Download
1 / 186
1.9k likes | 2.18k Views
電腦病毒防護與防駭. 台灣康銓科技 彭建國. 課程大綱. 資訊安全 概論. 常見的資安事件. 認識病毒. 基本防護與防範. 防毒軟體介紹. 結論. 資訊安全 概論. 「資料」是指未經處理之原始訊息,其內容可能包含數值、文字、事件描述等多樣化格式之眾多呈現方式 。 「資訊」則是將眾多資料藉由整理或分析的過程,使其成為有意義之內容,可透過網路來互通共享,為有效確保重要資訊的保存,防止非法存取、竄改或惡意毀損與破壞,資訊安全之維護成為 日益 重 要 的議題,而有關資訊保護之研究的總合稱為 「 資訊安全 」。. 資訊安全 概論.
E N D
電腦病毒防護與防駭 台灣康銓科技 彭建國
課程大綱 資訊安全概論 常見的資安事件 認識病毒 基本防護與防範 防毒軟體介紹 結論
資訊安全概論 • 「資料」是指未經處理之原始訊息,其內容可能包含數值、文字、事件描述等多樣化格式之眾多呈現方式。 • 「資訊」則是將眾多資料藉由整理或分析的過程,使其成為有意義之內容,可透過網路來互通共享,為有效確保重要資訊的保存,防止非法存取、竄改或惡意毀損與破壞,資訊安全之維護成為日益重要的議題,而有關資訊保護之研究的總合稱為「資訊安全」。
資訊安全概論 • 在資訊安全中所討論的資訊,一般而言指的是企業或組織在營運時所收集,產生,或運用的資料,不論是有形或無形的,它可以是存在於電腦中的資料,列印或書寫在紙張上的資訊,甚至是存在於通訊中。 • 這些資訊對企業或組織而言都是有價的,對企業或組織的營運有相當的影響。因此,需要適當的保護措施,降低其風險,避免遭受內在或外來的威脅。
資訊安全的重點-C.I.A. • 確保機密性 Confidentiality • 未經授權之人無法存取資料 • 避免故意或無心而未經授權竊取及洩漏資料內容 • 確保完整性或真確性 Integrity • 確保資產之正確性與完整性之性質 • 未經授權之人員或程序無法竄改資料 • 經授權之人員或程序無法執行未獲授權之修改 • 資料之內外一致 • 確保可用性 Availability • 確保有需要時,系統能上線或執行 • 未經授權之人無法阻撓合法用戶使用系統資源 • 經授權人員可及時可靠地存取資料或電腦資源
資訊安全維護 考量因素 • 人員訓練與預防 • 安全操作觀念指導 • 專業的教育訓練 • 預防人員犯罪 • 實體與技術安全 • 實體建築、文件 • 電腦軟、硬體 • 網路通訊 • 資料儲存與傳送 資訊安全維護
資訊安全的威脅 人為因素為最主要的威脅來源
資訊安全的重要 • 資訊安全含括了網路安全、系統安全、資料庫安全、數位簽章、加/解密技術、電腦病毒和身份識別等不同層面的問題,隨著電腦技術之提昇及網路之發達,這些已經與我們的生活密不可分,才使資訊安全問題日漸引起重視與注意。 • 有些人誤解為電腦不連結網路或內部網路和外界網路不連結(實體隔離)就沒有資訊安全的問題;事實不然,從許多電腦犯罪的案例來看,人才是最大的關鍵。
個人電腦為什麼會被攻擊?? • 竊取機密檔案/文件 • 資料蒐集 • 盜取線上遊戲虛擬寶物(裝備) • 部落格帳號密碼 • 利用你的電腦資源 • 跳板(殭屍) • 惡作劇/監控
一般常見的資安事件(威脅) • 個人資料(信用卡資料)外洩 • 電腦中毒 • 被植入後門木馬程式 • 被惡意程式綁架成為僵屍電腦 • 誤上釣魚網站或是惡意網站 • e-mail被不當收集及垃圾信、釣魚郵件氾濫 • 被迫連結到色情、廣告及非法網頁 WHY??..只要有可能,它一定會發生!!
