个人网路安全

個人網路安全網路危機駭客入侵防火牆基本概念遠端遙控木馬(BO2k)病毒犯罪防治青少年保護與不當資訊處理著作權聲明網路危機網路資訊安全個人隱私交易安全信用安全通訊安全其他駭客入侵駭客（Hacker）與怪客(Cracker）破壞與巧取駭客途徑防堵策略其他遠端遙控與木馬特洛依木馬（常駐）木馬原理（內神通外鬼?）BO2k……….清除木馬手動

自動病毒&蠕虫(virus&worm)自行複製、散佈、感染、破壞）開機型、檔案型、巨集、E-mailScript…NortonAnti-Virus掃毒大考驗不良習慣其他大考驗(有獎)請掃出光碟病毒樣本。查看中毒檔案結束犯罪防治重製言論色情詐欺暴力舉出實例或現實生活上的趣聞聲明引用自網路相關文章皆為該著作權人所有，僅供此次教育研習使用，無其他意圖。以上引用包含此次講義印刷品，非營利用途刊載，請勿對外散佈或重製。回台中區域網路研討會

電腦病毒的介紹中興大學計算機及資訊網路中心呂仲聖tony@.tw

Agenda起源分類病毒的進化近年病毒大事紀病毒行為預防措施解毒方法參考資料起源/分類在磁柱上互相攻擊的程式MaliciousCode一般的定義(特徵)沒有名稱,體積不大,對系統造成影響病毒(Virus)特洛伊木馬程式(TrojanHorse)電腦蠕蟲(Worm)病毒的形式逐漸由單一的形態轉為組合的形態Example:W97M_MELISSAworm+TrojanHorse,wrom+virus病毒的進化1987~1993PC盛行,網路萌芽資料的交換主要是經由磁片病毒型態：開機型、檔案型、常駐型硬體：8086/8088/80286,AT/XT作業系統：DOS1993~1995Windows3.1出現,但是仍以DOS開機除了DOS的病毒外,又增加了Windwos系統的病毒病毒的進化1996~Microsoft推出32Bit的作業系統Windows95…病毒型態：增加了Macro,VBscript等不同的型態病毒的影響更廣泛近年病毒大事紀1991米開朗基羅現身,第一隻會格式化硬碟的病毒1995第一隻文件巨集病毒誕生NCSA統計,文件巨集佔所有病毒感染事件的49%1996第一隻本土巨集文件病毒(TaiwanNo.1)誕生,同年成為年度病毒王NCSA統計,文件巨集佔所有病毒感染事件的80%近年病毒大事紀(cont.)1997TaiwanNo.1被NCSA列入「InThewild」病毒資料庫以Internet為傳播媒介的病毒(第二代病毒)出現1998CIH出現,這是全世界第一隻可以破壞BIOS的病毒以FTP為傳播途徑1999W97M_MELISSA(巨集型病毒)透過E-mail造成全球的大感染對通訊錄中的前50個名單發出垃圾郵件近年病毒大事紀(cont.)2000VBS_LOVELETTER對通訊錄中所有的名單自動發出2001CodeRedNimda病毒的行為CIHW97M_MELISSAVBS_LOVELETTERSIRCAMCodeRedNimda病毒的行為–Nimda.A第一次被發現的時間:September18th,2001在病毒中找到這樣的字串:

"Copyright2001R.P.China".首隻會修改網頁資料的病毒,再提供一個病毒檔下載藉由一般使用者的瀏覽器去感染較為脆弱的webserver具有worm的特性,會在Internet上爬行病毒的行為–Nimda.ALifeCycleInfectingFiles:Massmailing:Webworm:LANpropagation:病毒的行為–Nimda.AInfectingFiles:感染EXE檔,藉著檔案交換時散播Massmailing:經由MAPI搜尋使用者電腦上的e-mailaddress,再寄一封有readme.exe這個附加檔的信給對方Webworm:掃描internet上的webserver,如果找到了就嘗試經由一些已知的漏洞去入侵這個網站,如果成功了之後來瀏覽這個網站的人就有可能被感染LANpropagation:搜尋在LAN上有沒有做資源分享(網路芳鄰),如果找到了就在其中有DOC或是EML的目錄中放下一個隱藏檔RICHED20.DLL,當使用者以Word,Wordpad,Outlook開啟相關檔案時,就會感染病毒的行為–Nimda.AAboutInfectedWebSiteInfectedhtmlsarecopiedthesecuresite.Thiscanhappenevenifyou'reusingapatchedversionofIISorsomethingelseentirely(suchasApacheorNetscape).Directwebworminfection.IfyourwebsiteisrunninganunsafeversionofIIS,thewormcaninfectyoursitebyaccessingitthroughhttp.TechnicalDetail

