個人網(wǎng)路安全

個人網(wǎng)路安全網(wǎng)路危機(jī)駭客入侵防火牆基本概念遠(yuǎn)端遙控木馬(BO2k)病毒犯罪防治青少年保護(hù)與不當(dāng)資訊處理著作權(quán)聲明網(wǎng)路危機(jī)網(wǎng)路資訊安全個人隱私交易安全信用安全通訊安全其他駭客入侵駭客（Hacker）與怪客(Cracker）破壞與巧取駭客途徑防堵策略其他遠(yuǎn)端遙控與木馬特洛依木馬（常駐）木馬原理（內(nèi)神通外鬼?）BO2k……….清除木馬手動

自動病毒&蠕蟲(virus&worm)自行複製、散佈、感染、破壞）開機(jī)型、檔案型、巨集、E-mailScript…NortonAnti-Virus掃毒大考驗不良習(xí)慣其他大考驗(有獎)請掃出光碟病毒樣本。查看中毒檔案結(jié)束犯罪防治重製言論色情詐欺暴力舉出實例或現(xiàn)實生活上的趣聞聲明引用自網(wǎng)路相關(guān)文章皆為該著作權(quán)人所有，僅供此次教育研習(xí)使用，無其他意圖。以上引用包含此次講義印刷品，非營利用途刊載，請勿對外散佈或重製?；嘏_中區(qū)域網(wǎng)路研討會

電腦病毒的介紹中興大學(xué)計算機(jī)及資訊網(wǎng)路中心呂仲聖tony@.tw

Agenda起源分類病毒的進(jìn)化近年病毒大事紀(jì)病毒行為預(yù)防措施解毒方法參考資料起源/分類在磁柱上互相攻擊的程式MaliciousCode一般的定義(特徵)沒有名稱,體積不大,對系統(tǒng)造成影響病毒(Virus)特洛伊木馬程式(TrojanHorse)電腦蠕蟲(Worm)病毒的形式逐漸由單一的形態(tài)轉(zhuǎn)為組合的形態(tài)Example:W97M_MELISSAworm+TrojanHorse,wrom+virus病毒的進(jìn)化1987~1993PC盛行,網(wǎng)路萌芽資料的交換主要是經(jīng)由磁片病毒型態(tài)：開機(jī)型、檔案型、常駐型硬體：8086/8088/80286,AT/XT作業(yè)系統(tǒng)：DOS1993~1995Windows3.1出現(xiàn),但是仍以DOS開機(jī)除了DOS的病毒外,又增加了Windwos系統(tǒng)的病毒病毒的進(jìn)化1996~Microsoft推出32Bit的作業(yè)系統(tǒng)Windows95…病毒型態(tài)：增加了Macro,VBscript等不同的型態(tài)病毒的影響更廣泛近年病毒大事紀(jì)1991米開朗基羅現(xiàn)身,第一隻會格式化硬碟的病毒1995第一隻文件巨集病毒誕生NCSA統(tǒng)計,文件巨集佔所有病毒感染事件的49%1996第一隻本土巨集文件病毒(TaiwanNo.1)誕生,同年成為年度病毒王NCSA統(tǒng)計,文件巨集佔所有病毒感染事件的80%近年病毒大事紀(jì)(cont.)1997TaiwanNo.1被NCSA列入「InThewild」病毒資料庫以Internet為傳播媒介的病毒(第二代病毒)出現(xiàn)1998CIH出現(xiàn),這是全世界第一隻可以破壞BIOS的病毒以FTP為傳播途徑1999W97M_MELISSA(巨集型病毒)透過E-mail造成全球的大感染對通訊錄中的前50個名單發(fā)出垃圾郵件近年病毒大事紀(jì)(cont.)2000VBS_LOVELETTER對通訊錄中所有的名單自動發(fā)出2001CodeRedNimda病毒的行為CIHW97M_MELISSAVBS_LOVELETTERSIRCAMCodeRedNimda病毒的行為–Nimda.A第一次被發(fā)現(xiàn)的時間:September18th,2001在病毒中找到這樣的字串:

