PPT (New) - Internet Technology Lab
Download
Report
Transcript PPT (New) - Internet Technology Lab
Module 11:
惡意程式偵測與防護技術實習
網路安全
學習目的
1.
2.
近年來惡意程式的氾濫跟變種及Botnet引起的大範圍攻
擊,使得攻擊者更能輕易竊取使用者資料並獲取利潤。
瞭解這些惡意程式的架構、感染途徑及防護方式,就成
為刻不容緩需要努力的目標
本模組共有以下六個小節包括
(1)惡意程式介紹(*)
(2)惡意程式攻擊與防護方式(*)
(3)特別討論 - Botnet(**)
(4)特別討論 - Rootkits(**)
(5)Rootkit之攻防演練的實務(**)
(6)惡意程式的專案實作(**)
共需三個鐘點
網路安全
11-2
Module 11:惡意程式偵測與防護技術實習
•
•
•
•
•
•
Module 11-1:惡意程式介紹(*)
Module 11-2:惡意程式攻擊與防護方法(*)
Module 11-3:特別討論 - Botnet(**)
Module 11-4:特別討論 - Rootkits(**)
Module 11-5:Rootkit之攻防演練的實務(**)
Module 11-6:惡意程式的專案實作(**)
* 初級(basic):基礎性教材內容
**中級(moderate):教師依據學生的吸收情況,選擇性介紹本節的內容
***高級(advanced):適用於深入研究的內容
網路安全
11-3
Module 11-1:惡意程式介紹(*)
網路安全
11-4
前言
• 惡意程式包括病毒、特洛伊木馬或入侵者所撰寫
的惡意腳本(script),可能利用自我複製、電子郵
件或即時通訊軟體快速傳播,造成資料流失、當
機和服務中斷等安全事件
• 駭客會把惡意程式附在有趣的動畫或小程式上,
當使用者開啟這些程式,就會開啟一到數個Port
常駐在系統上,此時駭客就能利用程式來得到系
統上的資料
• 惡意程式成駭客獲利的來源
網路安全
11-5
程式
• 在這邊我們定義為可執行檔,為一種可被電腦所
解讀並運行特定動作的檔案
網路安全
11-6
惡意程式定義
• 泛指任何惡意、未經使用者授權存取及不符合預
期的程式碼皆為惡意程式
• 惡意程式依其行為特徵區分,有下列常見的分類
–
–
–
–
病毒(Virus)
蠕蟲(Worm)
特洛伊木馬(Trojan horse)
Rootkits
• 惡意程式依據作者的目的,朝向綜合上述類型的
惡意程式的優點,發展出兼具自動化、結構化及
不易偵測等特性的混和式惡意程式
網路安全
11-7
惡意程式分類 - 病毒(Virus)
• 病毒是惡意的程式碼,會將自身附加到某些檔案
中,進行偽裝
• 會在不同主機間散佈,可是不具自行複製的能力
• 病毒也具破壞軟體、硬體及檔案的能力
• 破壞軟體是一種比較新穎的攻擊方式,藉由過度
使用硬碟,或是對CMOS與Flash BIOS以進行清除
網路安全
11-8
惡意程式分類 - 蠕蟲(Worm)
• 具有自行複製,並自動感染其它主機的能力
– 會自行掃描其它主機的漏洞,並透過該漏洞,複製
自己到該主機上
– 佔用所寄生的主機資源
• 蠕蟲依其目的,可分為兩類
– 對單一主機進行攻擊與佔用單一運算資源
– 對大規模環境進行攻擊與佔用區域主機資源
網路安全
11-9
惡意程式分類 - 特洛伊木馬(Trojan horse)
• 特洛伊木馬通常是指被動式的惡意程式,且當它
被執行後會自行與外界主機進行連線,進行更進
階的惡意行為
– 特洛伊木馬與後門不同,後門指的是能讓攻擊者連
線進入受害主機的途徑
• 特洛伊木馬分為兩種
– Universal:可以被遠端控制的
– Transitive:無法進行遠端控制,其行為是固定的
網路安全
11-10
惡意程式命名
病毒種類 含義
• 惡意程式命名法:在1991
年,由CARO(Computer
Antivirus Researchers
Organization)所提出。些許
類似生物界,界門綱目科
屬種的命名法
XF
Excel程式病毒
W32
32位病毒,感染所有32
位Windows系統
WINT
32位Windows病毒,只
感染Windows NT
Troj
特洛伊木馬
VBS
VBScript程式語言編寫
的病毒
感染 Visio VBA巨集或
script的巨集或script病
毒
VSM
– <惡意程式種類>://<平台
