防止攻击跳板主机的安全管理策略

  文件类型：DOC/Microsoft Word  文件大小：68608字节

内容摘要：

防止攻击跳板主机的安全管理策略
防止攻击跳板主机的安全管理策略
黄世昆
中央研究院 资讯科学研究所 助研究员
skhuang@iis.sinica.edu.tw
摘要
攻击跳板主机的问题对目前网路结构已构成严重安全威胁,潜伏的危机将超过一般电脑病毒.据警政署刑事局的统计估计,国内约有十分之一网路主机被殖入木马程式(即攻击跳板所利用的后门宿主).最近网站入侵事件频传,多数与被操纵的主机有关,如 Yahoo,eBay 等商用网站遭受分散式阻断攻击(大量主机被安放阻断攻击程式),Love-You-Letter 与最近的 Navidad 事件等则是个人电脑被用来间接散布攻击程式.本文探讨各种跳板攻击方法,防止策略,并探讨追查技术的未来发展,相关法律责任归属等.
关键字: 跳板攻击,后门操控,隐密通道,诱陷执行环境, 行为指纹.
一,攻击跳板与网路安全威胁
最近微软公司程式码遭窃,多处商务网站面临分散阻断攻击,美国各大学纷遭大规模全面入侵.这些都反应资讯安全威胁已严重影响大众的日常交易往来.根据 TW-CERT 88 年的国内Web server 年度安全调查[4],有 53 % 的主机可被取得 Web Admin 的权限.我们近日的自我安全检测机制的记录有显示有高达 59% 机器有程度不等的安全缺陷.因此刑事局的「木马」主机估计比率(1/10)并不算高估,因为只要有心的入侵者都可能在53% 的主机中殖入「后门」.
但一般人对於安全警觉都局限於「可视」或「可察觉」的安全威胁,例如网页遭致窜改,或资料被毁损.去年八月政府网站被大举涂换网页,各界纷表关切,公听,座谈会不断举行,但事仅於此.今年十月国庆网路谣传将有类似事件重演,事后仅有零星网站有网页被改迹象,因此大家庆幸不已,更深信此为「谣传」.但情况真得如此乐观吗 根据我们深入调查,在单一机关内有存在各种不同形式后门的主机,比例达 50%.这样的比例刚好反应 TW-CERT 年度安全调查数据的可信度:亦即这些可能被取得 admin shell 的主机,都有某种形式的后门程式隐藏其中.
未来攻击趋势
未来网路安全威胁都将与后门建立息息相关,包括:
攻击后暗藏隐密操控后门
这是网路攻击精致化的必然发展.亦即复杂的攻击过程将分阶段,或称为攻击状态快取 (Attack Process Cache),在入侵目的达成之前,用来维系前次攻击途径的畅通.
后门与病毒感染媒介整合
后门程式将与病毒感染方式互相整合.传统病毒是同步非操控模式,亦即只能依赖事件同步(如13日星期五),以引发恶意指令.但后门程式的特性是非同步操控模式,随时可能触发恶意指令.
分散式,大规模间接攻击
最典型的实例是分散式阻断攻击(Distributed Denial of Service),利用大量分散於各地网路的用户主机,同时启动攻击.后门程式的运用是分散式攻击重要的一环.
2. 建立后门之目的
窃取资源利用,例如网路频宽(设置 http proxy server)
散布各地电脑的后门,为数甚多是用来窃取资源,包括 Web access 与 E-mail Relay,以取得宝贵的网路资源.举中研院为例,对外频宽充足,是有企图用户侵入的最大诱因.各大 ISP 同样面临类似威胁.事实上,这样的犯罪形态如同盗打电话,可藉以节省网路使用费用.
非同步攻击状态快取
维护状态快取(cache)将可快速取得上次攻击状态,可应付复杂的入侵计画,例如攻击可依据目标权限差异,先取得低权限用户电脑存取权,再渐进掌控高权限用户,进而入侵重要伺服器.顺序上,为低权限资讯用户—> 高权限资讯用户 —> 普通伺服器帐号 —> 管理者权限帐号.每一阶段的攻击状态快取可维系入侵管道的畅通.
设立攻击跳板
间接攻击可避免被追查,同时操控大量攻击跳板,以不同来源位址达到欺骗流量管理系统目的,进而形成分散阻断攻击.
3. 后门程式侵入方式
一般攻击后殖入
后门殖入的最佳宿主是对於「安全」不经心的使用者.第一类是管理不善的伺服器.第二类是资讯卫生习惯不良的用户端电脑.未来面临的最大后门威胁将来自用户系统.对於用户系统最大威胁包括:
E-mail: 病毒,恶意执行档夹带并不可怕.现在最具威胁的是使 E-mail 接收软体产生记忆体溢写攻击的恶意控制档头(header),这类攻击的特性是只要用户接收 E-mail,不必开启就会感染.这是可以突穿任何严密防火墙的攻击.
Web Content: malicious Script/Applet .
Document Contents: 理论上所 ·上一篇：市场微观结构
·下一篇：一直以来想总结一下关于正则表达式的一些东西