Your SlideShare is downloading. ×
0
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
惡意程式簡易分析與處理
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

惡意程式簡易分析與處理

3,407

Published on

弈瑞科技

弈瑞科技

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
3,407
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
38
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • 技術支援信箱: [email_address] 客服專線: (02)2791-5365 台北總公司 114 台北市內湖區成功路二段 514 號 2 樓  (02)2791-8027 南區分公司 710 台南縣永康市中華路 1-67 號 12 樓 (06)702-1321
  • 本次課程共分為五大主題內容大至概述如下 : 影片欣賞: 惡意程式發展史與卡巴斯基實驗室介紹。 惡意程式介紹 :了解惡意程式的定義以及其命名規則,並針對各種類型惡意程式的特性與行為做介紹。 惡意程式手法分析: 介紹惡意程式的入侵方式以及各種攻擊、入侵電腦系統的手法。 惡意程式分析工具: 介紹常見的惡意程式分析與收集系統軟 ( 硬體 ) 資訊工具,並針對分析工具常見的功能與實務分析技巧做教學。 USB 病毒攻擊手法解析: 了解 USB 病毒的演進過程,並解析 USB 病毒常見的感染方式與攻擊手法,最後利用虛擬機器模擬以動態分析的方式來分析、監測、清除 USB 病毒。
  • 本章將以播放短片的方式來了解惡意程式的演進與發展,並藉此了解惡意程式未來發展趨勢及可能面臨的威脅。
  • 不管一般個人、家庭、工作室或是企業的環境下,當我們在使用或操作電腦時可能都會遇到一些奇怪的裝況例如 : 突然無法上網,瀏覽器開啟的所有網頁都無法顯示,但是實際使用 Ping 指令去偵測該網站又確實有回應的情形。 經常使用的文件檔案突然打不開或是應用程式無法開啟。 發現自己會一直寄奇怪的 Email 到自己的信箱,或是朋友反應你的信箱會一直寄奇怪的垃圾信或病毒信給他們。 開啟瀏覽器後發覺首頁被變更到色情網站或是奇怪的網站,除此之外還會出現很多的廣告彈跳視窗,怎麼刪都還會重複出現。 電腦開機進入系統變的非常緩慢, CPU 、記憶體使用率都飆的很高,所有電腦的例行操作也變得很緩慢,讓使用者幾乎會有無法繼續工作的情形。 當我們遇上述的狀況,必須要有警覺心,您的電腦有很大的可能已經 遭受到惡意程式的感染。
  • 隨者時代的前進,惡意攻擊行為不斷增加與改變,傳統病毒已不足夠描述所有的惡意行為,因此衍伸出木馬、蠕蟲、後門或 RootKit 等惡意行為。 本章將概略介紹現今電腦網路環境中存有哪些威脅,更深入的了解惡意程式的由來與定義,除此之外;我們將會介紹惡意程式的命名方式與規則,並針對病毒、 木馬、蠕蟲的特性、生命週期以及可能帶來的威脅做介紹。
  • 隨者網際網路的發達與電腦 PC 的普及,在這廣大的網路鏈所產生的惡意程式類型、數量以及面臨到的威脅也越來越多,常見的威脅敘述如下: 惡意軟體: 廣泛的來說不管是應用程式、工具、軟體、或是一段 Script 只要程式碼內會產生惡意的行為,進而攻擊、破壞、修改或刪除電腦系統的檔案、元件或機碼,造成系統不穩定、資料遺失、當機…等狀況都可以稱作惡意軟體。 系統弱點: 透過作業系統或應用程式漏洞,進而入侵電腦系統造成破壞,蠕蟲最常利用此類弱點來感染電腦。 資源分享: 經由目前當紅的網路分享 P2P 軟體如 Foxy 、 Emule 、 BT 所開啟的共用分享資料夾,來傳遞惡意程式或竊取個人資訊。 非法傳體: 泛指不合法的軟體包括了破解軟體、程式破解工具、密碼產生器 .. 等,這些軟體內建可能就包含了惡意程式。 防毒軟體: 防毒軟體版本、引擎過舊或是病毒特徵碼防毒技術能力不足。 廣告軟體: 安裝不明軟體或是下載了網路未簽屬的 ActiveX 控制項,產生大量廣告視窗,同常伴隨間諜軟體一同運行,暗地竊取個人資訊。 垃圾郵件: 目前惡意程式最大的感染途徑,惡意程式透過 email 連結或是附件檔誘使使用者去執行該惡意檔案。 釣魚網站: 偽造與真實網站相似的假網頁來誘或使用者輸入重要的帳號與密碼。 駭客攻擊: 透過駭客工具或是高深的駭客技術來侵入內部的網路與電腦系統。 操作習慣: 惡意程式防護最重要的就是養成使用者良好的上網與電腦操作習慣。
  • 惡意程式 (Mal-ware) 基本上是一個複合的字彙是由 Mal(Malicious) 與 ware(software) 所組成,簡單的來說就是設計出一個會攻擊、破壞或入侵電腦系統卻又不會通知使用者的惡意軟體或程式碼。 惡意程式所包含的類型與內容是廣泛的,除了常見的 Virus 、 Worm 、 Trojan 之外還包括了 Spyware 、 Adware 、 Crimeware 、 Rootkit 、 Backdoor 或是其它具有惡意行為的軟體。
  • 惡意程式的種類繁多,相對衍伸出的攻擊行為與特性也很多元,常見的攻擊特性如下: 自我複製與感染物件: 惡意程式執行後開始自我複製自身可執行檔並找尋可被感染的宿主檔案。 刪除檔案: 惡意程式可能會刪除系統重要檔案、開機磁區 (MBR) 、 系統服務或是驅動程式,進而造成系統受損無法開機或資料遺失的狀況。 強制安裝難以移除: 惡意程式執行後會新增或修改檔案、登錄檔、服務以及驅動程式,若非透過防毒軟體來處理,將難以移除。 首頁綁架與廣告彈出: 惡意程式會修改系統登錄檔造成瀏覽器首頁被置換或是產生大量的廣告彈跳視窗。 搜集使用者與系統資訊: 惡意程式會利用各種技術來竊取電腦中的 cookie 、暫存區、郵件通訊錄中的可用資訊或是利用 keylogger 等技術截取使用者輸入的帳號與密碼。 移除用戶端程式 : 惡意程式觸發後會試圖移除或卸載現存的防毒防駭軟體,再進行後續的攻擊。 干擾電腦運作與影響系統網路效能: 惡意程式會修改系統設定造成系統操作不便,例如:無法使用執行、控制台、工作管理員等功能,或是發送大量封包造成網路效能緩慢。
  • 病毒 (Virus) 是早期大家對惡意軟體或程式碼的一種稱謂,但隨者相關技術與攻擊手法不斷的演進,已無法單獨用病毒 (Virus) 這個名詞來描述各種的惡意行為,所以出現了惡意程式 (Malware) 的名詞。 Malware 泛指所有類型的惡意行為,常見的惡意程式敘述如下 : 病毒 (Virus) : 病毒同常會自我複製並感染電腦中的物件或檔案。 蠕蟲 (Worm) : 藉由網際網路或區域網路來擴散,並針對電腦系統與應用程式漏洞作攻擊與入侵。 木馬 (Trojan) : 木馬主要的行為是在暗地裡竊取使用者電腦裡的重要資料,或是遠端操控、執行惡意指令碼到受感染的電腦。 廣告軟體 (Adware) : 安裝軟體後產生大量廣告彈跳視窗,或是上網下載了未經簽屬的 ActiveX 元件,同常伴隨間諜軟體一同運行,暗地竊取個人資訊。 間諜軟體 (Spyware) : 間諜軟體通常會追蹤線上的活動、收集個人資訊或是變更電腦設定。 後門程式 (Backdoor) : 在受感染電腦上建立服務或開啟連接埠,等待攻擊者遠端連線或是輸入攻擊指令碼,被感染的電腦可能會成為傀儡電腦 (BotNet) 的一員。
  • 每一家的防毒軟體廠商都有自己的命名方式,但是基本上都依循者一定的命名規則,命名規則越嚴謹、越清楚就越能完整的描述該惡意程式的類型,同時也能讓受感染電腦做相對應的處置,敘述如下: 前綴或稱字首 (prefix) : 惡意程式命名的字首,依據不同廠商的命名規則可分為兩種,一種是以惡意程式類型來命名,例如: Trojan 、 Worm 、 Backdoor 。另一種是以作業系統的類型來做分類,例如: Win32 、 X2KM 、 Linux 、 Unix.. 等。 名稱 (name) : 依據不同惡意程式的行為與特徵來命名,例如: Agent 、 .Js 、 Psw-OnlineGames .. 等。 詞尾或稱字尾 (suffix) : 字尾主要是用來表達該惡意程式的變種類型 。
  • 惡意程式 Trojan.PSW.Win32.OnlineGames.cuq 為卡巴斯基原廠已經入庫的惡意程式特徵碼,我們依據惡意程式的命名規則來描述此惡意程式: 字首 Trojan :代表該惡意程有木馬的行為,可能會有竊取電腦裡重要個人資訊 (PII) 的行為。 名稱 PSW.Win32.Onlinegames : PSW 代表有竊取帳號密碼的行為, Win32 代表只會針對 Windows 32 位元的作業系統進行感染,而 OnlineGames 表示主要的攻擊目標是線上遊戲。 該惡意程式完整的解釋如下 : 一隻會針對 Windows 32 位元作業系統,進行線上遊戲帳號與密碼竊取的木馬程式。
  • 電腦病毒是最早出現的惡意程式型態,在技術上簡單來說,是一種會自我複製並尋找機會繁殖的可執行程式,所有電腦病毒依據其行為可分為開機型、常駐型、檔案型與混合型 .. 等種類。 電腦病毒通常有幾項特性如下: 自我複製: 電腦病毒執行 ( 觸發 ) 後會不斷自我繁殖 或 複製自身程式碼。 感染檔案: 尋找寄生或是可感染的宿主,例如 .exe 、 com 等執行檔案或是 .doc .xls.. 等嵌入式巨集檔案。 破壞系統檔案: 病毒會破壞重要的作業系統檔案或是開機磁區,嚴重的甚至會有將整個磁碟做格式化等行為,進而造成系統損壞無法使用的情形。 特定時間觸發: 某些類型病毒具有潛伏期的特性,同常感染時不會立即發作,而是等待特定的時間或節日發動攻擊,常見的如: 13 號星期 5 、聖誕節、情人節、愚人節病毒 .. 等。
  • 不管哪一種類型的惡意程式都會有自己所對應的生命週期,而通常病毒完整的生命週期會面臨到哪些狀況敘述如下: 創造期: 現今惡意程式的產生通常都會伴隨者利益的需求,駭客或是惡意程式撰寫者已不再是為了好玩或是要提升自己的知名度而撰寫惡意程式,他們通常會與網路犯罪集團合作,結合龐大資源而產生。 孕育期: 惡意程式撰寫者為了要散播病毒,會將病毒放在如 BBS 站、網路論壇、 Blog 、 FTP 站台或是公司與學校網路上。 潛伏期: 一但執行 ( 觸發 ) 病毒後,病毒會不斷去繁殖與傳染 ,但 卻不會有攻擊與破壞行為,而潛伏目的是為了讓病毒有更多的時間去傳染到其他地方。 發病期: 當一切條件都形成後,病毒開始進行破壞的動作,有些病毒會在特定時間發病,有些則是有倒數計時裝置來決定發病時間。 根除期: 防毒軟體廠商分析該病毒特徵,並將解決方式加入到病毒資料庫即可偵測並刪除該病毒。
