往往須要極有經
驗的分析人員才能準確的得到結果，於是便有動
態分析的方法被提出來
– 創造一個執行環境，讓惡意程式直接在裡面運行，
然後再利用行為監控器去監視其一舉一動
– 現在許多動態分析平台都是建構在虛擬機器之上
– 分析速度較靜態分析快，但需要較多硬體資源
– CWSandbox就是一動態分析平台
(http://www.cwsandbox.org/)
網路安全
11-30
惡意程式防制
• 防制主要可以分為下列項目
–
–
–
–
–
系統更新
使用最小權限進行工作
個人防火(毒)牆
防毒軟體
不安裝來路不明的軟體
網路安全
11-31
Module 11-3：特別討論 - Botnet(**)
網路安全
11-32
基礎名詞解釋
• Bot：robot的簡寫，可以自動執行預先定義的功能
，可以被預先定義的指令遠端控制，具有一定人
工智慧之程式
• Zombie(殭屍主機)：被植入Bot的主機，可被攻擊
者遠端控制
• Botnet：由被植入Bot的殭屍主機所組成，可供攻
擊者遠端控制的網路
網路安全
11-33
Botnet基本概念
• 攻擊者不需登入Botnet的任何一台殭屍主機即可控
制Botnet，並發送指令
• 當攻擊者發送指令後，Botnet的殭屍主機會自動執
行指令，例如：攻擊目標主機或與其他殭屍主機
交換資訊
網路安全
11-34
Botnet特性
• 以IRC Botnet為例
– 典型的IRC Botnet包含一個IRC Server與多個殭屍主機
，攻擊者透過IRC Server的頻道控制殭屍主機與下指令
– 殭屍主機會加入IRC Server的頻道，並等待攻擊者的指
令
– 攻擊者會對頻道內的殭屍主機發送訊息，若該訊息為
預先定義的指令，則殭屍主機會執行指令；若不是，
則殭屍主機不會有任何反應
– 這些指令可能為發送垃圾郵件、下載檔案及DoS攻擊
– 殭屍主機執行命令後，會回傳其結果
網路安全
11-35
Botnet與其他惡意程式比較表
類似/特點
Bot
Trojan
horse
Worm
Spyware
Virus
傳播性
可控性
可控傳播 高度可控
無
可控
主動傳播
無
干預傳播
無/弱
無
無
竊密性
危害等級
有
完全控制
有
完全控制
無/弱 主機和網路資源
嚴重竊密 資料外洩
無
感染文件
資料來源：
http://zh.wikipedia.org/w/index.php?title=%E6%AE%AD%E5%B1%8D%E7%B6%B2%E7
%B5%A1&variant=zh-tw
網路安全
11-36
Botnet威脅嚴重性
• 僵屍主機肆虐，台灣網路受害全球高居第六
– 科技犯罪防治中心發現國內有高達上萬台電腦遭受
Botnet危害，並對不特定對象進行DoS攻擊。經統
計資料顯示，台灣遭駭客控制Botnet之主機數量為
全世界排名第6名、亞洲地區第2名，顯見Botnet在
台灣之嚴重性
內政部警政署刑事警察局-新聞
資料來源：http://www.cib.gov.tw/news/news02_2.aspx?no=261
網路安全
11-37
Botnet發展三階段
• Botnet的發展過程包括傳播、感染及攻擊三個階段
– 傳播
– 感染
– 攻擊
網路安全
11-38
Botmaster
Botnet傳播階段
惡意Spam
惡意URL
其他
Worm
散播Bot
成為Botnet
自動連線至IRC Server
Channel
Channel
IRC Server
網路安全
Channel
Bot傳播過程
11-39
Botnet感染階段
• 每一個被感染主機都會因為隱藏在主機上的Bot的
執行，而在使用者不知情的情況下成為Botnet的一
員
• 以IRC Botnet為例，被感染的主機會成為殭屍主機
，然後登錄到指定的伺服器與頻道中；登錄成功
後，會在頻道中等待攻擊者的指令
網路安全
11-40
Botmaster
Botnet攻擊階段
C&C Server
Bot
攻擊
Victim
Bot攻擊路徑
網路安全
11-41
Botnet的危害
• Botnet嚴重性
– Gartner：在2008大概有75%的企業會感染Bot
– 刑事局偵九隊統計：全台有三分之一電腦遭植入
Bot
– FBI：Botnet受害者超過一百萬人
– 每10部電腦就有1.1部成為非自願的殭屍主機
• 網路文化的盛行，透過網路掛馬技術，可以很容
易的讓瀏覽網頁的使用者在不知情的狀況下被殖
入惡意程式，所以Bot規模也因此快速的發展起來
傀儡網路( botnet)無聲的主流威脅
資料來源：http://tw.trendmicro.com/tw/support/techsupport/board/tech/article/20081007100643.html
網路安全
11-42
Botnet的危害 (續)