>/<family名稱>.<group名
JScript程式語言編寫的
JS
病毒
稱>.<infective_長度>.<變
種>.<子變種名稱> Example: virus://w32/Beast.41472.A
資料來源:The Art of Computer Virus Research and Defense
網路安全
11-11
惡意程式的威脅嚴重性
2008 FBI/CSI Survey
資料來源:http://i.cmpnet.com/v2.gocsi.com/pdf/CSIsurvey2008.pdf
網路安全
11-12
惡意程式的威脅嚴重性 (續)
2007資策會資安調查
網路安全
11-13
惡意程式攻擊目的演化
• 惡意程式所想達到的目的,不停的在變化
–
–
–
–
破壞使用者電腦環境
取得對方主機內的重要資訊或資料
取得單一跳板主機,利用來對目標主機進行攻擊
取得大量殭屍主機,利用來對目標主機進行大型攻
擊
• 惡意程式不再把目標放在單台主機,而是區域性
或大規模的攻擊
網路安全
11-14
惡意程式技術的演化
• 演化的方法就如同生態系一般,隨著環境變化而
淘汰掉部份技術(能被偵測或被防制的惡意程式)
,並隨著新技術的產生
– 惡意程式研究人員研發抵禦的技術
• 傳播方法
• 隱匿與反制技術
• 攻擊技術
– 惡意程式作者研發反抵禦或新型的技術
• 偵測與分析
• 防制與阻檔攔截
網路安全
11-15
Module 11-2:惡意程式攻擊與防護方法(*)
網路安全
11-16
惡意程式傳播方法
• 惡意程式必須透過一些途徑,方能進入受害者的
電腦,並進行感染或繁殖
–
–
–
–
–
–
惡意網站
隨身儲存裝置
IM (Internet Message)服務
Email
P2P檔案方享
檔案型病毒
網路安全
11-17
惡意程式隱匿與反制技術
• 行為隱蔽技術
– 利用隱避技術將惡意行為隱藏在正常行為之下
• 利用RegisterServiceProcess技術將自己註冊為服務
• DLL injection
• 程式碼加殼
– 對程式本身進行二次封裝、加密或壓縮等等變化
– 防止被防毒軟體利用特徵碼分析來進行鑑別
• 反制防毒軟體或分析系統
– 特徵碼擾亂
網路安全
11-18
行為隱蔽技術
• DLL Injection:可以讓一個它人的程式,運行攻
擊者自行定義的程式碼
– 可透過修改註冊機碼來指定DLL檔的存取路徑
– 利用SetWindowsHookEx函式,直接修改DLL的記
憶體中的參考位置,並指向到攻擊者定義的惡意
DLL位置
• API Hooking
– API為Windows所提供的服務,攻擊者可利用類似
DLL Injection的方法來使正常程式使用惡意的API
網路安全
11-19
程式碼加殼(Packer)
• 惡意程式執行檔是可以透過反組譯工具,反組譯
成右下圖的組合語言,可以供分析人員進一步得
到更詳細的執行流程和邏輯
• 而加殼技術則是對惡意程式執行檔的二進位內容
進行加密,使分析者無法理解其內容,此技術亦
應用於一般軟體的智慧財產保護上
• 可抵擋傳統防毒技術的特徵碼分析比對
網路安全
11-20
反制防毒軟體或分析系統
• 部份惡意程式能對防毒軟體進行攻擊
– 修改防毒軟體的重要檔案
– 與防毒軟體爭奪資源
• 有些分析方法是利用除錯器或者是虛擬機器的方式
實現,惡意程式會利用一些反監測的方法來逃避這
類型分析方法的監控
– 反虛擬機器監控(Anti-VM or Anti-Emulator)
網路安全
11-21
惡意程式多型技術(Polymorphism)
• 此類的技術目的為混淆防毒軟體與分析者,藉由插
入許多無關緊要的程式碼,改變其執行檔的樣貌
– 例:
原始程式碼
MOV AX, 0E88
;set key 1
多型程式碼
MOV [di], AX
MOV BX, [BP+0D2B] ;pick next word MOV AX, 0E88
INC SI
MOV [di], AX
CLC
NOP
MOV BX, [BP+0D2B]
網路安全
;set key 1
;無義
;無義
;無義
;pick next word
11-22
惡意程式偵測與分析
• 偵測與分析主要可以分為下列項目
– 惡意程式分析
• 靜態分析
• 動態分析
• 惡意程式偵測
– 加總比對法(checksum)
– 病毒特徵碼掃描
網路安全
11-23
惡意程式分析 - 靜態分析
• 靜態分析通常是針對程式碼進行分析,分析器會
對程式碼進行掃描,試圖找出符合特徵碼的區塊
