Windows系統 入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23
大綱 入侵概念 系統狀況檢視 PC防火牆機制 Windows系統之弱點評估工具
入侵之定義 凡舉非所有者所願之對於主機(PC)存取資料,植入程式或資料 造成系統失效,資料毀損或業務中斷或資料外洩資料之行為 一般之存取或試探活動大都以網路從事,但以非網路活動之存取及試探活動也屬入侵行為(如由主控台登入)
入侵之種類 病毒 病毒信件 服務阻斷 非法存取 入侵 植入後門程式
入侵型態 主動模式:以病毒或worm方式,其入侵及破壞與所植入之檔案(檔名或擺放位置也許有異)皆是固定行為模式,故可以由防毒軟體偵測出來(已裝有該入侵行為之病毒碼) 人為模式:入侵之目的主要為非法行為,如資料竊取,破壞,或當成其他入侵之跳板,其入侵之模式不定,故較難偵測。入侵試探手法可能固定(ex 利用即有之系統漏洞) ,但入侵後所擺放之後門程式是可變的
入侵Life_cycle 針對系統或人為漏洞入侵 植入後門程式 進行破壞(當跳板, 竊取資料, 服務阻斷) 修補漏洞 清除後門程式或病毒 持續監控
Windows 之防護機制 系統檢視 防毒軟體 個人防火牆 系統漏洞修補 弱點掃瞄及分析
系統檢視 手動方式 針對核心項目或入侵模式 遭入侵或破壞之經驗累積 針對已經或疑似遭受入侵(ex 系統效能不佳) 最好固定期間檢查一次 檢視項目非檢視結果,所以須加上人為判斷或和別系統交叉比對
傳輸狀況 開啟連線狀態視窗,在沒有傳輸資料情況下,是否在傳輸大量資料。 若是,可能是DOS或DDOS攻擊。
連線狀態(netstat) 開啟 開始/程式集/附屬應用程式/命令提示字元,在該視窗下鍵入netstat ,看看是否有不尋常之連線。 Proto Local Address Foreign Address State TCP yang:1026 yang:20032 ESTABLISHED TCP yang:20032 yang:1026 ESTABLISHED TCP yang:3024 dec4000.cc.ncku.edu.tw:22 ESTABLISHED TCP yang:3613 mail.ncku.edu.tw:telnet ESTABLISHED 其中Froeign Address表示對方的Address及port,而State之連線狀態,如此例ESTABLISHED表示已連上。 因不易了解Services port是代表什麼及是從本機連出或由外部連進來的,一般而言Server端port的號碼是固定的,而client端是動態的。故只要發覺Foreign Address並不是您所要連線之位置,就該注意。 參考資料:Services ports
Process(工作管理員) 開啟工作管理員(按Ctrl+Alt+Del鍵,點選工作管理員),按下處理程序頁,檢查是否有在執行大量CPU之程式或非自己所欲執行之程式。 參考資料:windows process & services
資源分享 開啟 開始/設定/控制台,點選 系統管理工具/電腦管理,於左邊之樹狀目錄,點選「共用資料夾」左邊之+符號,會展開「共用資料夾」下之子項目。其中「共用」為share出去之目錄,請檢查是否有不必要之檔案分享。「工作階段」為目前連上分享的來源。「開啟檔案」為目前連上分享所開啟的檔案。
檔案異動日期 主要以控制台/系統進階/環境變數之Path 項目為檢視對象,其中又以 /WINNT/system32為最主要 以「詳細資料」及「排列圖示/依日期」看最近異動之執行檔。
檔案異動日期(利用搜尋選項)
登錄表(registry) 以命令模式(cmd)執行regedit ,開啟\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion下之Run、RunOnce、RunServices是否不尋常的程式被啟動
事件檢視 開啟 開始/設定/控制台,點選 系統管理工具/事件檢視器,檢視是否有不正常事件
Internet Services Logs 假如有開啟Internet(www、ftp)Services,Log一般放置在/WINNT/system32/logFiles
Internet Services Logs
服務(Service) 至控制台/系統管理工具/服務 ,無描述,啟動類型為「自動」,狀態為「啟動」,顯示其內容之執行程式路徑,是否為遭植入的檔案
使用者帳號及其權限 是否有不明之使用者,一般使用者是否有administrator權限或群組
其他 Autoexec.bat Config.sys %windir%/win.ini 之 load= run = %windir%/system.ini 之 shall= 程式集/啟動 下是否有不正常檔案 程式集/附屬應用程式/系統工具/排定的工作 硬碟是否被不正常使用
個人防火牆 定義:管制網路上之範圍或Service 對於主機之存取 使用系統內建之TCP/IP篩選 使用防毒軟體之防火牆功能 使用主機型防火牆軟體(BlackICE)
使用系統之TCP/IP篩選
使用系統之TCP/IP篩選 TCP/UDP port : 參考 service ports IP Protocol : ICMP 1 Internet Control Message Protocol IGMP 2 Internet Group Management Protocol GGP 3 Gateway-to –Gateway Protocol IP 4 IP in IP encapsulation TCP 6 Transmission Control Protocol EGP 8 Exterior Gateway Protocol IGP 9 Interior Gateway Protocol UDP 17 User Datagram Protocol
BlackICE
BlackICE
BlackICE
病毒Life-cycle 管道:一切可接觸感染源的方式與途徑 感染:確定經由管道感染病毒 病發:待病發條件成立時,將形成破壞 擴散:向外擴散 防堵:阻絕再次感染之途徑 清除:清除已存在之病毒 偵測:持續偵測預防病毒再次感染
防毒軟體處理程序 偵測 Open 檔案時 由pattern比對是否為Virus 記錄檔案所在位置供處理階段參考 阻擋 阻止病毒資料進入磁碟機 病毒檔處理 依設定決定對於此檔案清除,刪除或隔離 #由網路傳輸管道(如mail)之病毒偵測處理,因上述之處理步驟,出現之訊息可能會誤認已中毒,只要確定該檔不存在,即可不需在意
Baseline Security Analyzer Baseline Security Analyzer (MBSA) 掃瞄本機及網域中其他的電腦,看是不是有安裝所有的 Hotfix 及其他程式的修正程式 Windows NT 4.0, Windows 2000, Windows XP, Internet Information Server (IIS) 4.0/5.0, SQL Server 7.0/2000, Internet Explorer (IE) 5.01 以上, 以及 Office 2000/XP。 其他如密碼安全性查核、分享資料夾等等對安全性造成影響的行為,檢查並做出建議。 執行 MBSA 需要 Internet Explorer 5.01 以上。