反追蹤瀏覽軟體Tor Browser Bundle成駭客攻擊目標
Firefox當中的JavaScript漏洞影響了Tor Browser Bundle的安全性。TOR Project創辦人Roger Dingledine說明,該漏洞允許各種程式的執行,駭客原則上可掌控受駭者的電腦,但此次所觀察到的攻擊則是用來蒐集電腦上的主機名稱與MAC位址,同時滲透了Tor Browser Bundle隱藏服務,猜測駭客已取得造訪這些隱藏服務的使用者名單。
專門研發反追蹤軟體、保障網路匿名性的TOR Project周一(8/5)表示,發現鎖定Tor Browser Bundle軟體用戶的攻擊行動,但有安全工程師認為這應該是執法機關的傑作。
Tor Browser Bundle為TOR Project以Firefox為基礎所開發的瀏覽器套件,它可藉由隨身碟攜帶,然後在需要的時候安裝在Windows、Mac OS X或Linux等平台上,執行Tor Browser Bundle時即可開啟瀏覽器功能,並額外提供流量加密與繞道各種複雜、匿名節點來保障通訊或瀏覽的隱私。
不過,Firefox當中的JavaScript漏洞影響了Tor Browser Bundle的安全性。TOR Project創辦人Roger Dingledine說明,該漏洞允許各種程式的執行,駭客原則上可掌控受駭者的電腦,但此次所觀察到的攻擊則是用來蒐集電腦上的主機名稱與MAC位址,同時滲透了Tor Browser Bundle隱藏服務,猜測駭客已取得造訪這些隱藏服務的使用者名單。
該攻擊行動是鎖定Firefox瀏覽器中的JavaScript漏洞,Dingledine表示,雖然Firefox是跨平台的瀏覽器,但攻擊碼卻是專為Windows所設計,因此只有Windows上的Tor Browser Bundle用戶受到影響。Mozilla與Tor Browser Bundle已在最新的軟體中修補該漏洞,因而呼籲使用者儘快更新所使用的版本。
不過,來自Square的安全工程師Vlad Tsyrklevich認為,該攻擊沒有下載任何的後門或執行任何命令,鐵定是執法機構的行為,影射FBI是攻擊背後的推手。
除了呼籲使用者升級外,Dingledine還建議使用者可以考慮關閉JavaScript以及改用Windows以外的作業系統。Dingledine說,關閉JavaScript能夠減少攻擊漏洞,不再使用Windows從許多面向來看都對安全有幫助,例如採用可透過隨身碟攜帶的活動作業系統(live operating system)能夠保障使用者的匿名性與隱私。
轉載自《iThome》
2013-09-27
THC-Hydra v7.5 網路服務驗證密碼破解工具(含教學影片)
THC-Hydra v7.5 網路服務驗證密碼破解工具(含教學影片)
THC-Hydra 是一個支援多種網絡服務的驗證密碼破解工具。這個工具是一個驗證性質的軟體,主要目的的是為學術研究人員和資訊安全從業人員驗證遠端獲取一個系統與服務的認證權限的安全強度。
簡單講使用於暴力破解用。
新版重要特色:
1.授權變更為 AGPLv3
2.新增 Asterisk Call Manager 模組(用於VOIP)
3.新增支援 Android 環境
3.支援 IPv6 協定 (從6.5版就有提供)
4.支援匯入字典檔
5.修正其它Bug
適用作業系統環境:
Linux, Windows/Cygwin, Solaris 11, FreeBSD 8.1,OSX
能掃描的網路服務:
Asterisk, AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST,HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD,HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle,PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP/R3, SIP, SMB, SMTP, SMTP Enum,SNMP, SOCKS5, SSH (v1 and v2), Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP.
官方網站:
http://www.thc.org/thc-hydra/
軟體下載處:
http://www.thc.org/releases/hydra-7.5.tar.gz
轉載自《網路攻防戰》
THC-Hydra 是一個支援多種網絡服務的驗證密碼破解工具。這個工具是一個驗證性質的軟體,主要目的的是為學術研究人員和資訊安全從業人員驗證遠端獲取一個系統與服務的認證權限的安全強度。
簡單講使用於暴力破解用。
新版重要特色:
1.授權變更為 AGPLv3
2.新增 Asterisk Call Manager 模組(用於VOIP)
3.新增支援 Android 環境
3.支援 IPv6 協定 (從6.5版就有提供)
4.支援匯入字典檔
5.修正其它Bug
適用作業系統環境:
Linux, Windows/Cygwin, Solaris 11, FreeBSD 8.1,OSX
能掃描的網路服務:
Asterisk, AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST,HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD,HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle,PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP/R3, SIP, SMB, SMTP, SMTP Enum,SNMP, SOCKS5, SSH (v1 and v2), Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP.
官方網站:
http://www.thc.org/thc-hydra/
軟體下載處:
http://www.thc.org/releases/hydra-7.5.tar.gz
轉載自《網路攻防戰》
如何檢查自己的網站是否為StealRat殭屍網路的一部分?
如何檢查自己的網站是否為StealRat殭屍網路的一部分?
StealRat的垃圾郵件殭屍網路/傀儡網路 Botnet網路,它的運作主要是利用被入侵淪陷的網站和系統。我們持續地監視著其運作,並確定了約有195,000個網域和IP地址已經淪陷。這些淪陷網站的共通點是用了有弱點的內容管理系統,像是WordPress、Joomla和Drupal。
在本篇文章裡,我們會討論網站管理員可以如何檢查他們的網站是否已經淪陷,變成StealRat殭屍網路/傀儡網路 Botnet的一部分。
第一步是檢查是否有垃圾郵件發送腳本的存在,通常會用sm13e.php或sm14e.php的名稱。不過要注意的是,這些腳本可能會改變檔案名稱,所以最好還是要檢查是否有任何陌生的PHP檔案存在。
已淪陷網站內的垃圾郵件發送腳本
另一個檢查是否有惡意PHP檔案存在的方法是搜尋程式碼中是否有包含以下字串:
●die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)
●die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)
在Linux環境裡,你可以利用grep指令來搜尋這些字串:grep “die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321” /path/to/www/folder/。而在Windows上,它的內容會是:”die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321”
這些字串是PHP檔案內「die」程式碼的一部分(例如,當某些參數不符合時)。我們在DeepEnd Research的同伴貼出了一份sm14e.php的副本。據我們所知,這是已知在外的最新版本。和sm13e.php比較起來,sm14e.php現在支援發送垃圾郵件給多個電子郵件地址。除此之外,它仍然是相同的PHP程式,接受以下的參數:
● l → 電子郵件地址(發送垃圾郵件的對象)
● e → 九個隨機生成的字元
● m → 郵件伺服器(像是google mail)
● d → 郵件範本
它的回應會根據所提供的參數還有發送垃圾郵件行為的結果而有所不同:
我們建議網站管理員刪除類似上述的檔案,並更新其內容管理系統 – 特別是WordPress、Joomla和Drupal。想了解更多關於此威脅的資訊,跟此威脅還需要注意哪些組件的問題,請參考趨勢科技的報告 – 「Stealrat:深入了解一個新興的垃圾郵件發送殭屍網路」。
原文出處:How to Check if Your Website is Part of the StealRat Botnet
原文作者:Jessa De La Torre(資深威脅研究員)
轉載自《雲端運算與網路安全趨勢部落格》
StealRat的垃圾郵件殭屍網路/傀儡網路 Botnet網路,它的運作主要是利用被入侵淪陷的網站和系統。我們持續地監視著其運作,並確定了約有195,000個網域和IP地址已經淪陷。這些淪陷網站的共通點是用了有弱點的內容管理系統,像是WordPress、Joomla和Drupal。
在本篇文章裡,我們會討論網站管理員可以如何檢查他們的網站是否已經淪陷,變成StealRat殭屍網路/傀儡網路 Botnet的一部分。
第一步是檢查是否有垃圾郵件發送腳本的存在,通常會用sm13e.php或sm14e.php的名稱。不過要注意的是,這些腳本可能會改變檔案名稱,所以最好還是要檢查是否有任何陌生的PHP檔案存在。
已淪陷網站內的垃圾郵件發送腳本
另一個檢查是否有惡意PHP檔案存在的方法是搜尋程式碼中是否有包含以下字串:
●die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)
●die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)
在Linux環境裡,你可以利用grep指令來搜尋這些字串:grep “die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321” /path/to/www/folder/。而在Windows上,它的內容會是:”die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321”
PHP 檔案內所提到的字串 |
這些字串是PHP檔案內「die」程式碼的一部分(例如,當某些參數不符合時)。我們在DeepEnd Research的同伴貼出了一份sm14e.php的副本。據我們所知,這是已知在外的最新版本。和sm13e.php比較起來,sm14e.php現在支援發送垃圾郵件給多個電子郵件地址。除此之外,它仍然是相同的PHP程式,接受以下的參數:
● l → 電子郵件地址(發送垃圾郵件的對象)
● e → 九個隨機生成的字元
● m → 郵件伺服器(像是google mail)
● d → 郵件範本
它的回應會根據所提供的參數還有發送垃圾郵件行為的結果而有所不同:
腳本回應會根據結果 |
我們建議網站管理員刪除類似上述的檔案,並更新其內容管理系統 – 特別是WordPress、Joomla和Drupal。想了解更多關於此威脅的資訊,跟此威脅還需要注意哪些組件的問題,請參考趨勢科技的報告 – 「Stealrat:深入了解一個新興的垃圾郵件發送殭屍網路」。
原文出處:How to Check if Your Website is Part of the StealRat Botnet
原文作者:Jessa De La Torre(資深威脅研究員)
轉載自《雲端運算與網路安全趨勢部落格》
知名暴力破解密碼工具程式 oclHashcat-plus 發佈 v0.15 版(含影片示範)
知名暴力破解密碼工具程式 oclHashcat-plus 發佈 v0.15 版(含影片示範)
官方強調它一款驗證密碼安全的工具程式,所以請勿拿別人的機器當實驗品。
影片為使用上一個版本(v0.14)暴力破解 WordPress Password Hash 所示範需要的時間,請自行計算需要多久就可以得到答案!
