1 / 61

駭客攻防 - 從資安演習談起

駭客攻防 - 從資安演習談起. 石翔任 GCIH , RHCE. 大 綱. 資安演習 資安事件處理基本步驟 駭客攻擊基本步驟與基本防護 事前勘查 (Reconnaissance) 探測掃描 (Probe 、 Scanning) 入侵破壞 (Exploit System) 維持存取 (Keeping Access) 隱藏行蹤 (Covering The Tracks) 其他建議. 資 安 演 習. 91 年資安演習 示範觀摩 92 年資安演習 限定手法實際攻擊 93 年資安演習 規劃中. 92 年資安演習 成功手法與數量統計.

karsen
Download Presentation

駭客攻防 - 從資安演習談起

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 駭客攻防- 從資安演習談起 石翔任 GCIH,RHCE

  2. 大 綱 • 資安演習 • 資安事件處理基本步驟 • 駭客攻擊基本步驟與基本防護 • 事前勘查(Reconnaissance) • 探測掃描(Probe、Scanning) • 入侵破壞(Exploit System) • 維持存取(Keeping Access) • 隱藏行蹤(Covering The Tracks) • 其他建議

  3. 資 安 演 習 • 91 年資安演習 • 示範觀摩 • 92 年資安演習 • 限定手法實際攻擊 • 93 年資安演習 • 規劃中

  4. 92 年資安演習成功手法與數量統計 • FrontPage Server Extension 權限管控不當 - 29 • SQL Injection - 17 • 網芳無密碼或弱密碼 - 8 • Solaris Login Buffer Overflow - 4 • MSSQL Server 預設管理帳號空密碼 - 3 • Samba Buffer Overflow - 3 • IIS Unicode - 2 • ATU-R 預設密碼 - 28 • 其他 - 5

  5. 92 年資安演習未成功但重要手法 • SQL Server Resolution Buffer Overflow - MS02-039 • OpenSSL Buffer Overflow 弱點 • Apache Chunk Buffer Overflow 弱點 • IIS ASP Buffer Overflow 弱點 - MS02-018 • Wu-ftpd Buffer Overflow 弱點

  6. 駭客的動機 • 研究導向 • 證明本身實力 • 出名、炫耀、好玩 - 駭客登錄網站 • 張揚本身訴求 • 為求本身利益 - 入侵 ISP、超級電腦、非法轉帳、竊取信用卡卡號、販售盜版圖利 • 商業利益 - 竊取商業機密、阻斷商業服務、破壞商業信譽、影響股市與經濟 • 反社會心態 - 純破壞 • 兩岸駭客攻防

  7. 攻擊動機與手法統計 From zone-h2004/2

  8. 攻擊作業系統統計 From zone-h 2004/2

  9. Web Server Survey From Netcraft 2004/2

  10. 攻擊 Top Level Domain 統計 From zone-h2004/2

  11. 攻擊事件造成的影響 • 資料外洩,包括客戶資料、單位機密資料等。如果被攻擊對象是政府資料庫、金融證券機構、國家安全機構,其影響層面無法想像 • 網路服務暫停、網頁置換,致使單位名譽受損 - 駭客登錄網站 • 電子商務網站的交易糾紛 • 架站心血一夕白費 • 成為攻擊其他系統的跳板 • 法律問題

  12. 駭客登錄網站 From zone-h2004/2

  13. 置換網頁範例 - 政治訴求

  14. 系統管理者對資安的重要性 • 人員是很好的入侵偵測機制 • 外人很難完全了解你的系統 • 現成軟體有不足處 • 專業的訓練 • 良好的通報流程 • 適度獎勵

  15. 資安事件處理基本步驟PICERF • Preparation - 預防準備階段 • Identification - 偵測識別階段 • Containment - 封鎖圍堵階段 • Eradication - 根除階段 • Recovery - 回復階段 • Follow Up/Lesson Learned - 檢討學習階段