http://www.europe./v-descs/nimda.shtmlStartingonaserver,Startingonaworkstation,E-Mailspreading,IISspreading,AffectingthesecurityNimda.B的影響較小,僅改用不同的檔名PUTA!!.SCRandPUTA!!.EML病毒的行為–Nimda.ENimda.EisarecompiledvariantofNimda.Avirus-worm.Itisnotcompressed.ItusesthesametechniquesasNimda.A,exceptitspreadsitselfwithSAMPLE.EXEfilename.Otherminordifferencesareasfollows:1.ThewormusesCOOL.DLLnametouploaditselftowebservers2.ThewormusesHTTPODBC.DLLnametostartfromonservers3.ThewormusesCSRSS.EXEnametocopyitselftoserversThisversionofNimdahasfewseriousbugsthatallowittoinfectfilesseveraltimesandtojamNTsystemsconsiderably.病毒的行為–CodeRed自八月四日發作以來,已經變種過三次主要是針對IISwwwserver攻擊,對一般使用者並沒有直接的威脅CodeRedCodeRed的行為有週期性(每個月)1號到19號23:59,透過WWW攻擊IIS的漏洞散佈20號00:00~23:59,對www1.做DoS的攻擊21號00:00之後進入休眠狀態被入侵的系統首頁會被修改如右病毒的行為–CodeRedCodeRedII變種的CodeRed的入侵方式與CoedRed並無太大的差異,僅是尋找另一個系統的漏洞來進行攻擊變種後的CodeRed明顯對中文系統的Windows做出更密集的入侵行為;原本被入侵的系統會連續24小時發出3000個執行緒(thread)去嘗試入侵/散佈;但是在中文的系統中,時間會延長至48小時,執行緒(thread)的數目也增為6000個入侵行為是在把”cmd.exe”這個程式放到webserver的”scripts”目錄後結束一但入侵完成後,就可以經由瀏覽器去存取伺服器端的檔案資料,或執行某些程式病毒的行為–CodeRedThewormdropsatrojanprogramto'\explorer.exe'thatmodifiesdifferentsomeIISsettingstoallowaremoteattackoftheinfectedhost.Thestandardcommandinterpreter'cmd.exe'iscopiedto'\inetpub\scripts\root.exe'andto'\progra~1\common~1\system\MSADC\root.exe'.Thewormcreatesthesefilestoboth'C:'and'D:'drivesiftheyexist.Thesecopiesofthe'cmd.exe'willallowanyattackertoexectecommandsontheremotesystemreallyeasily.木馬程式的行為關閉Windows系統上SFC的功能在IIS的設定檔中新增兩個指標”/c”,“/d”;分別指向”c:\”及”d:\”經由修改系統的機碼(registry)來達到以上的功能,並設定c:\及d:\可以經由browser來存取病毒的行為–SircamSircamisamassmailinge-mailwormwiththeabilityofspreadingthroughWindowsNetworkshares.Theworm'sbodyis137216byteslongbutwhenitcomesasane-mailattachment,itlargerinsizeduetoadocumentthatisattachedtoitsbody.Sircamsendse-mailswithvariableusernamesandsubjectfields,andattachesuserdocumentswithdoubleextensions(suchas.doc.pifor.xls.lnk)tothem.WhenaSircam-infectede-mailattachmentisopeneditshowsthedocumentitpickedupfromthesendermachine's.Thefileisdisplayedwiththeappropiateprogramaccordingtoit'sextension:

.DOC.XLS.ZIP

Thiseffectivelydisguisestheworm'sactivity.Whiletheuserischeckingthedocumentthesystemgetinfected病毒的行為–SircamWhenthewormrunsonacleansystemitcopiesitselftodifferentlocationswithdifferentnames:Thewormcopiesitselfas'SirC32.exe'to\Recycled\folder.ThedefaultEXEfilestartup

Registrykey:

ischangedto

Thisisdonetoactivateaworm'scopyeverytimeanEXEfileisstarted.SincetherecycledfoldernameishardcodedthewormdoesnotworkonmachineswithNTFSfilesystem.MostWindowsNTand2000systemsareinstalledonNTFS.[HKCR\exefile\shell\open\command]'""[windows_drive]\recycled\SirC32.exe""%1"%*"'.病毒的行為–SircamThewormcopiesitselfas'SCam32.exe'intheSystemdirectory.ThewormthencreatesastartupkeyforthisfileintheRegistrytobestartedduringallWindowssessions:

Thewormcopiesitselfas'rundll32.exe'filetoWindowsdirectory.Theoriginal'rundll32.exe'fileisrenamedto'run32.exe'.Sometimes(onceoutof33cases)thewormplacesitscopytoWindowsdirectorywiththe'ScMx32.exe'name.Inthiscaseanothercopyofthewormiscreatedinthecurrentuser'spersonalstartupfolderas'MicrosoftInternetOffice.exe'.Thiscopywillbestartedwhenauserwhogotinfectedlogsintoasystem.[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]"Driver32"="<windows_system_dir_name>\SCam32.exe"防範未然不開啟來路不明的文件(e-mail,executablefile,documents)安裝防毒程式(個人,群組,firewall,proxyserver)對系統做必要的修補動作(patch)訂閱病毒相關通報E-mail已成為病毒傳播的重要媒介使用Webmail,減少中毒及傳播的可能亡羊補牢–Nimda.A/anti-virus/tools/fsnimda3.exe

Ifyou'rerunningWindowsME,youneedtoturnofftheAutorestorefunctionalitybeforestartinganydisinfection.DothisbyclickingMyComputerondesktop,thenPerformance→FileSystem→Troubleshooting→DisableSystemRestore.Turnitbackonwhendone.TWCERT所提供的處理方式.tw/news/26.htm亡羊補牢–CodeRed將IIS的漏洞修補好,把木馬程移除,就可以解決/technet/security/bulletin/ms01-033.asp/technet/security/bulletin/MS00-052.asp/technet/security/bulletin/ms01-033.asp亡羊補牢–SircamRemovalinstructions:ftp://ftp.europe./anti-virus/tools/sirc_dis.regThiswillremovetheworm'sreferencefromtheEXEfilestartupkeyandthemainworm'sstartupkeyintheRegistry.Warning!Thesystemmightbecomeunusableiftheworm'sfileisdeletedwithoutmodifyingtheEXEfilestartupkeyfirst.Ifforsomereasontheworm'sfilecan'tbedeletedfromWindows(lockedfile),thenyouhavetoexittopureDOSanddeletetheworm'sfilemanuallyoruseaDOS-basedscanner.Notethatfor100%disinfectionallworm'sfilesneedstobedeletedandRegistryshouldbefixed.亡羊補牢–SircamAdditionalNote:Ifaworkstationwasinfectedtroughanetworkshare'\windows\run32.exe'hastoberenamedbackto'\windows\rundll32.exe'afterdisinfection.Theextralinein'autoexec.bat'filethatstartsthewormfrom\recycled\foldershouldberemovedalso.Networkinfectionprevention:Ifanetworkisinfectedanditisnotpossibletotakeitdowntodisinfectallworkstations,thefollowingmethodcanpreventthewormfromspreadingtocleanworkstations:Inthe\Recycled\folderofadrivewhereWindowsisinstalled,itisneededtocreateadummyfilewithSIRC32.EXEnameandread-onlyattribute.WebmailNeomailPerl,SMTP./setup.pl(checkGNUDB,CGI.pmMD5.pm)SquirrelmailPHP,SMTP,IMAPIMPPHP,SMTP,IMAP,Horde/IMP,MySQL,Perl參考網站.twNCSAICSA.tw.tw/

(SymantecSecurityResponse)http://www.europe.//technet/

(MicrosoftTechnet)//名詞介紹MAPI:

MessagingApplicationProgrammingInterfaceItisastandardizedsetofCfunctionsplacedintoacodelibraryknownasaDynamicLinkLibrary(DLL).ThefunctionswereoriginallydesignedbyMicrosoft,buttheyhavereceivedsupportofmanythirdpartyvendors.DoS:(Denial-of-Service)

阻絕式的攻擊;利用合法的Internet服務管道,發送大量的服務請求,藉以癱瘓/阻絕被攻擊網站對外的通信服務SFC:(SystemFileChecker)

SFCisresponsibleforcheckingtheintegrityofsystemfiles.SMTP

SimpleMailTransferProtocalIMAP

InternetMessageAccessProtocol()回下一步總結聽眾所需採取的行動總結你將採取的後續追蹤行動SymantecEnterpriseFirewallwithVPN