其實它一系列兄弟姊妹的暴力破解工具很多,包含:
hashcat v0.46
hashcat-gui v0.5.1
oclHashcat-plus v0.15
oclHashcat-lite v0.15
目前更新的是 oclHashcat-plus v0.15,主要的新增特色為:
Multi-GPU (up to 128 gpus)
Multi-Hash (up to 15 million hashes)
Multi-OS (Linux & Windows native binaries)
Multi-Platform (OpenCL & CUDA support)
Multi-Algo (see below)
Low resource utilization, you can still watch movies or play games while cracking
Focuses highly iterated modern hashes
Focuses single dictionary based attacks
支援 mask attack
支援 mask files
支援 distributed cracking
支援 pause / resume while cracking
支援 sessions
支援 restore
支援 reading words from file
支援 reading words from stdin
支援 hex-salt
支援 hex-charset
支援 variable rounds where applicable
Integrated thermal watchdog
攻擊模組:
Straight
Combination
Brute-force
Hybrid dict + mask
Hybrid mask + dict
已淪陷的演算法:
MD5
md5($pass.$salt)
md5($salt.$pass)
md5(unicode($pass).$salt)
md5($salt.unicode($pass))
SHA1
sha1($pass.$salt)
sha1($salt.$pass)
sha1(unicode($pass).$salt)
sha1($salt.unicode($pass))
MySQL
phpass, MD5(Wordpress), MD5(phpBB3)
md5crypt, MD5(Unix), FreeBSD MD5, Cisco-IOS MD5
MD4
NTLM
Domain Cached Credentials, mscash
SHA256
sha256($pass.$salt)
sha256($salt.$pass)
sha256(unicode($pass).$salt)
sha256($salt.unicode($pass))
descrypt, DES(Unix), Traditional DES
md5apr1, MD5(APR), Apache MD5
SHA512
sha512($pass.$salt)
sha512($salt.$pass)
sha512(unicode($pass).$salt)
sha512($salt.unicode($pass))
sha512crypt, SHA512(Unix)
Domain Cached Credentials2, mscash2
Cisco-PIX MD5
WPA/WPA2
Double MD5
LM
Oracle 7-10g, DES(Oracle)
bcrypt, Blowfish(OpenBSD)
SHA-3(Keccak)
Half MD5 (left, mid, right)
Password Safe SHA-256
IKE-PSK MD5
IKE-PSK SHA1
NetNTLMv1-VANILLA / NetNTLMv1+ESS
NetNTLMv2
Cisco-IOS SHA256
Samsung Android Password/PIN
RipeMD160
Whirlpool
TrueCrypt 5.0+ PBKDF2 HMAC-RipeMD160 + AES
TrueCrypt 5.0+ PBKDF2 HMAC-SHA512 + AES
TrueCrypt 5.0+ PBKDF2 HMAC-Whirlpool + AES
TrueCrypt 5.0+ PBKDF2 HMAC-RipeMD160 boot-mode + AES
AIX {smd5}
AIX {ssha256}
AIX {ssha512}
1Password
AIX {ssha1}
Lastpass
GOST R 34.11-94
OSX v10.8
GRUB 2
sha256crypt, SHA256(Unix)
Joomla
osCommerce, xt:Commerce
nsldap, SHA-1(Base64), Netscape LDAP SHA
nsldaps, SSHA-1(Base64), Netscape LDAP SSHA
Oracle 11g
SMF > v1.1
OSX v10.4, v10.5, v10.6
MSSQL(2000)
MSSQL(2005)
EPiServer 6.x < v4
EPiServer 6.x > v4
SSHA-512(Base64), LDAP {SSHA512}
OSX v10.7
vBulletin < v3.8.5
vBulletin > v3.8.5
IPB2+, MyBB1.2+
官方網站軟體下載處:http://hashcat.net/oclhashcat-plus/
轉載自《網路攻防戰》
官方強調它一款驗證密碼安全的工具程式,所以請勿拿別人的機器當實驗品。
影片為使用上一個版本(v0.14)暴力破解 WordPress Password Hash 所示範需要的時間,請自行計算需要多久就可以得到答案!
其實它一系列兄弟姊妹的暴力破解工具很多,包含:
hashcat v0.46
hashcat-gui v0.5.1
oclHashcat-plus v0.15
oclHashcat-lite v0.15
目前更新的是 oclHashcat-plus v0.15,主要的新增特色為:
Multi-GPU (up to 128 gpus)
Multi-Hash (up to 15 million hashes)
Multi-OS (Linux & Windows native binaries)
Multi-Platform (OpenCL & CUDA support)
Multi-Algo (see below)
Low resource utilization, you can still watch movies or play games while cracking
Focuses highly iterated modern hashes
Focuses single dictionary based attacks
支援 mask attack
支援 mask files
支援 distributed cracking
支援 pause / resume while cracking
支援 sessions
支援 restore
支援 reading words from file
支援 reading words from stdin
支援 hex-salt
支援 hex-charset
支援 variable rounds where applicable
Integrated thermal watchdog
攻擊模組:
Straight
Combination
Brute-force
Hybrid dict + mask
Hybrid mask + dict
已淪陷的演算法:
MD5
md5($pass.$salt)
md5($salt.$pass)
md5(unicode($pass).$salt)
md5($salt.unicode($pass))
SHA1
sha1($pass.$salt)
sha1($salt.$pass)
sha1(unicode($pass).$salt)
sha1($salt.unicode($pass))
MySQL
phpass, MD5(Wordpress), MD5(phpBB3)
md5crypt, MD5(Unix), FreeBSD MD5, Cisco-IOS MD5
MD4
NTLM
Domain Cached Credentials, mscash
SHA256
sha256($pass.$salt)
sha256($salt.$pass)
sha256(unicode($pass).$salt)
sha256($salt.unicode($pass))
descrypt, DES(Unix), Traditional DES
md5apr1, MD5(APR), Apache MD5
SHA512
sha512($pass.$salt)
sha512($salt.$pass)
sha512(unicode($pass).$salt)
sha512($salt.unicode($pass))
sha512crypt, SHA512(Unix)
Domain Cached Credentials2, mscash2
Cisco-PIX MD5
WPA/WPA2
Double MD5
LM
Oracle 7-10g, DES(Oracle)
bcrypt, Blowfish(OpenBSD)
SHA-3(Keccak)
Half MD5 (left, mid, right)
Password Safe SHA-256
IKE-PSK MD5
IKE-PSK SHA1
NetNTLMv1-VANILLA / NetNTLMv1+ESS
NetNTLMv2
Cisco-IOS SHA256
Samsung Android Password/PIN
RipeMD160
Whirlpool
TrueCrypt 5.0+ PBKDF2 HMAC-RipeMD160 + AES
TrueCrypt 5.0+ PBKDF2 HMAC-SHA512 + AES
TrueCrypt 5.0+ PBKDF2 HMAC-Whirlpool + AES
TrueCrypt 5.0+ PBKDF2 HMAC-RipeMD160 boot-mode + AES
AIX {smd5}
AIX {ssha256}
AIX {ssha512}
1Password
AIX {ssha1}
Lastpass
GOST R 34.11-94
OSX v10.8
GRUB 2
sha256crypt, SHA256(Unix)
Joomla
osCommerce, xt:Commerce
nsldap, SHA-1(Base64), Netscape LDAP SHA
nsldaps, SSHA-1(Base64), Netscape LDAP SSHA
Oracle 11g
SMF > v1.1
OSX v10.4, v10.5, v10.6
MSSQL(2000)
MSSQL(2005)
EPiServer 6.x < v4
EPiServer 6.x > v4
SSHA-512(Base64), LDAP {SSHA512}
OSX v10.7
vBulletin < v3.8.5
vBulletin > v3.8.5
IPB2+, MyBB1.2+