• 藉由Botnet的大規模特性，可應用於下列幾種攻擊
– 拒絕服務攻擊
• 因為殭屍電腦都，所以攻擊者可快速的將指令傳達
給每台殭屍電腦，並利用它們對特定受害者進行分
散式拒絕服務攻擊(DDoS)
– 發送垃圾郵件
• Botnet也可利用來發送大量的垃圾郵件，而且發送
者可以透過代理伺服器來隱藏自身的IP資訊，減少
攻擊者被發現的風險
網路安全
11-43
Botnet的危害 (續)
– 竊取機密
• 各個殭屍主機有機會被攻擊者用來收集其所需要的
個人隱私資訊
• Bot也可利用竊聽器(Sniffer)來監看網路流量，取得
使用者的帳號與密碼
–濫用資源
• 一但成為殭屍電腦，資源便可遭攻擊者取來使用，
進行大規模的檔案儲存或需要許多運算資源的攻擊
• 利用殭屍主機來進行釣魚攻擊，誘導使用者連線到
錯誤的網站
Mentor’s Research & Interest:Botnet介紹
資料來源：http://mentorwang.blogspot.com/2008/07/botnet.html
網路安全
11-44
Module 11-4：特別討論 - Rootkits(**)
網路安全
11-45
Rootkits定義
• Rootkits由Root與kits兩字所結合
– Root → Unix系統管理者的名稱，代表Unix系統中
的最高權限
– kits →一個或數個以上的工具套件
• Rootkits
– 一個能夠隱藏攻擊者所想隱藏事物的工具組
– 不限於隱藏檔案，亦可隱藏攻擊者的行為
網路安全
11-46
Rootkits分類
• Rootkits可依據其所能隱藏的層級或是其所存在的
層級來進行分類
• Rootkits 分級
–
–
–
–
User mode
Kernel mode
虛擬機器
SMM mode
(ring 3)
(ring 0)
(ring -1)
(ring -2)
網路安全
11-47
User Mode Rootkits
• 技術
– IAT Hook
– Inline function patch
• 特性 - easy for everything
– 實作的難度不高
– 易遭發現
網路安全
11-48
Kernel Mode Rootkits
• 技術
–
–
–
–
SSDT hook
IDT hook
Layered driver
Inline function patch
• 特性 - hard for everything
– 其技術較難實作，在現實上會碰到許多難題
– 也難於發現此類Rootkits的存在
網路安全
11-49
虛擬機器Rootkits
• Virtual Machine Based Rootkits
– Samuel T. King，Peter M. Chen等人在2006年提出
– 模擬真實環境給使用者
RING 0~3
Target Host
Operating System
Virtual Machine
Monitor
RING -1
Malicious Host Operating System
RING -2
Host Hardware
網路安全
11-50
SMM mode虛擬機器(***)
• 一種藏於CPU SMM mode下的Rootkits
• 由Rutkowska Joanna等研究人員於2009年提出
• 雖然此概念於實作上尚有難度，但其成功後所能
得到的效益極大
• 是一種極難被發現的Rootkits實作方法
網路安全
11-51
SMM mode Rootkits(***)
• SMM mode - System Management Mode
– 是一種CPU所提供的模式
– 用來進行維護
• 可應用於電源管理和除錯模式
• 可運行特定的程式碼
– SMM mode的執行環境是位於一個獨
立且特定的記憶體區塊
RAM
Common
SMRAM
Common
Common
Common
• SMM mode下的程式可以存取所有記憶體位置
• 將Rootkits置於此模式下可以對整台主機的所有資
源進行存取，且又不會被發現
網路安全
11-52
資安趨勢 - Sony又被抓到在產品中使用
Rootkits程式
• 大綱
– 資安業者近日提出警告，指出Sony採用類似Rootkit
技 術 ， 其 MicroVault USB 隨 身 碟 驅 動 程 式 會 在
Windows內建立隱藏檔案，可能被駭客用來藏匿惡
意程式。F-Secure安全研究人員指出，當使用者購
買Sony的MicroVault USB後，該隨身碟提供指紋辨
識功能，並含在驅動程式中，一旦使用者安裝了該
驅動程式，就會在視窗中建立一個隱藏目錄及檔案
，假設駭客知道該檔名，就能透過命令提示字元進
入該目錄，並建立一個新的隱藏檔，而且可以執行
其中的檔案
資料來源：http://www.ithome.com.tw/itadm/article.php?c=45063
