計算機中心 多媒體與網路應用 資訊推廣課程 984003033 資管二 蔡維泰 984003033@CC.NCU.EDU.TW 資安觀念與工具介紹 計算機中心 多媒體與網路應用 資訊推廣課程 984003033 資管二 蔡維泰 984003033@CC.NCU.EDU.TW

Outline 什麼是病毒 / 蠕蟲 / 木馬？ 安全的軟體來源 安裝軟體的注意事項 常見感染途徑 隨身碟病毒與 Windows 自動執行漏洞 系統更新 防毒軟體 防火牆與 HIPS 實用軟體介紹 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.1 什麼是病毒？ 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

病毒 病毒是一個簡短的程式。 會不斷地「自我複製」及「感染」。 影響受感染電腦的正常運作。 可能出現檔案大小增減或不尋常的錯誤訊息。 傳播性、隱蔽性、感染性、潛伏性、表現性 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

傳播性 病毒或惡意程式可以透過許多途徑傳送，包括電子郵件、即時 通訊軟體或包含在使用者所下載之軟體中。 近期也開始流行使用 USB 隨身碟傳送，利用 Windows 系統 的自動執行漏洞影響使用者的電腦。 病毒、蠕蟲或惡意軟體也可能針對作業系統的漏洞進行散布。 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

隱蔽性 一般的病毒大小都不會太大，使用者甚至根本不會發現病毒的 存在 甚至，感染病毒之後的檔案也看起來也與正常無異 在使用者不注意之下，悄悄感染系統 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

感染性 有些病毒可以搜尋並感染硬碟中其他可執行檔進行感染 USB 惡意軟體也會感染插入電腦的儲存裝置 病毒、蠕蟲或惡意軟體也可能透過作業系統的漏洞感染系統 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

潛伏性 某些病毒與感染時並不會有顯著徵兆，一旦到了指定的日期則 發作，破壞系統 最有名的為 CIH (Win32.CIH, Win95.CIH, 1998) 病毒，於 固定於每年的4月26日發作，刪除電腦硬碟中的檔案 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

表現性 感染病毒之後，系統可能會表現出某些不正常的徵兆，例如 CPU 使用率居高不下、MSN 不受控制發送訊息、隨身碟中產 生奇怪檔案等 使用者發現感染病毒 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

其他種類 間諜軟體 廣告軟體 網路蠕蟲 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.2 安全的軟體來源 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

大家習慣去哪裡下載軟體呢？ 網路論壇 免費空間 網路部落格 騾子或 BitTorrent 等 P2P 軟體 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

有沒有想過，萬一這些軟體被加了一些奇怪的東西呢？ 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

這些地方安全嗎…? 有很多的病毒、廣告、間諜軟體都是透過這種途徑感染 使用者下載盜版軟體，也不知不覺安裝了惡意程式 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.3 軟體的安裝 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

一般而言 安裝軟體真的很簡單，一直選「下一步」就好了 人生也是一直下一步就好了 不需要做出任何的選擇嗎？ 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

EULA EULA stands for “End User License Agreement.” “End User” means YOU. 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Windows 7 installation 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Disclaimer of Warranties Yuna Software disclaims any responsibility for any harm resulting from your use of the Messenger Plus! Live software and/or any third party software/libraries associated with it, including but not limited to the sponsor programs, accessed in conjunction with or through Messenger Plus! Live. 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Privacy Policy By accepting the License You also agree that Messenger Plus! Live may collect and process information which you provide in registering for and/or installing of the Messenger Plus! Live Software or use of the Plus! Network website ("Personal Data") in accordance with Messenger Plus! Live's and Plus! Network's privacy policies current at the relevant time and as posted and updated on the Website(s) at <http://www.msgpluslive.net/privacy/> and http://www.plusnetwork.com/privacy.php. You agree that you will provide accurate Personal Data and that you will update the same as and when necessary ensuring at all times that such information remains accurate. 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Another example 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

下一步 一昧的按「下一步」是不智的 按下之前，最好先想想會發生什麼事情 Google 是你的好幫手 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.4 病毒如何入侵電腦？ 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

感染病毒的途徑 下載並執行惡意程式 安裝了惡意的 IE ActiveX 外掛 USB 隨身碟 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

感染病毒的原因 粗心大意 受騙上當 未做好安全措施 …怎麼好像都是使用者的問題？ 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