官方網站軟體下載處:http://hashcat.net/oclhashcat-plus/
轉載自《網路攻防戰》
入侵偵測 - SNORT
入侵偵測 - SNORT
△注意:本文是配合 Ubuntu Server 12.04 LTS 安裝
在善良的網路環境之中,所有網路的通訊都是按照規矩來的,所以大家上網的上網( http or https ),下載的載( http or ftp ),打 bbs 的打 bbs ( telnet or ssh )等,這些都是正常的網路行為,讓使用者經過網路完成工作或得到需要的資訊。可惜的是,網路的行為不只是這樣單純,除了人為惡意的攻擊,還可能是病毒、蠕蟲等惡意程式侵擾,他們會利用系統的弱點進行擴張版圖的大業,這些潛藏於網路中的惡意行為,透過入侵偵測(Intrusion Detection System, IDS )的架設,可以協助我們在環境中發現可能的問題點(也可能是誤報),進而先行處理,以免損害擴大。
我們這次要介紹的入侵偵測,是免費的 snort,架設 snort 伺服器之前要先規劃網路的架構,一般我們會把 NIDS ( Network IDS )伺服器放在外網( WAN )連到內網( LAN )的這一段中間,如此一來,所以外對內的流量都會經過 IDS 檢視,並依 rules 提報出可能的問題點。
▲ 圖一、常見使用snort (IDS)網路拓樸圖。
網路規劃好了,也把伺服器安裝到位,再來就是安裝snort,安裝的動作很簡單,只要下指令:
● sudo apt-get install snort -y
雖然安裝的過程中會提示需要監控的網段,但是這個版本存入設定有時會怪怪的,我們再檢查一下設定檔,檢示修改 HOME_NET 由 any (使用 HOME_NET=any 在某些 snort 的 rules 中會造成錯誤),改為內網網段或是我們需要監看的網段,編修snort設定檔的指令如下所示:
● sudo vi /etc/snort/snort.conf
▲ 圖二、修改snort設定中的HOME_NET。
有人說 snort 的精華就在於它的 rules,有了 rules 後,snort 在檢視網路的封包時,才知道那些是可能有問題的封包,snort 官網提供付費者/與註冊使用者兩種身份,可以由網站中下載 rules,兩者的差別在於,新的 rules 出來付費者可以馬上使用,而註冊使用者則要等一個月後才可以使用。Ubuntu 安裝 snort 後已有 2012/2 月的 rules,為了未來的更新,我們可以自行申請 snort 使用者(會員),並取得 oinkcode,再透過由網站上得知目前的版本,以手動方式進行 rules 更新。
▲ 圖三、snort 官網中,下載 rules 部份,有 Get an Oinkcode 與目前 rules 版本的資訊。
▲ 圖四、Get an oinkcode 後,可由郵件得到 oinkcode 資訊與下載路徑
設定 oinkmaster.conf,輸入自己的code與目前的版本(由圖三看到現最新是2922),以進行更新,官網建議使用PulledPork工具,但在它預設的檔案路徑和 Red Hat 類的 Linux 比較合,在 Ubuntu 下要改比較的多路徑設定,我們暫時先勤能補拙的手動修改,修改指令如下:
●sudo vi /etc/oinkmaster.conf,修改設定檔,主要就是加入url = http://www.snort.org/pub-bin/oinkmaster.cgi/*您的oinkcode*/snortrules-snapshot-目前可用最新版本.tar.gz
●sudo oinkmaster -o /etc/snort/rules/,設定好更新參數後,透過 oinkmaster 指令進行 rules 的更新。
▲ 圖五、設定 oinkmaser.conf。
▲ 圖六、oinkmaster 更新後新增修改 rules 資料的示意圖。
看來更新一切就緒,使用 snort 來測試新的rules有沒有問題,指令如下:
●sudo snort -T -c /etc/snort/snort.conf
▲ 圖七、新的rules在運行時出現問題。
測試中出現有 rules 要使用 FILE_DATA_PORTS 參數,但是找不到,所以我們拜請google大神,於snort.conf中補入要的參數,要留意的是 google 出來的設定”portvar FILE_DATA_PORTS [$HTTP_PORTS,110,143]”,其中的$HTTP_PORTS也是變數,所以我們新增的參數要放在他的後面。
▲ 圖八、於 snort 設定檔加入新參數。
一切設定妥當,我們啟用snort,指令如下:
●snort -D -c /etc/snort/snort.conf
snort 的報表在 /var/log/snort/alert,我們可以由這裡可以看到警示,也可以試用 openvas 對此台機器進行弱點掃描,在弱點偵測過程中會有類似攻擊的行為,也會被偵測出來。
▲ 圖九、alert 的示意圖。
軟體下載:
Ubuntu Server 12.04 LTS
轉載自《iThome Download》
△注意:本文是配合 Ubuntu Server 12.04 LTS 安裝
在善良的網路環境之中,所有網路的通訊都是按照規矩來的,所以大家上網的上網( http or https ),下載的載( http or ftp ),打 bbs 的打 bbs ( telnet or ssh )等,這些都是正常的網路行為,讓使用者經過網路完成工作或得到需要的資訊。可惜的是,網路的行為不只是這樣單純,除了人為惡意的攻擊,還可能是病毒、蠕蟲等惡意程式侵擾,他們會利用系統的弱點進行擴張版圖的大業,這些潛藏於網路中的惡意行為,透過入侵偵測(Intrusion Detection System, IDS )的架設,可以協助我們在環境中發現可能的問題點(也可能是誤報),進而先行處理,以免損害擴大。
我們這次要介紹的入侵偵測,是免費的 snort,架設 snort 伺服器之前要先規劃網路的架構,一般我們會把 NIDS ( Network IDS )伺服器放在外網( WAN )連到內網( LAN )的這一段中間,如此一來,所以外對內的流量都會經過 IDS 檢視,並依 rules 提報出可能的問題點。
▲ 圖一、常見使用snort (IDS)網路拓樸圖。
網路規劃好了,也把伺服器安裝到位,再來就是安裝snort,安裝的動作很簡單,只要下指令:
● sudo apt-get install snort -y
雖然安裝的過程中會提示需要監控的網段,但是這個版本存入設定有時會怪怪的,我們再檢查一下設定檔,檢示修改 HOME_NET 由 any (使用 HOME_NET=any 在某些 snort 的 rules 中會造成錯誤),改為內網網段或是我們需要監看的網段,編修snort設定檔的指令如下所示:
● sudo vi /etc/snort/snort.conf
▲ 圖二、修改snort設定中的HOME_NET。
有人說 snort 的精華就在於它的 rules,有了 rules 後,snort 在檢視網路的封包時,才知道那些是可能有問題的封包,snort 官網提供付費者/與註冊使用者兩種身份,可以由網站中下載 rules,兩者的差別在於,新的 rules 出來付費者可以馬上使用,而註冊使用者則要等一個月後才可以使用。Ubuntu 安裝 snort 後已有 2012/2 月的 rules,為了未來的更新,我們可以自行申請 snort 使用者(會員),並取得 oinkcode,再透過由網站上得知目前的版本,以手動方式進行 rules 更新。
▲ 圖三、snort 官網中,下載 rules 部份,有 Get an Oinkcode 與目前 rules 版本的資訊。
▲ 圖四、Get an oinkcode 後,可由郵件得到 oinkcode 資訊與下載路徑
設定 oinkmaster.conf,輸入自己的code與目前的版本(由圖三看到現最新是2922),以進行更新,官網建議使用PulledPork工具,但在它預設的檔案路徑和 Red Hat 類的 Linux 比較合,在 Ubuntu 下要改比較的多路徑設定,我們暫時先勤能補拙的手動修改,修改指令如下:
●sudo vi /etc/oinkmaster.conf,修改設定檔,主要就是加入url = http://www.snort.org/pub-bin/oinkmaster.cgi/*您的oinkcode*/snortrules-snapshot-目前可用最新版本.tar.gz
●sudo oinkmaster -o /etc/snort/rules/,設定好更新參數後,透過 oinkmaster 指令進行 rules 的更新。
▲ 圖五、設定 oinkmaser.conf。
▲ 圖六、oinkmaster 更新後新增修改 rules 資料的示意圖。
看來更新一切就緒,使用 snort 來測試新的rules有沒有問題,指令如下:
●sudo snort -T -c /etc/snort/snort.conf
▲ 圖七、新的rules在運行時出現問題。
測試中出現有 rules 要使用 FILE_DATA_PORTS 參數,但是找不到,所以我們拜請google大神,於snort.conf中補入要的參數,要留意的是 google 出來的設定”portvar FILE_DATA_PORTS [$HTTP_PORTS,110,143]”,其中的$HTTP_PORTS也是變數,所以我們新增的參數要放在他的後面。
▲ 圖八、於 snort 設定檔加入新參數。
一切設定妥當,我們啟用snort,指令如下:
●snort -D -c /etc/snort/snort.conf
snort 的報表在 /var/log/snort/alert,我們可以由這裡可以看到警示,也可以試用 openvas 對此台機器進行弱點掃描,在弱點偵測過程中會有類似攻擊的行為,也會被偵測出來。
▲ 圖九、alert 的示意圖。
軟體下載:
Ubuntu Server 12.04 LTS
轉載自《iThome Download》
以 Snort 實作入侵偵測系統
以 Snort 實作入侵偵測系統
前言
在一般企業中通常會設置防火牆作為防止駭客入侵的第一道防線,有些企業甚至認為防火牆即是唯一需要的資安設備,但在實務上,防火牆並無法有效阻擋所有種類的網路攻擊行為。也因此有所謂的入侵偵測系統設備(既然無法阻擋攻擊,那就記錄攻擊行為,以便事後追查,當然目前也有所謂的入侵預防系統 (Intrusion Prevention System, IPS),除了可記錄惡意行為外還可直接阻擋正在進行中的惡意行為)。在本篇文章中,筆者將結合開源碼社群中最有名的入侵偵測軟體 (Snort) 與 Web 介面的管理軟體 (BASE) 實作一個網頁型的入侵偵測系統。
本系統所需套件如下表:
軟體名稱 說明
Fedora 11 Linux 作業系統
Libpcap 擷取網路封包的程式庫
PCRE 正規化表示法的程式庫
Snort 網路型入侵偵測系統
PHP 網頁程式語言
Apache 網站伺服器
BASE (Basic Analysis and Security Engine) 網頁式入侵偵測系統管理程式
MySQL 資料庫軟體
ADOdb PHP 資料庫程式庫
▲表 1
什麼是入侵偵測系統