網路安全
11-53
結論
• 惡意程式的技術發展相當快速，防毒公司或研究
人員所提出的解決方案，往往無法完全應付新的
惡意程式技術
• 現今的惡意程式其目的不在是為了破壞一台主機
，而是針對大規模受害者和大規模跳板或殭屍主
機為其主流
• 要對惡意程式進行防範，使用者需要有良好的主
機使用習慣
網路安全
11-54
Module 11-5：Rootkit之攻防演練的實務(**)
網路安全
11-55
說明
• 假設Victim主機被入侵並安裝後門，所使用之工具
– NetCat (nc.exe)
代替telnet訪問遠端Shell、連接埠掃瞄、執行及傳輸文件
– Root Shell
為一種控制介面，在NetCat植入遠端電腦後利用 Root
Sell進行各種控制
– Hacker Defender
為駭客常使用的Rootkit工具，可以用來隱藏檔案、處理
程序及登錄碼(Hacker Defender 1.0.0)
• 對Victim主機進行掃描，所使用之工具
– Avira AntiVir
• 是一套由德國Avira公司所開發的一款防毒軟體
網路安全
11-56
說明 - Rootkit之攻防演練
• 架設實作(一)，Rootkit攻防實驗實習
– 使 用 Victim ， 利 用 NetCat 、 Root Shell 及 Hacker
Defender軟體對Victim主機進行入侵與安裝後門
– 使用Attacker主機，利用Avira AntiVir軟體進行掃描
• 架設實作(二)，WebSecurify Scanner實習
– 使用Attacker主機，利用WebSecurify Scanner軟體
嘗試進行網站的掃描
網路安全
11-57
Rootkit攻防實驗之架構(以Root Shell為例)
注入木馬
保持連線
隱藏木馬
Attacker
Victim
網路安全
11-58
實作環境介紹
• 以Testbed建立一實驗，相關拓樸及設定如下圖
Attacker
OS：WINXP-SP2
IP：10.1.1.2
安裝軟體：NetCat、Hacker
Defender、WebSecurify Scanner
AntiVir，務必使用
WINXP SP3的OS
Victim (HTTP Server )
OS：OS：WINXP-SP3-pc3000
IP：10.1.1.3
安裝軟體：Rootshell、 Avira
AntiVir、Appserv
網路安全
11-59
實驗拓樸on Testbed@TWISC
- 建立完成的實驗拓樸
網路安全
11-60
架設實作(一)
Rootkit攻防實驗實習
網路安全
攻擊之使用工具 - NetCat
• 版本
– NetCat 111 (nc.exe)
• 支援作業平台
– Microsoft Windows
• 下載位址
– http://www.mediafire.com/?6n0jvk7b9e7scqn
– http://www.multiupload.nl/TFU1PL15A0
下載放置位置
– Attacker主機
網路安全
11-62
攻擊之使用工具 - NetCat (續)
網路安全
11-63
攻擊之使用工具 - Rootshell
• 版本
– Rootshell.v.2.0.php
• 支援作業平台
– Microsoft Windows
• 下載位址
– http://www.mediafire.com/?6n0jvk7b9e7scqn
下載放置位置
– Victim主機
網路安全
11-64
攻擊之使用工具 - Rootshell (續)
• Rootshell
網路安全
11-65
攻擊之使用工具 - Hacker Defender
• 版本
– Hacker Defender 1.0.0
• 支援作業平台
– Microsoft Windows
• 下載位址
– http://www.mediafire.com/?u61l9bsd6q9ek4e
– http://www.multiupload.nl/KNYL3ST4DG
下載放置位置
– Attacker主機
網路安全
11-66
攻擊之使用工具 - Hacker Defender (續)
• Hacker Defender (defender v1.0.0包含的檔案文件)
檔案文件名稱
hxdef100.exe
檔案大小
70 144 b
說明
Hacker defender v1.0.0主程式
hxdef100.ini
hxdef100.2.ini
bdcli100.exe
rdrbs100.exe
readmecz.txt
readmeen.txt
readmefr.txt
src.zip
readmezh.txt
3 872 b
3 695 b
26 624 b
