Nessus掃瞄工具基礎介紹 指導老師:陳明仕 學 生:林元衍 報告日期:2005/05/25

大綱 特色 Nessus的特徵 NASL Nessus架構 掃瞄流程 測試 結語

特色 免費(http://www.nessus.org/download/index.php) 功能強大 更新極快 容易使用 遠端系統安全掃瞄軟體

記憶體需求

Nessus的特徵 plug-in的結構 每項安全掃描都是寫成在外部的 plug-in，用這種方法， 你可以輕易的增減你所需做的測試，而不需要去修改 nessus 掃描引擎的程式碼 Nessus 不會拘泥於IANA所定的埠號來決定服務的項 目，它不會因為FTP server開啟不是21 port的服務 就識別不出來此為FTP服務 Nessus不相信任何版本的一特定軟體是沒有安全問題的

NASL NASL(Nessus Attack Scripting Language) Description Attack 一個範例

NASL 程式範例 表一 疾風病毒檢測程式 # This script was written by Jeff Adams <jadams@netcentrics.com> # This script is Copyright (C) 2004 Jeff Adams if(description) #註冊部份開始 { script_id(12220); #Script_id script_version("$Revision: 1.3 $"); #版本資訊 name["english"] = "W32.Sasser.Worm"; #弱點名稱 script_name(english:name["english"]); #設置腳本名稱 desc["english"] = " #弱點瞄述 W32.Sasser.Worm Infection. W32.Sasser.Worm is a worm that attempts to exploit the MS04-011 vulnerability. It spreads by scanning randomly-chosen IP addresses for vulnerable systems. This plugin checks for W32.Sasser.Worm, W32.Sasser.B.Worm and W32.Sasser.Ci.Worm Variants. #提供弱點的解決方法 Solution : Use Latest Anti Virus to clean machine. Virus Definitions and removal tools are being released as of 05/01/04 Risk factor : High";

NASL 程式範例 ctd. script_description(english:desc["english"]); summary["english"] = "Determines if Machine is infected with W32.Sasser.Worm"; script_summary(english:summary["english"]); #設置腳本類別，ACT_GATHER_INFO代表訊息採集類腳本，不會對主機產生傷害 script_category(ACT_GATHER_INFO); script_copyright(english:"This script is Copyright (C) 2004 Jeff Adams"); family["english"] = "Windows"; script_family(english:family["english"]); #設置腳本所屬的族(family) #設置plugin 的依賴關係。這腳本需取得netbios_name_get.nasl、smb_login.nasl、#smb_registry_access.nasl腳本獲得的結果 script_dependencies("netbios_name_get.nasl", "smb_login.nasl","smb_registry_access.nasl", "smb_registry_full_access.nasl"); #設置腳本需分別取得上面三個腳本的SMB/name、SMB/login、SMB/password、 #SMB/registry_access等KB值 script_require_keys("SMB/name", "SMB/login", "SMB/password", "SMB/domain","SMB/transport"); script_require_ports(139, 445); #註冊部份結束 exit(0); }

NASL 程式範例 ctd. #攻擊(檢測)部份開始 include("smb_nt.inc"); #機碼路徑: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run virus1 = registry_get_sz(key:"SOFTWARE\Microsoft\Windows\CurrentVersion\Run", item:"avserve.exe"); #透過機碼讀取,判斷是否有中毒 virus2 = registry_get_sz(key:"SOFTWARE\Microsoft\Windows\CurrentVersion\Run", item:"avserve2.exe"); #如果有virus1或virus2,那麼顯示出高危險的警告訊息 if(virus1 || virus2) { security_hole(get_kb_item("SMB/transport")); } #檢測完畢 exit(0);

Nessus的架構 Client-Server架構 由二部份組成: server端與client端可以在不同系統上面執行 X-window版 Win32版 Java板本

掃瞄流程 尋找有哪些port有服務正在進行，nessus的port scan部分是依靠nmap來完成 產生測試報告 提出系統可能的漏洞 提出系統可能問題的解決方案

測試 先請同學在Registry中加入下列病毒字串 實驗掃瞄 得到是否正確結果 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe 實驗掃瞄 得到是否正確結果

W32.SASSER 病蟲 假如您已經感染 W32.SASSER 病蟲，請參考以下的緩和方案： 1. 在工作站上啟用網際網路連線防火牆或使用協力廠商防火牆 2. 中斷與網際網路的連線 3. 如果無法正常開機，請先開機至安全模式 4. 使用工作管理員刪除以下程序： 　　c:\WINDOWS\system32\*_up.exe 　　avserve.exe 5. 在硬碟裡搜尋以下檔案，並立即刪除： 　　C:\WINDOWS\avserve.exe 6. 使用登錄檔編輯器移除以下機碼值： 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe 7. 連線至網際網路 8. 連上 Windows Update 網站，點選 [掃描更新檔項目] 9. 安裝重大更新與 Service Packs

結論 透過網路安全掃描並不代表絕對安全 網路安全掃描只能當作是一個增進系統安全的參考 網路安全掃描之外的其他安全技術 透過網路安全檢查的程式只能幫你從系統外部，使用掃描 工具檢測已知的漏洞 已知的問題是死的，但入侵者可是活的，漏洞每天都不斷 地在被找出來，而且根據統計，有超過六成的入侵事件都 是系統內部的疏失所造成，所以單獨相信網路掃描工具比 沒用還糟糕 網路安全掃描只能當作是一個增進系統安全的參考 幫助管理者學習了解系統安全的重要，但增進網路系統安 全還要靠很多事情才能作到 網路安全掃描之外的其他安全技術