– 反組譯分析
• 反組譯工具的開發難度極高
• 常用反組譯工具:IDA pro與Ollydebug
– 脫殼工具
• 因為惡意程式常會加上殼,防止被靜態分析,所以
就需要此類工具來協助
• 常用脫殼工具:PEID
• 而有經驗的分析人員可以利用手動脫殼來進行
網路安全
11-24
惡意程式分析 - 動態分析
• 靜態分析太過耗時,也耗人力,往往須要極有經
驗的分析人員才能準確的得到結果,於是便有動
態分析的方法被提出來
– 創造一個執行環境,讓惡意程式直接在裡面運行,
然後再利用行為監控器去監視其一舉一動
– 現在許多動態分析平台都是建構在虛擬機器之上
– 分析速度較靜態分析快,但需要較多硬體資源
– CWSandbox就是一動態分析平台
(http://www.cwsandbox.org/)
網路安全
11-25
惡意程式防制
• 防制主要可以分為下列項目
–
–
–
–
–
系統更新
使用最小權限進行工作
個人防火牆
防毒軟體
不安裝來路不明的軟體
網路安全
11-26
Module 11-3:特別討論 - Botnet(**)
網路安全
11-27
基礎名詞解釋
• Bot:robot的簡寫,可以自動執行預先定義的功能
,可以被預先定義的指令遠端控制,具有一定人
工智慧之程式
• Zombie(殭屍主機):被植入Bot的主機,可被攻擊
者遠端控制
• Botnet:由被植入Bot的殭屍主機所組成,可供攻
擊者遠端控制的網路
網路安全
11-28
Botnet基本概念
• 攻擊者不需登入Botnet的任何一台殭屍主機即可控
制Botnet,並發送指令
• 當攻擊者發送指令後,Botnet的殭屍主機會自動執
行指令,例如:攻擊目標主機或與其他殭屍主機
交換資訊
網路安全
11-29
Botnet特性
• 以IRC Botnet為例
– 典型的IRC Botnet包含一個IRC Server與多個殭屍主機
,攻擊者透過IRC Server的頻道控制殭屍主機與下指令
– 殭屍主機會加入IRC Server的頻道,並等待攻擊者的指
令
– 攻擊者會對頻道內的殭屍主機發送訊息,若該訊息為
預先定義的指令,則殭屍主機會執行指令;若不是,
則殭屍主機不會有任何反應
– 這些指令可能為發送垃圾郵件、下載檔案及DoS攻擊
– 殭屍主機執行命令後,會回傳其結果
網路安全
11-30
Botnet與其他惡意程式比較表
類似/特點
Bot
傳播性
可控性
可控傳播 高度可控
Trojan
horse
無
可控
Worm
Spyware
Virus
主動傳播
無
干預傳播
無/弱
無
無
竊密性
危害等級
有
完全控制被感染
主機
有
完全控制被感染
主機
無/弱 主機和網路資源
嚴重竊密 資料外洩
無
感染文件
資料來源:
http://zh.wikipedia.org/w/index.php?title=%E6%AE%AD%E5%B1%8D%E7%B6%B2%E7
%B5%A1&variant=zh-tw
網路安全
11-31
Botnet威脅嚴重性
• 僵屍主機肆虐,台灣網路受害全球高居第三
– 資安廠商賽門鐵克公布全球網路威脅報告指出,台
灣在全球國家受殭屍網路感染排名第三,僅次於美
國與德國。(2011-04-20)
資料來源:
http://www.symantec.com/business/threatreport/index.jsp#
網路安全
11-32
Botnet發展三階段
• Botnet的發展過程包括傳播、感染及攻擊三個階段
– 傳播
– 感染
– 攻擊
網路安全
11-33
Botnet傳播階段
惡 惡 Spam
Botmaster
惡 惡 URL
惡惡
Worm
惡 惡 Bot
惡 惡 Botnet
惡 惡 惡 惡 惡 C&C
Server
Channel
Channel
C&C Server
網路安全
Channel
Bot傳播過程
11-34
Botnet感染階段
• 每一個被感染主機都會因為隱藏在主機上的Bot的
執行,而在使用者不知情的情況下成為Botnet的一
員
• 以IRC Botnet為例,被感染的主機會成為殭屍主機
(Bot),然後登錄到指定的伺服器與頻道中
(C&C/IRC Server);登錄成功後,會在頻道中等待
攻擊者的指令
網路安全
11-35
Botmaster
Botnet攻擊階段
C&C Server
Bot
惡惡
Victim
Bot攻擊路徑
網路安全
11-36
Botnet的危害
• Botnet嚴重性