  16. 駭客攻擊基本步驟 • 事前勘查(Reconnaissance) • 探測掃描(Probe、Scanning) • 入侵破壞(Exploit System) • 維持存取(Keeping Access) • 隱藏行蹤(Covering The Tracks)

  17. 事前勘查(Reconnaissance)攻擊方 - 1 • 一般指透過第三方系統收集資訊,通常尚未直接接觸欲攻擊系統 • 設定攻擊的目的 • 利用資源、竊取資訊、置換網頁、阻斷服務 • 攻擊目標的確立 • 選定有價值的目標 - 存放機密資料、帳號多、資料庫、大硬碟、大頻寬 • 選定容易入侵的目標 - 先以容易入侵的目標為跳板,以避開防火牆的阻擋

  18. 事前勘查(Reconnaissance)攻擊方 - 2 • 透過網路上公開可得資訊,獲取攻擊目標相關資訊 • Whois • 搜尋網站、News 群組或該單位 Web • DNS • IRC 聊天室 • 社交工程

  19. 事前勘查(Reconnaissance)攻擊方 - 3 • Whois - 可獲取單位使用 IP 網段、管理者電子郵件及電話等資訊 • Twnic http://www.twnic.net - 台灣 • Apnic http://www.apnic.net - 亞太 • ARIN http://www.arin.net - 美洲 • RIPE http://www.ripe.net/perl/whois - 歐洲 • Whois Source http://www.whois.sc • InetrNIC http://www.internic.com/whois.html • UNIX 上的 whois 指令,其他 Windows 上含有圖形介面的軟體

  20. 事前勘查(Reconnaissance)攻擊方 - 4 • 搜尋網站、News 群組或該單位 Web - 可獲取更多聯絡人或系統相關資訊,如可能有管理者在 News 群組求助該單位防火牆設定問題,攻擊者遇到經驗不足的管理者,幾可推測該單位可能尚含有設備預設帳號密碼等,下列網站常可令攻擊者獲得有用資訊 • Google http://www.google.com • Yahoo http://www.yahoo.com • Netcraft http://news.netcraft.com

  21. 事前勘查(Reconnaissance)攻擊方 - 5 • DNS - 透過 DNS Zone Transfer 列出單位內有註冊網域名稱的系統,藉此取得較明確的攻擊目標 • IRC 聊天室 - 與駭客同好交換經驗與所得資訊 • 社交工程 - 直接以電話、電子郵件或其他方式騙取帳號密碼等資訊

  22. 事前勘查(Reconnaissance)防護方 • 此階段雖未對系統造成直接損害,仍需避免被攻擊者取得過多有利攻擊的資訊 • 於註冊 Domain Name 資訊時,可使用職稱式的 email (如 sitemaster、webmaster),避免使用含有私人資訊的 email • 儘量勿在公開站台談論或發布過多內部資訊 • 建議可取消 DNS Zone Transfer 功能,或將此功能限於 Slave DNS Server 與 Master DNS Server 間 • 對於更改密碼應建立標準程序,並需確實確認對方身份等

  23. 探測掃描(Probe、Scanning)攻擊方 - 1 • 對目標系統送出特定封包,藉由回應獲取有用資訊 • Ping - 獲取存活(alive)主機之資訊,一般有 ICMP 與 TCP Ping • Traceroute - 找出到目標主機路徑上所經過路由器(router) • Port Scan - 找出該主機開啟了哪些通訊埠 (port),常用工具如 Nmap、SuperScan 等 • War dialing - 掃描是否有數據機 • War driving - 竊聽無線網路 • OS fingerprint - 獲得主機之作業系統版本 • 抓取標誌(banner) - 獲得伺服器程式之版本