  • 電腦病毒對系統可能產生的危害與威脅如下: 影響電腦效能造成使用上的緩慢以及不便例如: CPU 的使用率 100% ,虛擬記憶體使用率飆高、磁碟大量 I/O 。 影響電腦的例行操作造成工作不便例如:無法開啟執行視窗、工作管理員、命令提示字元或是控制台部分功能失效等。 感染病毒後造成應用程式無法開啟或執行等情形例如:維京、熊貓燒香等 .. 病毒會主動感染 .exe 執行檔。 病毒可能會破壞檔案關聯性 索引,造成 特定程式無法開啟所對應的附檔名。 破壞或刪除 檔案,造 成系統無法開機或是程式元件受損、硬體被格式化等狀況。 病毒破壞或刪除如開機磁區、 MBR 、系統檔案、開機檔案或是格式化磁碟造成無法開機。
  • 蠕蟲的行為非常類似於病毒,會大量複製自身惡意檔案並尋找機會感染其它檔案,而蠕蟲最大的特色就是能透過網路進行大規模的散播,具有主動式的感染特性。 蠕蟲通常有幾項特性如下: 自我複製: 蠕蟲程式執行 ( 觸發 ) 後會不斷自我繁殖或複製自身程式碼。 感染檔案: 尋找寄生或是可感染的宿主,例如 .exe 、 com 等執行檔案或是 .doc .xls.. 等嵌入式巨集檔案。 攻擊其他電腦: 蠕蟲可以搜尋作業系統或是應用程式的漏洞,並透過網際網路或是區域網路進行大量散播。 利用程式傳播: 蠕蟲經常會利用 MSN 、 SKYPE 或是 EMAIL 等訊息傳播程式,利用通訊錄或好友清單內的連絡人進行散播與感染。
  • 蠕蟲依據不同的攻擊與行為模式可以分為五大類型,敘述如下: IM-Worms : 此類型蠕蟲會透過如 MSN 、 SkYPE 、 QQ 等即時通訊軟體做為散播途徑,蠕蟲通常會透過 IM 軟體發送惡意連結或傳送惡意檔案到所有的好友清單或通訊錄中。 IRC-Worms : IRC 蠕蟲會透過線上多人聊天室的聊天頻道進行散播,使用者電腦感染該蠕蟲,用戶端 IRC 軟體可能會自動登入到特定 IRC 頻道,等待執行惡意指令或散佈惡意連結。 P2P-Worms : 該蠕蟲利用現今最流行的 P2P 下載軟體,透過共享資料夾進行傳播,使用者可能在線上下載並執行偽裝的惡意程式,再透過分享資料夾傳播給網路上其它使用者。 NET-Worms : 此類蠕蟲通常會透過應用程式或是作業系統漏洞進行攻擊與感染,並藉由網際網路或是區域網路媒介進行散播,同常俱有主動感染、快速與大規模散播的特性。 Email-Worms : 該蠕蟲會透過 email 本文或是附件散播惡意程式與惡意連結,感染後會搜尋該電腦的通訊錄清單來發送惡意郵件。
  • 蠕蟲的生命週期非常類似病毒,而兩者最主要的的差異在於蠕蟲感染後不同於病毒的擴散方式,蠕蟲會搜尋網路上作業系統、應用程式漏洞或是掃描網路連接埠的弱點進行後續攻擊與感染,除此之外被感染的電腦有可能藉由 downloader 的攻擊手法,下載全新的惡意程式到用戶端電腦執行,造成惡意程式難以完整清除的狀況。
  • 蠕蟲可能會對系統產生的許多的危害與威脅,常見的危害敘述如下: 降低電腦安全 : 蠕蟲執行後可會卸載防毒、防駭軟體或是修改系統登錄檔與相關安全設定,大幅降低電腦安全與防護能力。 降低電腦效能: 電腦感染後可能會大幅增加 CPU 、記憶體或是硬碟 I/O 使用率,造成系統緩慢以及使用者操作不變等 .. 情形 。 降低網路效能 : 蠕蟲通常會發送大量攻擊或掃描封包,造成網路效能低落以及存取資源緩慢等狀況。 影響電腦操作: 感染蠕蟲可能會造成系統功能失效例如:無法使用執行、命令提示字元、無法開啟工作管理員與控制台等狀況。 結合其它惡意程式作攻擊 : 蠕蟲感染後可能會透過 downloader 下載其它如木馬、病毒、後門 .. 等各類型惡意程式,來作後續的攻擊。 遭受 DoS 、 DDoS 攻擊: 當電腦被感染成為傀儡電腦的成員,可能會接受駭客遠端攻擊指令針對 Internet 特定網站或是伺服器作群體攻擊,造成該伺服器當機或是服務中斷等狀況。 列入國際組織黑名單 : 受感染電腦可能因為發送大量垃圾郵件或是執行 DoS 、 DDoS 攻擊,造成 IP 或是網域名稱被 ISP 監控,嚴重可能會導致域名被列入黑名單或是進行求償 。
  • 木馬程式主要的目的是為了要竊取使用者的重要資訊,所以其行為與特性不同於病毒、蠕蟲,木馬程式常見的特性如下: 竊取資訊: 木馬程式通常不會主動破壞系統元件、檔案或造成系統緩慢等狀況來引起使用者注意,而是暗地裡竊取使用者重要資訊,讓使用者毫無感覺。 偽裝 : 木馬為了隱藏自己,可能會透過偽裝副檔名、圖示、簽屬資訊或是覆蓋現有驅動程式、服務來隱藏所有行為。 下載更新程式 : 除了一般竊取與偽裝行為外,木馬程式也會透過 Downloader 的技術來更新或是下載其它類型的惡意程式,導致惡意程式無法完整根除的情形。 開啟連接埠 : 卡巴斯基將後門程式 (Backdoor) 也視為木馬程式的一種,此類型惡意程式通常會建立特定服務或開啟特定連結埠來等待攻擊者的命令或是遠端操作。
  • 木馬依據不同的攻擊與行為模式可以分為眾多類型,常見的木馬類型敘述如下: Backdoors : 後門程式也可以歸納為木馬的一種,其主要的特性是會在受感染的電腦上開起特定的連結埠或是服務,等待攻擊者的命令或是入侵,通常感染了後門程式也會成為傀儡網路的一員。 General Trojans : 較為廣義或有多目的性的木馬,可能會有破壞資料完整性、竊取 用戶電腦資訊以及破壞電腦系統等徵狀。 PSW Trojans : 主要以竊取用戶端電腦上相關的帳號與密碼資訊。 Trojan Downloader : 此類型木馬會透過網路下載新的變種木馬或是其它類型的惡意程式,導致惡意程式不易完整根除。 Trojan Droppers : 此類型木馬除了本體程式之外還會承載其它的惡意檔案,其主要目的是藉由此木馬為 宿主,再 植入病毒、間諜、廣告等其他類型惡意程式。 RootKit : RootKit 技術同常是用來隱匿程式執行後的所有行為例如:隱藏程序、服務、驅動程式、檔案、登錄檔存取等行為;部分木馬程式會利用此技術來隱藏惡意行為。
  • 木馬程式的生命週期敘述如下: 創造期: 現今惡意程式的產生通常都會伴隨者利益的需求,駭客或是惡意程式撰寫者已不再是為了好玩或是要提升自己的知名度而撰寫惡意程式,通常都是與網路犯罪集團合作,結合龐大資源而產生。 孕育期: 惡意程式撰寫者為了要散播木馬程式,會將病毒放在如 BBS 站、網路論壇、 FTP 站或是公司與學校網路上。 發病期: 當執行木馬程式後,木馬開始進行竊取或破壞的動作。 變化期: 木馬程式可能透過 Downloader 、 Dropper 等技術來植入變種或是新的惡意程式。 根除期: 防毒軟體廠商分析該病毒特徵,並將解決方式加入到病毒資料庫即可偵測並刪除該病毒。
  • 木馬程式常見的行為敘述如下: 利用各種技術試圖關閉或卸載防毒與防駭軟體,再進行攻擊。 利用作業系統或應用程式漏洞進行緩衝區溢位攻擊,進而取得系統完整控制權限。 執行木馬後產生大量關聯檔在不同的位置上,並利用看門狗技術監控木馬關連檔,若未完整清除監控程式,其它受監控檔案即使被刪除後仍然會再生。 木馬程式會利用偽裝檔名、圖示 (icon) 、執行程序、簽屬等方式減少使用者察覺的可能性。 木馬程式主要仍是以竊取使用者電腦中的重要個人資訊為目的。 電腦感染木馬後可能會開啟特定連結埠等待攻擊者的入侵命令,同時也極為可能成為網路傀儡電腦的一員。 木馬程式會利用 Downloader 技術來下載全新的惡意程式,藉此以達到持續性的攻擊。
  • 木馬可能會對系統產生的許多的危害與威脅,常見的危害敘述如下: 降低電腦安全 : 木馬執行後可會卸載防毒、防駭軟體或是修改系統登錄檔與相關安全設定,大幅降低電腦安全與防護能力。 降低電腦效能: 電腦感染後可能會大幅增加 CPU 、記憶體或是硬碟等使用率,造成系統緩慢以及使用者操作不變等情形 影響電腦操作: 感染蠕蟲可能會造成系統功能失效例如:無法使用執行、命令提示字元、無法開啟工作管理員與控制台等狀況。 竊取資訊 : 木馬程式通常不會主動破壞系統元件、檔案或造成系統緩慢等狀況來引起使用者注意,而是暗地裡竊取使用者重要資訊,讓使用者毫無感覺。 結合其它惡意程式作攻擊 : 蠕蟲感染後可能會透過 downloader 下載其它如木馬、病毒、後門 .. 等各類型惡意程式,來作後續的攻擊。 遭受 DoS 、 DDoS 攻擊: 當電腦被感染成為傀儡電腦的成員,可能會接受駭客遠端攻擊指令針對 Internet 特定網站或是伺服器作群體攻擊,造成該伺服器當機或是服務中斷等狀況。 列入國際組織黑名單 : 受感染電腦可能因為發送大量垃圾郵件或是執行 DoS 、 DDoS 攻擊,造成 IP 或是網域名稱被 ISP 監控,嚴重可能會導致域名被列入黑名單或是進行求償的情形 。
  • 本章將針對惡意程式常見的攻擊手法與入侵方式做概略的介紹,藉由入侵攻擊示意圖了解病毒入侵的模式,擷取實際惡意程式攻擊案例來解析常見的惡意攻擊手法。
  • 惡意程式入侵的模式大概可以分為三類型敘述如下 : 內部網路主動入侵與散播: 使用者攜帶了含有惡意程式的儲存媒體例如: USB 隨身碟、外接式硬碟、記憶卡、手機或數位相機 .. 等,並藉由 AutoRun 或其它手法來觸發惡意程式,被感染的使用者再利用相同的特性散播給區域網路中其它的電腦。 內部透過網際網路下載惡意程式: 內部的使用者透過社交或訊息傳遞軟體例如: Outlook 、 Msn 、 Skype 、 Foxy 與 Emule 等程式,將惡意程式下載到企業內部網路,並利用社交手法誘使使用者執行惡意程式。 外部駭客入侵: 駭客利用各種高深技術或工具經由外部來入侵到內部網路,由於企業環境大多建置了多層閘道防護、入侵偵測系統等設備,入侵成功實屬不易,駭客通常會針對提供大眾存取或 DMZ 區內的 WEB 、 DNS 服務漏洞做攻擊。
  • 惡意程式攻擊類型眾多,入侵手法也不盡相同,常見手法敘述如下: 破壞防毒軟體防護: 惡意程式為了要能夠成功的將程式植入到用戶端電腦,會試圖利用各種技術與方式來卸載防毒軟體,例如:修改作業系統時間造成防毒軟體過期無法使用、修改系統登錄檔或是服務與驅動程式造成防毒軟體元件失效。 偽裝: 為了不要讓使用者起疑心或是無警覺的執行惡意程式,惡意程式會試圖偽裝自己的顯示圖案、檔案簽屬資訊、附檔名或是新增與系統或應用程式極為相同的服務、驅動程式、程序名稱讓使用者不疑有他。
