Embed Size (px)
DESCRIPTION
Module 11 : 惡意程式偵測與防護技術實習. 學習目的. 近年來惡意程式的氾濫跟變種及 Botnet 引起的大範圍攻擊,使得攻擊者更能輕易竊取使用者資料並獲取利潤。瞭解這些惡意程式的架構、感染途徑及防護方式,就成為刻不容緩需要努力的目標 2. 本模組共有以下六個小節包括 (1) 惡意程式介紹 (*) (2) 惡意程式攻擊與防護方式 (*) (3) 特別討論 - Botnet(**) (4) 特別討論 - Rootkits(**) (5) Rootkit 之攻防演練的實務 (**) (6) 惡意程式的專案實作 (**) 共需三個鐘點. - PowerPoint PPT Presentation
Citation preview
網路安全
Module 11 : 惡意程式偵測與防護技術實習
網路安全
學習目的1. 近年來惡意程式的氾濫跟變種及 Botnet 引起的大範圍攻擊,使得攻擊者更能輕易竊取使用者資料並獲取利潤。瞭解這些惡意程式的架構、感染途徑及防護方式,就成為刻不容緩需要努力的目標2. 本模組共有以下六個小節包括
(1) 惡意程式介紹 (*) (2) 惡意程式攻擊與防護方式 (*) (3) 特別討論 - Botnet(**) (4) 特別討論 - Rootkits(**) (5)Rootkit 之攻防演練的實務 (**) (6) 惡意程式的專案實作 (**) 共需三個鐘點
11-2
網路安全
Module 11 :惡意程式偵測與防護技術實習• Module 11-1 :惡意程式介紹 (*)• Module 11-2 :惡意程式攻擊與防護方法 (*)• Module 11-3 :特別討論 - Botnet(**)• Module 11-4 :特別討論 - Rootkits(**)• Module 11-5 : Rootkit 之攻防演練的實務 (**)• Module 11-6 :惡意程式的專案實作 (**)
11-3
* 初級 (basic) :基礎性教材內容** 中級 (moderate) :教師依據學生的吸收情況,選擇性介紹本節的內容*** 高級 (advanced) :適用於深入研究的內容
網路安全
Module 11-1 :惡意程式介紹 (*)
11-4
網路安全
前言• 惡意程式包括病毒、特洛伊木馬或入侵者所撰寫的惡意腳本 (script) ,可能利用自我複製、電子郵件或即時通訊軟體快速傳播,造成資料流失、當機和服務中斷等安全事件• 駭客會把惡意程式附在有趣的動畫或小程式上,當使用者開啟這些程式,就會開啟一到數個 Port常駐在系統上,此時駭客就能利用程式來得到系統上的資料• 惡意程式成駭客獲利的來源
11-5
網路安全
程式• 在這邊我們定義為可執行檔,為一種可被電腦所解讀並運行特定動作的檔案
11-6
網路安全
惡意程式定義• 泛指任何惡意、未經使用者授權存取及不符合預期的程式碼皆為惡意程式• 惡意程式依其行為特徵區分,有下列常見的分類
– 病毒 (Virus)– 蠕蟲 (Worm)– 特洛伊木馬 (Trojan horse)– Rootkits
• 惡意程式依據作者的目的,朝向綜合上述類型的惡意程式的優點,發展出兼具自動化、結構化及不易偵測等特性的混和式惡意程式11-7
網路安全
惡意程式分類 - 病毒 (Virus)
• 病毒是惡意的程式碼,會將自身附加到某些檔案中,進行偽裝• 會在不同主機間散佈,可是不具自行複製的能力• 病毒也具破壞軟體、硬體及檔案的能力• 破壞軟體是一種比較新穎的攻擊方式,藉由過度使用硬碟,或是對 CMOS 與 Flash BIOS 以進行清除
11-8
網路安全
惡意程式分類 - 蠕蟲 (Worm)
• 具有自行複製,並自動感染其它主機的能力– 會自行掃描其它主機的漏洞,並透過該漏洞,複製自己到該主機上– 佔用所寄生的主機資源
• 蠕蟲依其目的,可分為兩類– 對單一主機進行攻擊與佔用單一運算資源– 對大規模環境進行攻擊與佔用區域主機資源
11-9
網路安全
惡意程式分類 - 特洛伊木馬 (Trojan horse)• 特洛伊木馬通常是指被動式的惡意程式,且當它被執行後會自行與外界主機進行連線,進行更進階的惡意行為
– 特洛伊木馬與後門不同,後門指的是能讓攻擊者連線進入受害主機的途徑• 特洛伊木馬分為兩種
– Universal :可以被遠端控制的– Transitive :無法進行遠端控制,其行為是固定的
11-10
網路安全
惡意程式命名• 惡意程式命名法:在 1991年,由 CARO(Computer