  24. 探測掃描(Probe、Scanning)攻擊方 - 2 • 以弱點掃描軟體找出系統存在之漏洞 • 開放原始碼的弱點掃描軟體 • Nessus - 一般目的弱點掃描軟體 • nikto - 掃描是否有安裝某些 CGI 程式 • Whisker - 掃描是否有安裝某些 CGI 程式(已停止發展) • 商業版弱點掃描軟體 • Internet Scanner • Retina • Cyber Cop • 自行撰寫特定弱點掃描軟體

  25. 探測掃描(Probe、Scanning)攻擊方 - 3 • 遠端猜測密碼 - hydra、流光 • Windows Null Session - 列舉 Windows 系統之使用者名稱及分享資源等 • 試著描繪出網路架構及主機間之信賴關係 - Cheops-ng • 找出防火牆 policy - Firewalk

  26. 探測掃描(Probe、Scanning)防護方 - 1 • 使用防火牆 - 在這階段主要可透過防火牆明確定義哪些系統是需對外提供服務的,使用防火牆將不須對外之網路系統及服務與外部網路有效隔離,濾掉不需要的 ICMP 訊息,並須定期檢驗防火牆 policy 是否如預期 • 使用入侵偵測系統(IDS)或入侵預防系統(IPS) - 早期發現如 port scan 或弱點掃描等入侵前置動作

  27. 探測掃描(Probe、Scanning)防護方 - 2 • 內部非必要不提供數據機撥入,並教育同仁勿私接數據機 • 對於無線網路的使用需注意採用較強的加密與認證機制,可考慮使用 VPN,並儘量將無線電波的傳送範圍限制在使用單位的建築物內 • 可考慮內部網路一律使用 private IP address,再透過 NAT 連上 Internet

  28. 探測掃描(Probe、Scanning)防護方 - 3 • 關閉 Windows NULL Session • Windows 2000 可透過安全性原則 -> 安全性設定 -> 本機原則 -> 安全性選項 將 匿名使用者連線的其他限制 設為 沒有明確宣告的匿名權限則不能存取 • Windows NT 可執行 regedit,將 HKLM\SYSTEM\CurrebtControlSet\Contrl\LSA 中加入 RestricAnonymous 之 DWORD 值,將其設為 1

  29. 探測掃描(Probe、Scanning)防護方 - 4 • 設定強健密碼並啟用多次密碼錯誤帳號鎖住機制 - 至少須有警示訊息 • 安裝修補程式 • 關閉非必要服務

  30. 入侵破壞(Exploit System)攻擊方 - 1 • 利用各種弱點操控系統、竊取資料、置換網頁或造成阻斷服務等破壞,網路上可找到許多現成的攻擊程式(Exploit code) • 利用作業系統或套裝軟體設計不良 • 利用網頁應用程式設計不良 • 利用管理者錯誤的設定 • 利用預設安裝所存在的帳號 • 存取控制與信賴關係 • 攔截、代換封包(Session Hijacking) • 阻斷服務攻擊(DoS、DDoS) • 利用一般使用者

  31. 入侵破壞(Exploit System)攻擊方 - 2 • 利用作業系統或套裝軟體設計不良所存在的弱點 • 緩衝區溢位 (Buffer Overflow) • MS RPC DCOM (Blast Worm - 2003/8/11,修補程式 2003/7/16 MS03-026,MS03-039) • MS SQL Server Resolution Service (SQL Slammer Worm - 2003/1 ,修補程式 2002/7/24 MS02-039) • IIS ida/idq ISAPI filter (CodeRed Worm - 2001/7,修補程式 2001/6/13 MS01-033) • OpenSSL (Apache/mod_ssl (Slapper) Worm - 2002/9 ,修補程式 2002/7) • Apache Chunk

  32. 入侵破壞(Exploit System)攻擊方 - 3 • 路徑檢查不嚴謹 • IIS Directory Traversal (Unicode - Nimda Worm - 2001/9,IIS Worm - 2001/5,修補程式 2000/10/17 MS00-078) • IIS Double Decode (Nimda Worm,修補程式 2001/5/14 MS01-026) • ../../../etc/passwd • UNIX pipe | • 過度強大的功能 • hta - HTML Application • 巨集

