https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

小技巧為你的企業安全把脈如何找出被入侵的蛛絲馬跡

2012 / 11 / 27
劉嘉明、錢世傑
小技巧為你的企業安全把脈如何找出被入侵的蛛絲馬跡

身為資訊室的成員,必須站在國家資訊安全架構的最前線,回擊外界各種網路的攻擊,尤其是大陸駭客。多年的攻防過程中,筆者處理過公家機關、民間機構各種不同遭入侵的狀況,發現往往都是一時的疏忽,才會讓駭客有可乘之機,進而造成單位網路系統的嚴重損害,輕則網站的網頁被蓋,重則企業機密資料被竊,甚至於還淪為攻擊其他網站的跳板,而駭客入侵已經成為政府、企業界最頭痛的問題。

因此,近來資訊安全已經成為顯學,相關衍生的資訊安全防護設備如雨後春筍般的成長,如防毒軟體、防火牆、入侵偵測系統等各種整合性機制,讓人看得眼花撩亂。政府機關與企業界除了添購各類型的資訊安全配備,還應了解一些維護資安的基本概念與小技巧,才能有效維護電腦網路系統的安全。因此,本文希望能分享一些簡單有效的防範入侵技巧,讓資管人員除了依靠資訊安全設備外,更能增強個人防護資訊架構之能量。

網路入侵已成為企業界之夢靨

筆者偵辦過多起駭客入侵案件,如近來曾偵辦某汽車用品商為了了解競爭對手營業現況之商業機密,遂派員入侵競爭對手之網路,並取得相關產品銷售價格、數量等重要資料,造成競爭對手之市場競爭力下降。商業界不斷爆發出各類型的駭客入侵案,顯見網路入侵已經成為企業界的夢靨。

駭客入侵的侵害性遠遠高於常見的電腦病毒,兩者之間有何差異性呢?電腦病毒原則上是以破壞中毒電腦的系統(BISO)、破壞資料(如檔案系統)、消耗資源(CPU)、再次散播病毒擴大災情等,通常病毒經散播後,將不再受散播者控制,即便造成大規模的破壞,仍可透過異地備援等機制快速復原,降低所受到的傷害;而網路入侵的目的則是要持續監控遭受入侵之電腦,進而竊取或迫害重要之訊息及資料,若非以竊取該部電腦上的資料為目的,也可能是為了建立中繼站(跳板電腦),俾利入侵者透過中繼站攻擊下一個目標,並藉由中繼站增加執法人員查緝案件之困難度。想想看,若無法掌控自己的電腦,或他人可在自己不知情的情況下控制自己的電腦,那是多麼令人擔憂的情況,對於企業潛在性的傷害將會有多大。因此,網路入侵應係企業必須要重視的安全課題。

資安的基本觀念

資訊防護設備,就能萬無一失嗎?

防毒軟體、防火牆、入侵偵測系統等每一位資管人員隨口都可以說出的資訊安全防護設備,這些都是目前各單位必備的基礎設施。但是可以完全依賴嗎?答案當然是否定的。若真能完全阻絕入侵,資管人員則沒有存在的價值,例如,防毒軟體並不能抓出所有的病毒,只能偵測出已知的病毒碼或特定模組的病毒,尤其現在對於企業傷害最大的木馬程式,更容易成為漏網之魚。若是企業怠於更新病毒碼或填補系統漏洞,駭客輕易地就能將木馬程式植入系統中,而這些情況很難防範嗎?需要很高深的資訊專業知識嗎?其實不需要,但是筆者在許多實際案例的解決過程中,卻發現如此簡單的概念卻很少人重視,天真地以為裝了防毒軟體、防火牆,就不會有人入侵了,這種錯誤觀念的結果,讓駭客如入無人之境,有了生存的空間。

後門程式較難發現

目前市面上常見的防毒軟體不僅能判斷病毒的攻擊,亦可判斷是否有後門程式等惡意程式之存在,大部的使用者是以防毒軟體之偵測作為是否遭受入侵之參考,但是防毒軟體未偵測出後門程式,並不代表系統中絕對沒有遭植入後門程式。為何會發生如此的問題呢?簡單來說,防毒軟體需先建立該惡意程式之Virus Patten後才能發揮作用,故在該惡意程式發作早期,防毒公司尚不及建立該惡意程式之Virus Patten,所以防毒軟體當然無法發揮作用。況且,駭客入侵電腦後若是以竊取資料為目的,其行為必然無聲無息,一切作為力求不驚擾電腦主人,故後門被發覺之時間往往比病毒發覺時間更長,再加上後門程式不斷變種及推陳出新情況下,更難以藉由防毒軟體偵測。因此,即便最後被駭端發覺遭植入後門程式時,往往重要資料早已被竊取,業已於事無補。故一般使用者實應建立資安防護的正確觀念,切莫以資訊防護設備為主要維護系統安全之依靠。