"Copyright2001R.P.China".首隻會修改網(wǎng)頁資料的病毒,再提供一個病毒檔下載藉由一般使用者的瀏覽器去感染較為脆弱的webserver具有worm的特性,會在Internet上爬行病毒的行為–Nimda.ALifeCycleInfectingFiles:Massmailing:Webworm:LANpropagation:病毒的行為–Nimda.AInfectingFiles:感染EXE檔,藉著檔案交換時散播Massmailing:經(jīng)由MAPI搜尋使用者電腦上的e-mailaddress,再寄一封有readme.exe這個附加檔的信給對方Webworm:掃描internet上的webserver,如果找到了就嘗試經(jīng)由一些已知的漏洞去入侵這個網(wǎng)站,如果成功了之後來瀏覽這個網(wǎng)站的人就有可能被感染LANpropagation:搜尋在LAN上有沒有做資源分享(網(wǎng)路芳鄰),如果找到了就在其中有DOC或是EML的目錄中放下一個隱藏檔RICHED20.DLL,當(dāng)使用者以Word,Wordpad,Outlook開啟相關(guān)檔案時,就會感染病毒的行為–Nimda.AAboutInfectedWebSiteInfectedhtmlsarecopiedthesecuresite.Thiscanhappenevenifyou'reusingapatchedversionofIISorsomethingelseentirely(suchasApacheorNetscape).Directwebworminfection.IfyourwebsiteisrunninganunsafeversionofIIS,thewormcaninfectyoursitebyaccessingitthroughhttp.TechnicalDetail

http://www.europe./v-descs/nimda.shtmlStartingonaserver,Startingonaworkstation,E-Mailspreading,IISspreading,AffectingthesecurityNimda.B的影響較小,僅改用不同的檔名PUTA!!.SCRandPUTA!!.EML病毒的行為–Nimda.ENimda.EisarecompiledvariantofNimda.Avirus-worm.Itisnotcompressed.ItusesthesametechniquesasNimda.A,exceptitspreadsitselfwithSAMPLE.EXEfilename.Otherminordifferencesareasfollows:1.ThewormusesCOOL.DLLnametouploaditselftowebservers2.ThewormusesHTTPODBC.DLLnametostartfromonservers3.ThewormusesCSRSS.EXEnametocopyitselftoserversThisversionofNimdahasfewseriousbugsthatallowittoinfectfilesseveraltimesandtojamNTsystemsconsiderably.病毒的行為–CodeRed自八月四日發(fā)作以來,已經(jīng)變種過三次主要是針對IISwwwserver攻擊,對一般使用者並沒有直接的威脅CodeRedCodeRed的行為有週期性(每個月)1號到19號23:59,透過WWW攻擊IIS的漏洞散佈20號00:00~23:59,對www1.做DoS的攻擊21號00:00之後進(jìn)入休眠狀態(tài)被入侵的系統(tǒng)首頁會被修改如右病毒的行為–CodeRedCodeRedII變種的CodeRed的入侵方式與CoedRed並無太大的差異,僅是尋找另一個系統(tǒng)的漏洞來進(jìn)行攻擊變種後的CodeRed明顯對中文系統(tǒng)的Windows做出更密集的入侵行為;原本被入侵的系統(tǒng)會連續(xù)24小時發(fā)出3000個執(zhí)行緒(thread)去嘗試入侵/散佈;但是在中文的系統(tǒng)中,時間會延長至48小時,執(zhí)行緒(thread)的數(shù)目也增為6000個入侵行為是在把”cmd.exe”這個程式放到webserver的”scripts”目錄後結(jié)束一但入侵完成後,就可以經(jīng)由瀏覽器去存取伺服器端的檔案資料,或執(zhí)行某些程式病毒的行為–CodeRedThewormdropsatrojanprogramto'\explorer.exe'thatmodifiesdifferentsomeIISsettingstoallowaremoteattackoftheinfectedhost.Thestandardcommandinterpreter'cmd.exe'iscopiedto'\inetpub\scripts\root.exe'andto'\progra~1\common~1\system\MSADC\root.exe'.Thewormcreatesthesefilestoboth'C:'and'D:'drivesiftheyexist.Thesecopiesofthe'cmd.exe'willallowanyattackertoexectecommandsontheremotesystemreallyeasily.木馬程式的行為關(guān)閉Windows系統(tǒng)上SFC的功能在IIS的設(shè)定檔中新增兩個指標(biāo)”/c”,“/d”;分別指向”c:\”及”d:\”經(jīng)由修改系統(tǒng)的機(jī)碼(registry)來達(dá)到以上的功能,並設(shè)定c:\及d:\可以經(jīng)由browser來存取病毒的行為–SircamSircamisamassmailinge-mailwormwiththeabilityofspreadingthroughWindowsNetworkshares.Theworm'sbodyis137216byteslongbutwhenitcomesasane-mailattachment,itlargerinsizeduetoadocumentthatisattachedtoitsbody.Sircamsendse-mailswithvariableusernamesandsubjectfields,andattachesuserdocumentswithdoubleextensions(suchas.doc.pifor.xls.lnk)tothem.WhenaSircam-infectede-mailattachmentisopeneditshowsthedocumentitpickedupfromthesendermachine's.Thefileisdisplayedwiththeappropiateprogramaccordingtoit'sextension:

.DOC.XLS.ZIP

Thiseffectivelydisguisestheworm'sactivity.Whiletheuserischeckingthedocumentthesystemgetinfected病毒的行為–SircamWhenthewormrunsonacleansystemitcopiesitselftodifferentlocationswithdifferentnames:Thewormcopiesitselfas'SirC32.exe'to\Recycled\folder.ThedefaultEXEfilestartup

Registrykey:

ischangedto

Thisisdonetoactivateaworm'scopyeverytimeanEXEfileisstarted.SincetherecycledfoldernameishardcodedthewormdoesnotworkonmachineswithNTFSfilesystem.MostWindowsNTand2000systemsareinstalledonNTFS.[HKCR\exefile\shell\open\command]'""[windows_drive]\recycled\SirC32.exe""%1"%*"'.病毒的行為–SircamThewormcopiesitselfas'SCam32.exe'intheSystemdirectory.ThewormthencreatesastartupkeyforthisfileintheRegistrytobestartedduringallWindowssessions:

Thewormcopiesitselfas'rundll32.exe'filetoWindowsdirectory.Theoriginal'rundll32.exe'fileisrenamedto'run32.exe'.Sometimes(onceoutof33cases)thewormplacesitscopytoWindowsdirectorywiththe'ScMx32.exe'name.Inthiscaseanothercopyofthewormiscreatedinthecurrentuser'spersonalstartupfolderas'MicrosoftInternetOffice.exe'.Thiscopywillbestartedwhenauserwhogotinfectedlogsintoasystem.[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]"Driver32"="<windows_system_dir_name>\SCam32.exe"防範(fàn)未然不開啟來路不明的文件(e-mail,executablefile,documents)安裝防毒程式(個人,群組,firewall,proxyserver)對系統(tǒng)做必要的修補(bǔ)動作(patch)訂閱病毒相關(guān)通報E-mail已成為病毒傳播的重要媒介使用Webmail,減少中毒及傳播的可能亡羊補(bǔ)牢–Nimda.A/anti-virus/tools/fsnimda3.exe