  33. 入侵破壞(Exploit System)攻擊方 - 4 • 利用網頁應用程式設計不良 • 未正確檢查使用者輸入 - SQL Injection 等 • 認證機制不嚴謹 - 預設使用身分證字號、生日、電話等當成密碼,傳輸過程未強制加密 • 參數檢查不嚴謹 - 許多 CGI 程式如 phf • 架站程式本身弱點 - PHP Nuke 多個弱點 • 大部分撰寫網頁應用程式的人員並未經過專業資安訓練

  34. 入侵破壞(Exploit System)攻擊方 - 5 • 利用管理者錯誤設定 • 空密碼或容易猜測的密碼 • 密碼破解 - 在取得加密過的密碼的情況下,以密碼學方法解出密碼,如使用 L0phtCrack、John The Ripper • 密碼猜測 - 直接以各種帳號密碼組合嘗試登入,如使用 hydra、流光 • Windows NT/2000 預設分享 • FPSE • HTTP PUT • 利用預設安裝所存在的帳號 • MS SQL Server sa 帳號 • 網路設備預設帳號密碼

  35. 入侵破壞(Exploit System)攻擊方 - 6 • 存取控制與信賴關係 • 假造 IP 位址(IP Spoofing),搭配 Source Routing 以接收回傳封包 • 偽造 DNS 資訊(DNS cache poison) • 攔截、代換封包(Session Hijack) • ARP Spoofing - LAN • ICMP redirect • 提升權限、特權跳脫 - 當取得一般使用者權限後,試圖取得更高管理者權限

  36. 入侵破壞(Exploit System)攻擊方 - 7 • 阻斷服務攻擊(DoS、DDoS) - 利用各種方法,使用戶無法正常接受服務 • 使伺服器當掉 - OOB • 耗盡 CPU 資源 • 耗盡記憶體或硬碟空間 • 攻擊各作業系統對網路協定實做的弱點 • Cisco IOS DoS

  37. 入侵破壞(Exploit System)攻擊方 - 8 • DDoS(分散式阻斷服務攻擊)- 攻擊者常會以操縱多部系統發動佔滿網路頻寬式攻擊 • 佔滿網路頻寬 - Smurf • 攻擊網路協定弱點 - SYN flood • 寄出大量電子郵件 • 大量送出 HTTP request • CodeRed - 攻擊美國白宮網站 • Slammer Worm - 攻擊 Windows Update 網站 • MyDoom - 攻擊 www.sco.com

  38. 入侵破壞(Exploit System)攻擊方 - 9 • 利用一般使用者 • E-mail • Internet Explorer

  39. 隨手可得的攻擊程式

  40. 入侵破壞(Exploit System)防護方 - 1 • 若此階段失守,則對系統之損害已造成,因此需努力防止,可依網路、主機伺服器、應用程式及資訊本身等不同等級實行下列基本步驟 • 網路部份: • 正確規劃網路架構,將敏感網路與一般網路隔開 • 有效設定路由器存取控制列表(ACL),濾掉由外部介面進入含有內部網址之封包,濾掉 Source Routing 等 • 安裝網路型防火牆 • 安裝網路型入侵偵測系統(NIDS)/網路型入侵預防系統(NIPS)

  41. 入侵破壞(Exploit System)防護方 - 2 • 主機伺服器部分: • 弱點掃描 - 比駭客早一步發現系統存在弱點,及早採取補強措施 • 安裝修補程式: • Windows 系統直接使用 Windows Update 或連上下列 URL • http://windowsupdate.microsoft.com/ • RedHat Linux 可執行 up2date 或連上下列 URL • http://www.redhat.com/apps/support/errata/ • Sun Solaris 安裝 Recommended Patch • http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage • FreeBSD 使用 cvsup • 大量 Windows 系統用戶可考慮安裝 SUS 或 SMS 以減少下載修補程式佔用之頻寬

