[ 永遠的UNIX::UNIX技術資料的寶庫 ]   GB | BIG5
首頁 > 安全技術 > 系統 > 正文
防止攻擊跳板主機的安全管理策略(一)
本文出自:http://www.cert.org.tw 作者: 黃世昆博士 (2001-10-31 08:00:00)
摘要

攻擊跳板主機的問題對於目前網路結構已構成嚴重安全威脅,潛伏的危機將超過一般電腦

病毒。據警政署刑事局的統計估計,國內約有十分之一網路主機被殖入木馬程式(即攻擊

跳板所利用的後門宿主)。最近網站入侵事件頻傳,多數與被操縱的主機有關,如 

Yahoo、  eBay 等商用網站遭受分散式阻斷攻擊(大量主機被安放阻斷攻擊程式),

Love-You-Letter 與最近的 Navidad 事件等則是個人電腦被用來間接散攻擊程式。本文

探討各種跳板攻擊方法,防止策略、並探討追查技術的未來發展、相關法律責任歸屬等。

 

關鍵字: 跳板攻擊、後門操控、隱密通道、誘陷執行環境、行為指紋。

 

一、攻擊跳板與網路安全威脅

最近微軟公司程式碼遭竊,多處商務網站面臨分散阻斷攻擊,美國各大學紛遭大規模全面

入侵。這些都反應資訊安全威脅已嚴重影響大眾的日常交易往來。根據 TW-CERT 88 年的

國內Web server 年度安全調查[4],有 53 % 的主機可被取得 Web Admin 的權限。我們近

日的自我安全檢測機制的記錄有顯示有高達 59% 機器有程度不等的安全缺陷。因此刑事局

的「木馬」主機估計比率(1/10)並不算高估,因為只要有心的入侵者都可能在53% 的主機中

殖入「後門」。

 

但一般人對於安全警覺都限於「可視」或「可察覺」的安全威脅,例如網頁遭致竄改,或

資料被毀損。去年八月政府網站被大舉塗換網頁,各界紛表關切,公聽、座談會不斷舉行,

但事僅於此。今年十月國慶網路謠傳將有類似事件重演,事後僅有零星網站有網頁被改跡

象,因此大家慶幸不已,更深信此為「謠傳」。但情況真得如此樂觀嗎?根據我們深入調

查,在單一機關內有存在各種不同形式後門的主機,比例達 50%。這樣的比例剛好反應 

TW-CERT 年度安全調查數據的可信度:亦即這些可能被取得 admin shell 的主機,都有某

種形式的後門程式隱藏其中。

 

1.未來攻擊趨勢

未來網路安全威脅都將與後門建立息息相關,包括:

 

攻擊後暗藏隱密操控後門

這是網路攻擊精化的必然發展。亦即雜的攻擊過程將分階段,或稱為攻擊狀態快取 

(Attack Process Cache),在入侵目的達成之前,用來維前次攻擊途徑的暢通。

 

後門與病毒感染媒介整合

後門程式將與病毒感染方式互相整合。傳統病毒是同步非操控模式,亦即只能依賴事件同步

(如13日星期五),以引發惡意指令。但後門程式的特性是非同步操控模式,隨時可能觸發

惡意指令。

 

分散式、大規模間接攻擊

最典型的實例是分散式阻斷攻擊(Distributed Denial of Service),利用大量分散於各地

網路的用戶主機,同時啟動攻擊。後門程式的運用是分散式攻擊重要的一環。

 

2. 建立後門之目的

 

竊取資源利用,例如網路頻寬(設置 http proxy server)

散各地電腦的後門,為數甚多是用來竊取資源,包括 Web access 與 E-mail Relay,以

取得寶貴的網路資源。舉中研院為例,對外頻寬充足,是有企圖用戶侵入的最大誘因。各大

ISP 同樣面臨類似威脅。事實上,這樣的犯罪形態如同盜打電話,可藉以節省網路使用費用。

 

非同步攻擊狀態快取

維護狀態快取(cache)將可快速取得上次攻擊狀態,可應付雜的入侵計畫,例如攻擊可依

據目標權限差異,先取得低權限用戶電腦存取權,再漸進掌控高權限用戶,進而入侵重要

伺服器。順序上,為低權限資訊用戶─> 高權限資訊用戶 ─> 普通伺服器帳號 ─> 管理者

權限帳號。每一階段的攻擊狀態快取可維入侵管道的暢通。

 

設立攻擊跳板

間接攻擊可避免被追查,同時操控大量攻擊跳板,以不同來源位址達到欺騙流量管理系統目

的,進而形成分散阻斷攻擊。

 

3. 後門程式侵入方式

一般攻擊後殖入

後門殖入的最佳宿主是對於「安全」不經心的使用者。第一類是管理不善的伺服器。第二類

是資訊衛生習慣不良的用戶端電腦。未來面臨的最大後門威脅將來自用戶系統。對於用戶系

統最大威脅包括:

 

E-mail: 病毒、惡意執行檔夾帶並不可怕。現在最具威脅的是使 E-mail 接收軟體產生記憶

體溢寫攻擊的惡意控制檔頭(header),這類攻擊的特性是只要用戶接收 E-mail,不必開啟

就會感染。這是可以突穿任何嚴密防火牆的攻擊。 

 