Antivirus Researchers Organization) 所提出。些許類似生物界,界門綱目科屬種的命名法– < 惡意程式種類 >://<平台
>/<family名稱 >.<group名稱 >.<infective_長度>.< 變種 >.< 子變種名稱 >
病毒種類 含義XF Excel 程式病毒W32 32 位病毒,感染所有 32
位 Windows 系統WINT 32 位 Windows 病毒,只感染 Windows NT
Troj 特洛伊木馬VBS VBScript 程式語言編寫的病毒VSM
感染 Visio VBA 巨集或script 的巨集或 script 病毒
JS JScript 程式語言編寫的病毒
資料來源: The Art of Computer Virus Research and Defense 11-11
Example: virus://w32/Beast.41472.A
網路安全
惡意程式的威脅嚴重性
2008 FBI/CSI Survey 資料來源: http://i.cmpnet.com/v2.gocsi.com/pdf/CSIsurvey2008.pdf
11-12
網路安全
惡意程式的威脅嚴重性 ( 續 )
2007 資策會資安調查 11-13
網路安全
惡意程式攻擊目的演化• 惡意程式所想達到的目的,不停的在變化
– 破壞使用者電腦環境– 取得對方主機內的重要資訊或資料– 取得單一跳板主機,利用來對目標主機進行攻擊– 取得大量殭屍主機,利用來對目標主機進行大型攻擊
• 惡意程式不再把目標放在單台主機,而是區域性或大規模的攻擊
11-14
網路安全
惡意程式技術的演化• 演化的方法就如同生態系一般,隨著環境變化而淘汰掉部份技術 ( 能被偵測或被防制的惡意程式 ),並隨著新技術的產生
– 惡意程式研究人員研發抵禦的技術• 傳播方法• 隱匿與反制技術• 攻擊技術
– 惡意程式作者研發反抵禦或新型的技術• 偵測與分析• 防制與阻檔攔截
11-15
網路安全
Module 11-2 :惡意程式攻擊與防護方法 (*)
11-16
網路安全
惡意程式傳播方法• 惡意程式必須透過一些途徑,方能進入受害者的電腦,並進行感染或繁殖
– 惡意網站– 隨身儲存裝置– IM (Internet Message) 服務– Email– P2P 檔案方享– 檔案型病毒
11-17
網路安全
惡意程式隱匿與反制技術• 行為隱蔽技術
– 利用隱避技術將惡意行為隱藏在正常行為之下• 利用 RegisterServiceProcess技術將自己註冊為服務• DLL injection
• 程式碼加殼– 對程式本身進行二次封裝、加密或壓縮等等變化– 防止被防毒軟體利用特徵碼分析來進行鑑別
• 反制防毒軟體或分析系統– 特徵碼擾亂
11-18
網路安全
行為隱蔽技術• DLL Injection :可以讓一個它人的程式,運行攻擊者自行定義的程式碼
– 可透過修改註冊機碼來指定 DLL 檔的存取路徑– 利用 SetWindowsHookEx函式,直接修改 DLL 的記憶體中的參考位置,並指向到攻擊者定義的惡意
DLL位置• API Hooking
– API 為 Windows 所提供的服務,攻擊者可利用類似 DLL Injection 的方法來使正常程式使用惡意的API
11-19
網路安全
程式碼加殼 (Packer)
• 惡意程式執行檔是可以透過反組譯工具,反組譯成右下圖的組合語言,可以供分析人員進一步得到更詳細的執行流程和邏輯• 而加殼技術則是對惡意程式執行檔的二進位內容進行加密,使分析者無法理解其內容,此技術亦應用於一般軟體的智慧財產保護上• 可抵擋傳統防毒技術的特徵碼分析比對
11-20
網路安全
反制防毒軟體或分析系統• 部份惡意程式能對防毒軟體進行攻擊
– 修改防毒軟體的重要檔案– 與防毒軟體爭奪資源
• 有些分析方法是利用除錯器或者是虛擬機器的方式實現,惡意程式會利用一些反監測的方法來逃避這類型分析方法的監控– 反虛擬機器監控 (Anti-VM or Anti-Emulator)
11-21
網路安全
惡意程式多型技術 (Polymorphism)
• 此類的技術目的為混淆防毒軟體與分析者,藉由插入許多無關緊要的程式碼,改變其執行檔的樣貌– 例:
MOV AX, 0E88 ;set key 1MOV [di], AXMOV BX, [BP+0D2B] ;pick next word
原始程式碼MOV AX, 0E88 ;set key 1INC SI ;無義MOV [di], AXCLC ;無義NOP ;無義MOV BX, [BP+0D2B] ;pick next word
