典型的骇客攻击手法解析.PPT

Blaster Worm 簡介與因應 技術經理 張晃崚 議題 Blaster Worm 的入侵手法 因應對策 Blaster worm 利用弱點 Microsoft DCOM RPC 溢位緩衝區弱點 MS03-26 (Q823980) 影響作業系統 NT4,Win2000,XP,Win2003 利用的通訊埠 TCP:135,4444 UDP:69 7月16 微軟公佈漏洞 8月11 病毒開始散播 Blaster worm 影響 1月-8月:16日以後 8月-12月:每天 DoS攻擊 可導致系統不穩定或當機 透過cmd.exe植入後門,在port 4444監聽,以便駭客發送命令 有數種變種 Worm內含下列文字 I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop makingmoney and fix your software!! Welchia worm 影響 利用DCOM RPC (port 135)和WebDAV (port 80)漏洞 嘗試移除 Blaster Worm 傳送大量的ICMP封包 植入後門,使用TCP 666~765連回發動攻擊的電腦,以便接收駭客發送的命令 2004年自動失效 Switch Router 因大量ICMP而癱瘓 網路安全產品的四大類別 防火牆及VPN 弱點管理 主機型 網路型 入侵偵測 主機型 網路型 防毒及內容過濾 最佳防禦網路攻擊機制 個人電腦 主機型入侵偵測系統(HIDS) + 個人型防火牆(Firewall) + 防毒軟體(AntiVirus) + 弱點管理 系所、學院網路設備 網路型入侵偵測系統(NIDS) + 防火牆(Firewall) + 弱點偵測管理系統 + 路由器ACL 骨幹網路 網路型入侵偵測系統(NIDS) + 防火牆(Firewall) + 弱點偵測管理系統 + 路由器ACL Router不是解決網路安全的萬靈丹 企業前十大病毒 事件層級綜合警示 次佳防禦網路攻擊機制 個人電腦 防毒軟體(AntiVirus) 系所、學院網路設備 網路型入侵偵測系統(NIDS) + 弱點偵測管理系統 + 路由器ACL 骨幹網路 網路型入侵偵測系統(NIDS) + 防火牆(Firewall) + 弱點偵測管理系統 + 路由器ACL 再次佳防禦網路攻擊機制 個人電腦 防毒軟體(AntiVirus) 系所、學院網路設備 路由器ACL 骨幹網路 網路型入侵偵測系統(NIDS) + 防火牆(Firewall) + 弱點偵測管理系統 + 路由器ACL 最差防禦網路攻擊機制 個人電腦 防毒軟體(AntiVirus) 系所、學院網路設備 路由器ACL 骨幹網路 路由器ACL 捍衛資訊安全的程序與步驟 危機管理的基礎 建議部署的機制 能夠針對組織體的安全防範強度、安全弱點以及互賴的程度加以評估與瞭解，並藉此將問題解決 實施準備、預防與回復機制，以作為網路入侵破壞的復原步驟 異常偵測與回應 針對關係到主要營運的資訊部署，提供災後重建計劃與方法 異常監控與技術更新 實施安全宣導與教育 典型的入侵攻擊步驟與流程 資料蒐集 搜尋主機 掃描主機 找尋可能之脆弱點 資料蒐集 - 作業系統查詢 資料蒐集 - 查詢結果 資料蒐集 - 系統相關資料 典型的入侵攻擊步驟與流程 資料蒐集 搜尋主機 掃描主機 找尋可能之脆弱點 找尋可能之脆弱點 典型的入侵攻擊步驟與流程 進入系統或拒絕服務攻擊 試圖獲得更高權限 嘗試其它可連線之主機 植入後門 清除稽核軌跡 入侵工具取得(I) 入侵工具取得(II) 入侵工具取得(III) 典型的入侵攻擊步驟與流程 進入系統或拒絕服務攻擊 試圖獲得更高權限 嘗試其它可連線之主機 植入後門 清除稽核軌跡 SubSeven 典型的入侵攻擊步驟與流程 進入系統或拒絕服務攻擊 試圖獲得更高權限 嘗試其它可連線之主機 植入後門 清除稽核軌跡 Defacing web sites Stealing Credit Cards 3 SANS/FBI Top 20 List Windows Microsoft IIS Server, MDAC, SQL Server, Networking Shares, Weak Passwords, Internet Explorer, Remote Registry Access, Windows Scripting Host Unix RPC, Apache Server, SSH, SNMP, FTP, LPD, Sendmail, Bind DNS Connect to remote system Select