入侵偵測系統依偵測型式可分為網路型入侵偵測系統(Network-based Intrusion Detection System,以下簡稱為 NIDS)及主機型入侵偵測系統(Host-based Intrusion Detection System,在此我們不多加討論主機型入侵偵測系統)。
NIDS
網路型入侵偵測系統通常部署在網域閘道上 (gateway),通過竊聽 (sniffer) 的方式,即時監測網路上的封包並比對攻擊模式,當發現有疑似入侵行為時能即時提出警告的防禦系統。一般而言 NIDS 網路部署如下圖示:
▲圖 1
NIDS 部署在網域閘道上 (gateway) 監控所有的封包並與攻擊模式資料庫比對,一旦發現有符合攻擊樣式的網路封包,即觸發相關事件來通知管理者,相信細心的讀者一定會發現上圖中的入侵偵測系統 (Snort) 是接在 switch 裝置前的 hub,而不是與 switch 裝置直接連接,這是因為封包在這兩種裝置上傳遞方式不同的緣故。在 hub 上,封包是採用廣播的方式,當封包進入到 hub 時,將會以廣播的方式將封包傳遞給 hub 上所有的主機,但只有目的主機會接收此封包,也就是說,在 hub 上連接的主機都會接收到封包,只是沒收下來而已,在這個情況下,如果我們讓網卡進入所謂的混亂 (promiscuous) 模式,那網卡就會強制的將同一 hub 上的所有封包資訊接收下來(這也是一些以竊取資料為目的木馬程式的特徵),所以有些網管人員會特別注意相關 log 檔案是否有類似 (promiscuous) 的字串,不過 Snort 在啟動後,也會強迫網卡進入混亂 (promiscuous) 模式,藉此取得其它主機的封包。以 Linux 系統為例;讀者可利用 ifconfig 指令查看目前網卡的狀況,如下圖為一個正常模式的網卡,在此模式下,網卡僅會處理與本身相關的封包。
▲圖 2
讀者可利用 ifconfig eth0 promisc 指令,讓網卡進入混亂 (promiscuous) 模式,如下圖即為一個進入混亂 (promiscuous) 模式的網卡,在此模式下,網卡會處理流經 hub 的所有封包,Snort 即是利用此特性處理網域內的所有封包並比對是否有惡意樣式的封包,所以 Snort 程式在執行時,會將網卡設定成混亂 (promiscuous) 模式。
▲圖 3
而在 switch 裝置上,則是會保存一張對應表,對應接在 switch 上的每台主機埠口(即 switch 裝置上的埠會對應連接此實體埠主機的 MAC 資訊),一旦封包流進此 switch 即會先查詢此對應表,並直接將封包直接傳遞給目的主機,而其他不相關的主機無法接收到封包。因此,若無經過特殊的處理,Snort 直接連在 switch 上是無法取得其它主機的封包。這也是為什麼 Snort 主機不能直接接在 switch 上來從事監控作業,而必須接在 hub 上的原因。除非 switch 有提供所謂的 mirror 功能,可將 switch 上其它埠所接收到的封包複製一份到 Snort 主機所在的埠口上,否則 Snort 接在 switch 上是無法取得其它主機的封包(僅可取得流經自己主機的封包)。
NIDS 偵測的方式可分為特徵比對 (Signature-based) 方式與異常偵測 (Anomaly-based) 方式,如下所述:
特徵比對 (Signature-based)
特徵比對 (Signature-based) 又稱為「不當行為偵測 (Misuse detection)」,系統會先針對入侵特徵建立一「異常特徵資料庫」,只要 NIDS 偵測到的封包內容與資料庫的某個特徵相符,系統即會判別為入侵。此種方式的優點是不易誤判,因為個別的攻擊行為通常擁有特殊的特徵符號。就如同病毒碼一般可精確比對出攻擊模式。但就如上所言,此種方式是否能完整的檢測出惡意的封包,取決於「異常特徵資料庫」的完整性,異常特徵資料庫越完整,檢測出惡意封包的機率就越大,所以此種方式並無法檢測出未知的攻擊方式,因為需要先有攻擊行為才會有攻擊特徵,「異常特徵資料庫」才能加入此種攻擊特徵,最後 NIDS 才可藉此掃描出惡意封包。Snort 所採用的偵測方式,即屬於特徴比對的方式。
異常偵測 (Anomaly-based)
運用統計分析的方式,先定義出正常的系統模式(以下簡稱正常模式),而後當 NIDS 檢測出不符合正常模式的流量時,即判別為異常,此種模式的優點在於可偵測未知的攻擊行為,因為攻擊行為常會造成系統偏離正常模式而被檢測出來,但缺點是很難界定所謂的「正常的系統模式」,所以經常會有誤判的情況,也因此大部份的入侵偵測系統大都採用特徵比對的方式。
安裝 Snort
Snort 是一種以攻擊特徵碼為基礎的入侵偵測系統,利用事先建立好的已知攻擊資料特徵碼,來比對接收到的封包內容是否含有攻擊行為。若符合特徵碼即觸發相對應的動作。相關架構圖如下所示:
▲圖 4
Packet Decoder(封包解碼器)
當 Snort 取得各種不同通訊協定的網路封包後,第一件事即將封包置入「封包解碼器」模組中做第一階段的封包處理與分析,以作為下一個階段(前處理器與偵測引擎)的資料來源。
Preprocessors(前處理器)
Snort 的前處理器為外掛程式 (plugin) 的架構,主要功能在於重新標準化網路流量(如重組封包、分段與重組 TCP stream、編碼的轉換等等),以使得網路流量能精確的被偵測引擎 (Detection Engine) 解析及匹配特徵碼。
Detection Engine(偵測模組)
Detection Engine(偵測模組)主要功能在於規則分析與特徵偵測,Detection Engine(偵測模組)將 Snort 的規則文件引入,並按照規則文件中的規則,逐一比對並分析網路封包,一旦發現封包有符合規則文件中定義的行為,即觸發該規則文件中所定義的處理方式,當所有的規則都不符合時,即會丟棄該封包。Snort 的規則文件分為兩個部份:
1. 規則表頭 (Rule-Header)
規則表頭是規則中第一個圓括孤之前的部份,通常是用來決定封包比對來源範圍(如:限定比對那些範圍的 IP)及比對成功時的動作(如:用 log 或是直接丟棄)。
2. 規則選項 (Rule-Options)
規則選項主要利用一至多個關鍵字設定欲偵測的流量特徵,規則選項依功能可區分為下列四個部份:
(1) Meta-data 用來設定欲顯示的相關訊息,如當規則觸發時所要產生的訊息或弱點的相關參考訊息。
(2) Payload 用來比對封包內容的規則,如比對是否需區分大小寫或特定字串等等。
(3) Non-Payload 用來比對各種協定的欄位值。
(4) Post-Detection 當封包內容與規則符合時,除了在規則表頭 (Rule-Header) 所定義的動作外,另外會觸發的動作指令如下規則範例:
alert tcp any any → any 5432 (msg:"someone access PSQL command:SELECT"; content:"select";)
規則描述如下表:
alert【處理方式】 產生警示的 log
tcp【來源通訊協定】 偵測 TCP 的封包
any【來源 IP】 偵測任何的來源 IP
any【來源 port】 偵測任何的來源埠
any【目的 IP】 偵測任何的目的 IP
5432【目的 port】 僅偵測 5432 埠的封包
【進階處理內容】 若符合內容含有「select」的字串,則將 msg 後的字串記錄起來。
▲表 2
上述規則的意義為:
當主機上的 5432 埠,如果有接收到內含有 select 字串的封包,則記錄一筆警示記錄(記錄內容為「someone access PSQL command:SELECT」)。
Logging and Alerting:當 Snort 偵測出惡意封包時,可以將該訊息記錄起來並觸發相關警告事件。
Output Modules:可將相關資訊輸出到檔案或資料庫等儲存媒介,在本解決方案中,我們會將相關的資訊儲存至資料庫中。
接下來,繼續安裝 Snort,假設讀者已安裝完成 Apache 與 MySQL,請讀者依序以下列步驟安裝相關套件:
1. 安裝 Libpcap 及 PCRE
yum install libpcap*
yum install libpcre*
2. 設定 ADOdb
至 http://adodb.sourceforge.net/ 取得最新的版本,解開後,將相關檔案置於 /usr/local/adodb 目錄即可
3. 安裝 Snort 的資料庫
(1) 新建一個名稱為 snort 的資料庫
(2) 在 Snort 原始碼的 schemas 目錄下有一個 create_mysql 檔案
利用 mysql –u [USER] –p [Password] snort
(新建立 Snort 所需要的資料庫表格)
4. 安裝 Snort
(1) 至 www.snort.org 取得最新版本的 Snort 解壓縮後,如下指令:
./configure && make && make install 即可安裝完成
(2) 接下來即為建立 Snort 所需的相關目錄:
mkdir –p /opt/snort/etc #放置 config 檔案目錄
mkdir –p /opt/snort/rules #放置規則檔的目錄
mkdir –p /var/log/snort #放置 log
(3)下一步即為取得 Snort 的規則集(目前 Snort 是必需付費方可取得最新的規則集,但讀者可至官方網站簡單註冊後,即可取得未註冊的版本)將相關的規則集檔案解壓縮後置於 /opt/snort/rules 即可。
(4)再來即為設定 Snort 的組態檔 (snort.conf),基本上僅需設定下列選項即可:
var HOME_NET any #設定欲監控的主機(any 表示任意的主機均符合)
var EXTERNAL_NET any #設定外部主機範圍
output database: log, mysql, user =【資料庫使用者帳號】
password =【資料庫密碼】 dbname=snort host=localhost
#MySQL 資料庫的支援
在安裝完成後,即可開始測試 Snort,Snort 提供兩種工作模式:
(1) 監聽 (sniffer) 模式
在此模式下,Snort 僅是 sniffer(如 tcpdump)的功能,監聽所有來往的封包,但不會做攻擊模式的比對。
讀者以 snort –v 進入 sniffer 模式,如下圖示:
▲圖 5
(2) NIDS(網路型入侵偵測系統)
在此模式下,Snort 不僅會監聽所有來往的封包,並會做攻擊模式的比對。
5. 安裝 BASE 軟體
由於 BASE 軟體有繪圖及 Email 相關功能, 所以我們還必需安裝 PHP 相關的模組。
pear install Mail #利用安裝 Email
pear install Image_Color-1.0.2.tgz #安裝繪圖所需的模組
pear install Image_Canvas-0.3.0.tgz
pear install Image_Graph-0.7.2.tgz
安裝完成後,可利用 pear list 來檢查是否有安裝相關模組,如下圖示:
▲圖 6
將 BASE 相關程式置於網站根目錄下的 base 目錄,(在此為 /usr/local/apache2/htdocs/base),後利用瀏覽器設定,如下步驟:
步驟1(檢查相關環境):
▲圖 7
步驟2(設定 ADOdb 的所在目錄):
▲圖 8
步驟3(設定資料庫相關的資訊):