多型程式碼
11-22
網路安全
惡意程式偵測與分析• 偵測與分析主要可以分為下列項目
– 惡意程式分析• 靜態分析• 動態分析
• 惡意程式偵測– 加總比對法 (checksum)– 病毒特徵碼掃描
11-23
網路安全
惡意程式分析 - 靜態分析• 靜態分析通常是針對程式碼進行分析,分析器會對程式碼進行掃描,試圖找出符合特徵碼的區塊
– 反組譯分析• 反組譯工具的開發難度極高• 常用反組譯工具: IDA pro 與 Ollydebug
– 脫殼工具• 因為惡意程式常會加上殼,防止被靜態分析,所以就需要此類工具來協助• 常用脫殼工具: PEID• 而有經驗的分析人員可以利用手動脫殼來進行
11-24
網路安全
惡意程式分析 - 動態分析• 靜態分析太過耗時,也耗人力,往往須要極有經驗的分析人員才能準確的得到結果,於是便有動態分析的方法被提出來
– 創造一個執行環境,讓惡意程式直接在裡面運行,然後再利用行為監控器去監視其一舉一動– 現在許多動態分析平台都是建構在虛擬機器之上– 分析速度較靜態分析快,但需要較多硬體資源– CWSandbox 就是一動態分析平台
(http://www.cwsandbox.org/)
11-25
網路安全
惡意程式防制• 防制主要可以分為下列項目
– 系統更新– 使用最小權限進行工作– 個人防火牆– 防毒軟體– 不安裝來路不明的軟體
11-26
網路安全
Module 11-3 :特別討論 - Botnet(**)
11-27
網路安全
基礎名詞解釋• Bot : robot 的簡寫,可以自動執行預先定義的功能,可以被預先定義的指令遠端控制,具有一定人工智慧之程式• Zombie(殭屍主機 ) :被植入 Bot 的主機,可被攻擊者遠端控制• Botnet :由被植入 Bot 的殭屍主機所組成,可供攻擊者遠端控制的網路
11-28
網路安全
Botnet 基本概念• 攻擊者不需登入 Botnet 的任何一台殭屍主機即可控制 Botnet ,並發送指令• 當攻擊者發送指令後, Botnet 的殭屍主機會自動執行指令,例如:攻擊目標主機或與其他殭屍主機交換資訊
11-29
網路安全
Botnet 特性• 以 IRC Botnet 為例
– 典型的 IRC Botnet 包含一個 IRC Server 與多個殭屍主機,攻擊者透過 IRC Server 的頻道控制殭屍主機與下指令– 殭屍主機會加入 IRC Server 的頻道,並等待攻擊者的指令– 攻擊者會對頻道內的殭屍主機發送訊息,若該訊息為預先定義的指令,則殭屍主機會執行指令;若不是,則殭屍主機不會有任何反應– 這些指令可能為發送垃圾郵件、下載檔案及 DoS 攻擊– 殭屍主機執行命令後,會回傳其結果
11-30
網路安全
Botnet 與其他惡意程式比較表類似 / 特點 傳播性 可控性 竊密性 危害等級
Bot 可控傳播 高度可控 有 完全控制被感染主機Trojanhorse 無 可控 有 完全控制被感染主機Worm 主動傳播 無 /弱 無 /弱 主機和網路資源
Spyware 無 無 嚴重竊密 資料外洩Virus 干預傳播 無 無 感染文件
11-31
資料來源: http://zh.wikipedia.org/w/index.php?title=%E6%AE%AD%E5%B1%8D%E7%B6%B2%E7%B5%A1&variant=zh-tw
網路安全
Botnet威脅嚴重性• 僵屍主機肆虐,台灣網路受害全球高居第三
– 資安廠商賽門鐵克公布全球網路威脅報告指出,台灣在全球國家受殭屍網路感染排名第三,僅次於美國與德國。 (2011-04-20)
資料來源: http://www.symantec.com/business/threatreport/index.jsp#
11-32
網路安全
Botnet 發展三階段• Botnet 的發展過程包括傳播、感染及攻擊三個階段
– 傳播– 感染– 攻擊
11-33
網路安全
Botmaster
惡意Spam 惡意URL 其他 Worm散播Bot
成為Botnet
自動連線至C&C Server
C&C Server
Channel
Channel
Channel
Botnet 傳播階段
Bot 傳播過程 11-34
網路安全
Botnet 感染階段• 每一個被感染主機都會因為隱藏在主機上的 Bot的執行,而在使用者不知情的情況下成為 Botnet的一員• 以 IRC Botnet 為例,被感染的主機會成為殭屍主
機 (Bot) ,然後登錄到指定的伺服器與頻道中(C&C/IRC Server);登錄成功後,會在頻道中等待攻擊者的指令