一般常見的資安事件(威脅) • 63%的學校每年都有2次以上的資安麻煩 • 雲端資安防護廠商-Panda防毒軟體公司最近發表了一份針對12歲以下幼兒教育環境的資安研究報告。這份報告同時訪問了超過100位任職於上述環境的美籍資安從業人員,探討他們如何落實資安教育,以及目前校內最棘手的資安難題。研究指出,63%的學校都曾遭到惡意軟體入侵或曾遭受未經授權的用戶闖入,而且每年至少發生2次以上,這結果顯示資訊安全對學校而言確實是一項耗時又費工的苦差事。 資料日期:2011-05-17 資料來源:Panda
電腦中毒或遭入侵的現象 系統執行中會出現出現莫名其妙的訊息、對話框或聲音,無緣無故經常會當機或自動關機。 磁碟可利用的空間突然減少。 電腦突然開不了機。 程式執行速度突然變慢,連線上網異常慢,且電腦傳送封包數量異常增加。 可執行檔的檔案大小或日期改變。 記憶體內增加來路不明的常駐程式。 防毒軟體自動防護不定時被關閉。
電腦中毒或遭入侵的現象(續) 網頁瀏覽器首頁被綁架(無法自訂首頁或自訂失效),或不斷開出特定網頁及彈出式廣告。 異常自動開啟多重視窗。 網頁瀏覽器增加未曾看過的工具列。 操作系統變的反應遲鈍 一些應用軟體無法正常開啟或有部份功能無法正常使用 CPU使用率連續且異常偏高。 電腦資料損毀或突然硬碟開始自動格式化。 …………
《孫子兵法》的《謀攻篇》: 「知己知彼,百戰不殆;不知彼而知己,一勝一負;不知彼,不知己,每戰必殆。」
認識電腦病毒(VIRUS) • 電腦病毒是一種附掛在其他可執行程式的程式碼,在未經「正當」的允許下,進入電腦系統中,從事干擾電腦系統正常運作、在電腦螢幕上顯現訊息、或是損毀電腦系統中的電子資料等進行干擾性、破壞性、或惡作劇的行為,通常具備自我隱藏、複製與再生、變種等基本人工智慧。 • 在執行附加病毒的程式之後,病毒碼就會執行預設的動作,這些動作包含將自己散播到其他程式或磁碟之中;某些病毒更惡毒,不但會刪除檔案還可能造成電腦毀損。但某些病毒除了將自己散播到其他系統之外,並不會執行任何惡意的動作。
病毒的特性 病毒的特性 隱藏性 傳播性 複製性 觸發性 寄生性
病毒的特性(續) • 複製性 • 當使用者存取到含有病毒的檔案時,病毒就會試圖將含有病毒的檔案,複製到電腦系統中。 • 傳播性 • 病毒會透過各種管道(移動式儲存媒體、P2P、FTP、檔案分享等)來傳播,感染更多的電腦或系統。 • 隱藏性 • 為了不讓使用者(防毒軟體)發現,以便順利傳播感染更多的電腦,因此會隱藏而不易察覺。
病毒的特性(續) • 寄生性 • 病毒無法單獨存在,必須依附在其他檔案或程式中,當然也會跟著許多隨身裝置(USB、記憶卡等)到處亂竄。 • 觸發性 • 有些病毒會依據某些特殊的狀況或是條件而啟動,像是特定的日期等。
電腦病毒的產生 • 電腦病毒的產生,其實有很多不同的原因,諸如:故意製造用來報復、有些就是用來慶祝某些節日、有些程式設計師製造電腦病毒的目的是為了表現自己的能力或挑戰自己或別人、甚至有些是由宗教狂、政治狂為了特定目的所製造的。 • Stuxnet發威!美國、以色列毀伊核武(國際新聞2011/01/17) 伊朗核武研發技術傳出遇到瓶頸,須延至2015年才可製造核彈。此舉似乎間接證實「美國和以色列共同研發的電腦病毒Stuxnet發威了」!這款毀滅性病毒能讓伊朗的核子離心機運轉失控。對此,美方戰略顧問表示,樂見此狀,「將盡力讓情況變得更複雜」。
病毒的生命週期 電腦病毒就好像細菌的生長一般,所以我們才將它稱做「病毒」。而電腦病毒的成長可以被歸納成下列幾個階段: • 創造期: 當電腦駭客們花了數天或數週努力的研究出一些可以廣為散佈的程式碼,電腦病毒就這樣誕生了。當然,他們是不會這樣就算了的,他們通常都會設計一些破壞的行為在其中。 • 孕育期: 這些電腦駭客們會將這些含有電腦病毒的檔案放在一些容易散播的地方。如BBS站、Internet的FTP站,甚至是公司或是學校的網路中等等。