49 152 b
34 654 b
35 956 b
38 029 b
91 936 b
38 029 b
ini設置文件
ini設置文件，第2類
後門用戶端
redirectors base
捷克語版說明文件
英語說明文件
法語說明文件
原始碼
中文說明文件
網路安全
11-67
攻擊之使用工具 - Hacker Defender (續)
• Hacker Defender(設定檔包含的參數)
參數名稱
說明
[Hidden Table]
隱藏檔案、目錄
[Root Processes]
隱藏程序
[Hidden Services]
隱藏服務
[Hidden RegKeys]
隱藏RegKeys列表
[Hidden RegValues]
隱藏RegValues
[Startup Run]
系統啟動執行動作
[Free Space]
可用空間大小
[Hidden Ports]
隱藏port
[Settings]
hxdef的設置
網路安全
11-68
偵測Rootkit工具 - Avira AntiVir
• 版本
– Avira AntiVir Personal - FREE Antivirus
• 支援作業平台
– Microsoft Windows
• 下載位址
– http://www.avira.com/en/downloadstart/product/avira-free-antivirus
– 下載放置位置
– Victim主機
網路安全
11-69
偵測Rootkit工具 - Avira AntiVir (續)
• 此為Avira 開發的防毒軟體，包含Rootkit的防護，
可檢測出被隱藏的物件
網路安全
11-70
環境描述
• 假設條件
– Victim主機為一台HTTP Server
– Victim主機已安裝Rootshell (Rootshell.v.2.0.php)
• Attacker主機與Victim主機描述
– Attacker主機之攻擊
• 開啟Rootshell網頁，並注入nc.exe至Victim主機
• 建立之間的連線
• 執行各種指令進行攻擊
– Victim主機之防禦
• 利用防護軟體測試掃描
網路安全
11-71
環境描述 (續)
• 本實驗的主要目的為隱藏惡意程式，使Victim主
機的使用者不會發現主機被入侵
• 實驗的步驟為
– 環境設定
–
–
–
–
執行Rootshell並上傳NetCat
建立連線
隱藏程序
Victim主機之防禦
網路安全
11-72
環境設定
• 駭客一般會透過系統漏洞入侵Victim主機，上傳
攻擊工具，並設定環境
• 但本實驗的主要目的是隱藏惡意程式，該步驟直
接手動設定Victim主機環境
• 在Victim主機上安裝Appserv，設定為HTTP Server
• Appserv下載位置
– http://prdownloads.sourceforge.net/appserv/appservwin32-2.5.10.exe?download
網路安全
11-73
環境設定 (續)
1
2
3
4
網路安全
11-74
環境設定 (續)
1
• 輸入MySQL密碼
• 字碼
– 預設UTF-8
2
3
網路安全
11-75
環境設定 (續)
• 關閉防火牆
• 將Rootshell檔案放入Appserv的www目錄下
網路安全
11-76
執行Root Shell並上傳NetCat
• 在Victim主機上確認IP位置
網路安全
11-77
執行Root Shell並上傳NetCat (續)
• 在Attacker主機的瀏覽器上，輸入Victim主機的IP
及Rootshell檔案名稱，確認能夠連線至
http://10.1.1.3/Rootshell.v.2.0.php
網路安全
11-78
執行Root Shell並上傳NetCat (續)
• Attacker主機利用Rootshell的「File Upload」功能，
將nc.exe上傳至Victim主機
網路安全
11-79
執行Root Shell並上傳NetCat (續)
• 至Victim主機的C:\Appserv\www\路徑下，查看
nc.exe是否上傳成功
網路安全
11-80
建立連線
• 在Attacker主機上利用 Root Shell輸入nc -l -p 8888 e cmd.exe，與Victim主機建立連線
• 按Execute後，會發現頁面正在讀取，不必等讀取
完畢，即可執行下一步驟
網路安全
11-81
建立連線 (續)
• 在Victim主機上下載Process Explorer監控，確認
Victim主機已與Attacker主機建立連線
– Process Explorer下載位址
• http://technet.microsoft.com/enus/sysinternals/bb896653.aspx