Ifyou'rerunningWindowsME,youneedtoturnofftheAutorestorefunctionalitybeforestartinganydisinfection.DothisbyclickingMyComputerondesktop,thenPerformance→FileSystem→Troubleshooting→DisableSystemRestore.Turnitbackonwhendone.TWCERT所提供的處理方式.tw/news/26.htm亡羊補(bǔ)牢–CodeRed將IIS的漏洞修補(bǔ)好,把木馬程移除,就可以解決/technet/security/bulletin/ms01-033.asp/technet/security/bulletin/MS00-052.asp/technet/security/bulletin/ms01-033.asp亡羊補(bǔ)牢–SircamRemovalinstructions:ftp://ftp.europe./anti-virus/tools/sirc_dis.regThiswillremovetheworm'sreferencefromtheEXEfilestartupkeyandthemainworm'sstartupkeyintheRegistry.Warning!Thesystemmightbecomeunusableiftheworm'sfileisdeletedwithoutmodifyingtheEXEfilestartupkeyfirst.Ifforsomereasontheworm'sfilecan'tbedeletedfromWindows(lockedfile),thenyouhavetoexittopureDOSanddeletetheworm'sfilemanuallyoruseaDOS-basedscanner.Notethatfor100%disinfectionallworm'sfilesneedstobedeletedandRegistryshouldbefixed.亡羊補(bǔ)牢–SircamAdditionalNote:Ifaworkstationwasinfectedtroughanetworkshare'\windows\run32.exe'hastoberenamedbackto'\windows\rundll32.exe'afterdisinfection.Theextralinein'autoexec.bat'filethatstartsthewormfrom\recycled\foldershouldberemovedalso.Networkinfectionprevention:Ifanetworkisinfectedanditisnotpossibletotakeitdowntodisinfectallworkstations,thefollowingmethodcanpreventthewormfromspreadingtocleanworkstations:Inthe\Recycled\folderofadrivewhereWindowsisinstalled,itisneededtocreateadummyfilewithSIRC32.EXEnameandread-onlyattribute.WebmailNeomailPerl,SMTP./setup.pl(checkGNUDB,CGI.pmMD5.pm)SquirrelmailPHP,SMTP,IMAPIMPPHP,SMTP,IMAP,Horde/IMP,MySQL,Perl參考網(wǎng)站.twNCSAICSA.tw.tw/

(SymantecSecurityResponse)http://www.europe.//technet/

(MicrosoftTechnet)//名詞介紹MAPI:

MessagingApplicationProgrammingInterfaceItisastandardizedsetofCfunctionsplacedintoacodelibraryknownasaDynamicLinkLibrary(DLL).ThefunctionswereoriginallydesignedbyMicrosoft,buttheyhavereceivedsupportofmanythirdpartyvendors.DoS:(Denial-of-Service)

阻絕式的攻擊;利用合法的Internet服務(wù)管道,發(fā)送大量的服務(wù)請求,藉以癱瘓/阻絕被攻擊網(wǎng)站對外的通信服務(wù)SFC:(SystemFileChecker)

SFCisresponsibleforcheckingtheintegrityofsystemfiles.SMTP

SimpleMailTransferProtocalIMAP

InternetMessageAccessProtocol()回下一步總結(jié)聽眾所需採取的行動總結(jié)你將採取的後續(xù)追蹤行動SymantecEnterpriseFirewallwithVPN

SymantecEnterpriseVPN

VelociRaptor

SymantecDesktopFirewall

賽門鐵克企業(yè)防火牆+

VPN─SymantecEnterpriseFirewall+VPN

硬體防火牆+VPN─VelociRaptor臺灣賽門鐵克授權(quán)服務(wù)中心元盈電腦資股份有限公司HTTP://WWW.SAVETIME.COM.TW你的防火牆夠安全嗎？2001年5月中美駭客大戰(zhàn)慘遭池魚之殃抵擋CodeRed病毒的Dos攻擊？當(dāng)遭受攻擊時，防火牆是否可採取阻斷服務(wù)措施？如何評量防火牆需求?CodeRedInTheNewsCodeRedInTheNewsCodeRedAttackBadGuys/GalsFirewallWebSeverFarmDMZInternalWebServersWelcometoHackedByChinese!CodeRedAttackStoppedBadGuys/GalsSymantecEnterpriseFirewallVelociRaptorCorrectFirewallRulesWebSeverFarmDMZInternalWebServersESMPolicyTemplateNetProwlerSignature如何評量防火牆需求?防火牆概觀防火牆基本概念常見的防火牆類型PacketFilteringStatefulInspectionApplicationProxy效益與限制軟體防火牆(SymantecEnterpriseFirewall)硬體防火牆(VelociRaptor)Internet防火牆TCP/IP路由器對外主機(jī)DMZ防火牆架構(gòu)防火牆基本概念ExternalInternal中小企業(yè)VelociRaptor硬體防火牆遠(yuǎn)端使用者RaptorMobileVPN用戶端個人防火牆在家工作者個人防火牆分公司賽門鐵克企業(yè)防火牆企業(yè)總部賽門鐵克企業(yè)防火牆防火牆的擴(kuò)充性防火牆基本概念重要的防火牆需求:設(shè)定規(guī)則控制流量進(jìn)出最安全:禁止所有未明確指定允許的流量常見的防火牆類型四種基本類型:封包過濾電路層閘道狀態(tài)式檢測應(yīng)用層代理TCP/IP通訊協(xié)定賽門鐵客企業(yè)防火牆在TCP/IP的應(yīng)用層提供代理服務(wù)ApplicationLayerTCPFTPTelnetDNSNFSPINGUDPIPICMPIP