  • 惡意程式會利用各種技術與手法來試圖關閉或卸載防毒與防駭軟體,從 Trojan.WinREG.Zapchast 木馬程式中提取部分程式碼來分析,我們可以了解到該木馬會利用一個簡單的批次指令 net stop 來試圖停止常見的防毒軟體服務,當防毒軟體被停用後,惡意程式再開始執行後續的攻擊行為。 隨者時間的演進,上述類似的攻擊手法已經相繼失效,由於現今防毒軟體的自我保護功能越來越進步,惡意程式不像以往能簡單的去修改、停用以及刪除防毒防駭軟體的服務、檔案甚至是登錄檔。
  • 當各家防毒防駭廠商不斷提升自我防護的技術時,惡意程式開始利用作業系統的特性或是功能來進行攻擊, Trojan.PSW.Win32.Nilage 木馬程式,即是利用最近常見的影像劫持 (IFEO) 手法進行攻擊。 影像劫持 Image File Execution Options ( 又稱 Image Hijack) ,它位 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Options 路徑下,微軟當初設計是用在調用與 Debug 程式,其主要特性在於指定一個可執行程式 ( 惡意程式 ) 路徑,當要執行正常的程序 ( 例如卡巴斯機防毒 AVP.EXE) 時,實際上所觸發到的確是是惡意程式。
  • 惡意程式執行後往往會產生許多的關聯檔案,這些惡意檔案可能在作業系統內不同的位置,除了常見的關聯檔位址之外,也不要忽略了系統還原區、暫存區、資源回收桶等地方。 某部分的惡意程式會使用類似看門狗 (Watch Dog) 的技術來監控關聯檔,當防毒軟體進行解毒的過程中,若無法將惡意或看門狗程式完整清除,監控程式會持續產生新的關聯檔,造成刪除後又再生的無限循環。
  • 一般惡意程式最常使用的攻擊方式就是針對作業系統啟動項目動手腳,其主要的目的就是為了讓惡意程式可以自動被觸發,例如:增加登錄檔啟動項目、新增服務或是掛載驅動程式,並將其啟動類型設定為自動。 作業系統在重新啟動時都會依照所定義的啟動類型載入所需要的服務與驅動程式,因此一但作業系統重新啟動,惡意程式將會被再度執行以確保持續性的攻擊。 程序入侵 (DLL Injection) ,是目前惡意攻擊常用的手法,惡意程式利用各種技術將惡意的動態連結檔 (Dll file) 注入到正常的程序中,例如常見的 Explorer.exe 程序,由於此程序是掌管 Windows 檔案總管與桌面環境的重要程序,所以系統啟動時就預設會執行,一但該程序執行也代表惡意 dll 檔被觸發。
  • 為了要讓惡意程式可以被自動執行,惡意程式最常修改的就是啟動登錄程檔,通常可以分為對使用者或對機器,若對使用者會針對不同的使用者 SID 登入而生效,若是針對機器則不管是哪一個使用者登入都會執行。 Shell ExecuteHook 登錄機碼也是提供 Dll 程序注入的一種手法,惡意程式會將相關 DLL 檔置放在 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHook 下,並新增一段亂數的 SID 值,該值會直接對應到惡意程式 DLL 檔,一但 Hook 到此處,所有執行的程序都會自動調用惡意 DLL 檔,已達成持續性的攻擊。
  • 微軟所提供的 AutoRun 功能帶來了方便性,但也因為自動執行的方便性,成為了輔助惡意程式攻擊的好幫手,最近最流行的 Kavo( 又稱 USB 病毒 ) 或是 Kido 蠕蟲都會透過 Autorun 的特性來做攻擊與散播,一但 USB 儲存媒體感染了惡意程式,會在根目錄下產生 Autorun.inf 的文件檔以及所對應自動執行的惡意程式。 當我們將此 USB 儲存媒體插入到使用者電腦裡的 USB 插槽時,立即會觸發 AutoRun 功能,並参考 Autorun.inf 的相關参數寫入登錄機碼到 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2 路徑下 , 並新增一段亂數的 SID 值,該值會同常會寫入三個重要的開啟檔案方式如下 : AutorunCommand :當觸發 Autorun 功能時會自動執行。 ExplorerCommand :開啟檔案總管或執行 Explorer 程序時會執行。 OpenCommand :雙擊我的電腦開啟磁碟時會自動執行。
  • 除了新增啟動項目之外,惡意程式也會透過新增服務或是掛載驅動程式的方式來執行惡意檔案。 Backdoor.Win32.Bifrose. 後們程式會在作業系統裡新增一個名為 Windows WebClient 的服務 ( 惡意程式偽裝與微軟相類似的服務名稱 ) ,並將此服務啟動類型設定為 自動 ,一但作業系統重新啟動即重新執行惡意程式,以達到持續性的攻擊。
  • 綜觀上述的攻擊手法,我們可以找出一些攻擊特性做為病毒分析的指標,那就是 PDDS 理論,簡單來說惡意程式的入侵行為幾乎都脫離不了 PDDS 彼此間的關係。 PDDS 是由 Process 、 Dll 、 Drivers 、 Services 四個作業系統不可或缺的元件所組成。 Process :惡意程式入侵後可能會產生自己的處理程序,甚至會利用 Rookit 技術來隱藏自身的程序,不過現今大多的惡意程式喜歡利用程序注入的技術來做攻擊。 Dynamic Link Library :動態連結檔 (DLL) 本身是無法直接被執行,但卻可以透過程序調用的方式來執行,簡單來說程序調用就是指當我執行了某一個程序時,它呼叫了哪一些 DLL 模組檔案來使用,因此惡意程式經常會利用 DLL Injection 技術將惡意 Dll 注入到正常程序中。 Driver :惡意程式通常有兩種方式來掛載驅動程式,一種是直接產生新的 Driver 或是覆蓋現有的 Driver ,並利用開機自動載入驅動程式的特性做攻擊。 Services :服務與驅動程式的攻擊特性相同,同樣藉由新增服務或是修改現有服務來達到開機自動載入惡意程式。
  • 本章節,我們將介紹惡意程式分析經常使用的工具軟體,並實際操作說明各軟體的特色與功能。 網路或論壇上提供的工具種類繁多,但是實際上很多工具的功能與用途大同小異,因此我們將介紹一些坊間論壇、資訊人員或是防毒軟體工程師經常使用的分析工具。
  • 惡意程式分析工具能協助資訊與分析人員找出電腦被感染的可疑原因,例如未經簽屬的可疑檔案、不正常的大量網路連線、是否有隱藏程序技術使用、可疑的啟動項目,不知名的 DLL 模組被調用或是 Host file 遭串改 .. 等情形。 由於分析工具種類眾多,我們將針對最常使用的工具做介紹,其中包含 Process Explorer 、 Tcp View 、 AVZ Toolkit 、 Getsysteminfo 與 Sreng , 而這些工具可以分為兩大用途,第一個用途在於收集受感染電腦詳細的系統軟硬體資訊提供分析,再者監控該電腦即時的網路連線與程序執行狀態,做為攻擊分析之依據。
  • Process Explorer 工具是由微軟 Sysinternals 團隊所開發的系統管理工具, Sysinternals 網站中提供了各種好用且功能強大的系統工具,而最重要的是該網站所有的工具都是免費版本。 Process Explorer 工具能檢視目前系統所執行程序的即時狀態以及提供極為詳細的程序相關資訊,包含了程序的 ID 值、優先權、路徑、版本敘述、效能使用狀況、 Dll 模組與 Handle 使用狀態 .. 等,此外使用者也可透過該工具直接刪除、暫停、重新啟動程序或調整權限與優先權設定。 在惡意程式實際分析案例中我們會利用 Process Explorer 分析目前正常執行中程序的狀態,是否有不明的程序或是大量佔用 CPU 、記憶體 、 磁碟 I/O 等系統資源以及是否有不明的 Dll 模組調用。
  • TCP View 也是由 Sysinternal 所開發的免費工具 , TCP View 能檢視目前電腦所有程序的 TCP/UDP 即時連線狀態,同時若發現可疑的網路連線也能關閉指定的程序以及網路連線。該工具功能與微軟內建的 Netstat 指令相同, Netstat 只能提供當下的狀態 , 但 TCP View 卻能提供 Real-time 的連線狀態。 在惡意程式實際分析案例中我們會利用 TCP View 分析目前正常執行中程序的網路連線狀態是否有大量或是不明的連線,了解本機電腦與內部區域網路或是 Internet 外部電腦是否有可疑的連線建立。
  • AVZ Anti-Viral Toolkit 是由卡巴斯基資深病毒分析師 Oleg Zaytsev 所開發功能強大的殺毒輔助工具, AVZ Toolkit 本身能更新病毒特徵碼並內建啟發式分析技術,可以刪除間諜、廣告軟體、木馬、病毒以及蠕蟲等惡意程式,此外 AVZ Toolkit 也提供隱藏程序、鍵盤側錄、 Rootkit 等 .. 偵測功能讓惡意程式無所遁形。 AVZ Anti-Viral Toolkit 也能收集完整的系統軟硬體資訊,並採用 HTML&XML 格式輸出,分析人員可直接透過 HTML 報表對可疑的物件進行刪除、隔離或備份等動作,所有 HTML 所執行的動作都會產生相對應的 Script ,利用 AVZ Toolkit 的 Custom Scripts 或卡巴斯基 2009 個人版防毒內建 Execute AVZ Script 功能,都可以完整的去執行解毒以及刪除病毒的任務。
  • Getsysteminfo 是由卡巴斯基俄羅斯原廠所開發出的工具,主要的功能是在收集系統軟硬體資訊,內容主要包含了開機啟動項目、服務、掛載的驅動程式、目前執行中的程序與 Dll 模組、簽屬資訊等,提供工程師或分析人員做進一步的解析。 卡巴斯基原廠也提供了線上分析 Getsysteminfo log 的網站,該網站將乏味的文字藉由美觀的視覺化介面呈現出來,除了增加使用者瀏覽與解讀方便性,也能透過網路搜尋與白名單資料庫找出惡意檔案、不相容程式或需要升級的驅動程式。
  • System Repair Engineer 是由 KZTech.com 網站的創始人 Samllfrogs 所開發出的系統診斷配置工具,主要用於發掘潛電腦故障和大多數由於惡意程式造成的破壞,該工具可用智慧型掃描功能收集系統軟硬體資訊供分析,也可以利用內建各種的修復功能例如:文件關聯檔修復、 Widows Shell 、 Internet Explorer 修復等 .. 功能來還原系統預設的正常狀態,此外, SREng 也提供高階使用者直接對登錄啟動項目、服務、驅動程式做編輯、刪除以及修改啟動類型等動作。 SREng 是坊間非常廣泛使用的分析工具,在一些知名的電腦或資訊安全論壇上,當使用者電腦出現異常或疑似感染惡意程式請求協助時,通常論壇版內的資深玩家或是高手都會請該使用者收集 SREng 的系統 log ,提供進一步的分析 。
