問題 :
在危機處理的過程中,如果有報案需要的話,要注意有哪些資料需要保留以作為證據的?又這些資料該如何保留?
註:本文為[ RUN!PC 159 期 ]資安診療室本人所撰稿的部分內容
電腦稽核記錄檔有助於網管人員或執法人員了解異常事件之發生經過,從紀錄檔中之特殊攻擊技巧、存取方式、上網習性,均可以做為確認入侵者的參考依據。
所以以下列出常見的保留資料作為參考。
--------------------------------------------------------------------
設備:閘道端
需要保留資料:路由器的LOG記錄
方法:
大部分家用或一般中小企業採用的ADSL Router是沒有記錄LOG的,如果事前有利用syslog伺服器來收集的話,此時就須將這些紀錄保存,來找出被入侵當時的路由資料。
需要保留資料: 防火牆、IDS/IDP的LOG紀錄
方法:
大部分市面上常見的防火牆、IDS/IDP或者是家用的IP分享器均有LOG的紀錄檔,所差別在於較大型的設備有提供報表界面可以列印出來事件發生當時的記錄,如果是比較陽春型的設備就只能尋找是否有將LOG匯出的功能作為資料保存之用。
--------------------------------------------------------------------
設備: 伺服器端
需要保留資料: 存放被入侵資料的硬碟
方法:
為了保存被入侵時伺服器最完整的資料,最好的方法是利用專門採集被刪除資料的軟體(例如:EnCase)來作為證明犯罪事實之依據,但大多數廠商並沒有這樣的設備,所以利用能將硬碟完整複製的工具(例如:Ghost)完整保存所有硬碟被入侵時狀況,以方便事後資料的比對及找尋。
需要保留資料: 網頁服務的LOG紀錄
方法:
提供網頁服務的以IIS來說其記錄檔預設值是放置在[C:\WINNT\system32\LogFiles\W3SVC1\exxxxxxx.log ];而apache預設則是放在[ /usr/local/apache//log目錄 ],其中有access_log與error_log檔。請備份所有有關的LOG資料作為Web Server被入侵時的參考。
需要保留資料: 網頁服務所在的實體路徑內被入侵後的檔案備份
方法:
IIS預設的實體路徑[ C:\Inetpub\wwwroot ]而apache預設的路徑[ /usr/local/apache//htdocs ],請備份所有資料含所有被入侵的網頁或木馬,作為被入侵時的參考。並且可點選被植入之網頁查看其原始碼,是否有被更動過。
需要保留資料: 資料庫的稽核記錄
方法:
知名大廠的資料庫都會有其資料庫存取的稽核記錄,不過預設為避免影響資料庫效能大多數是沒有開啟,如果有的話也請備份或匯出作為資料被竄改的參考。
需要保留資料: 資料庫被入侵後的資料庫備份檔
方法:
如果是採用SQL Injection的入侵手法,很有可能資料庫內容的資料已經被竄改,回複之前請先將已經被入侵的資料庫備份,事後可搜尋資料庫欄位資料作為比對。
需要保留資料: 事件檢視器的被入侵後記錄
方法:
Windows平台均有事件檢視器記錄著事件發生時系統的狀況,請將應用程式記錄檔、安全性記錄檔、系統記錄檔按右鍵另存紀錄檔的方式保存。
--------------------------------------------------------------------
設備: 使用者端
需要保留資料: 防毒軟體的記錄
方法:
如果駭客採用惡意程式的植入,防毒軟體應該會有紀錄檔說明抓到木馬程式的日期,雖然也有可能防毒軟體沒有偵測到惡意程式,但如果駭客採用多次嘗試可能會有機會發現。
需要保留資料: 系統、開機程序的服務、註冊表(Registry)資料
方法:
被植入的惡意程式一定要在系統運作,所以可以使用Process Explorer、AutoRuns、FileMon、RegMon、TCPView等免費小工具來做檢測紀錄。
需要保留資料: 上網的暫存資料紀錄
方法:
如果是使用IE經由上網而感染植入惡意程式,在windows平台下可在[C:\Documents and Settings\帳號\Local Settings\Temp ]與[C:\Documents and Settings\帳號\Local Settings\Temporary Internet Files ]發現一些cookies、被植入的惡意程式程式檔案、木馬程式等備份收集之後可確費使用者被感染植入的時間。
--------------------------------------------------------------------
結論:
一個資安事件的發生,並不只是單一的設備、機器或程式所造成。在現今越來越多樣化的攻擊手法中可發現駭客已經較少採用大規模的入侵作戰而改採用單一目標的深入攻擊。據相關研究報告指出顯示駭客攻擊標的也從以往的政府單位及大型企業漸漸改為中小型企業是甚至使用者家用電腦中,使得現今的入侵手法不再是只有專業的資安人員才需要了解及防範,而是應該落實教育使用者正確使用電腦使用習慣(例如:上網行為的警覺性),來作為MIS以及使用者都應落實的企業緊急應變的處理方式。
2008年11月19日 星期三
當MIS碰上駭客入侵該怎麼辦之問題二
當企業發現自己已遭駭客入侵後,企業IT管理人員該如何採取行動?本次資安診療室將從實務層面來建議企業緊急應變的處理方式。
問題 :
2.怎樣在最短時間修補企業安全漏洞,以減少駭客對企業的傷害?
