Windows系統 入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23.

Presentation on theme: "Windows系統 入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23."— Presentation transcript:

1 Windows系統 入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23

2 大綱 入侵概念 系統狀況檢視 PC防火牆機制 Windows系統之弱點評估工具

3 入侵之定義 凡舉非所有者所願之對於主機(PC)存取資料，植入程式或資料 造成系統失效，資料毀損或業務中斷或資料外洩資料之行為
一般之存取或試探活動大都以網路從事，但以非網路活動之存取及試探活動也屬入侵行為（如由主控台登入）

4 入侵之種類 病毒 病毒信件 服務阻斷 非法存取 入侵 植入後門程式

5 入侵型態 主動模式：以病毒或worm方式，其入侵及破壞與所植入之檔案（檔名或擺放位置也許有異）皆是固定行為模式，故可以由防毒軟體偵測出來(已裝有該入侵行為之病毒碼) 人為模式：入侵之目的主要為非法行為，如資料竊取，破壞，或當成其他入侵之跳板，其入侵之模式不定，故較難偵測。入侵試探手法可能固定（ex 利用即有之系統漏洞） ,但入侵後所擺放之後門程式是可變的

6 入侵Life_cycle 針對系統或人為漏洞入侵 植入後門程式 進行破壞(當跳板, 竊取資料, 服務阻斷) 修補漏洞 清除後門程式或病毒
持續監控

7 Windows 之防護機制 系統檢視 防毒軟體 個人防火牆 系統漏洞修補 弱點掃瞄及分析

8 系統檢視 手動方式 針對核心項目或入侵模式 遭入侵或破壞之經驗累積 針對已經或疑似遭受入侵（ex 系統效能不佳） 最好固定期間檢查一次
檢視項目非檢視結果，所以須加上人為判斷或和別系統交叉比對

9 傳輸狀況 開啟連線狀態視窗，在沒有傳輸資料情況下，是否在傳輸大量資料。 若是，可能是DOS或DDOS攻擊。

10 連線狀態(netstat) 開啟 開始／程式集／附屬應用程式／命令提示字元，在該視窗下鍵入netstat ，看看是否有不尋常之連線。
Proto Local Address Foreign Address State TCP yang: yang: ESTABLISHED TCP yang: yang: ESTABLISHED TCP yang: dec4000.cc.ncku.edu.tw:22 ESTABLISHED TCP yang: mail.ncku.edu.tw:telnet ESTABLISHED 其中Froeign Address表示對方的Address及port，而State之連線狀態，如此例ESTABLISHED表示已連上。 因不易了解Services port是代表什麼及是從本機連出或由外部連進來的，一般而言Server端port的號碼是固定的，而client端是動態的。故只要發覺Foreign Address並不是您所要連線之位置，就該注意。 參考資料：Services ports

11 Process(工作管理員） 開啟工作管理員（按Ctrl+Alt+Del鍵，點選工作管理員），按下處理程序頁，檢查是否有在執行大量CPU之程式或非自己所欲執行之程式。 參考資料：windows process & services

12 資源分享 開啟　開始／設定／控制台，點選 系統管理工具／電腦管理，於左邊之樹狀目錄，點選「共用資料夾」左邊之+符號，會展開「共用資料夾」下之子項目。其中「共用」為share出去之目錄，請檢查是否有不必要之檔案分享。「工作階段」為目前連上分享的來源。「開啟檔案」為目前連上分享所開啟的檔案。

13 檔案異動日期 主要以控制台/系統進階/環境變數之Path 項目為檢視對象，其中又以 /WINNT/system32為最主要
以「詳細資料」及「排列圖示／依日期」看最近異動之執行檔。

14 檔案異動日期（利用搜尋選項）

15 登錄表（registry) 以命令模式（cmd）執行regedit ，開啟\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion下之Run、RunOnce、RunServices是否不尋常的程式被啟動

16 事件檢視 開啟　開始／設定／控制台，點選 系統管理工具／事件檢視器，檢視是否有不正常事件

17 Internet Services Logs
假如有開啟Internet（www、ftp）Services，Log一般放置在/WINNT/system32/logFiles

18 Internet Services Logs

19 服務(Service) 至控制台／系統管理工具／服務 ,無描述，啟動類型為「自動」，狀態為「啟動」，顯示其內容之執行程式路徑，是否為遭植入的檔案

20 使用者帳號及其權限 是否有不明之使用者，一般使用者是否有administrator權限或群組

21 其他 Autoexec.bat Config.sys %windir%/win.ini 之 load= run =
%windir%/system.ini 之 shall= 程式集/啟動 下是否有不正常檔案 程式集／附屬應用程式／系統工具／排定的工作 硬碟是否被不正常使用

22 個人防火牆 定義：管制網路上之範圍或Service 對於主機之存取 使用系統內建之TCP/IP篩選 使用防毒軟體之防火牆功能
使用主機型防火牆軟體(BlackICE)

23 使用系統之TCP/IP篩選

24 使用系統之TCP/IP篩選 TCP/UDP port : 參考 service ports IP Protocol :
ICMP 1 Internet Control Message Protocol IGMP 2 Internet Group Management Protocol GGP 3 Gateway-to –Gateway Protocol IP 4 IP in IP encapsulation TCP 6 Transmission Control Protocol EGP 8 Exterior Gateway Protocol IGP 9 Interior Gateway Protocol UDP 17 User Datagram Protocol

25 BlackICE

26 BlackICE

27 BlackICE

28 病毒Life-cycle 管道：一切可接觸感染源的方式與途徑 感染：確定經由管道感染病毒 病發：待病發條件成立時，將形成破壞 擴散：向外擴散
防堵：阻絕再次感染之途徑 清除：清除已存在之病毒 偵測：持續偵測預防病毒再次感染

29 防毒軟體處理程序 偵測 Open 檔案時 由pattern比對是否為Virus 記錄檔案所在位置供處理階段參考 阻擋 阻止病毒資料進入磁碟機
病毒檔處理 依設定決定對於此檔案清除，刪除或隔離 #由網路傳輸管道(如mail)之病毒偵測處理，因上述之處理步驟，出現之訊息可能會誤認已中毒，只要確定該檔不存在，即可不需在意

30 Baseline Security Analyzer
Baseline Security Analyzer (MBSA) 掃瞄本機及網域中其他的電腦，看是不是有安裝所有的 Hotfix 及其他程式的修正程式 Windows NT 4.0, Windows 2000, Windows XP, Internet Information Server (IIS) 4.0/5.0, SQL Server 7.0/2000, Internet Explorer (IE) 5.01 以上, 以及 Office 2000/XP。 其他如密碼安全性查核、分享資料夾等等對安全性造成影響的行為，檢查並做出建議。 執行 MBSA 需要 Internet Explorer 5.01 以上。

31

32