病毒的生命週期(續) • 潛伏期: 在潛伏期中,電腦病毒會不斷地繁殖與傳染。一個完美的病毒擁有很長的潛伏期,如此一來病毒就有更多的時間去傳染到更多的地方,更多的使用者,一旦發病將會造成更大的傷害。例如世界知名的米開朗基羅病毒,在每年三月六日發作前,有整整一年的潛伏期。 • 發病期: 當一切條件形成之後,病毒於是就開始破壞的動作。有些病毒會在某些特定的日期發病,有些則自己有個倒數計時裝置來決定發病的時間。雖然有些病毒並沒有發病時的破壞動作,但是它們仍然會佔據一些系統資源,而降低系統運作的效率。
病毒的生命週期(續) • 根除期: 如果有夠多的防毒軟體能夠偵測及控制(清除)這些病毒,並且有夠多的使用者購買了防毒軟體,那麼這些病毒就有機會被完全消滅。但是到現在為止,並沒有人敢宣稱某一隻病毒完全絕跡,但是有些病毒已經很明顯的被制止了,如早期的Disk Killer等。
病毒及其他威脅種類 • 開機型病毒 • 檔案型病毒 • 巨集病毒 • 複合型病毒 • 隱型病毒 • 多型病毒 • 第二代病毒 • VBS、JavaScript & ActiveX 病毒 • 蠕蟲 • 後門程式 • 木馬程式 • 間諜軟體 • 惡意程式 • 殭屍網路 • 社交工程
病毒種類(續) • 開機型病毒 • 由於開機型病毒通常會去感染硬碟或磁片的系統啟動部位,因此開機型病毒我們又稱之為『系統型』病毒。通常這一類型的電腦病毒會吃掉電腦中的記憶體;也就是說在有電腦病毒常駐的情形下由硬碟開機的話,則記憶體就會減少。另外,在比較嚴重的情形之下,由於此類型的電腦病毒可能破壞電腦的系統部位,所以它也有可能使你的電腦無法正常的開機,這就是開機型病毒最大的威力所在! • 典型:CIH、米開朗基羅病毒、猴子病毒…等。
病毒種類(續) • 檔案型病毒 • 所謂『檔案型』病毒就是指病毒會依附在程式的可執行檔上面,我們稱之為檔案型病毒。檔案型病毒專門感染系統程式的可執行檔(例如附檔名為.com、.exe等,有的病毒會寄生在.sys檔),也有的病毒會同時侵襲OVL、SYS、BIN等類似執行檔的二進位檔案。 • 檔案型的病毒依傳染方式的不同,又分成非常駐型以及常駐型兩種,通常附身的宿主程式不是會逐漸變大,就是逐漸變小。如果重覆感染,檔案的大小還會繼續改變。
病毒種類(續) • 非常駐型病毒(Non-memory Resident Virus) :非常駐型病毒將自己寄生在 *.COM,*.EXE或是 *.SYS的檔案中。當這些中毒的程式被執行時,就會嘗試地去傳染給另一個或多個檔案。 • 常駐型病毒(Memory Resident Virus) :常駐型病毒躲在記憶體中,其行為就好像是寄生在各類的低階功能一般(如Interrupts),由於這個原因,常駐型病毒往往對磁碟造成更大的傷害。一旦常駐型病毒進入了記憶體中,只要執行檔被執行,它就對其進行感染的動作,其效果非常顯著。將它趕出記憶體的唯一方式就是冷開機(完全關掉電源之後再開機)。 • 典型:Friday The 13th、MacGyvver、Connie病毒、耶路撒冷病毒(Jerusalem) …等。
病毒種類(續) • 巨集病毒 • 主要是利用軟體本身所提供的巨集能力來設計病毒,通常巨集都是伴隨著主程式啟動時一起被載入記憶體中,巨集通常可以允許使用者自行設計以便能夠一次執行連串的指令或動作。它的概念就很類似在DOS環境下的批次檔。 • 以Microsoft Word為例,當我們啟動Word之後,會載入Normal.DOT的範本檔以設定如字型,行距等等相關資訊。巨集病毒就是利用類似的動作。只要開啟含有巨集病毒的文件之後,以後我們所開啟的舊檔或者是開啟新檔案等等都難逃巨集病毒的惡夢。 • 典型:Taiwan No1、Melissa、台灣劇場病毒、釣魚台病毒、教師節病毒、聖誕節病毒、亞特蘭大病毒…等。