註:本文為[ RUN!PC 159 期 ]資安診療室本人所撰稿的部分內容
除了手法四之外,前面幾種常見的攻擊手法均需要利用到漏洞,不管是系統(Windows 或Linux)、網站服務程式(IIS、APACHE)、網頁應用程式(ASP、PHP)、討論區套件(例如:PHPBB)等均是需要利用來達成攻擊網站及竊取資料的目的,
所以能在越短的時間修補程式就越不會讓駭客有機會進行弱點攻擊機會。
--------------------------------------------------------------------
類別:系統、網站服務程式
更新方法:
救急:先移除多餘的網頁、木馬、以及非必要的服務。
治本:系統自動化更新服務
Windows:自動更新、WSUS、SMS等 Linux: up2date、APT、YUM
--------------------------------------------------------------------
類別: 網頁應用程式
更新方法:
救急:先將網頁呼叫DB的程式(ADO)降低它的執行帳號的權限,資料庫增加稽核的功能,將網頁呼叫Insert、Update、Delete的語法執行時採用不必要的呼叫就暫時Disable該功能。(例如:搜尋功能的程式應該用不到Insert、Update、Delete的語法)。
治本:重新改寫程式,例如:網頁的呼叫變數採用加密等功能。
--------------------------------------------------------------------
類別: 討論區套件
更新方法:
救急:備份資料庫之後移除該討論區套件。
治本:更新該討論區套件至最新的版本,並避免用預設值安裝。
問題 :
2.怎樣在最短時間修補企業安全漏洞,以減少駭客對企業的傷害?
註:本文為[ RUN!PC 159 期 ]資安診療室本人所撰稿的部分內容
除了手法四之外,前面幾種常見的攻擊手法均需要利用到漏洞,不管是系統(Windows 或Linux)、網站服務程式(IIS、APACHE)、網頁應用程式(ASP、PHP)、討論區套件(例如:PHPBB)等均是需要利用來達成攻擊網站及竊取資料的目的,
所以能在越短的時間修補程式就越不會讓駭客有機會進行弱點攻擊機會。
--------------------------------------------------------------------
類別:系統、網站服務程式
更新方法:
救急:先移除多餘的網頁、木馬、以及非必要的服務。
治本:系統自動化更新服務
Windows:自動更新、WSUS、SMS等 Linux: up2date、APT、YUM
--------------------------------------------------------------------
類別: 網頁應用程式
更新方法:
救急:先將網頁呼叫DB的程式(ADO)降低它的執行帳號的權限,資料庫增加稽核的功能,將網頁呼叫Insert、Update、Delete的語法執行時採用不必要的呼叫就暫時Disable該功能。(例如:搜尋功能的程式應該用不到Insert、Update、Delete的語法)。
治本:重新改寫程式,例如:網頁的呼叫變數採用加密等功能。
--------------------------------------------------------------------
類別: 討論區套件
更新方法:
救急:備份資料庫之後移除該討論區套件。
治本:更新該討論區套件至最新的版本,並避免用預設值安裝。
標籤:
診斷及治療
當MIS碰上駭客入侵該怎麼辦之問題一
當企業發現自己已遭駭客入侵後,企業IT管理人員該如何採取行動?本次資安診療室將從實務層面來建議企業緊急應變的處理方式。
1. 如何迅速找出企業被駭的問題發生點?