11-35
網路安全
Botmaster
C&C Server
Bot
攻擊
Victim
Bot 攻擊路徑
Botnet 攻擊階段
11-36
網路安全
Botnet 的危害• Botnet嚴重性
– Gartner :在 2008 大概有 75% 的企業會感染 Bot– 刑事局偵九隊統計:全台有三分之一電腦遭植入
Bot– FBI : Botnet受害者超過一百萬人– 每 10部電腦就有 1.1部成為非自願的殭屍主機
• 網路文化的盛行,透過網路掛馬技術,可以很容易的讓瀏覽網頁的使用者在不知情的狀況下被殖入惡意程式,所以 Bot規模也因此快速的發展起來 傀儡網路 ( botnet)無聲的主流威脅 資料來源: http://tw.trendmicro.com/tw/support/tech-support/board/tech/article/20081007100643.html
11-37
網路安全
Botnet 的危害 ( 續 )
• 藉由 Botnet 的大規模特性,可應用於下列幾種攻擊– 拒絕服務攻擊
• 因為殭屍電腦都,所以攻擊者可快速的將指令傳達給每台殭屍電腦,並利用它們對特定受害者進行分散式拒絕服務攻擊 (DDoS)– 發送垃圾郵件
• Botnet也可利用來發送大量的垃圾郵件,而且發送者可以透過代理伺服器來隱藏自身的 IP 資訊,減少攻擊者被發現的風險11-38
網路安全
Botnet 的危害 ( 續 )
– 竊取機密• 各個殭屍主機有機會被攻擊者用來收集其所需要的個人隱私資訊• Bot也可利用竊聽器 (Sniffer) 來監看網路流量,取得使用者的帳號與密碼
–濫用資源• 一但成為殭屍電腦,資源便可遭攻擊者取來使用,進行大規模的檔案儲存或需要許多運算資源的攻擊• 利用殭屍主機來進行釣魚攻擊,誘導使用者連線到錯誤的網站
Mentor’s Research & Interest:Botnet 介紹資料來源: http://mentorwang.blogspot.com/2008/07/botnet.html
11-39
網路安全
Module 11-4 :特別討論 - Rootkits(**)
11-40
網路安全
Rootkits 定義• Rootkits 由 Root 與 kits兩字所結合
– Root → Unix 系統管理者的名稱,代表 Unix 系統中的最高權限– kits → 一個或數個以上的工具套件
• Rootkits– 一個能夠隱藏攻擊者所想隱藏事物的工具組– 不限於隱藏檔案,亦可隱藏攻擊者的行為
11-41
網路安全
Rootkits 分類• Rootkits 可依據其所能隱藏的層級或是其所存在的層級來進行分類• Rootkits 分級
– User mode (ring 3)– Kernel mode (ring 0)– 虛擬機器 (ring -1)– SMM mode (ring -2)
11-42
網路安全
User Mode Rootkits
• 技術– IAT Hook– Inline function patch
• 特性 - easy for everything– 實作的難度不高– 易遭發現
11-43
網路安全
Kernel Mode Rootkits
• 技術– SSDT hook– IDT hook– Layered driver– Inline function patch
• 特性 - hard for everything– 其技術較難實作,在現實上會碰到許多難題– 也難於發現此類 Rootkits 的存在
11-44
網路安全
虛擬機器 Rootkits
• Virtual Machine Based Rootkits– Samuel T. King Peter M. Chen 在 2006 年提出– 模擬真實環境給使用者
RING -1
RING 0~3
RING -211-45
網路安全
SMM mode虛擬機器 (***)
• 一種藏於 CPU SMM mode 下的 Rootkits• 由 Rutkowska Joanna 等研究人員於 2009 年提出• 雖然此概念於實作上尚有難度,但其成功後所能得到的效益極大• 是一種極難被發現的 Rootkits 實作方法
11-46
網路安全
SMM mode Rootkits(***)
• SMM mode - System Management Mode– 是一種 CPU 所提供的模式– 用來進行維護
• 可應用於電源管理和除錯模式• 可運行特定的程式碼