User Account Control 使用者帳號管理 Administrators vs. Users 一般情況下以普通使用者權限執行，需要時切換到管理員權限 執行 部份檔案系統與登錄機碼虛擬化 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

他山之石 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

User Account Control 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

良好的電腦使用習慣 不開啟和安裝來路不明的軟體 不開啟來路不明網頁連結和郵件 注意別人的 USB 隨身碟或硬碟！ 定期系統更新 設定難以猜測的密碼並定期更改 關閉不必要的服務 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.5 隨插即中的 USB 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

觀念釐清 自動播放 != 自動執行 有許多 USB 病毒都是利用「自動執行」的漏洞入侵電腦 目前已經有許多防毒軟體會自動掃瞄插入電腦的隨身碟 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

自動執行 Autorun autorun.inf 為 Windows 作業系統提供的功能 (since Windows 95, via shell32.dll) 原意為放置在光碟片或隨身碟中，使用者放入媒體即可自動執 行安裝程式或播放光碟等 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Autorun.inf 放置於根目錄 註明了要開啟的執行檔、光碟片或隨身碟的圖示等 [AutoRun] open=setup.exe icon=setup.exe 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

自動播放 Autoplay Windows XP 出現之功能 當使用者插入各種媒體時，自動掃瞄內容並跳出視窗供使用者 選擇不同動作 也支援硬體 應用程式可以去註冊對應各種 media type 的 handler 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Autoplay 插入 USB 隨身碟時跳出之視窗 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Autorun 病毒 AutoRun 病毒感染後，會在隨身碟根目錄產生惡意之 autorun.inf 檔案與若干病毒執行檔 可能利用執行檔的自動執行、或者是利用 shell32.dll 右鍵選 單注入 當使用者插入隨身碟並於 explorer 中進行操作即感染病毒 How? 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

插入隨身碟之後… 檢查 Registry 設定是否關閉 AutoRun (這裡有 bug，後述) 檢查磁碟區裡面有沒有 autorun.inf Notify foreground window via COM interfaces (略) 在檔案總管中註冊對應的動作 (滑鼠雙擊等) 並且更換圖示等 檢查 Shift 是否被按下： 若為 Vista or later 則 AutoPlay 會出現 其他則停止執行 執行 autorun.inf 中的 Open 指令，並且出現 AutoPlay 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

圖片來源： http://en.wikipedia.org/wiki/File:AutoPlay_flow.png 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw 圖片來源： http://en.wikipedia.org/wiki/File:AutoPlay_flow.png

The “AutoRun” bug 從 Windows 2000 以來這個 bug 都沒有被處理 儘管 Registry 設定了關閉自動執行，Windows 就是不理你 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun Will do anything except step 6 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

AutoRun handler 右鍵選單 injection 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

The “AutoRun” bug Already fixed in KB967715 修復剛剛提到的 bug Released on 2009/2/24 However, it is not pushed into official Windows Update http://support.microsoft.com/kb/967715 修復剛剛提到的 bug In addition, KB971029 Released on 2011/2/8  2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

「關閉自動執行」迷思 1 Q: 於隨身碟插入時，按住 Shift 鍵不放，停止自動播放功能 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

「關閉自動執行」迷思 1 Q: 於隨身碟插入時，按住 Shift 鍵不放，停止自動播放功能 A: 由前面投影片可以發現，此舉僅僅只是停止 AutoPlay 視窗之出現，病毒依然會執行 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

「關閉自動執行」迷思 2 Q: 於隨身碟裡面建立 AutoRun.inf 唯讀資料夾 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

「關閉自動執行」迷思 2 Q: 於隨身碟裡面建立 AutoRun.inf 唯讀資料夾 A: 病毒的進化遠遠超過你我之想像 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

「關閉自動執行」迷思 3 Q: 利用群組原則編輯器 (gpedit.msc) 停用自動播放 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

「關閉自動執行」迷思 3 Q: 利用群組原則編輯器 (gpedit.msc) 停用自動播放 A: 必須更新 KB967715，否則無效！ 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

「關閉自動執行」迷思 4 Q: 於我的電腦中對著隨身碟按右鍵選擇瀏覽 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

「關閉自動執行」迷思 4 Q: 於我的電腦中對著隨身碟按右鍵選擇瀏覽 A: 無效！病毒會利用 shellexecute 或 action 感染右鍵選單 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