– Gartner:在2008大概有75%的企業會感染Bot
– 刑事局偵九隊統計:全台有三分之一電腦遭植入
Bot
– FBI:Botnet受害者超過一百萬人
– 每10部電腦就有1.1部成為非自願的殭屍主機
• 網路文化的盛行,透過網路掛馬技術,可以很容
易的讓瀏覽網頁的使用者在不知情的狀況下被殖
入惡意程式,所以Bot規模也因此快速的發展起來
傀儡網路( botnet)無聲的主流威脅
資料來源:http://tw.trendmicro.com/tw/support/techsupport/board/tech/article/20081007100643.html
網路安全
11-37
Botnet的危害 (續)
• 藉由Botnet的大規模特性,可應用於下列幾種攻擊
– 拒絕服務攻擊
• 因為殭屍電腦都,所以攻擊者可快速的將指令傳達
給每台殭屍電腦,並利用它們對特定受害者進行分
散式拒絕服務攻擊(DDoS)
– 發送垃圾郵件
• Botnet也可利用來發送大量的垃圾郵件,而且發送
者可以透過代理伺服器來隱藏自身的IP資訊,減少
攻擊者被發現的風險
網路安全
11-38
Botnet的危害 (續)
– 竊取機密
• 各個殭屍主機有機會被攻擊者用來收集其所需要的
個人隱私資訊
• Bot也可利用竊聽器(Sniffer)來監看網路流量,取得
使用者的帳號與密碼
–濫用資源
• 一但成為殭屍電腦,資源便可遭攻擊者取來使用,
進行大規模的檔案儲存或需要許多運算資源的攻擊
• 利用殭屍主機來進行釣魚攻擊,誘導使用者連線到
錯誤的網站
Mentor’s Research & Interest:Botnet介紹
資料來源:http://mentorwang.blogspot.com/2008/07/botnet.html
網路安全
11-39
Module 11-4:特別討論 - Rootkits(**)
網路安全
11-40
Rootkits定義
• Rootkits由Root與kits兩字所結合
– Root → Unix系統管理者的名稱,代表Unix系統中
的最高權限
– kits →一個或數個以上的工具套件
• Rootkits
– 一個能夠隱藏攻擊者所想隱藏事物的工具組
– 不限於隱藏檔案,亦可隱藏攻擊者的行為
網路安全
11-41
Rootkits分類
• Rootkits可依據其所能隱藏的層級或是其所存在的
層級來進行分類
• Rootkits 分級
–
–
–
–
User mode
Kernel mode
虛擬機器
SMM mode
(ring 3)
(ring 0)
(ring -1)
(ring -2)
網路安全
11-42
User Mode Rootkits
• 技術
– IAT Hook
– Inline function patch
• 特性 - easy for everything
– 實作的難度不高
– 易遭發現
網路安全
11-43
Kernel Mode Rootkits
• 技術
–
–
–
–
SSDT hook
IDT hook
Layered driver
Inline function patch
• 特性 - hard for everything
– 其技術較難實作,在現實上會碰到許多難題
– 也難於發現此類Rootkits的存在
網路安全
11-44
虛擬機器Rootkits
• Virtual Machine Based Rootkits
– Samuel T. King Peter M. Chen在2006年提出
– 模擬真實環境給使用者
RING 0~3
Target Host
Operating System
Virtual Machine
Monitor
RING -1
Malicious Host Operating System
RING -2
Host Hardware
網路安全
11-45
SMM mode虛擬機器(***)
• 一種藏於CPU SMM mode下的Rootkits
• 由Rutkowska Joanna等研究人員於2009年提出
• 雖然此概念於實作上尚有難度,但其成功後所能
得到的效益極大
• 是一種極難被發現的Rootkits實作方法
網路安全
11-46
SMM mode Rootkits(***)
• SMM mode - System Management Mode
– 是一種CPU所提供的模式
– 用來進行維護
• 可應用於電源管理和除錯模式
• 可運行特定的程式碼
– SMM mode的執行環境是位於一個獨
