觀點

使用者端防禦一二事(二)

2009 / 08 / 27
林佳明
使用者端防禦一二事(二)
前篇談及使用者端的防禦管理措施,本期將提供企業IT管理人員如何做好用戶端防禦。

  前一篇(資安人第33期)談及使用者行為、教育與針對用戶端防禦的管理措施,本期將提供企業IT管理人員如何做好用戶端防禦的參考方向。

HoneyMonkey

  由於有越來越多的駭客在研究如何透過網頁瀏覽器入侵使用者,所以微軟發展了一個專門分析某個網站是否存在惡意程式網頁的計畫-HoneyMonkey(蜜糖猴,http://research.microsoft.com/honeymonkey/)。HoneyMonkey偵測的運作方式是先執行一個StriderFlight Data Recorder (FDR)程式來監視目錄中的每一個檔案以及註冊機碼(Registry)的讀寫行為。然後,再執行瀏覽器去瀏覽某一個網站上的網頁資料並在瀏覽每一個網頁時都會等待數分鐘,且HoneyMonkey不接受任何提出安裝要求對話框的請求。在瀏覽網頁時,任何不是建立在瀏覽器暫存目錄中的執行檔都會被FDR給記錄下來。HoneyMonkey就是利用這樣的黑箱測試來判斷某個網站是否存在惡意的程式碼。

  HoneyMonkey除了執行FDR程式外,還會執行Strider Gatekeeper來偵測是否有任何執行檔被利用以Auto-Start Extensibility Points (ASEPs)的方式來進行hook動作,及執行GhostBuster 來偵測是否有任何會進行隱藏程式動作的惡意程式。微軟目前也將HoneyMonkey計畫的成果開發成工具。

  URLTracer(http://research.microsoft.com/URLTracer/)。讓任何使用者可以自行下載來安裝,並監視自己的瀏覽行為是否會造成自己的電腦被入侵。不過,整個HoneyMonkey計畫的目標是「發現」懷有入侵行為的惡意網站,而不是「保護使用者的電腦不被入侵」。所以當URLTracer發現某個網站藏有入侵行為時,也等於表示你的電腦已經被入侵成功了!所以,微軟在運行HoneyMonkey計畫時,是將符URLTracer安裝在虛擬機器上,只要發現某個網站存在惡意程式造成系統被入侵後,就重新啟動VM,讓系統回復到被入侵前的狀態。

MIS Need To Know

  微軟在2005年發佈了編號919637的安全通告,說明微軟的文書處理軟體Word在XP以及2003的版本存在弱點可以執行駭客的任意指令。而比較令人覺得驚慌的是,這個919637所代表的弱點是發現自zero-day(零時差、零日)的攻擊。也就是說早在微軟察覺到這個弱點之前,已經有駭客神不知鬼不覺的利用這個弱點到處入侵系統。

安全模式

  這份文件在微軟尚未釋放修補程式(Patch)之前,建議的因應措施為「永遠在安全模式中使用Microsoft Word」。而文件中所教導在安全模式中使用Microsoft Word的方式是新增一個啟動Word的捷徑,並在開啟命令最後加上/safe參數,然後透過這個捷徑所啟用的Word來開啟想開啟的文件。使用這樣的方式有一個很大的缺點,即違反了使用者的使用習慣。一般使用者在收到一份Word文件時,很少會先開啟Word執行檔然後才來開啟文件,都是直接對該文件使用滑鼠敲擊兩下開啟。如果遵照微軟的設定方式,使用滑鼠敲擊兩下所開啟的Word文件將不是使用安全模式來執行的,所以還是會被駭客入侵。因此比較好的作法應該是更改檔案類型的關聯性,讓使用者就算不小心使用了滑鼠敲擊開啟了Word文件也是使用安全模式來執行Word。首先開啟任意的資料夾,選擇「工具」/「資料夾選項」,再選擇「檔案類型」。找到註冊的檔案類型附檔名為「DOC」的資料,點選後選擇「進階」按鈕。在「編輯檔案類型」畫面中點選「開啟舊檔(O)」,再選擇「編輯」按鈕。在「用來執行動作的應用程式(L)」欄位中把參數/safe加到命令的最後即可。這樣就可以使用安全模式來開啟現有Word文件,而可用正常模式來編輯新的文件。

  使用安全模式來開啟Word文件,的確可以用來防範919637安全通告的弱點,但是對於其他不是用到以上功能造成的弱點就一點幫助都沒有。因此,Word使用安全模式對於使用者安全防護上的幫助是非常有限的。

放棄使用標準執行程式

  為了避免在開啟文件或者瀏覽網頁時,因為該軟體的弱點而造成入侵,資安人員會建議使用較安全的軟體。針對最近常被利用的OFFICE弱點,使用者也可以改用其他的編輯器來產生OFFICE文件。例如OPENOFFICE(http://zh.openoffice.org)。使用者可以利用OPENOFFICE來製作、瀏覽office文件,而且OEPNOFFICE目前對於讀取微軟Office文件的相容性是可以令人接受的。或透過類似http://www2.writely.com此類的網站來瀏覽特定的Office文件。這是一個可以編輯、線上觀看Word文件的網站,使用者僅需要上傳Word文件,該網站就會將該文件轉換成網頁呈現。這樣Word的讀取行為根本不在使用者的電腦上運行,就不用擔心會被入侵。然而,使用這樣的方法也有其缺點,像是使用OPENOFFICE開啟微軟的Office文件,可能會發生功能不相容而導致文件排版異常的狀況。而透過writely網站來觀看Word文件,會受限於使用者必須連上網際網路才能使用該項目;而且很多時候機密資料也不適合上傳到非單位內的機構中觀看,而破壞了單位的安全政策。

最低權限(Least-Privilege)

  為了預防使用者在開啟文件、瀏覽網頁時遭受惡意程式的攻擊,最佳的解決方案應該是要求使用者進行「使用最低權限(Least-Privilege)」。正統的作法是將使用者的帳號設定為「Users」的權限,而不給予Administrators、Power Users群組的權限。使用Users權限來運行電腦的好處是,惡意程式想要將自己常駐在電腦中時,會因為權限不足而無法常駐,在下一次的重開機中惡意程式就會消失。而且,使用Users權限來執行程式或者Office軟體,也不會發生因為功能被停用而導致文件排版異常的狀況。不過使用Users權限並不代表惡意程式就無法將自己常駐,而是程式會被限制只能存檔在特定的目錄以及用特定的方式來啟動(例如,將檔案儲存在各別使用者的「啟動」目錄),而這些特定目