▲圖 9
步驟4(設定從網站登入的帳號及密碼資訊):
▲圖 10
步驟5(產生相關的資料庫表格):
▲圖 11
當一切順利完成後,讀者可利用瀏覽器瀏覽 http://〈base IP〉/base/ 即可瀏覽 BASE 的相關頁面
接下來即請讀者啟動 Snort,如下指令:
/usr/local/snort/bin/snort -c /usr/local/snort/etc/snort.conf -D
(以常駐程式方式啟動 Snort,並將網卡設定成 promiscuous,讀者可利用 dmesg 查看是否有類似下列的文字「device eth0 entered promiscuous mode」)。
下圖為 Snort 偵測到 Teardrop(一種拒絕服務攻擊的手法)攻擊的畫面:
▲圖 12
至此,讀者已成功建立網頁型入侵偵測系統。可由網頁介面來掌控入侵偵測系統的相關資訊。(作者是老薯條)
●引用自自由軟體鑄造場
前言
在一般企業中通常會設置防火牆作為防止駭客入侵的第一道防線,有些企業甚至認為防火牆即是唯一需要的資安設備,但在實務上,防火牆並無法有效阻擋所有種類的網路攻擊行為。也因此有所謂的入侵偵測系統設備(既然無法阻擋攻擊,那就記錄攻擊行為,以便事後追查,當然目前也有所謂的入侵預防系統 (Intrusion Prevention System, IPS),除了可記錄惡意行為外還可直接阻擋正在進行中的惡意行為)。在本篇文章中,筆者將結合開源碼社群中最有名的入侵偵測軟體 (Snort) 與 Web 介面的管理軟體 (BASE) 實作一個網頁型的入侵偵測系統。
本系統所需套件如下表:
軟體名稱 說明
Fedora 11 Linux 作業系統
Libpcap 擷取網路封包的程式庫
PCRE 正規化表示法的程式庫
Snort 網路型入侵偵測系統
PHP 網頁程式語言
Apache 網站伺服器
BASE (Basic Analysis and Security Engine) 網頁式入侵偵測系統管理程式
MySQL 資料庫軟體
ADOdb PHP 資料庫程式庫
▲表 1
什麼是入侵偵測系統
入侵偵測系統依偵測型式可分為網路型入侵偵測系統(Network-based Intrusion Detection System,以下簡稱為 NIDS)及主機型入侵偵測系統(Host-based Intrusion Detection System,在此我們不多加討論主機型入侵偵測系統)。
NIDS
網路型入侵偵測系統通常部署在網域閘道上 (gateway),通過竊聽 (sniffer) 的方式,即時監測網路上的封包並比對攻擊模式,當發現有疑似入侵行為時能即時提出警告的防禦系統。一般而言 NIDS 網路部署如下圖示:
▲圖 1
NIDS 部署在網域閘道上 (gateway) 監控所有的封包並與攻擊模式資料庫比對,一旦發現有符合攻擊樣式的網路封包,即觸發相關事件來通知管理者,相信細心的讀者一定會發現上圖中的入侵偵測系統 (Snort) 是接在 switch 裝置前的 hub,而不是與 switch 裝置直接連接,這是因為封包在這兩種裝置上傳遞方式不同的緣故。在 hub 上,封包是採用廣播的方式,當封包進入到 hub 時,將會以廣播的方式將封包傳遞給 hub 上所有的主機,但只有目的主機會接收此封包,也就是說,在 hub 上連接的主機都會接收到封包,只是沒收下來而已,在這個情況下,如果我們讓網卡進入所謂的混亂 (promiscuous) 模式,那網卡就會強制的將同一 hub 上的所有封包資訊接收下來(這也是一些以竊取資料為目的木馬程式的特徵),所以有些網管人員會特別注意相關 log 檔案是否有類似 (promiscuous) 的字串,不過 Snort 在啟動後,也會強迫網卡進入混亂 (promiscuous) 模式,藉此取得其它主機的封包。以 Linux 系統為例;讀者可利用 ifconfig 指令查看目前網卡的狀況,如下圖為一個正常模式的網卡,在此模式下,網卡僅會處理與本身相關的封包。
▲圖 2
讀者可利用 ifconfig eth0 promisc 指令,讓網卡進入混亂 (promiscuous) 模式,如下圖即為一個進入混亂 (promiscuous) 模式的網卡,在此模式下,網卡會處理流經 hub 的所有封包,Snort 即是利用此特性處理網域內的所有封包並比對是否有惡意樣式的封包,所以 Snort 程式在執行時,會將網卡設定成混亂 (promiscuous) 模式。
▲圖 3
而在 switch 裝置上,則是會保存一張對應表,對應接在 switch 上的每台主機埠口(即 switch 裝置上的埠會對應連接此實體埠主機的 MAC 資訊),一旦封包流進此 switch 即會先查詢此對應表,並直接將封包直接傳遞給目的主機,而其他不相關的主機無法接收到封包。因此,若無經過特殊的處理,Snort 直接連在 switch 上是無法取得其它主機的封包。這也是為什麼 Snort 主機不能直接接在 switch 上來從事監控作業,而必須接在 hub 上的原因。除非 switch 有提供所謂的 mirror 功能,可將 switch 上其它埠所接收到的封包複製一份到 Snort 主機所在的埠口上,否則 Snort 接在 switch 上是無法取得其它主機的封包(僅可取得流經自己主機的封包)。
NIDS 偵測的方式可分為特徵比對 (Signature-based) 方式與異常偵測 (Anomaly-based) 方式,如下所述:
特徵比對 (Signature-based)
特徵比對 (Signature-based) 又稱為「不當行為偵測 (Misuse detection)」,系統會先針對入侵特徵建立一「異常特徵資料庫」,只要 NIDS 偵測到的封包內容與資料庫的某個特徵相符,系統即會判別為入侵。此種方式的優點是不易誤判,因為個別的攻擊行為通常擁有特殊的特徵符號。就如同病毒碼一般可精確比對出攻擊模式。但就如上所言,此種方式是否能完整的檢測出惡意的封包,取決於「異常特徵資料庫」的完整性,異常特徵資料庫越完整,檢測出惡意封包的機率就越大,所以此種方式並無法檢測出未知的攻擊方式,因為需要先有攻擊行為才會有攻擊特徵,「異常特徵資料庫」才能加入此種攻擊特徵,最後 NIDS 才可藉此掃描出惡意封包。Snort 所採用的偵測方式,即屬於特徴比對的方式。
異常偵測 (Anomaly-based)
運用統計分析的方式,先定義出正常的系統模式(以下簡稱正常模式),而後當 NIDS 檢測出不符合正常模式的流量時,即判別為異常,此種模式的優點在於可偵測未知的攻擊行為,因為攻擊行為常會造成系統偏離正常模式而被檢測出來,但缺點是很難界定所謂的「正常的系統模式」,所以經常會有誤判的情況,也因此大部份的入侵偵測系統大都採用特徵比對的方式。
安裝 Snort
Snort 是一種以攻擊特徵碼為基礎的入侵偵測系統,利用事先建立好的已知攻擊資料特徵碼,來比對接收到的封包內容是否含有攻擊行為。若符合特徵碼即觸發相對應的動作。相關架構圖如下所示:
▲圖 4
Packet Decoder(封包解碼器)
當 Snort 取得各種不同通訊協定的網路封包後,第一件事即將封包置入「封包解碼器」模組中做第一階段的封包處理與分析,以作為下一個階段(前處理器與偵測引擎)的資料來源。
Preprocessors(前處理器)
Snort 的前處理器為外掛程式 (plugin) 的架構,主要功能在於重新標準化網路流量(如重組封包、分段與重組 TCP stream、編碼的轉換等等),以使得網路流量能精確的被偵測引擎 (Detection Engine) 解析及匹配特徵碼。
Detection Engine(偵測模組)
Detection Engine(偵測模組)主要功能在於規則分析與特徵偵測,Detection Engine(偵測模組)將 Snort 的規則文件引入,並按照規則文件中的規則,逐一比對並分析網路封包,一旦發現封包有符合規則文件中定義的行為,即觸發該規則文件中所定義的處理方式,當所有的規則都不符合時,即會丟棄該封包。Snort 的規則文件分為兩個部份:
1. 規則表頭 (Rule-Header)
規則表頭是規則中第一個圓括孤之前的部份,通常是用來決定封包比對來源範圍(如:限定比對那些範圍的 IP)及比對成功時的動作(如:用 log 或是直接丟棄)。
2. 規則選項 (Rule-Options)
規則選項主要利用一至多個關鍵字設定欲偵測的流量特徵,規則選項依功能可區分為下列四個部份:
(1) Meta-data 用來設定欲顯示的相關訊息,如當規則觸發時所要產生的訊息或弱點的相關參考訊息。
(2) Payload 用來比對封包內容的規則,如比對是否需區分大小寫或特定字串等等。
(3) Non-Payload 用來比對各種協定的欄位值。
(4) Post-Detection 當封包內容與規則符合時,除了在規則表頭 (Rule-Header) 所定義的動作外,另外會觸發的動作指令如下規則範例:
alert tcp any any → any 5432 (msg:"someone access PSQL command:SELECT"; content:"select";)
規則描述如下表:
alert【處理方式】 產生警示的 log
tcp【來源通訊協定】 偵測 TCP 的封包
any【來源 IP】 偵測任何的來源 IP
any【來源 port】 偵測任何的來源埠
any【目的 IP】 偵測任何的目的 IP
5432【目的 port】 僅偵測 5432 埠的封包
【進階處理內容】 若符合內容含有「select」的字串,則將 msg 後的字串記錄起來。
▲表 2
上述規則的意義為:
當主機上的 5432 埠,如果有接收到內含有 select 字串的封包,則記錄一筆警示記錄(記錄內容為「someone access PSQL command:SELECT」)。
Logging and Alerting:當 Snort 偵測出惡意封包時,可以將該訊息記錄起來並觸發相關警告事件。
Output Modules:可將相關資訊輸出到檔案或資料庫等儲存媒介,在本解決方案中,我們會將相關的資訊儲存至資料庫中。
接下來,繼續安裝 Snort,假設讀者已安裝完成 Apache 與 MySQL,請讀者依序以下列步驟安裝相關套件:
1. 安裝 Libpcap 及 PCRE
yum install libpcap*
yum install libpcre*
2. 設定 ADOdb
至 http://adodb.sourceforge.net/ 取得最新的版本,解開後,將相關檔案置於 /usr/local/adodb 目錄即可
3. 安裝 Snort 的資料庫
(1) 新建一個名稱為 snort 的資料庫
(2) 在 Snort 原始碼的 schemas 目錄下有一個 create_mysql 檔案
利用 mysql –u [USER] –p [Password] snort
(新建立 Snort 所需要的資料庫表格)
4. 安裝 Snort
(1) 至 www.snort.org 取得最新版本的 Snort 解壓縮後,如下指令:
./configure && make && make install 即可安裝完成
(2) 接下來即為建立 Snort 所需的相關目錄:
mkdir –p /opt/snort/etc #放置 config 檔案目錄
mkdir –p /opt/snort/rules #放置規則檔的目錄
mkdir –p /var/log/snort #放置 log