立且特定的記憶體區塊
RAM
Common
SMRAM
Common
Common
Common
• SMM mode下的程式可以存取所有記憶體位置
• 將Rootkits置於此模式下可以對整台主機的所有資
源進行存取,且又不會被發現
網路安全
11-47
資安趨勢 - Sony又被抓到在產品中使用
Rootkits程式
• 大綱
– 資安業者近日提出警告,指出Sony採用類似Rootkit
技術,其MicroVault USB隨身碟驅動程式會在
Windows內建立隱藏檔案,可能被駭客用來藏匿惡
意程式。F-Secure安全研究人員指出,當使用者購
買Sony的MicroVault USB後,該隨身碟提供指紋辨
識功能,並含在驅動程式中,一旦使用者安裝了該
驅動程式,就會在視窗中建立一個隱藏目錄及檔案
,假設駭客知道該檔名,就能透過命令提示字元進
入該目錄,並建立一個新的隱藏檔,而且可以執行
其中的檔案
資料來源:http://www.ithome.com.tw/itadm/article.php?c=45063
網路安全
11-48
結論
• 惡意程式的技術發展相當快速,防毒公司或研究
人員所提出的解決方案,往往無法完全應付新的
惡意程式技術
• 現今的惡意程式其目的不在是為了破壞一台主機
,而是針對大規模受害者和大規模跳板或殭屍主
機為其主流
• 要對惡意程式進行防範,使用者需要有良好的主
機使用習慣
網路安全
11-49
Module 11-5:Rootkit之攻防演練的實務(**)
網路安全
11-50
Rootkit攻防實驗之架構(以Root Shell為例)
注入木馬
保持連線
隱藏木馬
Attacker
Victim
網路安全
11-51
實作環境介紹
• 以Testbed建立一實驗,相關拓樸及設定如下圖
Attacker
OS:Windows XP SP2
IP:10.1.1.2
Victim (HTTP Server )
OS:Windows XP SP2
IP:10.1.1.3
網路安全
11-52
實驗拓樸on Testbed@TWISC
- 建立完成的實驗拓樸
網路安全
11-53
說明
• 假設Victim主機被入侵並安裝後門,所使用之工具
– NetCat (nc.exe)
代替telnet訪問遠端Shell、連接埠掃瞄、執行及傳輸文件
– Root Shell
為一種控制介面,在NetCat植入遠端電腦後利用 Root
Sell進行各種控制
– Hacker Defender
為駭客常使用的Rootkit工具,可以用來隱藏檔案、處理
程序及登錄碼(Hacker Defender 1.0.0)
• 對Victim主機進行掃描,所使用之工具
– Avira AntiVir
• 是一套由德國Avira公司所開發的一款防毒軟體
網路安全
11-54
攻擊之使用工具 - NetCat
• 版本
– NetCat 111 (nc.exe)
• 支援作業平台
– Microsoft Windows
• 下載位址
– http://www.megaupload.com/?d=PQCHRLCX
• 下載放置位置
– Attacker主機
網路安全
11-55
攻擊之使用工具 - NetCat (續)
網路安全
11-56
攻擊之使用工具 - Rootshell
• 版本
– Rootshell.v.2.0.php
• 支援作業平台
– Microsoft Windows
• 下載位址
– http://www.megaupload.com/?d=TANMWUVH
• 下載放置位置
– Victim主機
網路安全
11-57
攻擊之使用工具 - Rootshell (續)
• Rootshell
網路安全
11-58
攻擊之使用工具 - Hacker Defender
• 版本
– Hacker Defender 1.0.0
• 支援作業平台
– Microsoft Windows
• 下載位址
– http://www.megaupload.com/?d=UV8WRCHJ
• 下載放置位置
– Attacker主機
網路安全
11-59
攻擊之使用工具 - Hacker Defender (續)
• Hacker Defender (defender v1.0.0包含的檔案文件)
檔案文件名稱
hxdef100.exe
檔案大小
70 144 b
說明
Hacker defender v1.0.0主程式
hxdef100.ini
hxdef100.2.ini