  42. 入侵破壞(Exploit System)防護方 - 3 • 關閉非必要的服務: • Windows 2000 系統可在我的電腦 -> 按右鍵 -> 選管理 -> 選服務及應用程式下的服務,將非必要的服務關閉 • RedHat Linux 可執行 ntsysv • Sun Solaris 及大部分 UNIX 可檢查/etc/inetd.conf 及開機 scripts (/etc/rc.*) • 防 DNS Cache Poision • 安裝較新版本 DNS • 限制 DNS recursion 查詢 • 限制動態 DNS 更新

  43. 入侵破壞(Exploit System)防護方 - 4 • 主機伺服器的其他建議 • 設定強健密碼 • 更改系統預設值 • 安裝主機型防火牆 • Linux - iptables • FreeBSD - pf、ipf • Solaris - ipf • Windows - TCP/IP 篩選、IP 安全性 • 儘量勿讓伺服器軟體以管理者權限執行 • 安裝主機型入侵偵測系統 • 安裝防毒軟體 • 不隨意安裝來路不明或不需要之軟體 • 了解系統狀態 - Open Port、Process、Hard Disk、CPU、Memory…

  44. 入侵破壞(Exploit System)防護方 - 5 • 應用程式: • 套裝軟體需安裝更新修補程式 • 自行撰寫的程式需注意輸入查驗(Input Validation)的問題,如 SQL Injection 中最主要造成問題的單引號 「 ’ 」等 • 自行撰寫的程式亦需注意所能存取資料的權限管控,做好適當的認證機制 • 若使用現成函數庫(如 OpenSSL),亦須注意其是否存在安全問題

  45. 入侵破壞(Exploit System)防護方 - 6 • 資訊本身: • 對於機密資訊加密儲存,即使儲存於系統中的資料遭竊取時,攻擊者仍可能因無法解密而降低損害 • 只將機密資訊儲存於必須之系統中,並採取異地備份以期遭破壞時能迅速回復 • 機密資料透過網路傳遞一律使用加密機制 - SSL、SSH、PGP、VPN

  46. 維持存取(Keeping Access)攻擊方 • 建立後門或安裝遠端管理程式,以利再次進入系統 • 新增特權帳號 • 遠端管理程式 - VNC、Terminal Server • 後門程式 - BO、NetBUS、SubSeven • 安裝 rootkit • 使管理者無法察覺入侵者的存在,隱藏入侵者所開啟的 port、執行的程式及暗藏的檔案等 • 取代系統檔案或作業系統核心 - w、ps、ls、netstat、df、du… • 安裝竊聽軟體 (sniffer) - 竊聽帳號密碼或其他有用資訊 • 當成跳板繼續攻佔其他系統

  47. 維持存取(Keeping Access)防護方 - 1 • 偵測不明連線 • 監看系統是否有開啟不明的通訊埠,在系統上可執行如 netstat、tcpview、Active Ports、FPort 或 lsof • 透過網路對系統做通訊埠掃描 - 如使用 Nmap 或 SuperScan • 在系統正常時留下電子檔與紙本記錄,以供後續比較 • 防火牆保留 Server 所有連線記錄 • 若 IDS 偵測到來自內部系統的可疑封包,常是被植入後門的徵兆 • 使用 sniffer - 注意隱私權問題 • 可至下列網址查看 port 的使用 http://www.neohapsis.com/neolabs/neo-ports/neo-ports.html

  48. 檢查網路連線 - TCPView

  49. 維持存取(Keeping Access)防護方 - 2 • 偵測不明程式 • 注意 CPU、記憶體、網路頻寬 • Windows 可透過工作管理員,UNIX 可透過 ps 或 top 查看是否有不明程式 • 在系統正常時留下電子檔與紙本記錄,以供後續比較 • 注意硬碟使用率是否暴增 - 可能是有 sniffer 的徵兆

  50. 檢查執行程式- Process Explorer

More Related