(3)下一步即為取得 Snort 的規則集(目前 Snort 是必需付費方可取得最新的規則集,但讀者可至官方網站簡單註冊後,即可取得未註冊的版本)將相關的規則集檔案解壓縮後置於 /opt/snort/rules 即可。
(4)再來即為設定 Snort 的組態檔 (snort.conf),基本上僅需設定下列選項即可:
var HOME_NET any #設定欲監控的主機(any 表示任意的主機均符合)
var EXTERNAL_NET any #設定外部主機範圍
output database: log, mysql, user =【資料庫使用者帳號】
password =【資料庫密碼】 dbname=snort host=localhost
#MySQL 資料庫的支援
在安裝完成後,即可開始測試 Snort,Snort 提供兩種工作模式:
(1) 監聽 (sniffer) 模式
在此模式下,Snort 僅是 sniffer(如 tcpdump)的功能,監聽所有來往的封包,但不會做攻擊模式的比對。
讀者以 snort –v 進入 sniffer 模式,如下圖示:
▲圖 5
(2) NIDS(網路型入侵偵測系統)
在此模式下,Snort 不僅會監聽所有來往的封包,並會做攻擊模式的比對。
5. 安裝 BASE 軟體
由於 BASE 軟體有繪圖及 Email 相關功能, 所以我們還必需安裝 PHP 相關的模組。
pear install Mail #利用安裝 Email
pear install Image_Color-1.0.2.tgz #安裝繪圖所需的模組
pear install Image_Canvas-0.3.0.tgz
pear install Image_Graph-0.7.2.tgz
安裝完成後,可利用 pear list 來檢查是否有安裝相關模組,如下圖示:
▲圖 6
將 BASE 相關程式置於網站根目錄下的 base 目錄,(在此為 /usr/local/apache2/htdocs/base),後利用瀏覽器設定,如下步驟:
步驟1(檢查相關環境):
▲圖 7
步驟2(設定 ADOdb 的所在目錄):
▲圖 8
步驟3(設定資料庫相關的資訊):
▲圖 9
步驟4(設定從網站登入的帳號及密碼資訊):
▲圖 10
步驟5(產生相關的資料庫表格):
▲圖 11
當一切順利完成後,讀者可利用瀏覽器瀏覽 http://〈base IP〉/base/ 即可瀏覽 BASE 的相關頁面
接下來即請讀者啟動 Snort,如下指令:
/usr/local/snort/bin/snort -c /usr/local/snort/etc/snort.conf -D
(以常駐程式方式啟動 Snort,並將網卡設定成 promiscuous,讀者可利用 dmesg 查看是否有類似下列的文字「device eth0 entered promiscuous mode」)。
下圖為 Snort 偵測到 Teardrop(一種拒絕服務攻擊的手法)攻擊的畫面:
▲圖 12
至此,讀者已成功建立網頁型入侵偵測系統。可由網頁介面來掌控入侵偵測系統的相關資訊。(作者是老薯條)
●引用自自由軟體鑄造場
復原損毀VM映像檔 挑戰虛擬機器鑑識採證
採集證據易忽略 若遭刪除更添追查難度
復原損毀VM映像檔 挑戰虛擬機器鑑識採證
邁入數位化時代,使用者若想在硬體資源有限情況下,滿足使用多種作業系統的需求,虛擬化技術是大部分使用者的選擇。但在電腦犯罪中,犯罪者也可能利用虛擬機器軟體建置多個虛擬主機進行非法活動,獲取不法利益。有鑑於此,在進行虛擬機器的鑑識工作前,除了基本的數位鑑識知識外,必須了解虛擬機器的架構,並知悉如何復原損壞的映像檔。
在科技進步的時代,硬體性能每隔一小段時間就提升許多,許多個人電腦及公司行號的主機都具有極佳的硬體配備。
對於企業而言,為了充分利用運作中主機或電腦的閒置資源,或者是減少硬體方面的花費,虛擬化技術是一個解決問題的好選擇,因為它可以用虛擬化技術模擬出另一台電腦,並在模擬出的電腦上建置作業系統,而運作方式又與實體系統沒有太大的差異。
因為前述的好處,虛擬機器已經被廣泛地使用。近期已出現利用虛擬機器進行犯罪的案例。虛擬機器的使用,讓犯罪者可以節省硬體方面的開銷,利用少數幾台主機就可達到模擬數十台主機的效果。
當犯罪行為完成後,數位跡證又可以快速地被銷毀,因此虛擬機器成為了犯罪者的犯罪工具。透過虛擬化技術的電腦犯罪行為,對於鑑識人員而言,與傳統電腦鑑識採證方法已有所差異。
就犯罪者向業者租用主機的情況下,鑑識人員除了不易追蹤犯罪者外,在採證方面亦須業者配合,造成取證的困難性。
另外,採用虛擬機器的犯罪,若是虛擬機器的相關資訊被刪除後,有可能造成鑑識人員忽略對虛擬機器進行查證的工作。而進行虛擬機器的鑑識工作需要了解虛擬機器的特性,例如面對損壞的映像檔,該如何獲取相關的犯罪跡證。
接下來,先介紹虛擬機器的相關背景,以及對於使用虛擬機器主機取證和復原損壞映像檔的方法。
虛擬機器如何運作
虛擬機器是虛擬化技術其中的一種工具,它可以在主機上或是終端伺服器與終端使用者之間透過虛擬化技術創造出一台虛擬的硬體機器,因為這個硬體並不是實際存在的,所以稱為虛擬機器。雖然稱為虛擬機器,但事實上虛擬機器中的資料是實際存在的。
簡而言之,可以將虛擬機器看成一種模擬器,利用主機既有硬體資源模擬出另一台主機的硬體規格,如同一台電腦。因此對於硬體效能較好的主機而言,可以模擬一個或多個的作業系統來進行作業,減少硬體成本。
目前使用虛擬機器大概有兩種目的,第一種是讓一部具備高效能硬體規格的主機負責多種任務。例如在一部主機上同時裝載多個作業系統,充分運用實體主機的所有資源。
第二種是同時使用多種不同的作業系統,目前市面上有Linux、Mac、Windows等作業系統。而作業系統又有各家的不同版本,對於使用者而言,若想切換多個作業系統,利用虛擬機器就不必重新啟動主機,直接做切換系統的動作。目前市面上有許多不同的虛擬機器軟體可以選用,例如VMware、Microsoft、Citrix等等。
如圖1所示,根據iThome 2011年調查的數據虛擬機器軟體的平台採用,以VMware市占率最高。而且VMware也是最早發展虛擬機器平台的公司,因此本文就以VMware為例進行虛擬機器的介紹。
▲圖1 虛擬化平台採用比例。
虛擬機器採行的架構
在了解虛擬化技術之前,有兩個名詞必須先了解,就是Host OS以及Guest OS,所謂的Host OS,就是安裝虛擬機器時運行虛擬機器軟體的作業系統,而Guest OS則是在虛擬機器軟體上安裝的作業系統。
例如,在原本的Windows XP系統下安裝了虛擬機器軟體,並且在虛擬機器軟體內安裝Linux作業系統,此時Windows XP即為Host OS,Linux則是Guest OS。但目前的虛擬化技術並不是所有的虛擬機器都必須具備Host OS。
因此,虛擬機器的虛擬化技術主要分為下述兩種:
1.寄宿架構
所謂的寄宿架構(Hosted Architecture)也稱為初期架構,使用虛擬化技術模擬虛擬的硬體和軟體,並將模擬出的軟、硬體架構於Host OS之上,形成一個在作業系統中存在另一個作業系統的架構。
如圖2左圖所示,虛擬機器軟體讓Host OS認為模擬出的硬體是一個應用程式,而虛擬機器層透過Host OS與實體硬體對話,進而使用硬體的資源。此種架構最大優點是硬體相容性高,只需要具備Host OS,就可以使用Guest OS。
▲圖2 虛擬機器目前採行的兩種架構:寄宿架構及裸金屬架構。
但此種架構的缺點是效能低,各虛擬機器層沒有獨立的硬體資源,一旦Host OS被攻擊的話,也會導致所有虛擬機器無法運作。VMware Workstation與Microsoft Virtual PC即採用此架構。
2. 裸金屬架構
裸金屬架構(Bare-metal Architecture)比起寄宿架構,是更進階的一種技術,此種架構不再需要透過Host OS與硬體對話,虛擬機器層直接運行在硬體上。
如圖2右圖所示,虛擬機器層直接接管所有硬體資源,並且每一個虛擬機器都有配置硬體資源。因此,在這樣的架構下,最大優點在於不同虛擬系統運作效能高,且任何一個Guest OS遭受攻擊或損壞,皆不會影響到其他的Guest OS。
不過,其缺點是硬體相容性低。因為硬體必須具備相對應的驅動程式才能將Hypervisor植入核心,因此使用限制較多,相容性相對而言較低。VMware ESX/ESXi、Microsoft Hyper-V以及Citrix Xen Server即是採用此種架構。
根據以上所提及的虛擬化技術,目前一般使用者多採用寄宿架構,而企業因為效能關係,則採用裸金屬架構。
VMware Workstation檔案說明
為了要更了解虛擬機器的運作,接下來會說明虛擬機器的檔案各自代表甚麼意義,並將透過不同的副檔名介紹各個檔案的功能,如此一來就能知道虛擬機器如何將本身模擬成一台電腦。
以下分別說明VMware Workstation內幾種主要的檔案:
Vmx檔
這是一個主要配置檔,記錄使用者對於虛擬機器的設定值。
Log檔
Log檔就像是一本日記簿,記錄著VMware Workstation的主要活動,當虛擬機器運作上發生問題時,可以查看先前的Log檔發生什麼問題。而Log檔也存放一些Vmx檔內沒有提及的訊息。
Vmsd檔、Vmsn檔及Vmss檔
在介紹這三個檔案前,必須先說明何謂「快照」。快照好比對著系統資料庫內的資料拍照,「快照」會將拍照時間點的資料記錄下來,若以後系統有所變動的時候,可以當成還原的依據,而Vmsd檔、Vmsn檔及Vmss檔則為儲存快照資訊和資料的檔案。
Vmsn檔可在使用者對虛擬機器進行快照時記錄當時虛擬機器運行狀態。因此,Vmsd與Vmsn兩者在虛擬機器中扮演著復原點的角色,而Vmss檔則記錄虛擬機器暫停時的狀態。
Vmdk檔
Vmdk檔在虛擬機器內的角色,就如同電腦中的硬碟。一個虛擬硬碟主要是由多個Vmdk檔組成,因此Vmdk檔內容都存放虛擬機器的資料。數位鑑識人員可以從裡面的資料找尋有無相關線索。
Vmem檔
相較於Vmdk為扮演虛擬硬碟的角色,Vmem則扮演虛擬機器中的記憶體角色。它記錄虛擬機器存放於記憶體的資料,並且只有當虛擬機器運行或是暫停狀態才會存在,同時它也擔任一個備份資料的角色。不過,當虛擬機器被終止運行時,就如同電腦被關機後揮發性記憶體資料會消失,此檔案也會被虛擬機器自動刪除。
以上所介紹的虛擬機器中的各種檔案,整理如表1以供比對。
表1 虛擬機器的各種檔案
案例情境說明
A君利用國內拍賣網站進行拍賣詐騙,並且盜取民眾交易資料,詐騙手法是以付款設定錯誤方式,使被害者重複匯款。
如圖3所示,A君有著資訊背景,為了節省成本及方便管理,他在兩台主機中利用VMware Workstation軟體掛載多個作業系統。
▲圖3 VMware Workstation運行Windows 8於Host OS下。
鑑識人員接獲被害者報案後,隨即追查拍賣網站的IP位址,而經過一連串的追蹤,得知A君主機所在地。到了擺放主機的現場,鑑識人員原本預計會有多台主機,但卻未料到只有兩台主機。
而此時,在現場的A君發現鑑識人員入內,為避免犯罪跡證被萃取,隨即打算刪除有關虛擬機器的檔案。雖鑑識人員立即阻止,但已有部分虛擬機器的檔案被A君刪除。
為了要找尋A君的犯罪證據,鑑識人員發現A君是採用虛擬機器犯案,因此必須針對虛擬機器內的資料進行鑑識。
由於A君利用虛擬機器進行犯案,鑑識人員需要判斷虛擬機器的狀況,才能選擇適當的數位鑑識工作流程,避免破壞數位證據。