  • 本章將介紹 USB 病毒的入侵方式與特性,實際解析該惡意程式感染過程以及產生的破壞症狀,並提供使用者預防該病毒的相關知識與已感染該病毒電腦的處理方法。
  • 本章將介紹 USB 病毒從最初出現到大量流行的演進過程,了解該病毒可能的傳染途徑與新的攻擊手法,並解析該病毒的主要目的與感染後所產生破壞行為。
  • USB 病毒大約是從 2006 年開始陸續出現相關攻擊的報導,常見的感染途徑包括拇指碟 ( 隨身碟 ) 、 MP3 隨身聽、 SD/MMC 等記憶卡 、 外接式硬碟 .. 等,而真正開始大規模擴散大約是在 2007 年 7 月份,根據各防毒軟體廠商針對該樣本的統計,幾乎受感染的來源都是以台灣為主,所以這也是很典型地區性的惡意程式。 此類型惡意程式最主要的目的是竊取線上遊戲的帳號與密碼,傳播的途徑很多報括 Email 附件、惡意 URL 連結、 P2P 共享下載或是其它社交工程,但是最主要就是利用 USB 裝置與 Autorun 的特性進行散播,受感染的電腦除了會被竊取線上遊戲帳號密碼外,還會導致作業系統效能減緩、無法檢視隱藏檔或開啟磁碟等狀況。
  • 從 2006 年一直到現今 2009 年 USB 病毒一直不斷出現並持續變種,雖然大部分變種的攻擊方式大同小異,但在這段期間仍然有一些新的攻擊手法與破壞方式產生。 首先在攻擊手法上 USB 病毒最主要的兩個特性分別是 WatchDog 與 Downloader 技術, WatchDog 程式會持續監控特定的檔案與登錄值,一但遭修改,監控程式立即會複製相同的檔案到同一個路徑, Downloader 技術則是當電腦受感染後,在非週期性的時間透過 internet 持續下載新的變種病毒或是其它類型的惡意程式,這也是造成該惡意程式不斷再生以及無法完整根除的主要原因。 感染該病毒也會對作業系統產生附加的破壞例如 : 網路元件受損無法上網 、防毒軟體部分元件失效、無法進入安全模式、無法更新病毒特徵碼或系統效能緩慢等 .. 狀況。
  • 本章將介紹電腦執行 ( 觸發 )USB 病毒後,該惡意程式詳細的攻擊方式、手法與感染過程,並了解感染後可能會對作業系統產生的衝擊以及對電腦使用者帶來的不便,藉此提高使用者的警覺性。
  • 由於 USB 病毒的變種頻率與速度極高,不同的變種可能會帶有不同的攻擊行為與受害症狀,因此我們將針對此惡意程式常見的症狀來做描述。 破壞作業系統: 感染後 USB 病毒後可能會修改作業系統時間,造成防毒軟體過期防護功能失效,或是 CPU 與虛擬記憶體使用率飆高導致作業系統緩慢甚至出現死亡藍畫面 (BSOD).. 等情形。 破壞防毒軟體: USB 病毒會修改作業系統與防毒軟體的檔案、登錄檔造成防毒軟體元件受損無法運作或是無法更新病毒特徵碼等 .. 情形。 網路裝置元件故障: 惡意程式試圖修改或覆蓋現有的系統驅動程式,進而造成網路元件受損,電腦無法上網以及更新病毒特徵碼。 除了上述的症狀外,惡意程式還會造成無法開啟隱藏檔、無法雙擊開啟磁碟,或是登入系統以及開啟程式時會產生錯誤訊息打擾使用者等症狀。
  • USB 病毒執行後會產生一連串的入侵行為,在每個不同的階段都有不同的攻擊症狀,我們將解析 USB 病毒整個感染過程中每個階段的詳細的感染過程,藉此讓大家更了解病毒特性並提高防禦的警覺性。 第一階段:電腦使用者可能會經由各種途徑來執行 USB 病毒,例如 Email 的附件檔、惡意連結或是透過插入外接式儲存媒體進而觸發 Autorun 功能來執行 Autorun.inf 所對應的惡意程式。 病毒執行後會開始將自身的惡意 DLL 木馬檔案,複製到 %temp% 暫存目錄。 從惡意程式中提取出惡意的 Vga.sys 來覆蓋現有的驅動程式,該惡意 Vga.sys 被系統掛載後將造成防毒軟體元件受損、功能異常或是無法進入安全模式等狀況。 惡意程式也會從自身複製如 kxvo.exe 、 kxvo.dll ( 此檔案名稱經常會改變 ) 等惡意檔案到系統 %windir%system32 路徑下,而且為了隱常自己,惡意程式會將本身的屬性設為隱藏。 利用 Dll Injection 技術將 kxvo.dll 注入到 explorer.exe 或是其他使用中的執行程序。
  • 第二階段:當惡意程式植入到作業系統後,會利用 Downloader 技術乎叫 Iexplorer.exe 程序來下載最新的變種病毒或其它類型的惡意程式。 惡意程式會呼叫 Iexplorer.exe 程序連線到特定的 IP 位址 ( 病毒的更新 Server) ,下載 CC.exe 到 Windows 的 %temp% 的暫存目錄中,並且隨即執行,此惡意程式會一直變種,名稱為 Trojan-GameThief.Win32.OnlineGames.xxx 。 該惡意程式並不會只執行一次的 Downloader 行為,而是非週期性的不斷下載 CC.exe 到系統裡執行後馬上刪除,因此該惡意程式不斷變種,是造成防毒軟體難以完整根除的原因。
  • 第三階段: CC.exe 執行後開始產生另一波的攻擊行為。 CC.exe 執行後會試圖修改破壞防毒軟體元件造成防護失效 。 產生惡意檔案 tdi.sys 覆蓋現有的驅動程式,造成網路元件受損無法上網更新。 惡意程式從自身複製如 j3ewro.exe 、 jwedsfdo0.dll ( 此檔案名稱經常會改變 ) 等惡意檔案到系統 %windir%system32 路徑下,而且為了隱常自己,惡意程式會將本身的屬性設為隱藏。 惡意程式會新增啟動登錄檔項目,讓惡意程式在系統從開機或登入後能自動執行。 利用 Dll Injection 技術將 jwedsfdo0.dll 注入到 explorer.exe 或是其他使用中的執行程序作持續攻擊。
  • 第四階段:惡意程式除了會利用D ownloader 技術下載 CC.exe 之外也會在一定的頻率與期間裡下載 FF.exe 惡意程式。 惡意程式會呼叫 Iexplorer.exe 程序連線到特定的 IP 位址 ( 病毒的更新 Server) ,下載 FF.exe 到 Windows 的 %temp% 的暫存目錄中,並且隨即執行 該惡意程式並不會只執行一次的 Downloader 行為,而是非週期性的不斷下載 FF.exe 到系統裡執行後馬上刪除,因此該惡意程式不斷變種,是造成防毒軟體難以完整根除的原因。
  • 第五階段: USB 病毒惡將惡意 dll 注入 explorer.exe 或是其它程序進行持續性攻擊,並產生以下行為。 持續於系統 %temp% 目錄下新增及刪除 CC 與 FF.exe 惡意檔案。 惡意程式修改系統登錄檔,藉以隱藏自身檔案相關屬性。 新增系統登錄檔案,當使用者透過 Autorun 功能、利用我的電腦開啟任何磁區、開啟檔案總管時,就會立即觸發惡意軟體執行。 於受感染電腦的每個磁碟根目錄建立 Autorun.inf 以及所對應的惡意檔案,由於 USB 病毒有利用 Watch Dog 技術,惝若監控主程式未被完整刪除,這些檔案將不斷的再生,永遠無法根除 。 別忽略了網路磁碟的感染途徑,在企業環境中經常會掛載網路磁碟來存取檔案伺服器,由於網路磁碟也算是本機磁碟的一部分,因此該磁碟所對應的檔案位址也可能被寫入惡意檔案。
  • 第六階段:如同 CC.exe , FF.exe 執行後也會產生另一波的攻擊行為。 產生惡意檔案 tdi.sys ( 不同變種可能會產生不同的置換檔 ) ,造成網路元件受損無法上網更新。 惡意程式從自身複製如 kxvo.exe 、 kxvox,dll ( 此檔案名稱經常會改變 ) 等惡意檔案到系統 %windir%system32 路徑下,而且為了隱常自己,惡意程式會將本身的屬性設為隱藏。 惡意程式會新增啟動登錄檔項目,讓惡意程式在系統從開機或登入後能自動執行。 利用 Dll Injection 技術將 kxvox.dll 注入到 explorer.exe 或是其他使用中的執行程序作持續攻擊。
  • 第七階段:當我們了解 USB 病毒的特性後,當使用者電腦感染該惡意程式,若未能即時進行解毒與刪除動作,新的變總病毒將於系統重新啟動時立即觸發 Downloader 行為,或是等待一段非週期性的時間後開始下載變種惡意程式。
  • USB 病毒觸發後會於系統啟動登錄項目中新增登錄值,當使用者重新登入或系統重新啟動後隨即執行登錄檔所對應的惡意程式 。 當電腦感染後,惡意程式為了要隱藏自己會修改系統登錄檔的隱藏檔案和資料夾設定,由於 USB 病毒會使用 Watch Dog 技術監控此登錄檔,一但使用者更改該設定為正常值,監控程式立即偵測並修改回來,因而造成永遠無法開啟隱藏檔案,如此惡意程式即能持續隱匿不易被發現。
  • USB 病毒感染最特別也是最重要的手法就是透過寫入自動執行 (AutoRun) 機碼 Mountpoints2 來觸發惡意程式,一般來說當使用者將外接式儲存媒體插入到電腦的 USB 、 1394 或是其它隨插即用裝置,會立即執行 Autorun 功能,此時作業系統會参照該外接式裝置的 Autorun.inf 参數值,在 Mountpoints2 機碼新增一段亂數的 SID 值並立即寫入觸發惡意程式檔的方法。 常見寫入的三種方式: AutorunCommand :當觸發 Autorun 功能時會自動執行。 ExplorerCommand :開啟檔案總管或執行 Explorer 程序時會執行。 OpenCommand :雙擊我的電腦開啟磁碟時會自動執行。
  • 由於 USB 病毒近來在台灣散播相當嚴重,坊間的論壇、知識庫、文章或 Blog 都提供了各式各樣的解毒與預防方法,而這一些方法真的能完整的預防 USB 病毒的入侵嗎 ? 本章將介紹坊間經常使用的民俗療法,實際分析各種方法的效用並建議搭配部分手法提供更完整的防禦措施。
  • USB 病毒在台灣的流行,已經造成企業 MIS 與 IT 人員極大的困擾,無止盡的重覆殺毒與中毒,不但浪費了許多時間也降低了企業 IT 人力的有效運用與成本浪費,無止盡的變種似乎沒有真正完整杜絕的一天 ? 這時後防毒軟抓不到病毒成為了最大的原罪,使用者往往因此嘗試使用不同的防毒軟體,但問題真的會因為更換防毒軟體而得到完全的解決嗎 ? 坊間流傳了許多的民俗療法與 USB 專殺工具,真些方法真的能有效的解決病毒嗎 ! 我們將針對這些疑問做詳細的解說。