SymantecEnterpriseVPN

VelociRaptor

SymantecDesktopFirewall

賽門鐵克企業防火牆+

VPN─SymantecEnterpriseFirewall+VPN

硬體防火牆+VPN─VelociRaptor台灣賽門鐵克授權服務中心元盈電腦資股份有限公司HTTP://WWW.SAVETIME.COM.TW你的防火牆夠安全嗎？2001年5月中美駭客大戰慘遭池魚之殃抵擋CodeRed病毒的Dos攻擊？當遭受攻擊時，防火牆是否可採取阻斷服務措施？如何評量防火牆需求?CodeRedInTheNewsCodeRedInTheNewsCodeRedAttackBadGuys/GalsFirewallWebSeverFarmDMZInternalWebServersWelcometoHackedByChinese!CodeRedAttackStoppedBadGuys/GalsSymantecEnterpriseFirewallVelociRaptorCorrectFirewallRulesWebSeverFarmDMZInternalWebServersESMPolicyTemplateNetProwlerSignature如何評量防火牆需求?防火牆概觀防火牆基本概念常見的防火牆類型PacketFilteringStatefulInspectionApplicationProxy效益與限制軟體防火牆(SymantecEnterpriseFirewall)硬體防火牆(VelociRaptor)Internet防火牆TCP/IP路由器對外主機DMZ防火牆架構防火牆基本概念ExternalInternal中小企業VelociRaptor硬體防火牆遠端使用者RaptorMobileVPN用戶端個人防火牆在家工作者個人防火牆分公司賽門鐵克企業防火牆企業總部賽門鐵克企業防火牆防火牆的擴充性防火牆基本概念重要的防火牆需求:設定規則控制流量進出最安全:禁止所有未明確指定允許的流量常見的防火牆類型四種基本類型:封包過濾電路層閘道狀態式檢測應用層代理TCP/IP通訊協定賽門鐵客企業防火牆在TCP/IP的應用層提供代理服務ApplicationLayerTCPFTPTelnetDNSNFSPINGUDPIPICMPIP

Packets(Ethernet,

Token

Ring)TransportLayerNetworkLayerPhysicalLayer防火牆類型:封包過濾相當基本的防火牆類型通常運用在簡單的router或Layer3switch上檢測進入/出去

IP封包並決定接受或拒絕:來源/目的地

IP位址來源/目的地

TCP/UDP通訊埠號只檢測

IP封包表頭,而不檢查內部資料防火牆類型:電路層閘道檢測

TCPhandshaking過程允許產生授權連線,但不監控此連線的資料持續紀錄目前連線狀態,只允許此連線的網路流量防火牆類型:狀態式檢測較封包過濾擁有較高安全性和複雜性檢測

IP表頭和資料，確保封包是先前連線的部分可提供網路位址轉換(NAT)服務,或電路和應用層過濾採用多層次狀態檢測防火牆類型:應用層代理提供代理服務，決定封包通過與否應用代理─主機與遠端電腦不直接連線最安全的防護方式Canalsobeadded防火牆類型–效益與限制封包過濾效益:效能衝擊低,成本低限制:安全性低,容易被欺騙電路層閘道效益:較封包過濾安全限制:不檢查現有連線封包內容狀態式檢測效益:兼顧部分安全和效率限制:無法分析封包所有的通訊協定–安全性較低應用閘道效益:安全性最高限制:若設定不當，效能影響極大SymantecEnterpriseFirewall

CheckpointFirewall-1

PGPGauntlet

CISCOPIX

MicrosoftISAServer

架構

完全應用代理技術(混合型、狀態式檢測和封包過濾支援)

狀態式封包過濾檢測(混合型,有限的應用代理支援)

應用代理(混合型)

狀態式封包過濾(有限的應用功能)

有限的應用代理和狀態式檢測回網路安全問題調查目的e世代青少年使用網路的情形、接觸不正當網站或內容的情形如何？青少年擔心的網路安全問題是什麼？e世代青少年的父母懂不懂網路？他們知道子女接觸什麼樣的網路內容？成人擔心的網路安全問題是什麼？網路安全問題調查-學生篇有效樣本數：1623人研究樣本:

台北縣、市之國小、國中、高中各三所學校(共18所學校、47個班級)國小362人、國中531人、高中730人年齡層11-17歲，平均年齡14.46歲男:829人女:788人執行日期:89.9.5~8、89.9.11e世代青少年使用網路的情況學生在網路上接觸的內容，除以提供電腦遊戲的網站，聊天室及提供音樂下載的網站之外，許多學生在網路上看過色情資訊，性愛相關話題的討論，裸露圖片