• 經過監控會發現nc.exe正在執行，如此經由監控軟
體便可將可疑的程式關閉
• 因此，必須透過隱藏程式將nc.exe隱藏，避開使用
者的監控
網路安全
11-82
建立連線 (續)
網路安全
11-83
建立連線 (續)
• 若上頁的nc.exe沒有執行，請試以下方法
網路安全
11-84
建立連線 (續)
• 開啟命令提示字元，在Attacker主機上照畫面步驟
執行
• 為了使惡意程式不會被察覺，必須透過隱藏程式
將nc.exe隱藏，避開使用者的監控
網路安全
11-85
建立連線 (續)
• 開啟命令提示字元，在Attacker主機上照畫面步驟
執行
• 指 令 rm phpinfo.php 可 刪 除 phpinfo.php ， 可 至
Victim主機查看
網路安全
11-86
隱藏程序
• 在Attacker主機上開啟Hacker Defender中的
hxdef100.ini，將[Hidden Processes]之參數設定為
[\<Hi<>dden" P/r>oc"/e<ss>es\\]
>n"c.ex"e
r|c<md\.ex<e::
網路安全
11-87
隱藏程序 (續)
• 在瀏覽器上開起新頁面，輸入Victim主機的IP及
Rootshell檔案名稱
– http://10.1.1.3/Rootshell.v.2.0.php
• Attacker主機在Root Shell中上傳2個檔案
– hxdef100.exe
– hxdef100.ini
網路安全
11-88
隱藏程序 (續)
• Attacker主機在Rootshell中輸入hxdef100.exe
• 將Victim主機的nc.exe成功隱藏起來
• 切換到Victim主機，Process Explorer監控軟體將無
法看到nc.exe
網路安全
11-89
隱藏程序 (續)
網路安全
11-90
隱藏程序 (續)
• 接下來可能會出現警告訊息，但不影響實驗進行
網路安全
11-91
Victim主機之防禦
• Victim主機利用Avira AntiVir進行掃描，然後可做
清除Rootkit或進行隔離的動作，還有提供掃瞄的
報告
• 點選Avira AntiVir執行檔開始安裝
網路安全
11-92
Victim主機之防禦
• 照著指引繼續安裝
網路安全
11-93
Victim主機之防禦
• 開始掃描
網路安全
11-94
Victim主機之防禦
• 發現惡意程式
網路安全
11-95
架設實作(二)
WebSecurify Scanner實習
網路安全
11-96
WebSecurify Scanner簡介
• WebSecurify Scanner使用先進瀏覽器的自動化、
探索能力以及模糊能力來定義出網頁安全弱點
• 框架是用 Javascript，並且可以成功地在各種不同
的 瀏 覽 器 執 行 ， 只 要 瀏 覽 器 支 援 HTML5,
xulrunner, xpcshell, Java, V8 與其它相關功能
• 針對網站檢測出像是XSS、 Disclosure和CSRF等
漏洞，並提出建議的修補說明
• WebSecurify Scanner網頁：
http://www.websecurify.com/
網路安全
11-97
WebSecurify Scanner
• 版本
– Websecurify Scanner 0.9
• 支援作業系統
– Microsoft Windows、LINUX及MAC
• 下載位址
– http://code.google.com/p/websecurify/downloads/list
網路安全
11-98
WebSecurify Scanner安裝步驟
• 於Attacker主機執行Websecurify Scanner 0.9
• 只須按照預設的步驟進行安裝便可
網路安全
11-99
網站檢測 - WebSecurify Scanner
• 點擊Websecurify Scanner圖示
• 主程式出現之後，再點取紅框所指示的地方
網路安全
11-100
網站檢測 - WebSecurify Scanner (續)
• 在紅框所指示處輸入欲檢測的網址之後，請按
Enter
網路安全
11-101
網站檢測 - WebSecurify Scanner (續)
• 此時會出現警告視窗，請將「I understand the risk
」此選項打勾，並點擊「Continue」，如不檢測請
點擊「Cancel」
網路安全
11-102
網站檢測 - WebSecurify Scanner (續)
• 此時便會依使用者所輸入之網站開始進行檢測
網路安全
11-103
網站檢測 - WebSecurify Scanner (續)
• 開始之後只須點擊紅框所指示處，便可查看其隱
藏的漏洞
網路安全
11-104