bdcli100.exe
rdrbs100.exe
readmecz.txt
readmeen.txt
readmefr.txt
src.zip
readmezh.txt
3 872 b
3 695 b
26 624 b
49 152 b
34 654 b
35 956 b
38 029 b
91 936 b
38 029 b
ini設置文件
ini設置文件,第2類
後門用戶端
redirectors base
捷克語版說明文件
英語說明文件
法語說明文件
原始碼
中文說明文件
網路安全
11-60
攻擊之使用工具 - Hacker Defender (續)
• Hacker Defender(設定檔包含的參數)
參數名稱
說明
[Hidden Table]
隱藏檔案、目錄
[Root Processes]
隱藏程序
[Hidden Services]
隱藏服務
[Hidden RegKeys]
隱藏RegKeys列表
[Hidden RegValues]
隱藏RegValues
[Startup Run]
系統啟動執行動作
[Free Space]
可用空間大小
[Hidden Ports]
隱藏port
[Settings]
hxdef的設置
網路安全
11-61
偵測Rootkit工具 - Avira AntiVir
• 版本
– Avira AntiVir Personal - FREE Antivirus
• 支援作業平台
– Microsoft Windows
• 下載位址
– http://www.freeav.com/de/trialpay_download/1/avira_antivir_personal
__free_antivirus.html
• 下載放置位置
– Victim主機
網路安全
11-62
偵測Rootkit工具 - Avira AntiVir (續)
• 此為Avira 開發的防毒軟體,包含Rootkit的防護,
可檢測出被隱藏的物件
網路安全
11-63
環境描述
• 假設條件
– Victim主機為一台HTTP Server
– Victim主機已安裝Rootshell (Rootshell.v.2.0.php)
• Attacker主機與Victim主機描述
– Attacker主機之攻擊
• 開啟Rootshell網頁,並注入nc.exe至Victim主機
• 建立之間的連線
• 執行各種指令進行攻擊
– Victim主機之防禦
• 利用防護軟體測試掃描
網路安全
11-64
環境描述 (續)
• 本實驗的主要目的為隱藏惡意程式,使Victim主
機的使用者不會發現主機被入侵
• 實驗的步驟為
– 環境設定
–
–
–
–
執行Rootshell並上傳NetCat
建立連線
隱藏程序
Victim主機之防禦
網路安全
11-65
環境設定
• 駭客一般會透過系統漏洞入侵Victim主機,上傳
攻擊工具,並設定環境
• 但本實驗的主要目的是隱藏惡意程式,該步驟直
接手動設定Victim主機環境
網路安全
11-66
環境設定 (續)
• 在Victim主機上安裝Appserv,設定為HTTP Server
• Appserv下載位置
– http://prdownloads.sourceforge.net/appserv/appservwin32-2.5.10.exe?download
網路安全
11-67
環境設定 (續)
網路安全
11-68
環境設定 (續)
網路安全
11-69
環境設定 (續)
• 關閉防火牆
• 將Rootshell檔案放入Appserv的www目錄下
網路安全
11-70
執行Root Shell並上傳NetCat
• 在Victim主機上確認IP位置
網路安全
11-71
執行Root Shell並上傳NetCat (續)
• 在Attacker主機的瀏覽器上,輸入Victim主機的IP
及Rootshell檔案名稱,確認能夠連線
網路安全
11-72
執行Root Shell並上傳NetCat (續)
• Attacker主機利用Rootshell將nc.exe上傳至Victim主
機
網路安全
11-73
執行Root Shell並上傳NetCat (續)
• 至Victim主機的C:\\Appserv\www\查看nc.exe是否
上傳成功
網路安全
11-74
建立連線
• 在Attacker主機上利用 Root Shell輸入nc -l -p
8888 –e cmd.exe,與Victim主機建立連線