病毒種類(續) • 複合型病毒 (Multi-Partite Virus): • 複合型病毒兼具開機型病毒以及檔案型病毒的特性。它們可以傳染 *.COM,*.EXE 檔,也可以傳染磁碟的開機系統區(Boot Sector)。由於這個特性,使得這種病毒具有相當程度的傳染力,一旦發病,其破壞的程度將會非常可觀! • 典型:大榔頭(Hammer)、Flip翻轉病毒等。
病毒種類(續) • 隱型病毒(Stealth Virus): • 隱型病毒又稱作中斷截取者(Interrupt Interceptors)。顧名思義,它藉由控制DOS的中斷向量,當外部程式呼叫DOS的中斷服務時,便同時執行到病毒本身,使得病毒能從容地將被感染的檔案,來讓作業系統以及防毒軟體誤認為所有的檔案都是乾淨的。隱型病毒是常駐型,會欺騙電腦系統,不知病毒存在或檔案已受破壞。 • 此型病毒DREAMING KING、NATAS。
病毒種類(續) • 多型病毒(Polymorphic/MutationVirus): • 多型病毒可怕的地方,在於具有自我編碼的能力,每當它們繁殖一次,就會以不同的病毒碼傳染到別的地方去。每一個中毒的檔案中,所含的病毒碼都不一樣,對於掃描固定病毒碼的防毒軟體來說,無疑是一個嚴重的考驗!如Whale病毒依附於.COM檔時,幾乎無法找到相同的病毒碼,而Flip病毒則只有2byte的共同病毒碼(好像戴面具只剩兩個眼睛露出來)。
病毒種類(續) • 第二代病毒?? • 第一代病毒(傳統型病毒)的共同特色,就是一定有一個「寄主」程式,所謂寄主程式就是指那些讓病毒窩藏的地方。最常見的就是一些可執行檔,像是副檔名為.EXE及.COM的檔案。但是由於微軟的WORD愈來愈流行,且WORD所提供的巨集功能又很強,使用WORD巨集寫出來的病毒也愈來愈多,也因此副檔名為.DOC的檔案,甚至壓縮檔也會成為寄主程式。
病毒種類(續) • 第二代病毒完全不需要寄主的程式,如果硬要說它寄生在哪裡,或許只能說它是寄生在「網路」上吧。如果網頁只是單純用HTML語法寫成的話,那麼要傳播病毒的機會可說是非常小了。但是呢,為了讓網頁看起來更生動,更漂亮,許多語言也紛紛出籠,其中最有名的就屬JAVA和ActiveX了,不幸的是,這兩個語言都相繼地被有心人士「點召」,成為第二代病毒的溫床。
病毒種類(續) • VBS、JavaScript & ActiveX 病毒 • 以往經由網際網路中毒,多半是在不安全的網站裡下載某個檔案,病毒夾帶在檔案裡一起被下載到電腦裡,導致電腦被感染,但是隨著網頁技術的進步,可資利用的漏洞也日益增多,此類型的病毒只要單純的瀏覽網頁就會中毒,這是駭客惡意竄改網頁的結果,在網頁上刻意放上VBScript、JavaScript、ActiveX類型的病毒,使用者在瀏覽網頁時病毒會隨著HTML網頁一起被暫存在電腦的記憶區,這時電腦就中毒了。 • 典型:VBS.HappyTime
蠕蟲(WORM) • 蠕蟲最早期出現於Unix系統,除了具備自我散播、複製、攻擊、破壞與隱藏之能力,最常透過網路自我散播。 • 蠕蟲是病毒的子類別,病毒與蠕蟲之間最大的差別在於病毒大量散播須經因人為造成的傳播,而蠕蟲散佈通常都是自動的,不需要使用者執行感染動作,而且蠕蟲會將自己完整複製,再透過網路傳播。