  • 坊間常見的 USB 病毒預防方式 ( 民俗療法 ) 眾多,我們將說明各種常見的預防方式並了解實際的防護成效如何。 建立 Autorun.inf 資料夾並停用該功能: 在每個 Partition 的根目錄建立 Autorun.inf 目錄並關閉自動執行功能,這樣確實是可以達到防止寫入 Autorun.inf 的效用,但難保變種惡意程式不會先試圖刪除該檔案或重新啟用自動執行功能,建議先將所有磁碟格式化成 NTFS 並移除該目錄的所有安全性權限。 在隨身碟上右鍵開啟檔案總管: 若病毒尚未被自動執行觸發,此時透過檔案總管開啟該磁碟是不會被感染,但若是經由我的電腦開啟隨身碟仍然會遭受感染。 啟用隨身碟唯讀功能: 有部分的隨身碟內建了唯讀的保護鍵,當設定為唯讀模式確實是可以防止惡意程式的寫入,但 USB 病毒基本上只需要可執行的權限即可觸發,故針對已經遭感染的隨身碟並無效用。 軟體限制原則或禁用 USB 裝置: 透過安裝資安管控軟體來限制或直接停用 USB 裝置可以防止惡意程式的擴散,但別忽略了網路磁碟感或是其它社交工程的感染途徑。 使用 USB 病毒專殺工具: 網路與論壇上提供了各樣的 USB 病毒專殺工具,某些專殺或防護工具能提供不錯的刪除與偵測功能,但通常也需伴隨定期的更新,否則即失去了對變種病毒的防護,此外,來源不明的程式可能本身就攜帶了惡意程式。
  • 防毒軟體為何都抓不到病毒 ! 我想這是許多使用者與 IT 人員的抱怨與疑問,我們以客觀的解度來討論每個資安與防毒廠商所面臨的問題。 防毒軟體一開始的產生就是建構在被動式的防護,所以病毒的偵測能力完全需要依賴病毒特徵碼更新,若沒有即時的惡意樣本提供分析入庫,往往會有病毒無法立即刪除或解毒的零時差。 現今的惡意程式大多為小區域爆發,不像以前的疾風、殺手、天網等惡意程式屬於全球性的大 爆發,相對惡意 樣本取得容易,即使產生變種病毒特徵碼也能即時入庫,反觀 USB 病毒主要的感染來源在台灣,相對影響到病毒樣本的收集速度與數量。 防毒軟體為了要因應這股趨勢,勢必須要化被動為主動,因此陸續產生了 如:啟發式 分析、免疫防護、 主機入侵防禦 (HIPS) 、沙盒等 .. 未知病毒行為分析技術,來增加防毒軟體整體的防護能力。
  • 預防 USB 病毒,使用者除了安裝防毒軟體保持最新的病毒特徵碼外,也必須建立良好的使用習慣與基本的防護觀念,就如同常見的醫療防護口號 預防勝於治療 ,即使企業建置了最安全的閘道與端點防護設備卻避免不了人性的弱點,惡意程式透過各種社交工程就可以輕意的誘惑使用者下載或執行惡意程式,本章將介紹預防 USB 病毒感染的一些建議與措施。
  • USB 病毒永遠是預防勝於治療,如何防範 USB 我們有已下建議: 不要因為一時好奇去開啟來路不明的附件、檔案、 URL 連結,如果已經下載了不明的檔案,建議先以防毒軟體進行掃描沒有問題再執行該程式。 防毒軟體最重要的就是保持即時的病毒特徵碼更新與定期的電腦完整掃描, 將經常使用的外接式儲存媒體轉換為 NTFS 檔案格式,並於磁碟根目錄設置 Autorun.inf 目錄,將該目錄所有的安全性權限移除,藉此確保該儲存媒體不會被 USB 病毒寫入 Autorun.inf 文件,更不會成為該病毒的傳播者。 USB 病毒會透過 Downloader 技術下載變種惡意程式,不管企業或是個人環境建議在防火牆或是閘道設備上封鎖惡意程式更新下載的 IP 位址。 藉由內部教育訓練或是參加講習灌輸使用者正確的防護概念與建立良好的電腦使用習慣,能大幅降低感染惡意程式的機率。 透過執行奕瑞科技所開發的 NGS 病毒清除工具,在第一時間清除 USB 病毒並同步收集可疑樣本。
  • 防毒軟體隨者時間不斷的演進新增了許多未知型病毒偵測防禦功能,但儘管如此,病毒特徵碼仍然是防毒軟體偵測與解毒最依賴的關鍵因素,但病毒特徵碼的更新與維護是需要透過收集惡意程式樣本進行解析後才能加入到病毒資料庫中,因此,不管是哪一家防毒廠商都需要依靠社群的力量來收集樣本以提供客戶最即時的防護能力。 卡巴斯基台灣區總代理奕瑞科技自行研發 NGS (New Getsample) 工具,能提供 USB 病毒解毒以及收集惡意程式樣本功能,透過用戶回報與廣大的社群力量,一起來對抗多變的惡意程式。
  • 惡意程式分析大致可以分為靜態與動態兩種分析方式,靜態分析一般是透過惡意程式的逆向工程與反組譯技術來解析出病毒原始碼,資深病毒分析人員藉由原始碼找出病毒使用了那些技術、做了哪些系統配置,如何將病毒的感染過程轉換為解毒、修復的過程並從原始碼中找尋可以作為病毒特徵碼的程式代碼。 動態分析則是在一個模擬的系統環境下實際的去執行惡意程式,利用各種的分析輔助工具來觀察病毒具體的工作過程,並持續追蹤紀錄各種惡意行為,一般來說行為較為複雜的病毒會同時利用靜態與動態搭配的方式進行分析。 本章將利用動態分析的方式在模擬環境下實際解析 USB 病毒的攻擊特性與感染過程 。
  • 防毒軟體隨者時間不斷的演進新增了許多未知型病毒偵測防禦功能,但儘管如此,病毒特徵碼仍然是防毒軟體偵測與解毒最依賴的關鍵因素,但病毒特徵碼的更新與維護是需要透過收集惡意程式樣本進行解析後才能加入到病毒資料庫中,因此,不管是哪一家防毒廠商都需要依靠社群的力量來收集樣本以提供客戶最即時的防護能力。 卡巴斯基台灣區總代理奕瑞科技自行研發 NGS (New Getsample) 工具,能提供 USB 病毒解毒以及收集惡意程式樣本功能,透過用戶回報與廣大的社群力量,一起來對抗多變的惡意程式。
  • Transcript

    • 1. 惡意程式簡易分析與處理 奕瑞科技
    • 2. Agenda 影片欣賞 惡意程式介紹 惡意程式手法分析 惡意程式分析工具 USB 病毒攻擊手法解析
    • 3. 影片欣賞 - 惡意程式發展史
    • 4. Have infected ? 網路連線正常,為什麼 不能上網? 檔案昨天還是好的今天 怎麼打不開? 我的電子郵件怎麼會自 動發垃圾信? 為什麼連線就會自動開啟 色情網頁? 為什麼電腦速度突然變 得這麼慢? 天啊! 我的電腦又中毒了
    • 5. 惡意程式介紹
    • 6. 存在於電腦和網路中的威脅 惡意軟體 系統弱點 資源分享 非法軟體 防毒軟體 廣告軟體 垃圾郵件 釣魚網站 駭客攻擊 操作習慣
    • 7. 惡意程式的定義 惡意程式 (Malware) 惡意程式 是由電腦程式或一段可卸除程式碼 (Code) 所組成 , 並 試圖攻擊 、侵入、破壞電腦系統、 存取相關資源 , 但確未經使用者授權或是未提示及通知使用者的行為。
    • 8. <ul><li>自我複製與感染物件 </li></ul><ul><li>刪除檔案 </li></ul><ul><li>強制安裝且難以移除 </li></ul><ul><li>首頁綁架 (hijacking) 與廣告彈出 </li></ul><ul><li>搜集使用者與系統資訊 </li></ul><ul><li>移除用戶端程式 </li></ul><ul><li>干擾電腦運作與影響系統網路效能 </li></ul>惡意程式的特性
    • 9. <ul><li>電腦病毒 (Computer Virus) </li></ul><ul><li>蠕蟲 (Worms) </li></ul><ul><li>木馬 (Trojans) </li></ul><ul><li>駭客工具與其它惡意程式 </li></ul><ul><li>(Hacker Utilities and other ) </li></ul>惡意程式的類型
    • 10. <ul><li>防毒軟體業者自行訂定,一般區分前綴 ( 或稱字首 </li></ul><ul><li>prefix) 、名字 (name) ,和詞尾 ( 或稱字尾 suffix) 。 </li></ul><ul><li>前綴 / 字首 (prefix) : </li></ul><ul><li>辨別惡意程式 類型 ( 如 Trojan) ; 或者針對某作業系統 </li></ul><ul><li>類別 ( 如 Win32 、 Win64 、 Unix 、 X2KM) 。 </li></ul><ul><li>名稱 (name) : </li></ul><ul><li>惡意程式名稱,描述惡意程式的行為。 </li></ul><ul><li>詞尾 / 字尾 (suffix) : </li></ul><ul><li>相同家族 (the same family) 變型種類的英文註記。 </li></ul>惡意程式命名規則
    • 11. Trojan .PSW.Win32.OnlineGames .cuq 字首 名稱 字尾 惡意程式命名規則 防毒軟體 病稱名稱 AntiVir DR/PSW.Maran.CX.47 Authentium W32/Maran.LA Avast Win32:Maran-AG AVG PSW.Generic4.WMK BitDefender Generic.PWStealer.C1066F14 ClamAV PUA.Packed.Upack DrWeb Trojan.PWS.Maran.260 eSafe Win32.Maran.cx FileAdvisor High threat detected Fortinet W32/Maran.CX!tr.pws
    • 12. 惡意程式介紹、分析與處理 [email_address] 2007/12/3 0 1 2008/01/01 電腦病毒的特性 自我複製 感染檔案 特定時間觸發 破壞系統檔案
    • 13. 惡意程式介紹、分析與處理 [email_address] 因利益或需求 製作惡意程式 利用網路或儲存媒體擴散 入侵電腦 病毒發作 偵測並刪除 感染物件 自我複製 電腦病毒的生命週期
    • 14. 電腦病毒的危害 <ul><li>降低電腦效能 </li></ul><ul><li>影響電腦操作 </li></ul><ul><li>影響應用程式執行 </li></ul><ul><li>破壞檔案關聯性 </li></ul><ul><li>破壞檔案 </li></ul><ul><li>無法開機 </li></ul><ul><li>刪除系統磁區所有檔案 </li></ul>
    • 15. 惡意程式介紹、分析與處理 [email_address] 蠕蟲的特性 自我複製 感染檔案 攻擊其他電腦 利用程式傳播