Packets(Ethernet,

Token

Ring)TransportLayerNetworkLayerPhysicalLayer防火牆類型:封包過濾相當(dāng)基本的防火牆類型通常運(yùn)用在簡單的router或Layer3switch上檢測進(jìn)入/出去

IP封包並決定接受或拒絕:來源/目的地

IP位址來源/目的地

TCP/UDP通訊埠號只檢測

IP封包表頭,而不檢查內(nèi)部資料防火牆類型:電路層閘道檢測

TCPhandshaking過程允許產(chǎn)生授權(quán)連線,但不監(jiān)控此連線的資料持續(xù)紀(jì)錄目前連線狀態(tài),只允許此連線的網(wǎng)路流量防火牆類型:狀態(tài)式檢測較封包過濾擁有較高安全性和複雜性檢測

IP表頭和資料，確保封包是先前連線的部分可提供網(wǎng)路位址轉(zhuǎn)換(NAT)服務(wù),或電路和應(yīng)用層過濾採用多層次狀態(tài)檢測防火牆類型:應(yīng)用層代理提供代理服務(wù)，決定封包通過與否應(yīng)用代理─主機(jī)與遠(yuǎn)端電腦不直接連線最安全的防護(hù)方式Canalsobeadded防火牆類型–效益與限制封包過濾效益:效能衝擊低,成本低限制:安全性低,容易被欺騙電路層閘道效益:較封包過濾安全限制:不檢查現(xiàn)有連線封包內(nèi)容狀態(tài)式檢測效益:兼顧部分安全和效率限制:無法分析封包所有的通訊協(xié)定–安全性較低應(yīng)用閘道效益:安全性最高限制:若設(shè)定不當(dāng)，效能影響極大SymantecEnterpriseFirewall

CheckpointFirewall-1

PGPGauntlet

CISCOPIX

MicrosoftISAServer

架構(gòu)

完全應(yīng)用代理技術(shù)(混合型、狀態(tài)式檢測和封包過濾支援)

狀態(tài)式封包過濾檢測(混合型,有限的應(yīng)用代理支援)

應(yīng)用代理(混合型)

狀態(tài)式封包過濾(有限的應(yīng)用功能)

有限的應(yīng)用代理和狀態(tài)式檢測回網(wǎng)路安全問題調(diào)查目的e世代青少年使用網(wǎng)路的情形、接觸不正當(dāng)網(wǎng)站或內(nèi)容的情形如何？青少年擔(dān)心的網(wǎng)路安全問題是什麼？e世代青少年的父母懂不懂網(wǎng)路？他們知道子女接觸什麼樣的網(wǎng)路內(nèi)容？成人擔(dān)心的網(wǎng)路安全問題是什麼？網(wǎng)路安全問題調(diào)查-學(xué)生篇有效樣本數(shù)：1623人研究樣本:

臺北縣、市之國小、國中、高中各三所學(xué)校(共18所學(xué)校、47個班級)國小362人、國中531人、高中730人年齡層11-17歲，平均年齡14.46歲男:829人女:788人執(zhí)行日期:89.9.5~8、89.9.11e世代青少年使用網(wǎng)路的情況學(xué)生在網(wǎng)路上接觸的內(nèi)容，除以提供電腦遊戲的網(wǎng)站，聊天室及提供音樂下載的網(wǎng)站之外，許多學(xué)生在網(wǎng)路上看過色情資訊，性愛相關(guān)話題的討論，裸露圖片