蠕蟲-WORM(續) • 在蠕蟲複製的過程中,甚至會對自體做出修改的動作,已規避偵測軟體的偵查。由於蠕蟲藉由不斷複製能消耗記憶體或網路頻寬,最後導致系統資源不足而使電腦當機,並造成網路流量大增的連鎖效應,最終就會拖慢整個企業網路以及對外連結網際網路的速度。再加上蠕蟲不需要透過「母體」程式或檔案,即可自行傳播,所以有些蠕蟲程式也會入侵電腦系統,讓他人從遠端執行遙控。 • 典型:Sasser、Blaster蠕蟲、USB病毒蠕蟲等。
蠕蟲生命週期 因利益或需求製作惡意程式 偵測並刪除 利用網路或儲存媒體擴散 下載惡意程式 入侵電腦 偵測網路環境 攻擊電腦弱點 自我複製 感染物件
蠕蟲-WORM(續) • 蠕蟲依據不同的攻擊與行為模式可以分為: • IM-Worms: 此類型蠕蟲會透過如 MSN、SkYPE、QQ 等即時通訊軟體做為散播途徑,蠕蟲通常會透過 IM 軟體發送惡意連結或傳送惡意檔案到所有的好友清單或通訊錄中。 • IRC-Worms: IRC 蠕蟲會透過線上多人聊天室的聊天頻道進行散播,使用者電腦感染該蠕蟲,用戶端 IRC 軟體可能會自動登入到特定IRC頻道,等待執行惡意指令或散佈惡意連結。
蠕蟲-WORM(續) • P2P-Worms: 該蠕蟲利用現今最流行的 P2P 下載軟體,透過共享資料夾進行傳播,使用者可能在線上下載並執行偽裝的惡意程式,再透過分享資料夾傳播給網路上其它使用者。 • NET-Worms: 此類蠕蟲通常會透過應用程式或是作業系統漏洞進行攻擊與感染,並藉由網際網路或是區域網路媒介進行散播,同常俱有主動感染、快速與大規模散播的特性。 • Email-Worms: 該蠕蟲會透過 email 本文或是附件散播惡意程式與惡意連結,感染後會搜尋該電腦的通訊錄清單來發送惡意郵件。
Stuxnet蠕蟲分析 • Stuxnet蠕蟲的事件牽涉到複雜的國際關係(伊朗核能發電廠)並且以工業電腦為主要目標的手法。 • 根據ESET的Stuxnet Under the Microscope這份報告分析,Stuxnet蠕蟲在設計階段即以設定其攻擊的目標分為二大類: • 一般或特定的組織與公司 • 特定的軟體或基礎建設
Stuxnet 蠕蟲分析(續) • 由於目前作業系統在安裝應用程式時都會檢查其數位簽章(模式為微軟預先建立的白名單核對)為避免目標使用者在安裝Stuxnet蠕蟲時接收到作業系統不明程式安裝的警告,它使用了位在新竹科學園區的瑞昱半導體(Realtek)及智微科技(JMicron)的數位簽章,這使得蠕蟲可以在不被注意下安靜的植入目標系統。我們可以推測,蠕蟲的設計者使用瑞昱半導體(Realtek)及智微科技(JMicron)的數位簽章是依據其對設定的攻擊目標的了解而特別匯入,也就是說,一開始這個蠕蟲就帶有針對性且事先就了解目標的硬體使用狀況。
Stuxnet 蠕蟲分析(續) • Stuxnet 蠕蟲另一個特殊的地方在於其利用Code injection技術植入程式碼在西門子工業電腦的相關應用程式中,這也表示設計者非常了解目標所使用的自動控制系統,因為Code injection要能成功執行其限制條件遠比一般技術要高很多。 • 其使用的軟體隱藏技術(rootkit),完整涵蓋應用程式安全模型裡的使用層(user mode)與核心層(kernel mode),除了一般惡意程式所常使用的使用層訊息攔截技術(API Hook)外,為了加強隱藏的能力,Stuxnet甚至產生自己的一個mrxnet.sys驅動程式,以驅動程式的身分常駐在核心以躲過大部分的防毒軟體偵測。
Stuxnet 蠕蟲分析(續) • Stuxnet蠕蟲具有以下幾種感染的途徑: • 利用MS10-046 Windows Shell link漏洞透過USB磁碟感染 • 利用MS10-061漏洞與WBEM感染 • 利用共享文件方式 • 利用MS08-067漏洞