– SMM mode 的執行環境是位於一個獨 立且特定的記憶體區塊
• SMM mode 下的程式可以存取所有記憶體位置• 將 Rootkits置於此模式下可以對整台主機的所有資源進行存取,且又不會被發現
Common
Common
Common
Common
RAM
SMRAM
11-47
網路安全
資安趨勢 - Sony又被抓到在產品中使用Rootkits程式• 大綱
– 資安業者近日提出警告,指出 Sony採用類似Rootkit技術,其 MicroVault USB隨身碟驅動程式會在 Windows 內建立隱藏檔案,可能被駭客用來藏匿惡意程式。 F-Secure 安全研究人員指出,當使用者購買 Sony 的 MicroVault USB後,該隨身碟提供指紋辨識功能,並含在驅動程式中,一旦使用者安裝了該驅動程式,就會在視窗中建立一個隱藏目錄及檔案,假設駭客知道該檔名,就能透過命令提示字元進入該目錄,並建立一個新的隱藏檔,而且可以執行其中的檔案 資料來源: http://www.ithome.com.tw/itadm/article.php?c=45063
11-48
網路安全
結論• 惡意程式的技術發展相當快速,防毒公司或研究人員所提出的解決方案,往往無法完全應付新的惡意程式技術• 現今的惡意程式其目的不在是為了破壞一台主機,而是針對大規模受害者和大規模跳板或殭屍主機為其主流• 要對惡意程式進行防範,使用者需要有良好的主機使用習慣
11-49
網路安全
Module 11-5 : Rootkit 之攻防演練的實務 (**)
11-50
網路安全
Rootkit 攻防實驗之架構 ( 以 Root Shell 為例 )
VictimAttacker
注入木馬保持連線隱藏木馬
11-51
網路安全
實作環境介紹• 以 Testbed建立一實驗,相關拓樸及設定如下圖
11-52
Victim (HTTP Server )OS : Windows XP SP2IP : 10.1.1.3
AttackerOS : Windows XP SP2IP : 10.1.1.2
網路安全
實驗拓樸 on Testbed@TWISC - 建立完成的實驗拓樸
11-53
網路安全
說明• 假設 Victim主機被入侵並安裝後門,所使用之工具
– NetCat (nc.exe)代替 telnet訪問遠端 Shell 、連接埠掃瞄、執行及傳輸文件– Root Shell為一種控制介面,在 NetCat植入遠端電腦後利用 Root
Sell 進行各種控制– Hacker Defender為駭客常使用的 Rootkit工具,可以用來隱藏檔案、處理程序及登錄碼 (Hacker Defender 1.0.0)
• 對 Victim主機進行掃描,所使用之工具– Avira AntiVir
• 是一套由德國 Avira公司所開發的一款防毒軟體 11-54
網路安全
攻擊之使用工具 - NetCat
• 版本– NetCat 111 (nc.exe)
• 支援作業平台– Microsoft Windows
• 下載位址– http://www.megaupload.com/?d=PQCHRLCX
• 下載放置位置– Attacker主機
11-55
網路安全
攻擊之使用工具 - NetCat ( 續 )
11-56
網路安全
攻擊之使用工具 - Rootshell
• 版本– Rootshell.v.2.0.php
• 支援作業平台– Microsoft Windows
• 下載位址– http://www.megaupload.com/?d=TANMWUVH
• 下載放置位置– Victim主機
11-57
網路安全
攻擊之使用工具 - Rootshell ( 續 )
• Rootshell
11-58
網路安全
攻擊之使用工具 - Hacker Defender
• 版本– Hacker Defender 1.0.0
• 支援作業平台– Microsoft Windows
• 下載位址– http://www.megaupload.com/?d=UV8WRCHJ
• 下載放置位置– Attacker主機
11-59
網路安全
攻擊之使用工具 - Hacker Defender ( 續 )
• Hacker Defender (defender v1.0.0 包含的檔案文件 )檔案文件名稱 檔案大小 說明hxdef100.exe 70 144 b Hacker defender v1.0.0主程