虛擬機器聽起來似乎只是虛無飄渺的,但是A君犯罪的資料卻實際記錄於其中。為了蒐集到A君的犯罪證據,接著以四個鑑識步驟介紹虛擬機器的數位鑑識。
1. 分析虛擬機器類型及採用的虛擬化技術
在進行虛擬機器的數位鑑識時,首先必須知道主機上運行的虛擬機器軟體以及所使用的虛擬化技術。原因在於,目前市面上有許多不同的虛擬機器軟體,而每一種軟體都有其特性,鑑識人員依據軟體特性,決定鑑識方法。
了解A君是使用VMware的虛擬軟體後,立即對虛擬機器進行資料萃取和蒐集,例如遭刪除的資料、加密的檔案及其他活動紀錄檔。
由於虛擬機器檔案容量都很大,因此虛擬機器的檔案被刪除,並不會被丟進資源回收筒中,而是直接被系統直接刪除。所以,為了確保資料能夠完整萃取分析,鑑識人員需要進行映像檔的還原,並在映像檔中萃取數位跡證。
2. 虛擬機器上進行數位鑑識的方法
由於虛擬機器映像檔必須完整才可啟動虛擬機器,鑑識人員在進行虛擬機器的數位鑑識時,為了避免虛擬機器的資料遭受損害,應盡量採用現場蒐證鑑識法。
也就是,在主機仍在運行的情況下,進行資料的取證以及分析。如此一來,除了可取得揮發性記憶體中的資料外,也避免因為關機或系統重新啟動而失去一些重要的資料。
虛擬機器的數位鑑識方法有兩種,第一種是先依照鑑識作業流程,將電腦中的資料利用Encase或FTK等鑑識軟體完整拷貝成映像檔至鑑識硬碟內,並在之後對映像檔內容進行分析。
如圖4所示,對於虛擬機器的鑑識,要特別注意虛擬機器內相關的檔案。這些檔案含有重要的跡證資料,之後鑑識人員進行分析時也需要利用這些檔案重建虛擬機器。
▲圖4 VMware檔案及其檔案類型。
第二種方式是,虛擬機器藉由該軟體相關程式輸出成一個映像檔。之後再利用虛擬機器軟體載入此映像檔,直接透過鑑識工具進行資料的採集和分析。
3. 虛擬機器映像檔復原
由於A君在鑑識人員進入房間時,已經有做一些破壞的動作,因此鑑識人員進行映像檔的輸出或拷貝時發生映像檔損壞的情形,必須先檢視該映像檔是否可以進行復原。
在復原的方面,若是映像檔為SPARCE文件,在一定的損壞程度中,檔案是可以被復原的,SPARCE文件結構如圖5所示。復原的工作將分成下列的步驟:
▲圖5 SPARCE文件結構。
首先在表頭(Sparse header)部分,可以根據Vmx檔和Log檔的內容進行表頭的復原,因為表頭內主要都存放一些虛擬機器的設定值。
前面有提到Vmx檔主要記錄的是虛擬軟體的設定值,而Log檔則記錄一些主要的活動。因此若是設定值有所變更,也可以從Log檔內發現。
在進行表頭的復原中,主要有以下三個欄位:
(1)Extent的大小
(2)存放Metadata的Sector數量
(3)Grain資料夾的位置。其他欄位採用預設值即可。
完成表頭復原工作後,檢查SPARCE文件結構內的欄位是否有所損壞,若有損壞,則對以下欄位進行復原動作:
(1)CID及Parent CID:此欄位值可以從虛擬機器的快照中找到,也就是本文前段所提到的Vmsd檔、Vmsn檔及Vmss檔,若是沒有虛擬機器的快照,或是無法找尋到此欄位的內容,可以將其設為此欄位本身的預設值”ffffffff”。
(2)Extent的大小:此欄位值與表頭中第一個要復原的欄位是相同的值。
(3)Extent的格式:格式可以分為sparse和flat,此欄位可以由Vmx與Log檔的檔名進行辨識。
(4)Extense的儲存檔名:此欄位亦可由Vmx檔及Log檔中發現。
完成這兩個復原動作後,映像檔大致上已經復原,可以進行分析的動作。
4. 若無法復原以及其他鑑識手法
若採用上述的方法,映像檔仍然無法恢復,鑑識人員還是必須對於映像檔進行metadata的採取及分析。此外,若虛擬機器是建置於Windows作業系統環境下,可以從註冊檔中找到A君在拍賣所使用的帳號和線索。
除了分析映像檔外,鑑識人員也必須針對Vmem檔進行分析,因為Vmem檔為虛擬機器中的記憶體,在分析Vmem檔時可以利用Compare VMware snapshots或是Memparser工具從記憶體中取得有用的資料,Memparser工具如圖6所示。
▲圖6 Memparser工具。
從虛擬機器中所鑑識出的資料,可提供鑑識人員推斷犯罪者的犯罪手法。同一台機器中,單一作業系統已經不是唯一的選擇。面對能夠多方執行作業系統的虛擬機器,鑑識人員必須了解運作狀態,進而選擇適當的鑑識方法。
結語
虛擬化技術在雲端技術廣泛的應用下更趨重要,對於犯罪者而言也是方便管理並且可以快速損毀證據的工具。虛擬機器雖然聽起來是透過模擬而產生的系統,但虛擬機器中模擬出的硬體確實是虛擬,但是存在於虛擬機器中的資料卻是實質上的證據。有時鑑識人員可能因為疏忽了虛擬機器而忽略掉重要的證據。鑑識人員在進行虛擬機器的數位鑑識時,必須對虛擬機器有一定的了解,才能夠在虛擬機器中取出更多有用的證據。
原文出處:中央警察大學資訊密碼暨建構實驗室(ICCL)
轉載自《網管人》
復原損毀VM映像檔 挑戰虛擬機器鑑識採證
邁入數位化時代,使用者若想在硬體資源有限情況下,滿足使用多種作業系統的需求,虛擬化技術是大部分使用者的選擇。但在電腦犯罪中,犯罪者也可能利用虛擬機器軟體建置多個虛擬主機進行非法活動,獲取不法利益。有鑑於此,在進行虛擬機器的鑑識工作前,除了基本的數位鑑識知識外,必須了解虛擬機器的架構,並知悉如何復原損壞的映像檔。
在科技進步的時代,硬體性能每隔一小段時間就提升許多,許多個人電腦及公司行號的主機都具有極佳的硬體配備。
對於企業而言,為了充分利用運作中主機或電腦的閒置資源,或者是減少硬體方面的花費,虛擬化技術是一個解決問題的好選擇,因為它可以用虛擬化技術模擬出另一台電腦,並在模擬出的電腦上建置作業系統,而運作方式又與實體系統沒有太大的差異。
因為前述的好處,虛擬機器已經被廣泛地使用。近期已出現利用虛擬機器進行犯罪的案例。虛擬機器的使用,讓犯罪者可以節省硬體方面的開銷,利用少數幾台主機就可達到模擬數十台主機的效果。
當犯罪行為完成後,數位跡證又可以快速地被銷毀,因此虛擬機器成為了犯罪者的犯罪工具。透過虛擬化技術的電腦犯罪行為,對於鑑識人員而言,與傳統電腦鑑識採證方法已有所差異。
就犯罪者向業者租用主機的情況下,鑑識人員除了不易追蹤犯罪者外,在採證方面亦須業者配合,造成取證的困難性。
另外,採用虛擬機器的犯罪,若是虛擬機器的相關資訊被刪除後,有可能造成鑑識人員忽略對虛擬機器進行查證的工作。而進行虛擬機器的鑑識工作需要了解虛擬機器的特性,例如面對損壞的映像檔,該如何獲取相關的犯罪跡證。
接下來,先介紹虛擬機器的相關背景,以及對於使用虛擬機器主機取證和復原損壞映像檔的方法。
虛擬機器如何運作
虛擬機器是虛擬化技術其中的一種工具,它可以在主機上或是終端伺服器與終端使用者之間透過虛擬化技術創造出一台虛擬的硬體機器,因為這個硬體並不是實際存在的,所以稱為虛擬機器。雖然稱為虛擬機器,但事實上虛擬機器中的資料是實際存在的。
簡而言之,可以將虛擬機器看成一種模擬器,利用主機既有硬體資源模擬出另一台主機的硬體規格,如同一台電腦。因此對於硬體效能較好的主機而言,可以模擬一個或多個的作業系統來進行作業,減少硬體成本。
目前使用虛擬機器大概有兩種目的,第一種是讓一部具備高效能硬體規格的主機負責多種任務。例如在一部主機上同時裝載多個作業系統,充分運用實體主機的所有資源。
第二種是同時使用多種不同的作業系統,目前市面上有Linux、Mac、Windows等作業系統。而作業系統又有各家的不同版本,對於使用者而言,若想切換多個作業系統,利用虛擬機器就不必重新啟動主機,直接做切換系統的動作。目前市面上有許多不同的虛擬機器軟體可以選用,例如VMware、Microsoft、Citrix等等。
如圖1所示,根據iThome 2011年調查的數據虛擬機器軟體的平台採用,以VMware市占率最高。而且VMware也是最早發展虛擬機器平台的公司,因此本文就以VMware為例進行虛擬機器的介紹。
▲圖1 虛擬化平台採用比例。
虛擬機器採行的架構
在了解虛擬化技術之前,有兩個名詞必須先了解,就是Host OS以及Guest OS,所謂的Host OS,就是安裝虛擬機器時運行虛擬機器軟體的作業系統,而Guest OS則是在虛擬機器軟體上安裝的作業系統。
例如,在原本的Windows XP系統下安裝了虛擬機器軟體,並且在虛擬機器軟體內安裝Linux作業系統,此時Windows XP即為Host OS,Linux則是Guest OS。但目前的虛擬化技術並不是所有的虛擬機器都必須具備Host OS。
因此,虛擬機器的虛擬化技術主要分為下述兩種:
1.寄宿架構
所謂的寄宿架構(Hosted Architecture)也稱為初期架構,使用虛擬化技術模擬虛擬的硬體和軟體,並將模擬出的軟、硬體架構於Host OS之上,形成一個在作業系統中存在另一個作業系統的架構。
如圖2左圖所示,虛擬機器軟體讓Host OS認為模擬出的硬體是一個應用程式,而虛擬機器層透過Host OS與實體硬體對話,進而使用硬體的資源。此種架構最大優點是硬體相容性高,只需要具備Host OS,就可以使用Guest OS。
▲圖2 虛擬機器目前採行的兩種架構:寄宿架構及裸金屬架構。
但此種架構的缺點是效能低,各虛擬機器層沒有獨立的硬體資源,一旦Host OS被攻擊的話,也會導致所有虛擬機器無法運作。VMware Workstation與Microsoft Virtual PC即採用此架構。
2. 裸金屬架構
裸金屬架構(Bare-metal Architecture)比起寄宿架構,是更進階的一種技術,此種架構不再需要透過Host OS與硬體對話,虛擬機器層直接運行在硬體上。
如圖2右圖所示,虛擬機器層直接接管所有硬體資源,並且每一個虛擬機器都有配置硬體資源。因此,在這樣的架構下,最大優點在於不同虛擬系統運作效能高,且任何一個Guest OS遭受攻擊或損壞,皆不會影響到其他的Guest OS。
不過,其缺點是硬體相容性低。因為硬體必須具備相對應的驅動程式才能將Hypervisor植入核心,因此使用限制較多,相容性相對而言較低。VMware ESX/ESXi、Microsoft Hyper-V以及Citrix Xen Server即是採用此種架構。
根據以上所提及的虛擬化技術,目前一般使用者多採用寄宿架構,而企業因為效能關係,則採用裸金屬架構。
VMware Workstation檔案說明
為了要更了解虛擬機器的運作,接下來會說明虛擬機器的檔案各自代表甚麼意義,並將透過不同的副檔名介紹各個檔案的功能,如此一來就能知道虛擬機器如何將本身模擬成一台電腦。
以下分別說明VMware Workstation內幾種主要的檔案:
Vmx檔
這是一個主要配置檔,記錄使用者對於虛擬機器的設定值。
Log檔
Log檔就像是一本日記簿,記錄著VMware Workstation的主要活動,當虛擬機器運作上發生問題時,可以查看先前的Log檔發生什麼問題。而Log檔也存放一些Vmx檔內沒有提及的訊息。
Vmsd檔、Vmsn檔及Vmss檔
在介紹這三個檔案前,必須先說明何謂「快照」。快照好比對著系統資料庫內的資料拍照,「快照」會將拍照時間點的資料記錄下來,若以後系統有所變動的時候,可以當成還原的依據,而Vmsd檔、Vmsn檔及Vmss檔則為儲存快照資訊和資料的檔案。
Vmsn檔可在使用者對虛擬機器進行快照時記錄當時虛擬機器運行狀態。因此,Vmsd與Vmsn兩者在虛擬機器中扮演著復原點的角色,而Vmss檔則記錄虛擬機器暫停時的狀態。
Vmdk檔
Vmdk檔在虛擬機器內的角色,就如同電腦中的硬碟。一個虛擬硬碟主要是由多個Vmdk檔組成,因此Vmdk檔內容都存放虛擬機器的資料。數位鑑識人員可以從裡面的資料找尋有無相關線索。
Vmem檔