The solution Stop “Shell Hardware Detection” service (not recommended) Apply KB967715 & KB971029 patch then disable AutoRun Or, switch to Windows 7, Mac OSX, GNU/linux 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

On Windows 7 病毒不會被自動執行，但若你點了它… 它還是會被執行 快快樂樂出門，小小心心回家 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.6 系統更新 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Windows Update 微軟固定於每個月的第二個週二發布安全性更新 包括： Patch Tuesday 重要更新 建議更新 選用更新 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Windows Update 定期發布於微軟資訊安全公告 重要的安全性更新是不需要通過 WGA 驗證就可以下載的 http://www.microsoft.com/taiwan/security/bulletins/default.mspx 重要的安全性更新是不需要通過 WGA 驗證就可以下載的 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

When talk about updates… 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

疾風病毒 Worm.Blaster 主要攻擊 Windows XP 與 Windows 2000 爆發於2003年8月，透過 RPC 服務緩衝區溢位攻擊 在爆發前一個月就在 KB823980 與 KB824146 修正 其實是蠕蟲 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.7 防毒軟體是什麼？ 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

防毒軟體 防毒軟體非萬能！ 知名防毒軟體評鑑： http://www.av-comparatives.org/index.php http://www.av-test.org/certifications 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

防毒軟體 付費版並非一定強過免費版、免費版也未必弱於付費版 知名免費防毒軟體： Avast! http://www.avast.com/index Avira AntiVir http://www.avira.com/ 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.8 防火牆是什麼？ 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

防火牆 Firewall software 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

防火牆 網路層防火牆比對封包的 source IP, destination IP, protocol, port number 等資訊 應用層防火牆分析封包內容 對於未定義的封包則交由使用者判斷 OSI: 4, 7 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

防火牆的條件 所謂門禁 如何放行安全的應用程式？ 依照應用程式選擇相對應的規則 RDP 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

防火牆檢查途徑 收到外來封包 分析封包資訊 檢查應用程式規則 檢查全域規則 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

防火牆 + 入侵防禦 傳統防火牆已經不足敷阻擋惡意程式 現在許多系統安全公司都推出了整合 HIPS 的網路安全軟體 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

HIPS Host-based Intrusion Prevention System 主機入侵防禦系統 除了網路封包，也監測系統內應用程式行為 如果說防火牆是海關， HIPS 就是貼身保鑣 以下以 Comodo Internet Security 來示範 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

HIPS: AD Application Defend ，應用程式行為的保護 當應用程式有以下行為時警告使用者： Sandbox 系統 修改其他程式的記憶體 中止其他程式的運作 接管 Windows 服務 …等 Sandbox 系統 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

HIPS: AD: SandBox 砂盒系統，類似 Unix-like 系統下的 chroot 為不受信任的執行檔建立一個虛擬環境 Chrome 也有採用 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

HIPS: RD Registry Defend ，登錄機碼的保護 程式意圖修改登錄機碼時警告使用者 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

HIPS: FD File Defend，檔案系統的保護 程式意圖修改系統檔案時警告使用者 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.9 實用軟體介紹 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

VirusTotal http://www.virustotal.com 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Sandboxie http://www.sandboxie.com/ Available on both x86 and x64 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Process Explorer 工作管理員超進化版 可以看到各個處理程序的父子關係、開啟的 thread、佔用的 記憶體以及內含的 handles http://technet.microsoft.com/en-us/sysinternals/bb896653 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Hijack This 系統已安裝的服務、右鍵選單、瀏覽器外掛等 Demo Hijack This (using log file) 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

CH.10 結論 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

所以說… 不開啟和安裝來路不明的軟體 不開啟來路不明網頁連結和郵件 注意別人的 USB 隨身碟或硬碟！ 定期系統更新 設定難以猜測的密碼並定期更改 關閉不必要的服務 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

Q&A 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw

References http://en.wikipedia.org/wiki/AutoRun http://zh.wikipedia.org/zh-tw/電腦病毒 http://support.microsoft.com/kb/967715 http://en.wikipedia.org/wiki/User_Account_Control http://forum.icst.org.tw/phpbb/viewtopic.php?t=14339 http://computersecurityengineer.blogspot.com/2009/0 6/sandboxie.html 2018/9/21 蔡維泰 984003033@cc.ncu.edu.tw