分析網路通訊狀況,判斷有無遭到入侵

入侵者如何控制遭入侵的電腦呢?當然不可能跑到遭入侵者的家中操作電腦,所以入侵者必須透過網路通訊完成監控的工作,而提供連線服務之伺服端,不論是由入侵者或被駭者提供,當入侵者透過連線監控被駭者電腦系統時,兩者間必須透過網路通訊來完成,因此要判斷是否遭網路入侵,最有效的方法是了解本身電腦是否有不明的網路通訊狀況。

  了解本身電腦是否有不明的通訊狀況時,需先了解通訊協定之種類及特性。在通訊協定中可分為TCPUDP兩大類,TCP是屬於建立連線型通訊協定,連線之兩台電腦間可以透過該通訊協定,提供可靠性之網路封包傳送環境,若有封包遺失,通訊協定會自動協調雙方重新傳送及接收該封包資料;UDP是屬於非連線型通訊協定,連線之兩台電腦間無法藉由該通訊協定取得可靠性之網路封包傳送環境,該協定因無需分擔控管封包是否確實傳送,因此有較好之傳送效率。換言之,由於TCP需記載連線雙方之傳送狀態,因此可利用該狀態判斷是否在連線狀態,而UDP因無需建立連線,因此只能藉由通訊中的封包,判斷該兩部電腦是否在進行通訊。故針對TCPUDP的連線分析,則有不同的方式加以判讀。

簡單指令與工具,幫助你找出入侵的蛛絲馬跡

接下來必須了解如何分析網路通訊狀況,判斷有無遭到入侵之情況。目前除了一些既有的反木馬程式,以下介紹簡單的windows指令或工具,協助判斷是否疑似遭受入侵:

一、找出不明的連線:

  利用netstat指令,可了解目前電腦上有建立那些服務外部的需求之Listen Port,例如開啟80 Port 可能表示你已提供Http 的網頁服務;139 Port 可能表示你已提供網路芳鄰的服務。藉由了解電腦建立連線之種類,再進一步過濾每一項連線是否為正常之程式所建立之連線,例如:連線至電子郵件伺服器、連線至入口網站、防毒軟體建立之更新連線、MSN建立之連線、emule(P2P軟體之一種)建立之連線等,皆為因應使用者之需求而建立之正常連線。若有不明之連線,則需進一步了解如何產生該連線。

二、找出不明連線之來源:

  當發現不明之連線時,則可進一步藉由特定程式了解該連線之來源,例如Fport程式可顯示特定連線是由那一個程式所建立。最後再由被駭端判斷該程式是否為系統程式或使用者自行安裝之程式,若判定該程式有異,則可能是被安裝了不明的後門程式。

三、UDP協定發現不明連線之情況:

  前述兩項工具對TCP的部分可發揮具體作用,但在UDP部分netstat 僅能顯示已開啟那些UDP Port No,但該通訊協定無需建立連線,故無法偵測當時該UDP Port No是否在進行傳輸運作,因此可藉由Ethereal程式,將所有網路封包蒐集錄製成檔,再分析是否有利用UDP的通訊協定進行通訊,若有利用UDP的通訊協定,則需再了解那些Port No在運作、運作對象為何,並查證該行為是否為作業系統或應用系統之運作,若判定情況有異,則可能已遭受入侵。

四、找到木馬程式後,只要刪除該檔案就好了嗎?

  找到系統中存在著木馬程式,是否刪除該檔案即可?答案是否定的,從入侵的觀點來說,入侵系統並達到安裝第一個木馬程式是較為困難,但只要入侵後,就比較容易植入其他木馬程式,但是如前文所述,木馬程式並不容易讓系統管理者發現,因此即使找出一個木馬程式,並不代表系統沒有其他木馬程式,可能已經有四、五個木馬程式而不自知。所以在許可的範圍內,應將該系統Format,重新安裝作業系統,並依據一般程序,在重新安裝過程中,別忘了修補系統漏洞、立即安裝最新病毒碼等基本的程序,才能有效解決木馬程式的潛在性風險。

善用調查局資源

資訊安全的問題應該是每個企業或政府單位關注的議題,除了培訓專業人才、添購資訊安全設備外,發生資訊安全事件時,也應立即與有關單位聯繫,由專業的單位提供服務,確實找出問題的根源以降低危害的發生。筆者服務的單位(調查局資訊室)負責國家安全工作,深切體認到建立全民資訊防衛之重要性,單一企業遭到駭客入侵,下一個受害者可能就是另一家企業或政府機構。因此,本局過去即積極接受各機構(單位)之要求,協助實際案件之處理,不但能主動解決相關問題,更能藉此了解各類型的駭客入侵型態,尤其是大陸駭客入侵,除能有效協助解決遭入侵之緊急狀況,更能達到全面性防衛國家資通安全之目的。此外,若企業內部網管人員擔心電腦系統遭到入侵,也可以參考本文提供的判別網路是否遭到入侵的小技巧,即可與所購置的網路安全設備,共同搭建起更完善的資訊安全堡壘,切莫以為只要有高價的網路安全設備,一切就能高枕無憂,最後卻慘遭駭客入侵而不自知的後果。

 

本文作者現任職於調查局資訊室