檢測結果分析
• 跨網站腳本攻擊(Cross-site Scripting, XSS)
• 解決方式就為要求網站開發者，在將使用者相關
資料動態連結網頁時，先進行編碼與過濾
網路安全
11-105
檢測結果分析 (續)
• Open Redirect
• 解決方式為要求網站開發者，在進行網路轉址時
，要確保其網址在已經驗證網址的白名單內
網路安全
11-106
檢測結果分析 (續)
• 跨 網 站 的 偽 造 要 求 (Cross-site Request Forgery,
CSRF)
• 解決方式為要求網站開發者在網址和表單的地方
加入random token的機制，這些token必須在伺服
器處理請求之前先進行驗證其有效性
網路安全
11-107
檢測結果分析 (續)
• 跨網站的偽造要求(Autocomplete Enabled)
• 解決方式為要求網站開發者將AutoComplete此功
能設定為Off
網路安全
11-108
檢測結果分析 (續)
• 此軟體可以檢測出Disclosure存在以下這幾類的漏
洞：
˗ User
˗ Path
˗ IP
˗ Error
˗ Email
˗ Banner
網路安全
11-109
檢測結果分析 (續)
• 對於Disclosure的主要解決方式都是要求網站開發
者對於這些資訊都須先進行保護的動作以確保資
訊不會外流
網路安全
11-110
結論
• 在Rootkit攻擊方面，主要的攻擊步驟
– 想辦法植入Rootkit
– 建立之間的連線
– 隱藏程序
• 在Rootkit防禦方面，市面上AntiRootkit工具很多
– 利用Avira AntiRootkit防護軟體掃瞄
– 可針對files、registry、processes及driver進行掃瞄
– 但若攻擊端使用更複雜的隱藏手法，則掃瞄軟體將
可能無法偵測出是否為Rootkit
網路安全
11-111
結論 (續)
• 對於網站開發者來說，可藉WebSecurify Scanner
工具來了解到自己所開發的網站存在那些漏洞，
並可藉由其所提供的修補建議來對網站進行完善
的處置
• 對於使用者來說的話，可藉此知道哪些網站相對
之下是比較安全的
網路安全
11-112
習題
網路安全
11-113
習題
1. 請簡敘Botnet發展三階段
2. 請至搜尋引擊尋找關於Botnet的新聞(關鍵字：
Botnet與新聞)，再以你看過本節的知識對文章作
個摘要
3. 若您是駭客，請問您將如何將Rootkit植入受害者
電腦，請簡述步驟
4. 請問，如何察覺或偵測您的電腦可能已中了
Rootkit
網路安全
11-114
Module 11-6 ：惡意程式的專案實作(**)
網路安全
11-115
專案目的
• 利用實際操作的方式讓同學了解Rootkit工作原理
• 下載Netcat
– http://www.downloadnetcat.com/
• 下載Hacker defence
– https://www.google.com/url?q=http://www.cracksguru
.com/data/ProtectX_Hacker_defense_suite_v4.16_seri
al_by_DBC-bee1617658.html&sa=U&ei=jfZqT8bE6GemQXk3fHFBg&ved=0CBsQFjAD&sig2=3mep
Q8ApoN4Y_L8GoGfgTQ&usg=AFQjCNGQbvUKpA
F18xrA4nHs76LtBvkorQ
網路安全
11-116
專案描述
• A 公 司 有 一 未 維 護 的 網 頁 主 機 ， 且 已 裝 有 Root
Shell程式，你現在扮演一個攻擊者角色將NetCat
上傳到該主機，且為了不被使用者發覺，必須隱
藏該程式，以利後續的攻擊
• 參考環境配置圖，模擬下列狀況
– 利用已存在的Root Shell將NetCat上傳到網頁主機
– 利用Hacker Defender隱藏程序
網路安全
11-117
NetCat上傳方式
• 要用 netcat 傳送檔案，分別要在傳送及接收雙方
進行設定。在接收端輸入
– netcat -l -p 1234 > filename
– 其中 -l 選項是要 netcat 進行監聽 -p 所設定的埠號
，如要使用 1024 以下的埠號，需要用 root 的身份
執行。
• 在傳送檔安的主機上，執行
– cat filename | netcat hostname 1234 -q 10
– -q 選擇是告訴 netcat 傳送完成後 10 秒離開。
網路安全
11-118
專案描述 (續)
• 現在你在B公司上班，為了避免公司的主機被植
入Rootkit，請你對公司的主機進行更新，避免不
必要的風險
• 參考環境配置圖，模擬下列狀況
– 安裝Avira Antivir防毒軟體