Stuxnet 蠕蟲分析(續) • 為了避免被發現,使用了非常複雜的隱藏方式,包含: • 當程式被執行後會攔截系統API,讓使用者看到與Stuxnet蠕蟲相關的檔案。 • 釋放一個名為mrxnet.sys的驅動程式,在開機時以MRXNET為名自動載入,直接在核心過濾任何跟蠕蟲有關的檔案。 • 釋放另一個驅動程式Mrxcls.sys,建立了一個名為MRXCLS的服務,在啟動時自動載入並驅動。搜尋名稱為services.exe,S7tgtopx.exe等程式,並植入自己的程式碼。這都是與西門子系統相關的程式。被注入的代碼尋找名為s7otbxsx.dll的可執行模組,並嘗試hook該模組中的API函式。 • 建立(修改)相關登錄資料, • 並試圖連接www.mypremierfutbol.com以及www.todaysfutbol.com進行更新以及接收指令。
惡意程式-Malware • 在中國大陸此程式又稱為流氓軟體,是指在未明確提示使用者或未經使用者許可的情況下,在使用者電腦或其他終端上安裝執行,侵犯使用者合法權益的軟體。 • 駭客利用各種手法在個人電腦中植入惡意程式後,使該電腦可被遠端控制在使用者不知的狀況下發送垃圾郵件、提供色情圖片甚至發動阻絕式服務的攻擊。 <P.S>依據趨勢科技威脅研究發現(2010年4月至9月的統計資料),排名最高的惡意程式當中有80%以上都是利用網頁來入侵使用者的系統。
後門程式-Backdoor • 後門程式的起源有兩種,一種是不懷善意的後門程式,另一種是遠端管理程式。其目的是為了方便遠端管理,但是如果以不正當的手法、或是不懷好意的心態來使用的話,對於個人隱私卻有相當大的影響。 • 這些後門程式最基本的可以偷偷紀錄你的密碼或個人資料,幫你開、關機,增、刪你的檔案,比較強大的(遠端管理程式)還可以監看你的螢幕,記錄你的key stroke,執行程式等;遙控者可以利用後門程式,透過預先定義好的port來控制受害者的機器,甚至會透過電子郵件、IRC或其他方式來散佈受害者的上網 IP,以避免撥接者 IP 動態改變的問題。
木馬程式-Trojan Horse • 木馬程式指的是一種後門程式,是駭客用來盜取其他使用者的個人資訊,甚至是遠程控制對方的電腦而加殼製作,然後透過各種手段傳播或者騙取標的使用者執行該程式,以達到盜取密碼等各種資料等目的。 • 當系統遭植入木馬程式後,很難阻止它的行動,執行後,立刻自動登陸在系統啟動區,會隨作業系統啟動而啟動。 • 不像電腦病毒一樣會感染其他檔案,但與病毒相似的,是具有很強的隱秘性,甚至執行後立刻自動變更檔名,甚至隱形;或馬上自動複製到其他資料夾中,執行連用戶本身都無法執行的動作。
木馬程式-Trojan Horse(續) • 木馬程式的植入通常是利用了作業系統的漏洞,繞過了對方的防禦措施(如防火牆),然後伺機執行其惡意行為(如格式化磁碟、刪除檔案、竊取密碼等)。 • 一般會偽裝成某種有用的或有趣的程式,比如螢幕保護程式、算命程式、電腦遊戲等,但是實際上卻包藏禍心,暗地裡做壞事;它可以破壞資料、騙取使用者密碼。 • 特洛伊木馬不經准許就可獲得電腦的使用權。程式容量十分輕小,執行時不會浪費太多資源,因此沒有使用防毒軟體是難以發覺的。
木馬程式-Trojan Horse(續) • 一個完整的木馬程式套裝程式含了兩部分:服務端(伺服器部分)和用戶端(控制器部分)。植入對方電腦的是服務端,而駭客正是利用用戶端進入執行了服務端的電腦。執行了木馬程式的服務端以後,會暗中打開特定連接埠(Port),向指定位址發送資料(如網路遊戲的密碼,即時通訊軟體密碼和用戶上網密碼等),駭客甚至可以利用這些打開的連接埠進入電腦系統。