Web Content: malicious Script/Applet 。

Document Contents: 理論上所有格式的檔案都潛藏危機,可使應用程式產生缺陷,進而執

行非法指令。這種攻擊可以突破實體網路隔絕。

 

人因缺陷(social engineering)

實際為 Script 或可執行檔案,但隱藏為 .txt .jpg .gif 檔名。

以熟識朋友身份,E-mail 夾帶惡意可執行內涵。

 

4. 偵測後門程式的困難性

一旦遭受攻擊,為確保系統不被置入後門程式,若事先沒有記錄各檔案的稽核碼 (checksum),

所有可執行檔、系統設定都要重新安裝,因後門程式理論上可化身為現存的應用程式,甚至

深入系統核心,可模擬原作業方式,使系統運作如常,很難發覺其存在。一般偵測軟體僅能

偵測「被動連線」方式的後門,偵測率與誤失率都很難合乎需求,因被動連線的 port 位址

可任意更動,連線協定更隨著運用者不同,可輕易更改。未來後門程式的變異程度與發展速

度將遠高於一般單純電腦病毒。

 

5. 發現後門的事例

我們已簡單說明攻擊趨勢與後門建立的關、目的、與殖入方式。此論文的動機源自最近在

設定 firewall 時,因追查異常流量源才驚覺後門程式濫的嚴重性。在 firewall 裡面有

一台很單純的伺服器,只提供信件轉送與域名查詢及委任,因此除內對外 udp port 53 ,

外對內 udp port 53、 tcp port 25 開放,其他 port 不該有流量。但就在新的安全政策

施行的瞬間,大量封包被拒絕傳送。我們因此懷疑後門程式已侵入。使用

 lsof (list opened file) 比對各程序與所需服務位址,才找出隱身為正常的伺服應用系

 統。這是一支被動連線型的遠端操控 root shell。

 

二、後門安裝型態與跳板方式

  1. 保留現有或安裝有安全缺陷服務軟體、設定(Vulnerable Service、Configuration)

最佳的後門是保留有安全缺陷的服務軟體,但讓使用者誤以為所用的是最新沒有缺陷的版

本。因此理論上有安全缺陷的服務軟體,若可據以取得系統存取權限,都可視為「後門」。

欺騙補強程式:入侵者致力於修改安裝設定檔,更新補強版本資訊顯示訊息,但具缺陷軟體

維持不變。

欺騙安全檢測程式:編輯執行檔,更改版本顯示資訊。包裝服務軟體 (wrapper),過濾攔截

協定輸出入中含有特定檢測字串資料(如常用安全弱點掃瞄系統、比對對於某種 CVE[3] 

的檢測方式),令檢測程式誤判。

 

2.置換現有服務軟體,維持其原有協定運作正常

 

3.  非既有服務,另安裝操控服務。

  

三、建立隱密操控通道

要建立隱密操控通道,可分別建立(1)操控指令通道(Command Tunnel, C Tunnel),(2)

回應訊息通道(Response Tunnel, R Tunnel)。二者可相依或獨立。這兩種通道又分別可由

操控者主動(Active Controller)/被動(Passive Controller),與受控者主動

(Active Responder)/被動(Passive Responder)。以 (C Tunnel, R Tunnel) 表示,

Type I: (Active Controller, Active Responder), Type II:

(Passive Controller, Active Responder), Type III:

(Active Controller, Passive Responder), Type IV:(Passive Controller, Passive Responder)。

 

1.Type I Tunnel

這是一般建立被動連線 (Passive Tunnel, forward shell)的方式。在受控方(被寄宿端)

執行後門指令接收服務程式(於特定服務位址),這是最廣泛存在的操縱方式,形成暗藏的

伺服系統。這是一般互動式的終端服務程式如 telnetd/rlogind 等形式的後門。網路防火

牆即可阻擋這類的操控通道。(防外往內流量)

 

2. Type II Tunnel 

這是受控者主動傳遞資料 (Active Tunnel, reverse shell)的操控方式,一般都是以

http/ftp 等合法對外協定,建立 tunnel (如所有對外連線都經由 http),形同建立以 

http 封包攜帶層,構建虛擬專屬網路。

Reverse Shell

Valid Protocol Tunnel for VPN

防火牆必須防護內往外流量。

 

3.Type III Tunnel

操控者對內部網路送指令封包,並以間接方法接收回應訊息。

 

4.Type IV Tunnel

操控者將指令置於外部公眾網路,例如經掌控之入口網站的網頁。受操控者再將回應置於外

部提供上載檔案 ftp 伺服器。

 

5.特殊的 Command Tunnel 與 Response Tunnel

 

Command Tunnel

1.內送 E-mail 內涵暗藏指令 (with Terminal Invisible Text string)

2.內送特殊協定暗藏指令,例如 ICMP unused option

(echo request, echo reply, port unreachable, host unreachable 等)

3.外部入口網站 Web Page 暗藏指令

4.內部網路流量暗藏指令

 

Response Tunne

1.影像暗藏回應資料 (Information Hiding)

2.外送 E-mail 內涵暗藏指令

 

上述指令或回應通道都可經加密處理。

 
本文摘自黃世昆博士89年12月8日中央警察大學論文發表(防止攻擊跳皮主機的安全管理策略)

(http://www.fanqiang.com)     進入【UNIX論壇
相關文章
 

★  樊強制作 歡迎分享  ★