– 利用Avira Antivir進行掃描
網路安全
11-119
環境配置圖
Victim
OS：WINXP-SP2
IP：10.0.1.2
安裝軟體：AppServ
Attacker
OS：WINXP-SP2
IP：10.0.1.1
AppServ下載處：
http://www.appservnetwork.com
網路安全
11-120
作業繳交說明
•
•
•
•
•
請參考情境完成作業，並將過程擷圖列於報告中
基於基本情境再多實作一些擴充情境可額外加分
請於 2013/06/11 23:59 前將報告上傳FTP
在實作方面有問題，請寄信給助教，謝謝。
若實驗已完成，請將實驗swap out，以釋出資源，
謝謝
網路安全
7-121
參考資料
• 中國駭客癱瘓巴哈姆特網站
http://www.libertytimes.com.tw/2008/new/apr/30/today-life7.htm
• 內政部警政署刑事警察局
http://www.cib.gov.tw/news/news02_2.aspx?no=261
• CNN網站遭駭客冒用！假電子報內含病毒影片
http://www.nownews.com/2008/08/07/339-2316527.htm
• 殭屍網路研究系列文章之一
http://www.media.edu.cn/wang_luo_an_quan_5177/20060630/t20060630_1
86389.shtml
• 喪屍網路-維基百科
http://zh.wikipedia.org/w/index.php?title=%E6%AE%AD%E5%B1%8D%E
7%B6%B2%E7%B5%A1&variant=zh-tw
• Mentor’s Research & Interest:Botnet介紹
http://mentorwang.blogspot.com/2008/07/Botnet.html
網路安全
11-122
參考資料 (續)
• Spam Statistics from TRACE::Marshal
http://www.marshal.com/TRACE/spam_statistics.asp
• [資通安全]感染Backdoor.Rustock.A病毒
http://ccnet.tnua.edu.tw/certnews/viewtopic.php?p=19&sid=c3133b653ed47a4918045a4b434bc9c0
• the new pof: 2.0.8 (2006-09-06)
http://lcamtuf.coredump.cx/p0f.shtml
• rpmfind.net
http://rpmfind.net/linux/RPM/index.html
• Conficker悄悄變種與W32.Waledac病毒攜手作惡
http://rogerspeaking.com/2009/04/2024
網路安全
11-123
參考資料 (續)
•
•
•
•
Kaspersky, 防毒軟體如何對抗Rootkit, 2006/10/05 18:50
[VirusList] 卡巴斯基實驗室, Viruslist.com, 2005
[iDEF2003] Anton Chuvakin, An Overview of Unix Rootkits
TWCERT/CC
www.cert.org.tw/document/
• Greg Hoglund & James Buther, “Rootkits: Subverting the Windows
Kernel”, Addison Wesley, 2006
• Nancy Altholz and Larry Stevenson, “Rootkits for Dummies”, Dummies,
2007
• Wikipedia Encyclopedia
http://en.wikipedia.org/wiki/Rootkit
網路安全
11-124
參考資料 (續)
• Chkrootkit
www.chkrootkit.org
• Rootkit Hunter
http://www.rootkit.nl/
• http://www.microsoft.com/taiwan/technet/columns/profwin/19Rootkits.mspx
• http://www.ithome.com.tw/itadm/article.php?c=45063
• WebSecurify Scanner
http://www.websecurify.com/
• http://code.google.com/p/websecurify/
• 資訊安全-駭客攻擊與防禦對策，凱文瑞克工作室，學貫行銷股份有
限公司
網路安全
11-125