註:本文為[ RUN!PC 159 期 ]資安診療室本人所撰稿的部分內容
一般來說企業被駭所發生的問題點大多出現在伺服器端,但目前有漸漸往使用者端入侵的趨勢。以下就針對目前最常見的幾種入侵手法來分析如何迅速找出問題的發生點。
--------------------------------------------------------------------
手法一:
駭客直接置換網站首頁或者是在Web Server中插入一頁類似駭客宣告的網頁。
被駭目標:Web Server
手法分析:
駭客使用掃描工具針對目標網站做系統弱點或網站服務尋找出未知或未修正的弱點。
針對此弱點尋找出其相對應的攻擊程式,設法取得該台伺服器的控制權。
上傳駭客自製的首頁或宣告網頁至目標網站的實體目錄之下,做覆蓋首頁或新增網頁的動作。
完成該目標網站的網頁取代。
問題發生點:
作業系統(Windows或Linux)平台有未知或未修正的弱點。
網站服務程式(IIS或Apache) 有未知或未修正的弱點。
網站服務程式(IIS或Apache)安裝時未變更安裝預設值,此得駭客能猜測出相關安裝的設定,取得資料。
網站服務程式(IIS或Apache)的網頁檔案實體路徑依循系統預設值而未變更路徑。
網頁檔案所存在的實體資料夾及目錄並未設定權限。(例如:NTFS權限)使得駭客可以輕易上傳網頁。
--------------------------------------------------------------------
手法二:
駭客在網站的首頁或者是其他頁面加入有惡意程式語法的隱藏框架,造成瀏覽的使用者被植入惡意程式。
被駭目標:Web Server、使用者的電腦
手法分析:
駭客先在免費上傳空間製作好存放惡意程式。
在目標網站上嘗試在網頁應用程式(ASP、ASP.Net或PHP)測試是否具有SQL Injection(資料隱碼)或具有XSS(跨網站攻擊)的弱點。
尋找出有弱點之網頁程式後,嘗試在URL網址之後加入SQL語法的字串,依該網頁應用程式的反應結果可猜到該程式所使用的帳號、權限大小、資料庫名稱、資料庫的類別。
假設是ASP+SQL Server這樣的組合,如果權限夠大便可以在URL網址之後的SQL語法加入[xp_cmdshell]取得DOS命令列模式並可以新增系統帳號、網頁加入有惡意程式語法的隱藏框架等惡意行為。
問題發生點:
網頁應用程式(ASP、ASP.Net或PHP)具有SQL Injection(資料隱碼)或具有XSS(跨網站攻擊)的弱點。
網頁應用程式撰寫時呼叫資料庫的權限太大,使得該程式一旦出問題就具有權限去執行惡意的行為。
資料庫安裝時採用系統預設值或最大權限,造成資料庫被入侵等於系統全線也可以取得。
--------------------------------------------------------------------
手法三:
駭客在網站的討論區套件中加入有惡意程式語法的隱藏框架,造成瀏覽該討論區的使用者被植入惡意程式。
被駭目標:Web Server、討論區套件、使用者的電腦
手法分析:
該手法三的入侵手法與手法二雷同,同樣是在目標網站上嘗試在網頁應用程式中尋找是否具有SQL Injection或具有XSS的弱點。只不過它所針對的目標是網站的討論區套件(例如:PHPBB)等自動化安裝的套件。
嘗試測試該套件預設安裝的檔案路徑、資料庫位置、資料庫名稱、帳號名稱,是否目標網站均有無變更。
使用該網頁應用程式的弱點攻擊程式查看是否有修正版本,如果均沒有做修正便可以取得帳號、安裝路徑。
使用取得的帳號及權限在網頁上插入有惡意程式語法的隱藏框架等使用者上鉤。
問題發生點:
討論區套件(例如:PHPBB)沒有同步修正版本,造成該弱點可被惡意程式利用。
討論區套件安裝時沒有改變安裝預設時的相關參數及設定,造成只要是使用相同套件其資料庫等不應該被知道的訊息均被公開。
--------------------------------------------------------------------
手法四:
駭客製造出埋藏惡意程式的釣魚網站,經由網站的討論區、郵件與即時通訊軟體傳送該釣魚網站之超連結,誘使使用者點選之後植入木馬程式,進而竊取個人及企業資料。
被駭目標:使用者的電腦
手法分析:
先去申請與目標網站非常相似的網域名稱。
再針對目標網站執行砍站程式或另存新檔將整個網站複製下來。
然後在該偽冒網域名稱上將砍站下來的網頁組合成跟原來一樣的網站。
在個偽冒網站上的首頁放入惡意程式的代碼或者寫入有惡意程式語法的隱藏框架,等使用者上鉤。
問題發生點:
偽冒網站必須用砍站程式去砍原來網站的網站內容,如果是一個經常變更資料的網站或者有撰寫網頁應用程式的網站就會增加被偽冒的難度。
1. 如何迅速找出企業被駭的問題發生點?