    • 16. 蠕蟲相似於電腦病毒,具備一些共性,能 探測系統弱點 取得電腦 控制權、 偵測網路環境 透過網路服務找尋其他電腦再入侵、 結合其 他惡意程式持續攻擊 , 依其行為可區分以下種類 : 蠕蟲的特性 <ul><li>IM-Worms </li></ul><ul><li>IRC-Worms </li></ul><ul><li>P2P-Worms </li></ul><ul><li>NET-Worms </li></ul><ul><li>Email-Worms </li></ul>
    • 17. 惡意程式介紹、分析與處理 [email_address] 因利益或需求製作惡意程式 利用網路或儲存媒體擴散 入侵電腦 下載惡意程式 偵測並刪除 偵測網路環境 攻擊電腦弱點 自我複製 感染物件 蠕蟲的生命週期
    • 18. <ul><li>降低電腦安全 </li></ul><ul><li>降低電腦效能 </li></ul><ul><li>降低網路效能 ( 區域/廣域網路效能 ) </li></ul><ul><li>影響電腦操作 </li></ul><ul><li>結合木馬 (Trojans) 與後門 (Backdoors) 竊取資訊 </li></ul><ul><li>遭受 DoS 、 DDoS(Distributed Denial of Service) 攻擊 </li></ul><ul><li>當成惡意程式傳播或攻擊主機,網域遭到國際組織列入黑名單,或可能遭受巨大求償 </li></ul>蠕蟲的危害
    • 19. 惡意程式介紹、分析與處理 [email_address] x@!as% 木馬程式的特性 竊取資訊 下載更新程式 開啟連接埠 偽裝
    • 20. 與蠕蟲的分別, 不會自行複製與感染檔案 ,而會衍生出關連性 木馬檔案,安裝後即進行 監視 ,只要木馬被刪除立即產生。木馬 程式依其在受害電腦的行為區分以下種類 : <ul><li>Backdoors </li></ul><ul><li>General Trojans </li></ul><ul><li>PSW Trojans </li></ul><ul><li>Trojan Clickers </li></ul><ul><li>Trojan Downloaders </li></ul>木馬程式的特性 <ul><li>Troja Droppers </li></ul><ul><li>Trojan Proxies </li></ul><ul><li>Trojan Spies </li></ul><ul><li>Trojan Notifiers </li></ul><ul><li>Rootkits </li></ul>
    • 21. 因利益或需求製作惡意程式 利用網路或儲存媒體擴散 入侵電腦 下載惡意程式 偵測並刪除 安裝後產生其他 木馬並進行監視 木馬程式的生命週期
    • 22. 木馬程式的行為 <ul><li>中止防毒軟體運作 </li></ul><ul><li>發動緩衝區溢位攻擊 (Buffer Overflow) </li></ul><ul><li>產生關連性木馬檔案並隱藏,進行監視 </li></ul><ul><li>偽裝系統或應用程式檔案名稱、圖示或執行程序 </li></ul><ul><li>阻止安裝防毒軟體及使用防駭工具 </li></ul><ul><li>竊取並傳送個人可識別資訊 (PII) </li></ul><ul><li>開啟連接埠 ( 後門 ) </li></ul><ul><li>入侵電腦成為網路攻擊代理主機 (Agent) </li></ul><ul><li>結合蠕蟲 (Worms) 其他惡意程式,持續進行攻擊 </li></ul>
    • 23. <ul><li>降低電腦安全 </li></ul><ul><li>降低電腦效能 </li></ul><ul><li>影響電腦操作 </li></ul><ul><li>竊取資訊 </li></ul><ul><li>結合間諜程式與垃圾信件,遭受網路詐騙機會增加 </li></ul><ul><li>發送垃圾信件,網域遭到國際組織列入黑名單 </li></ul><ul><li>當成惡意程式傳播或攻擊主機,可能遭受具大求償 </li></ul>木馬程式的危害
    • 24. 惡意程式手法分析
    • 25. 網際網路 網際網路業者 使用者 使用者 數據機 IP 分享器 惡意程式的入侵方式 儲存媒體
    • 26. 惡意程式攻擊手法分析 <ul><li>破壞防毒軟體防護 -電腦病毒、木馬程式 </li></ul><ul><li>修改系統日期 </li></ul><ul><li>停止防毒 ( 防駭 ) 軟體及安全性服務 </li></ul><ul><li>修改系統登錄值 </li></ul><ul><li>偽裝 -蠕蟲、木馬程式 </li></ul><ul><li>圖示 </li></ul><ul><li>檔名 </li></ul><ul><li>簽屬 </li></ul><ul><li>服務及驅動程式 </li></ul>
    • 27. @echo off&amp;quot; net stop &amp;quot;Security Center&amp;quot; net stop &amp;quot;IPSEC Policy Agent&amp;quot; net stop &amp;quot;kavsvc&amp;quot; net stop McAfeeFramework net stop inoRT net stop NOD32krn net stop PolicyAgent net stop navapsvc net stop NSCService net stop SAVScan net stop &amp;quot;Symantec Core LC&amp;quot; net stop ccEvtMgr net stop ccISPwdSvc net stop SNDSrvc net stop ccSetMgr net stop SPBBCSvc net stop ntrtscan net stop OfcPfwSvc net stop tmlisten net stop ISSVC net stop SNDSrvc net stop SWEEPSRV.SYS net stop FSDFWD net stop &amp;quot;BackWeb Plug-in - 7681197&amp;quot; net stop FSMA net stop McShield net stop winvnc4 Echo REGEDIT4&gt;%temp%1.reg Echo.&gt;&gt;%temp%1.reg Trojan.WinREG.Zapchast 惡意程式攻擊手法分析
    • 28. 惡意程式攻擊手法分析 Debugger =C:PROGRA~1COMMON~1……MSINFO 4495FFFB.dat &lt;HKLMSOFTWAREMicrosoft……Image File Execution Options 360Safe.exe &gt; Debugger =C:PROGRA~1COMMON~1……MSINFO4495FFFB.dat &lt;HKLMSOFTWAREMicrosoft……Image File Execution Options autoruns.exe &gt; Debugger =C:PROGRA~1COMMON~1……MSINFO4495FFFB.dat &lt;HKLMSOFTWAREMicrosoft……Image File Execution Options avgrssvc.exe &gt; Debugger =C:PROGRA~1COMMON~1……MSINFO4495FFFB.dat &lt;HKLMSOFTWAREMicrosoft……Image File Execution Options avp.com &gt; Debugger =C:PROGRA~1COMMON~1……MSINFO4495FFFB.dat &lt;HKLMSOFTWAREMicrosoft……Image File Execution Options avp.exe &gt; Debugger =C:PROGRA~1COMMON~1……MSINFO 4495FFFB.dat &lt;HKLMSOFTWAREMicrosoft……Image File Execution Options IceSword.exe &gt; Debugger =C:PROGRA~1COMMON~1……MSINFO4495FFFB.dat &lt;HKLMSOFTWAREMicrosoft……Image File Execution Options NAVSetup.exe &gt; Debugger =C:PROGRA~1COMMON~1……MSINFO4495FFFB.dat &lt;HKLMSOFTWAREMicrosoft……Image File Execution Options nod32krn.exe &gt; Trojan-PSW.Win32.Nilage.bcw
    • 29. <ul><li>產生相關性檔案 -電腦病毒、木馬程式 </li></ul><ul><li>%windir% </li></ul><ul><li>%windir%system32 </li></ul><ul><li>%windir%system32drivers </li></ul><ul><li>%windir%help </li></ul><ul><li>%windir%debug </li></ul><ul><li>%windir% emp </li></ul><ul><li>%programfiles% </li></ul><ul><li>%programfiles%Common Files </li></ul><ul><li>%temp% </li></ul><ul><li>系統還原區、資源回收筒 </li></ul>惡意程式攻擊手法分析
    • 30. <ul><li>自動執行 -電腦病毒、木馬程式、蠕蟲 </li></ul><ul><li>修改登錄值 </li></ul><ul><li>掛載 ( 替換 ) 驅動程式 </li></ul><ul><li>載入服務 </li></ul><ul><li>啟動項目 </li></ul><ul><li>執行程式侵入 </li></ul><ul><li>利用系統特性 ( 功能 ) 結合登錄值 </li></ul><ul><li>其它惡意行為 -電腦病毒、木馬程式、蠕蟲 </li></ul><ul><li>隱藏程序、鍵盤側錄、網路探測、竊取資訊… </li></ul>惡意程式攻擊手法分析