式 hxdef100.ini 3 872 b ini設置文件 hxdef100.2.ini 3 695 b ini設置文件,第 2 類bdcli100.exe 26 624 b 後門用戶端rdrbs100.exe 49 152 b redirectors base readmecz.txt 34 654 b 捷克語版說明文件 readmeen.txt 35 956 b 英語說明文件readmefr.txt 38 029 b 法語說明文件 src.zip 91 936 b 原始碼readmezh.txt 38 029 b 中文說明文件
11-60
網路安全
攻擊之使用工具 - Hacker Defender ( 續 )
• Hacker Defender(設定檔包含的參數 )
參數名稱 說明[Hidden Table] 隱藏檔案、目錄[Root Processes] 隱藏程序[Hidden Services] 隱藏服務[Hidden RegKeys] 隱藏 RegKeys 列表[Hidden RegValues] 隱藏 RegValues[Startup Run] 系統啟動執行動作[Free Space] 可用空間大小[Hidden Ports] 隱藏 port[Settings] hxdef 的設置
11-61
網路安全
偵測 Rootkit工具 - Avira AntiVir • 版本
– Avira AntiVir Personal - FREE Antivirus • 支援作業平台
– Microsoft Windows• 下載位址
– http://www.free-av.com/de/trialpay_download/1/avira_antivir_personal__free_antivirus.html
• 下載放置位置– Victim主機
11-62
網路安全
偵測 Rootkit工具 - Avira AntiVir ( 續 )
• 此為 Avira 開發的防毒軟體,包含 Rootkit 的防護,可檢測出被隱藏的物件
11-63
網路安全
環境描述• 假設條件
– Victim主機為一台 HTTP Server– Victim主機已安裝 Rootshell (Rootshell.v.2.0.php)
• Attacker主機與 Victim主機描述– Attacker主機之攻擊
• 開啟 Rootshell 網頁,並注入 nc.exe 至 Victim主機• 建立之間的連線• 執行各種指令進行攻擊
– Victim主機之防禦• 利用防護軟體測試掃描
11-64
網路安全 11-65
環境描述 ( 續 )
• 本實驗的主要目的為隱藏惡意程式,使 Victim主機的使用者不會發現主機被入侵• 實驗的步驟為
– 環境設定– 執行 Rootshell 並上傳 NetCat– 建立連線– 隱藏程序– Victim主機之防禦
網路安全 11-66
環境設定 • 駭客一般會透過系統漏洞入侵 Victim主機,上傳攻擊工具,並設定環境• 但本實驗的主要目的是隱藏惡意程式,該步驟直接手動設定 Victim主機環境
網路安全 11-67
環境設定 ( 續 )
• 在 Victim主機上安裝 Appserv ,設定為 HTTP Server
• Appserv 下載位置– http://prdownloads.sourceforge.net/appserv/appserv-
win32-2.5.10.exe?download
網路安全 11-68
環境設定 ( 續 )
網路安全 11-69
環境設定 ( 續 )
網路安全 11-70
環境設定 ( 續 )
• 關閉防火牆• 將 Rootshell 檔案放入 Appserv 的 www 目錄下
網路安全
執行 Root Shell 並上傳 NetCat
11-71
• 在 Victim主機上確認 IP位置
網路安全
執行 Root Shell 並上傳 NetCat ( 續 )
• 在 Attacker主機的瀏覽器上,輸入 Victim主機的IP 及 Rootshell 檔案名稱,確認能夠連線
11-72
網路安全
執行 Root Shell 並上傳 NetCat ( 續 )
• Attacker主機利用 Rootshell 將 nc.exe 上傳至Victim主機
11-73
網路安全
執行 Root Shell 並上傳 NetCat ( 續 )
• 至 Victim主機的 C:\\Appserv\www\查看 nc.exe 是否上傳成功
11-74
網路安全
建立連線• 在 Attacker主機上利用 Root Shell輸入 nc -l -p