• 按Execute後,會發現頁面正在讀取,不必等讀取
完畢,即可執行下一步驟
網路安全
11-75
建立連線 (續)
• 在Victim主機上下載Process Explorer監控,確認
Victim主機已與Attacker主機建立連線
– Process Explorer下載位址
• http://technet.microsoft.com/enus/sysinternals/bb896653.aspx
• 經過監控會發現nc.exe正在執行,如此經由監控軟
體便可將可疑的程式關閉
• 因此,必須透過隱藏程式將nc.exe隱藏,避開使用
者的監控
網路安全
11-76
建立連線 (續)
網路安全
11-77
建立連線 (續)
• 若nc.exe沒有執行,請試以下方法
網路安全
建立連線 (續)
• 開啟命令提示字元,在Attacker主機上照畫面步
驟執行
• 為了使惡意程式不會被察覺,必須透過隱藏程式
將nc.exe隱藏,避開使用者的監控
網路安全
11-79
建立連線 (續)
• 開啟命令提示字元,在Attacker主機上照畫面步
驟執行
• 指令rm phpinfo.php可刪除phpinfo.php,可至
Victim主機查看
網路安全
11-80
隱藏程序
• 在Attacker主機上開啟Hacker Defender中的
hxdef100.ini,將[Hidden Processes]之參數設定為
[\<Hi<>dden" P/r>oc"/e<ss>es\\]
>n"c.ex"e
r|c<md\.ex<e::
網路安全
11-81
隱藏程序 (續)
• 在瀏覽器上開起新頁面,輸入Victim主機的IP及
Rootshell檔案名稱
• Attacker主機在Root Shell中上傳三個檔案
網路安全
11-82
隱藏程序 (續)
• Attacker主機在Rootshell中輸入hxdef100.exe
• 將Victim主機的nc.exe成功隱藏起來
• 切換到Victim主機,Process Explorer監控軟體將無
法看到nc.exe
網路安全
11-83
隱藏程序 (續)
網路安全
11-84
隱藏程序 (續)
• 接下來可能會出現警告訊息,但不影響實驗進行
網路安全
11-85
Victim主機之防禦
• Victim主機利用Avira AntiVir進行掃描,然後可做
清除Rootkit或進行隔離的動作,還有提供掃瞄的
報告
• 點選Avira AntiVir執行檔開始安裝
網路安全
11-86
Victim主機之防禦
• 照著指引繼續安裝
網路安全
11-87
Victim主機之防禦
• 開始掃描
網路安全
11-88
Victim主機之防禦
• 發現惡意程式
網路安全
11-89
結論
• 在Rootkit攻擊方面,主要的攻擊步驟
– 想辦法植入Rootkit
– 建立之間的連線
– 隱藏程序
• 在Rootkit防禦方面,市面上AntiRootkit工具很多
– 利用Avira AntiRootkit防護軟體掃瞄
– 可針對files、registry、processes及driver進行掃瞄
– 但若攻擊端使用更複雜的隱藏手法,則掃瞄軟體將
可能無法偵測出是否為Rootkit
網路安全
11-90
習題
網路安全
11-91
習題一
• 請簡敘Botnet發展三階段
網路安全
11-92
習題二
• 請至搜尋引擊尋找關於Botnet的新聞(關鍵字:
Botnet與新聞),再以你看過本節的知識對文章作
個摘要
網路安全
11-93
習題三
• 若您是駭客,請問您將如何將Rootkit植入受害者
電腦,請簡述步驟
網路安全
11-94
習題四
• 請問,如何察覺或偵測您的電腦可能已中了
Rootkit
網路安全
11-95
Module 11-6 :惡意程式的實作練習(**)
網路安全
11-96
實作練習目的
• 利用實際操作的方式讓同學了解Rootkit工作原理
網路安全
11-97
實作練習描述
• A公司有一未維護的網頁主機,且已裝有Root
Shell程式,你現在扮演一個攻擊者角色將NetCat
上傳到該主機,且為了不被使用者發覺,必須隱
藏該程式,以利後續的攻擊
• 參考環境配置圖,完成下列要求
利用已存在的Root Shell將NetCat上傳到網頁主機
利用Hacker Defender隱藏程序
網路安全
實作練習描述 (續)
• 現在你在B公司上班,為了避免公司的主機被植
入Rootkit,請你對公司的主機進行更新,避免不
必要的風險