註:本文為[ RUN!PC 159 期 ]資安診療室本人所撰稿的部分內容
一般來說企業被駭所發生的問題點大多出現在伺服器端,但目前有漸漸往使用者端入侵的趨勢。以下就針對目前最常見的幾種入侵手法來分析如何迅速找出問題的發生點。
--------------------------------------------------------------------
手法一:
駭客直接置換網站首頁或者是在Web Server中插入一頁類似駭客宣告的網頁。
被駭目標:Web Server
手法分析:
駭客使用掃描工具針對目標網站做系統弱點或網站服務尋找出未知或未修正的弱點。
針對此弱點尋找出其相對應的攻擊程式,設法取得該台伺服器的控制權。
上傳駭客自製的首頁或宣告網頁至目標網站的實體目錄之下,做覆蓋首頁或新增網頁的動作。
完成該目標網站的網頁取代。
問題發生點:
作業系統(Windows或Linux)平台有未知或未修正的弱點。
網站服務程式(IIS或Apache) 有未知或未修正的弱點。
網站服務程式(IIS或Apache)安裝時未變更安裝預設值,此得駭客能猜測出相關安裝的設定,取得資料。
網站服務程式(IIS或Apache)的網頁檔案實體路徑依循系統預設值而未變更路徑。
網頁檔案所存在的實體資料夾及目錄並未設定權限。(例如:NTFS權限)使得駭客可以輕易上傳網頁。
--------------------------------------------------------------------
手法二:
駭客在網站的首頁或者是其他頁面加入有惡意程式語法的隱藏框架,造成瀏覽的使用者被植入惡意程式。
被駭目標:Web Server、使用者的電腦
手法分析:
駭客先在免費上傳空間製作好存放惡意程式。
在目標網站上嘗試在網頁應用程式(ASP、ASP.Net或PHP)測試是否具有SQL Injection(資料隱碼)或具有XSS(跨網站攻擊)的弱點。
尋找出有弱點之網頁程式後,嘗試在URL網址之後加入SQL語法的字串,依該網頁應用程式的反應結果可猜到該程式所使用的帳號、權限大小、資料庫名稱、資料庫的類別。
假設是ASP+SQL Server這樣的組合,如果權限夠大便可以在URL網址之後的SQL語法加入[xp_cmdshell]取得DOS命令列模式並可以新增系統帳號、網頁加入有惡意程式語法的隱藏框架等惡意行為。
問題發生點:
網頁應用程式(ASP、ASP.Net或PHP)具有SQL Injection(資料隱碼)或具有XSS(跨網站攻擊)的弱點。
網頁應用程式撰寫時呼叫資料庫的權限太大,使得該程式一旦出問題就具有權限去執行惡意的行為。
資料庫安裝時採用系統預設值或最大權限,造成資料庫被入侵等於系統全線也可以取得。
--------------------------------------------------------------------
手法三:
駭客在網站的討論區套件中加入有惡意程式語法的隱藏框架,造成瀏覽該討論區的使用者被植入惡意程式。
被駭目標:Web Server、討論區套件、使用者的電腦
手法分析:
該手法三的入侵手法與手法二雷同,同樣是在目標網站上嘗試在網頁應用程式中尋找是否具有SQL Injection或具有XSS的弱點。只不過它所針對的目標是網站的討論區套件(例如:PHPBB)等自動化安裝的套件。
嘗試測試該套件預設安裝的檔案路徑、資料庫位置、資料庫名稱、帳號名稱,是否目標網站均有無變更。
使用該網頁應用程式的弱點攻擊程式查看是否有修正版本,如果均沒有做修正便可以取得帳號、安裝路徑。
使用取得的帳號及權限在網頁上插入有惡意程式語法的隱藏框架等使用者上鉤。
問題發生點:
討論區套件(例如:PHPBB)沒有同步修正版本,造成該弱點可被惡意程式利用。
討論區套件安裝時沒有改變安裝預設時的相關參數及設定,造成只要是使用相同套件其資料庫等不應該被知道的訊息均被公開。
--------------------------------------------------------------------
手法四:
駭客製造出埋藏惡意程式的釣魚網站,經由網站的討論區、郵件與即時通訊軟體傳送該釣魚網站之超連結,誘使使用者點選之後植入木馬程式,進而竊取個人及企業資料。
被駭目標:使用者的電腦
手法分析:
先去申請與目標網站非常相似的網域名稱。
再針對目標網站執行砍站程式或另存新檔將整個網站複製下來。
然後在該偽冒網域名稱上將砍站下來的網頁組合成跟原來一樣的網站。
在個偽冒網站上的首頁放入惡意程式的代碼或者寫入有惡意程式語法的隱藏框架,等使用者上鉤。
問題發生點:
偽冒網站必須用砍站程式去砍原來網站的網站內容,如果是一個經常變更資料的網站或者有撰寫網頁應用程式的網站就會增加被偽冒的難度。
標籤:
診斷及治療
訂閱:
文章 (Atom)