8888 –e cmd.exe ,與 Victim主機建立連線• 按 Execute後,會發現頁面正在讀取,不必等讀取完畢,即可執行下一步驟
11-75
網路安全
建立連線 ( 續 )
• 在 Victim主機上下載 Process Explorer監控,確認Victim主機已與 Attacker主機建立連線– Process Explorer 下載位址
• http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
• 經過監控會發現 nc.exe正在執行,如此經由監控軟體便可將可疑的程式關閉• 因此,必須透過隱藏程式將 nc.exe隱藏,避開使用者的監控
11-76
網路安全
建立連線 ( 續 )
11-77
網路安全
建立連線 ( 續 )
• 若 nc.exe沒有執行,請試以下方法
網路安全
建立連線 ( 續 )
• 開啟命令提示字元,在Attacker主機上照畫面步驟執行• 為了使惡意程式不會被察覺,必須透過隱藏程式將 nc.exe隱藏,避開使用者的監控
11-79
網路安全
建立連線 ( 續 )
• 開啟命令提示字元,在 Attacker主機上照畫面步驟執行• 指令 rm phpinfo.php 可刪除 phpinfo.php ,可至
Victim主機查看
11-80
網路安全
隱藏程序• 在 Attacker主機上開啟 Hacker Defender 中的
hxdef100.ini ,將 [Hidden Processes] 之參數設定為 [\<Hi<>dden" P/r>oc"/e<ss>es\\]
>n"c.ex"er|c<md\.ex<e::
11-81
網路安全
隱藏程序 ( 續 )
• 在瀏覽器上開起新頁面,輸入 Victim主機的 IP 及Rootshell 檔案名稱
• Attacker主機在 Root Shell 中上傳三個檔案
11-82
網路安全
隱藏程序 ( 續 )
• Attacker主機在 Rootshell 中輸入 hxdef100.exe• 將 Victim主機的 nc.exe 成功隱藏起來• 切換到 Victim主機, Process Explorer監控軟體將無法看到 nc.exe
11-83
網路安全
隱藏程序 ( 續 )
11-84
網路安全
隱藏程序 ( 續 )
• 接下來可能會出現警告訊息,但不影響實驗進行
11-85
網路安全
Victim主機之防禦• Victim主機利用 Avira AntiVir 進行掃描,然後可做清除 Rootkit 或進行隔離的動作,還有提供掃瞄的報告• 點選 Avira AntiVir 執行檔開始安裝
11-86
網路安全
Victim主機之防禦• 照著指引繼續安裝
11-87
網路安全
Victim主機之防禦• 開始掃描
11-88
網路安全
Victim主機之防禦• 發現惡意程式
11-89
網路安全
結論• 在 Rootkit 攻擊方面,主要的攻擊步驟
– 想辦法植入 Rootkit– 建立之間的連線– 隱藏程序
• 在 Rootkit 防禦方面,市面上 AntiRootkit工具很多– 利用 Avira AntiRootkit 防護軟體掃瞄– 可針對 files 、 registry 、 processes 及 driver 進行掃瞄– 但若攻擊端使用更複雜的隱藏手法,則掃瞄軟體將可能無法偵測出是否為 Rootkit
11-90
網路安全
習 題
11-91
網路安全
習題一• 請簡敘 Botnet 發展三階段
11-92
網路安全
習題二• 請至搜尋引擊尋找關於 Botnet 的新聞 (關鍵字:
Botnet 與新聞 ) ,再以你看過本節的知識對文章作個摘要
11-93
網路安全
習題三• 若您是駭客,請問您將如何將 Rootkit植入受害者電腦,請簡述步驟
11-94
網路安全
習題四• 請問,如何察覺或偵測您的電腦可能已中了
Rootkit
11-95
網路安全 11-96
Module 11-6 :惡意程式的實作練習(**)
網路安全
• 利用實際操作的方式讓同學了解 Rootkit工作原理實作練習目的
11-97
網路安全
實作練習描述• A公司有一未維護的網頁主機,且已裝有 Root
Shell 程式,你現在扮演一個攻擊者角色將 NetCat上傳到該主機,且為了不被使用者發覺,必須隱藏該程式,以利後續的攻擊• 參考環境配置圖,完成下列要求
①利用已存在的 Root Shell 將 NetCat 上傳到網頁主機②利用 Hacker Defender隱藏程序
網路安全
實作練習描述 ( 續 )