• 參考環境配置圖,完成下列要求
安裝Avira Antivir防毒軟體
利用Avira Antivir進行掃描
網路安全
環境配置圖
Victim
OS:Windows XP SP2
IP:10.0.1.2
安裝軟體:AppServ
Attacker
OS:Windows XP SP2
IP:10.0.1.1
AppServ下載處:
http://www.appservnetwork.com
網路安全
11-100
作業繳交說明
• 請參考情境完成作業,並將過程擷圖列於報告中
• 請 於 2011.06.01 23:59
[email protected]
前 將 報 告 寄 至
• 助教收到信後會回信供同學確認繳交
網路安全
7-101
參考資料
• 中國駭客癱瘓巴哈姆特網站
http://www.libertytimes.com.tw/2008/new/apr/30/today-life7.htm
• 內政部警政署刑事警察局
http://www.cib.gov.tw/news/news02_2.aspx?no=261
• CNN網站遭駭客冒用!假電子報內含病毒影片
http://www.nownews.com/2008/08/07/339-2316527.htm
• 殭屍網路研究系列文章之一
http://www.media.edu.cn/wang_luo_an_quan_5177/20060630/t20060630_1
86389.shtml
• 喪屍網路-維基百科
http://zh.wikipedia.org/w/index.php?title=%E6%AE%AD%E5%B1%8D%E
7%B6%B2%E7%B5%A1&variant=zh-tw
• Mentor’s Research & Interest:Botnet介紹
http://mentorwang.blogspot.com/2008/07/Botnet.html
網路安全
11-102
參考資料 (續)
• Spam Statistics from TRACE::Marshal
http://www.marshal.com/TRACE/spam_statistics.asp
• [資通安全]感染Backdoor.Rustock.A病毒
http://ccnet.tnua.edu.tw/certnews/viewtopic.php?p=19&sid=c3133b653ed47a4918045a4b434bc9c0
• the new pof: 2.0.8 (2006-09-06)
http://lcamtuf.coredump.cx/p0f.shtml
• rpmfind.net
http://rpmfind.net/linux/RPM/index.html
• Conficker悄悄變種與W32.Waledac病毒攜手作惡
http://rogerspeaking.com/2009/04/2024
網路安全
11-103
參考資料 (續)
•
•
•
•
Kaspersky, 防毒軟體如何對抗Rootkit, 2006/10/05 18:50
[VirusList] 卡巴斯基實驗室, Viruslist.com, 2005
[iDEF2003] Anton Chuvakin, An Overview of Unix Rootkits
TWCERT/CC
www.cert.org.tw/document/
• Greg Hoglund & James Buther, “Rootkits: Subverting the Windows
Kernel”, Addison Wesley, 2006
• Nancy Altholz and Larry Stevenson, “Rootkits for Dummies”, Dummies,
2007
• Wikipedia Encyclopedia
http://en.wikipedia.org/wiki/Rootkit
網路安全
11-104
參考資料 (續)
• Chkrootkit
www.chkrootkit.org
• Rootkit Hunter
http://www.rootkit.nl/
• http://www.microsoft.com/taiwan/technet/columns/profwin/19Rootkits.mspx
• http://www.ithome.com.tw/itadm/article.php?c=45063
網路安全
11-105