    • 31. 惡意程式攻擊手法分析 自動啟動 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] virus =c:windowssystem32 virus.exe [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] trojan =c:windowssystem32 trojan.exe [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun] worm =c:windowssystem32 worm.exe [HKEY_USERS( SID 值 )SoftwareMicrosoftWindowsCurrentVersionRun] kava =c:windowssystem32 kavo.exe [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHook] {1DBD6574-D6D0-4782-94C3-69619E719765 }=C:WINDOWSHELP F3C74E3FA248.dll
    • 32. 惡意程式攻擊手法分析 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion Explorer MountPoints2 ( SID 值 )} Shell @=&amp;quot;Open&amp;quot; AutoRun &amp;quot;Extended&amp;quot;=&amp;quot; &amp;quot; command 預設值 = c: tdelect.com explorer command 預設值 = c: tdelect.com open command 預設值 = c: tdelect.com    Default @=&amp;quot;1“ [AutoRun] open= ntdelect.com ;shellopen=Open(&amp;O) shellopenCommand= ntdelect.com shellopenDefault=1 ;shellexplore=Manager(&amp;X) shellexploreCommand= ntdelect.com
    • 33. Backdoor.Win32.Bifrose.bgi 惡意程式攻擊手法分析 Windows Registry Editor Version 5.00 [HKLMSYSTEM CurrentControlSet Services Window WebClient ] &amp;quot;Type&amp;quot;=dword:00000110 &amp;quot;Start&amp;quot;=dword:00000002 ( 啟動類型為 &amp;quot; 自動 &amp;quot;) &amp;quot;ErrorControl&amp;quot;=dword:00000000 &amp;quot;ImagePath&amp;quot;=hex(2):43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00, 20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,49,00,6e,00,74,00,65,00,72,00,6e, 00,65,00,74,00,20,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,5c,00, 73,00,6d,00,6e,00,73,00,2e,00,65,00,78,00,65,00,00,00 &amp;quot;DisplayName&amp;quot;=&amp;quot;Windows he1p&amp;quot; ( 服務名稱 ) &amp;quot;ObjectName&amp;quot;=&amp;quot;LocalSystem&amp;quot; ( 登入身份 ) &amp;quot;Description&amp;quot;=&amp;quot;Windows he1p&amp;quot; [HKLMSYSTEM CurrentControlSet Services Window WebClient Enum] &amp;quot;0&amp;quot;=&amp;quot;RootEGACY_WINDOWS_XP_HELPER_______000&amp;quot; &amp;quot;Count&amp;quot;=dword:00000001 &amp;quot;NextInstance&amp;quot;=dword:00000001
    • 34. 惡意程式攻擊分析指標 PDDS 理論 P -處理程序 (Process) D -動態連結資料庫檔案 (Dynamic Link Library , dll) D -驅動程式 (Drivers) S -服務 (Services)
    • 35. 惡意程式分析工具
    • 36. <ul><li>Autostart Program Viewer ( Autoruns ) </li></ul><ul><li>Process Explorer ( Procexp ) </li></ul><ul><li>TCP/UDP endpoint Viewer ( Tcpview ) </li></ul><ul><li>RootkitRevealer </li></ul><ul><li>AVZ Anti-Viral Toolkit </li></ul><ul><li>GetSystemInfo </li></ul><ul><li>HijackThis </li></ul><ul><li>System Repair Engineer ( SREng ) </li></ul><ul><li>IceSword </li></ul>惡意程式分析工具
    • 37. 惡意程式分析工具 <ul><li>Process Explorer ( Procexp ) </li></ul><ul><li>Sysinternals 開發免費工具 </li></ul><ul><li>檢視系統執行程序與相關即時資訊及存檔 </li></ul><ul><li>刪除、暫停、重新啟動執行程序與除錯 </li></ul><ul><li>調整執行程序優先權 </li></ul><ul><li>線上查詢執行程序相關資訊 </li></ul><ul><li>調整執行程式的使用者權限 </li></ul>
    • 38. 惡意程式分析工具 <ul><li>TCP/UDP endpoint Viewer(Tcpview) </li></ul><ul><li>Sysinternals 開發免費工具 </li></ul><ul><li>檢視已開啟連接埠即時狀態 </li></ul><ul><li>檢視與終止已開啟連接埠系統執行程序 </li></ul><ul><li>儲存目前系統開啟連接埠資訊 </li></ul>
    • 39. 惡意程式分析工具 <ul><li>AVZ Anti-Viral Toolkit </li></ul><ul><li>Kaspersky 開發免費工具 </li></ul><ul><li>收集系統 ( 包含硬體 ) 各項資訊儲存 </li></ul><ul><li>刪除間諜、廣告軟體、木馬、蠕蟲等惡意程式 </li></ul><ul><li>偵測並防止鍵盤側錄 、 Rootkits 等 .. 技術 </li></ul><ul><li>主要診斷未經簽署的程序與被修改的登錄資訊 </li></ul><ul><li>整合 HTML&amp;XML 報表檢視 </li></ul><ul><li>AVZ Script 結合防毒軟體直接刪除惡意檔案或程序 </li></ul>
    • 40. 惡意程式分析工具 <ul><li>GetSystemInfo </li></ul><ul><li>卡巴斯基開發免費工具 </li></ul><ul><li>收集系統 ( 包含硬體 ) 各項資訊 </li></ul><ul><li>主要診斷未經簽署的程序與被修改的登錄資訊 </li></ul><ul><li>資訊完整但檔案較大 ( 約 1MB) ,分析不易 </li></ul>
    • 41. 惡意程式分析工具 <ul><li>System Repair Engineer(SREng) </li></ul><ul><li>KZTechs.com 網站作者 Samllfrogs 開發免費工具 </li></ul><ul><li>收集系統資訊 </li></ul><ul><li>系統維護與修復 </li></ul><ul><li>主要診斷未經簽署的程序與被修改的登錄資訊 </li></ul><ul><li>資訊較少約 15 至 40kb ,分析簡易迅速 </li></ul>
    • 42. USB 病毒分析與處理
    • 43. <ul><li>USB 病毒的演進 </li></ul><ul><li>感染症狀、感染過程 </li></ul><ul><li>解毒的迷思 </li></ul><ul><li>如何預防 USB 病毒 </li></ul><ul><li>USB 病毒動態分析 (Demo) </li></ul>Agenda
    • 44. USB 病毒的演進
    • 45. <ul><li>2006 年開始出現相關的報導: MP3 隨身聽、拇指碟、記憶卡、全新的硬碟… </li></ul><ul><li>2007 年七月台灣開始大量散播 ( 地區性 ) </li></ul><ul><li>主要目的:竊取線上遊戲的帳號和密碼 </li></ul><ul><li>傳染途徑: USB 裝置 </li></ul><ul><li>損害:系統效能變慢、無法檢視隱藏檔或開啟磁碟 </li></ul>USB 病毒的演進