• 現在你在 B公司上班,為了避免公司的主機被植入 Rootkit ,請你對公司的主機進行更新,避免不必要的風險
• 參考環境配置圖,完成下列要求①安裝 Avira Antivir 防毒軟體②利用 Avira Antivir 進行掃描
網路安全
環境配置圖
AppServ 下載處:http://www.appservnetwork.com
11-100
Victim OS : Windows XP SP2IP : 10.0.1.2安裝軟體: AppServ
AttackerOS : Windows XP SP2IP : 10.0.1.1
網路安全
作業繳交說明• 請參考情境完成作業,並將過程擷圖列於報告中• 請 於 2011.06.01 23:59 前 將 報 告 寄 至
• 助教收到信後會回信供同學確認繳交
7-101
網路安全
參考資料• 中國駭客癱瘓巴哈姆特網站 http://www.libertytimes.com.tw/2008/new/
apr/30/today-life7.htm • 內政部警政署刑事警察局 http://www.cib.gov.tw/news/news02_2.aspx?
no=261• CNN 網站遭駭客冒用!假電子報內含病毒影片 http://
www.nownews.com/2008/08/07/339-2316527.htm• 殭屍網路研究系列文章之一 http://www.media.edu.cn/
wang_luo_an_quan_5177/20060630/t20060630_186389.shtml• 喪屍網路 -維基百科 http://zh.wikipedia.org/w/index.php?title=%E6%AE
%AD%E5%B1%8D%E7%B6%B2%E7%B5%A1&variant=zh-tw• Mentor’s Research &
Interest:Botnet 介紹 http://mentorwang.blogspot.com/2008/07/Botnet.html
11-102
網路安全
參考資料 ( 續 )
• Spam Statistics from TRACE::Marshalhttp://www.marshal.com/TRACE/spam_statistics.asp
• [ 資通安全 ] 感染 Backdoor.Rustock.A 病毒http://ccnet.tnua.edu.tw/cert-news/viewtopic.php?p=19&sid=c3133b653ed47a4918045a4b434bc9c0
• the new pof: 2.0.8 (2006-09-06) http://lcamtuf.coredump.cx/p0f.shtml
• rpmfind.net http://rpmfind.net/linux/RPM/index.html
• Conficker悄悄變種與 W32.Waledac 病毒攜手作惡http://rogerspeaking.com/2009/04/2024
11-103
網路安全
參考資料 ( 續 )
• Kaspersky, 防毒軟體如何對抗 Rootkit, 2006/10/05 18:50• [VirusList] 卡巴斯基實驗室 , Viruslist.com, 2005• [iDEF2003] Anton Chuvakin, An Overview of Unix Rootkits• TWCERT/CC
www.cert.org.tw/document/• Greg Hoglund & James Buther, “Rootkits: Subverting the Windows
Kernel”, Addison Wesley, 2006• Nancy Altholz and Larry Stevenson, “Rootkits for Dummies”, Dummies,
2007• Wikipedia Encyclopedia
http://en.wikipedia.org/wiki/Rootkit
11-104
網路安全
參考資料 ( 續 )
• Chkrootkitwww.chkrootkit.org
• Rootkit Hunterhttp://www.rootkit.nl/
• http://www.microsoft.com/taiwan/technet/columns/profwin/19-Rootkits.mspx
• http://www.ithome.com.tw/itadm/article.php?c=45063
11-105