    • 46. <ul><li>新手法:看門狗、自動隱藏、自動更新、社交工程… </li></ul><ul><li>附加破壞:破壞網路裝置(網路中斷)、無法進入安全模式、停用防毒軟體、無法執行某些程式… </li></ul><ul><li>其他傳染途徑:網路磁碟、執行檔、郵件附件檔都可能感染 </li></ul>USB 病毒的演進
    • 47. 感染症狀、過程
    • 48. <ul><li>破壞作業系統 :程式執行發生錯誤、系統當機( BSOD )、系統日期錯誤 </li></ul><ul><li>破壞防毒軟體 :防毒軟體無法運作,或部份元件無法執行 </li></ul><ul><li>網路裝置元件故障 :無法上網及更新 </li></ul><ul><li>解毒後可能 無法直接開啟磁碟機 ,或是出現程式執行錯誤的提示訊息 </li></ul>感染症狀
    • 49. <ul><li>第 1 階段:木馬程式開始執行 </li></ul><ul><li>1. 在 %tmep% 資料夾產生 DLL 格式的木馬程式 </li></ul><ul><li>2. 替換系統驅動程式檔案 vga.sys ,造成防毒軟體元件損毀,無法進入安全模式 </li></ul><ul><li>3. 產生隱藏屬性的檔案,例如: kxvo.exe 、 kxvoX.dll ( X 為累加數) </li></ul><ul><li>4.kxvoX.dll 插入 explorer.exe 執行程序,並持續惡意行為 </li></ul>感染過程
    • 50. <ul><li>第 2 階段: IExplorer.exe 自動下載惡意軟體 </li></ul><ul><li>1.IExplorer.exe 自動下載木馬程式 cc.exe 至 %temp% 下,此惡意軟體一直變種,名稱為 Trojan-GameThief.Win32.OnLineGames.xxxx </li></ul><ul><li>2.IExplorer.exe 會持續在 %temp% 路徑刪除與建立 cc.exe </li></ul>感染過程
    • 51. <ul><li>第 3 階段: cc.exe 自動執行 </li></ul><ul><li>1.cc.exe 執行後會破壞防毒軟體 </li></ul><ul><li>2. 替換 tdi.sys 。造成網路裝置無法使用 </li></ul><ul><li>3. 產生隱藏屬性的檔案,例如: j3ewro.exe 、 jwedsfdo0.dll </li></ul><ul><li>4. 新增登錄檔,以便在登入系統後自動執行 </li></ul><ul><li>5. 由 jwedsfdo0.dll 持續惡意行為, cc.exe 即停止運作 </li></ul>感染過程
    • 52. <ul><li>第 4 階段: IExplorer.exe 自動下載惡意軟體 </li></ul><ul><li>1.IExplorer.exe 自動下載木馬程式 ff.exe 至 %temp% 路徑,此惡意軟體經常變種 </li></ul><ul><li>2.IExplorer.exe 會持續在 %temp% 路徑刪除與建立 ff.exe </li></ul>感染過程
    • 53. <ul><li>第 5 階段:惡意軟體藉由 explorer.exe 執行程序進行惡意攻擊 </li></ul><ul><li>1. 刪除 %temp% 路徑下 cc&amp;ff.exe 惡意軟體 </li></ul><ul><li>2. 持續修改登錄檔,藉以隱藏惡意檔案 </li></ul><ul><li>3. 新增登錄檔:當使用者透過「我的電腦」開啟任何磁碟區,就會觸發惡意軟體執行 </li></ul><ul><li>4. 持續在磁碟根目錄刪除與建立 autorun.inf 及對應的執行檔 </li></ul>感染症狀
    • 54. <ul><li>第 6 階段: ff.exe 自動執行 </li></ul><ul><li>1. 如同 cc.exe , ff.exe 會下載 tdi.sys 並置換 </li></ul><ul><li>2. 產生隱藏屬性的檔案,例如: kxvo.exe 、 kxvoX.dll </li></ul><ul><li>3. 新增登錄檔,以便在登入系統後自動執行 </li></ul><ul><li>4. 由 kxvoX.dll 持續惡意行為, ff.exe 即停止運作 </li></ul>感染過程
    • 55. <ul><li>第 7 階段:惡意軟體在開機時自動啟動及更新 </li></ul><ul><li>若未即時解毒,即會產生新的變種病毒 </li></ul>感染症狀
    • 56. 增加以下登錄值,開機後即自動執行 kxvo.exe HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “ tasoft &amp;quot; = &amp;quot;C:WINDOWSSYSTEM32 kxvo.exe “ “ jvsoft &amp;quot;= &amp;quot;C:WINDOWSSYSTEM32 j3ewro.exe “ 持續修改以下登錄值,無法顯示所有檔案和資料夾 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenSHOWALL &amp;quot;CheckedValue&amp;quot;=dword:0000000 0 (正常為 1 ) 感染手法補充
    • 57. HKEY_CURRENT_USER SoftwareMicrosoftWindows CurrentVersion Explorer MountPoints2 {d4d4f99d -5002-11dc-a7d6-806d6172696f} &amp;quot;BaseClass&amp;quot;=&amp;quot;Drive&amp;quot; Shell @=&amp;quot;Open&amp;quot; AutoRun &amp;quot;Extended&amp;quot;=&amp;quot; &amp;quot; explore command @=&amp;quot; 39ysi89.com &amp;quot; open @=&amp;quot; 39ysi89.com &amp;quot; Default @=&amp;quot;1&amp;quot; 感染手法補充
    • 58. 解毒的迷思
    • 59. <ul><li>USB 病毒讓許多使用者和 MIS 頭痛不已,因為它防不勝防,殺了又中、中了再殺 </li></ul><ul><li>無止盡的變種病毒更讓防毒軟體防不勝防 </li></ul><ul><li>抓不到病毒成了防毒軟體的原罪! </li></ul><ul><li>專殺工具、民俗療法真的有效嗎? </li></ul>解毒的迷思
    • 60. 解毒的迷失思 坊間常見的「民俗療法」
    • 61. <ul><li>為什麼防毒軟體無法提供有效的防護呢? </li></ul><ul><li>防毒軟體屬於被動防護,必須要有病毒特徵碼,才能偵測與解毒 </li></ul><ul><li>現今病毒都是小區域暴發,不易收集樣本(之前是全球大規則暴發) </li></ul><ul><li>化被動為主動,善用新的防護技術(免疫防護、啟發式分析、 HIPS )才能偵測未知病毒 </li></ul>解毒的迷思
    • 62. 如何預防 USB 病毒
    • 63. <ul><li>不要因為一時好奇,而任意開啟或執行來路不明的檔案 </li></ul><ul><li>在開啟檔案之前,建議先以防毒軟體進行掃瞄 </li></ul><ul><li>定期更新防毒軟體、並執行完整掃瞄 </li></ul><ul><li>將磁碟或 USB 外接式儲存媒體轉換為 NTFS 格式,在根目錄設置 Autorun.inf 目錄並移除所有權限 </li></ul><ul><li>透過 Router 、 UTM 、 Firewall 等設備封鎖 221.1.222.109 </li></ul><ul><li>透過教育訓練灌輸使用者正確防護概念與良好電腦操作習慣 </li></ul><ul><li>執行 NGS 工具 </li></ul>USB 病毒防範措施 如何防範 USB 類型病毒 ? ( 預防勝於治療 )
    • 64. <ul><li>防毒軟體偵測和解毒的關鍵因素:是否已經收集病毒樣本,並將病毒特徵碼(包含偵測及解毒方式)加入病毒資料庫中 </li></ul><ul><li>奕瑞科技提供 USB 病毒的解毒與樣本收集工具- NGS ( New GetSample ) ,希望透過社群的力量,一同對抗惡意軟體 </li></ul>社群的力量
    • 65. USB 病毒動態分析
    • 66. <ul><li>Demo </li></ul>USB 病毒動態分析
    • 67. 奕瑞服務團隊
    • 68. <ul><li>各類型病毒攻擊的輔導答疑 。 </li></ul><ul><li>系統感染,惡意程式特徵,病毒分析諮詢。 </li></ul><ul><li>協助安裝,建置及佈署。 </li></ul><ul><li>解決卡巴斯基防毒產品和附加工具等技術性問題。 </li></ul><ul><li>協助註冊用戶在授權有效期內免費更新。 </li></ul><ul><li>※ 技術支援可以透過下列方式取得 : </li></ul><ul><li>服務時間 : 星期一至星期五 09:00 ~ 18:30 , 星期六 , 日 10:30 ~ 16:30 </li></ul><ul><li>客服電話: (02) 2791-5365 </li></ul><ul><li>電子郵件: [email_address] </li></ul><ul><li>網頁服務 :  http://web.kaspersky.com.tw/KL-Services/FAQ.htm </li></ul><ul><li>病毒回報 : [email_address] / [email_address] </li></ul>防毒系統 產品客服服務
    • 69. <ul><li>Q &amp; A </li></ul>Q &amp; A
    • 70. Thank you ! [email_address]

    ×