相較於Vmdk為扮演虛擬硬碟的角色,Vmem則扮演虛擬機器中的記憶體角色。它記錄虛擬機器存放於記憶體的資料,並且只有當虛擬機器運行或是暫停狀態才會存在,同時它也擔任一個備份資料的角色。不過,當虛擬機器被終止運行時,就如同電腦被關機後揮發性記憶體資料會消失,此檔案也會被虛擬機器自動刪除。
以上所介紹的虛擬機器中的各種檔案,整理如表1以供比對。
表1 虛擬機器的各種檔案
案例情境說明
A君利用國內拍賣網站進行拍賣詐騙,並且盜取民眾交易資料,詐騙手法是以付款設定錯誤方式,使被害者重複匯款。
如圖3所示,A君有著資訊背景,為了節省成本及方便管理,他在兩台主機中利用VMware Workstation軟體掛載多個作業系統。
▲圖3 VMware Workstation運行Windows 8於Host OS下。
鑑識人員接獲被害者報案後,隨即追查拍賣網站的IP位址,而經過一連串的追蹤,得知A君主機所在地。到了擺放主機的現場,鑑識人員原本預計會有多台主機,但卻未料到只有兩台主機。
而此時,在現場的A君發現鑑識人員入內,為避免犯罪跡證被萃取,隨即打算刪除有關虛擬機器的檔案。雖鑑識人員立即阻止,但已有部分虛擬機器的檔案被A君刪除。
為了要找尋A君的犯罪證據,鑑識人員發現A君是採用虛擬機器犯案,因此必須針對虛擬機器內的資料進行鑑識。
由於A君利用虛擬機器進行犯案,鑑識人員需要判斷虛擬機器的狀況,才能選擇適當的數位鑑識工作流程,避免破壞數位證據。
虛擬機器聽起來似乎只是虛無飄渺的,但是A君犯罪的資料卻實際記錄於其中。為了蒐集到A君的犯罪證據,接著以四個鑑識步驟介紹虛擬機器的數位鑑識。
1. 分析虛擬機器類型及採用的虛擬化技術
在進行虛擬機器的數位鑑識時,首先必須知道主機上運行的虛擬機器軟體以及所使用的虛擬化技術。原因在於,目前市面上有許多不同的虛擬機器軟體,而每一種軟體都有其特性,鑑識人員依據軟體特性,決定鑑識方法。
了解A君是使用VMware的虛擬軟體後,立即對虛擬機器進行資料萃取和蒐集,例如遭刪除的資料、加密的檔案及其他活動紀錄檔。
由於虛擬機器檔案容量都很大,因此虛擬機器的檔案被刪除,並不會被丟進資源回收筒中,而是直接被系統直接刪除。所以,為了確保資料能夠完整萃取分析,鑑識人員需要進行映像檔的還原,並在映像檔中萃取數位跡證。
2. 虛擬機器上進行數位鑑識的方法
由於虛擬機器映像檔必須完整才可啟動虛擬機器,鑑識人員在進行虛擬機器的數位鑑識時,為了避免虛擬機器的資料遭受損害,應盡量採用現場蒐證鑑識法。
也就是,在主機仍在運行的情況下,進行資料的取證以及分析。如此一來,除了可取得揮發性記憶體中的資料外,也避免因為關機或系統重新啟動而失去一些重要的資料。
虛擬機器的數位鑑識方法有兩種,第一種是先依照鑑識作業流程,將電腦中的資料利用Encase或FTK等鑑識軟體完整拷貝成映像檔至鑑識硬碟內,並在之後對映像檔內容進行分析。
如圖4所示,對於虛擬機器的鑑識,要特別注意虛擬機器內相關的檔案。這些檔案含有重要的跡證資料,之後鑑識人員進行分析時也需要利用這些檔案重建虛擬機器。
▲圖4 VMware檔案及其檔案類型。
第二種方式是,虛擬機器藉由該軟體相關程式輸出成一個映像檔。之後再利用虛擬機器軟體載入此映像檔,直接透過鑑識工具進行資料的採集和分析。
3. 虛擬機器映像檔復原
由於A君在鑑識人員進入房間時,已經有做一些破壞的動作,因此鑑識人員進行映像檔的輸出或拷貝時發生映像檔損壞的情形,必須先檢視該映像檔是否可以進行復原。
在復原的方面,若是映像檔為SPARCE文件,在一定的損壞程度中,檔案是可以被復原的,SPARCE文件結構如圖5所示。復原的工作將分成下列的步驟:
▲圖5 SPARCE文件結構。
首先在表頭(Sparse header)部分,可以根據Vmx檔和Log檔的內容進行表頭的復原,因為表頭內主要都存放一些虛擬機器的設定值。
前面有提到Vmx檔主要記錄的是虛擬軟體的設定值,而Log檔則記錄一些主要的活動。因此若是設定值有所變更,也可以從Log檔內發現。
在進行表頭的復原中,主要有以下三個欄位:
(1)Extent的大小
(2)存放Metadata的Sector數量
(3)Grain資料夾的位置。其他欄位採用預設值即可。
完成表頭復原工作後,檢查SPARCE文件結構內的欄位是否有所損壞,若有損壞,則對以下欄位進行復原動作:
(1)CID及Parent CID:此欄位值可以從虛擬機器的快照中找到,也就是本文前段所提到的Vmsd檔、Vmsn檔及Vmss檔,若是沒有虛擬機器的快照,或是無法找尋到此欄位的內容,可以將其設為此欄位本身的預設值”ffffffff”。
(2)Extent的大小:此欄位值與表頭中第一個要復原的欄位是相同的值。
(3)Extent的格式:格式可以分為sparse和flat,此欄位可以由Vmx與Log檔的檔名進行辨識。
(4)Extense的儲存檔名:此欄位亦可由Vmx檔及Log檔中發現。
完成這兩個復原動作後,映像檔大致上已經復原,可以進行分析的動作。
4. 若無法復原以及其他鑑識手法
若採用上述的方法,映像檔仍然無法恢復,鑑識人員還是必須對於映像檔進行metadata的採取及分析。此外,若虛擬機器是建置於Windows作業系統環境下,可以從註冊檔中找到A君在拍賣所使用的帳號和線索。
除了分析映像檔外,鑑識人員也必須針對Vmem檔進行分析,因為Vmem檔為虛擬機器中的記憶體,在分析Vmem檔時可以利用Compare VMware snapshots或是Memparser工具從記憶體中取得有用的資料,Memparser工具如圖6所示。
▲圖6 Memparser工具。
從虛擬機器中所鑑識出的資料,可提供鑑識人員推斷犯罪者的犯罪手法。同一台機器中,單一作業系統已經不是唯一的選擇。面對能夠多方執行作業系統的虛擬機器,鑑識人員必須了解運作狀態,進而選擇適當的鑑識方法。
結語
虛擬化技術在雲端技術廣泛的應用下更趨重要,對於犯罪者而言也是方便管理並且可以快速損毀證據的工具。虛擬機器雖然聽起來是透過模擬而產生的系統,但虛擬機器中模擬出的硬體確實是虛擬,但是存在於虛擬機器中的資料卻是實質上的證據。有時鑑識人員可能因為疏忽了虛擬機器而忽略掉重要的證據。鑑識人員在進行虛擬機器的數位鑑識時,必須對虛擬機器有一定的了解,才能夠在虛擬機器中取出更多有用的證據。
原文出處:中央警察大學資訊密碼暨建構實驗室(ICCL)
轉載自《網管人》
所有從非官方網站下載的putty和WinSCP都有後門
putty和winscp是免費開源軟體,怎麼可能在baidu上打推廣廣告,明顯帶後門啊,如果你不知道putty和winscp的功能,那麼我告訴你,這是最常用的用於連接linux主機的軟體,putty是命令行介面,winscp是上傳下載檔,帶有後門的putty和winscp可以攔截你輸入的所有伺服器密碼。如果你們公司做網站,而且伺服器是Linux的話,那麼你的公司的技術人員很有可能就中招了,馬上查一下吧
檢查及清理方式
檢查 /var/log 是否被刪除 # /usr/bin/stat /var/log
如果被刪除了,說明中招了
查看 /var/log 檔夾內容 # ls -al /var/log
如果文件很少,說明中招了
監控名稱為 fsyslog,osysllog 的進程 # /usr/bin/watch -n 1 /bin/ps -AFZ f \| /bin/grep syslog
如果有名稱為fsyslog或osyslog的進程,說明中招了,注意不要和正常的系統日誌進程混淆
檢查 /etc/init.d/sshd 的檔頭是否被篡改過 # /usr/bin/head /etc/init.d/sshd
檢查 /etc/init.d/sendmail 的檔頭是否被篡改過 # /usr/bin/head /etc/init.d/sendmail
檢查是否有對外鏈結的 82 埠 # /bin/netstat -anp | /bin/grep ':82'
如果有,而你又沒設置過,說明已經中招了
檢查是否有鏈結到 98.126.55.226 的鏈結 # /bin/netstat -anp | /bin/grep '98\.' --color
如果有,說明已經中招了
檢查 /etc 檔夾下的隱藏檔 .fsyslog .osyslog,檢查 /lib 檔夾下的隱藏檔 .fsyslog .osyslog
/usr/bin/find /etc -name '.*' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
/usr/bin/find /lib -name '.*' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
/usr/bin/find /etc -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
/usr/bin/find /lib -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
如果有近期修改過的名稱包含fsyslog或osyslog的檔,說明已經中招了
恢復系統日誌
查看系統日誌檔夾 # ls -al /var/log
創建系統日誌檔夾 # /bin/mkdir /var/log
如果被刪除的話需要創建
查看系統日誌服務 # /usr/bin/find /etc/init.d/ -name '*log*'
需要區分出你的伺服器所使用的日誌服務
關閉系統日誌服務 # /sbin/service syslog stop
你的伺服器的日誌服務的名稱可能是另外一個名字
啟動系統日誌服務 # /sbin/service syslog start
你的伺服器的日誌服務的名稱可能是另外一個名字
創建錯誤登錄日誌檔 # /bin/touch /var/log/btmp
設置錯誤登錄日誌檔用戶組 # /bin/chown root:utmp /var/log/btmp
設置錯誤登錄日誌檔許可權 # /bin/chmod 600 /var/log/btmp
創建登錄日誌檔 # /bin/touch /var/log/wtmp
設置登錄日誌檔用戶組 # /bin/chown root:utmp /var/log/wtmp
設置登錄日誌檔許可權 # /bin/chmod 664 /var/log/wtmp
恢復SELinux(安全增強Linux)設置
查看 SELinux 狀態 # /usr/sbin/sestatus -v
檢查 /var/log 檔夾的安全上下文 # /sbin/restorecon -rn -vv /var/log
恢復 /var/log 檔夾的安全上下文 # /sbin/restorecon -r -vv /var/log
檢查 /etc 檔夾的安全上下文 # /sbin/restorecon -rn -vv /etc 2>/dev/null
恢復 /etc 檔夾的安全上下文 # /sbin/restorecon -r -vv /etc 2>/dev/null
檢查 /lib 檔夾的安全上下文 # /sbin/restorecon -rn -vv /lib 2>/dev/null
作者 胡爭輝 引用自《遊俠安全網》
檢查及清理方式
檢查 /var/log 是否被刪除 # /usr/bin/stat /var/log
如果被刪除了,說明中招了
查看 /var/log 檔夾內容 # ls -al /var/log
如果文件很少,說明中招了
監控名稱為 fsyslog,osysllog 的進程 # /usr/bin/watch -n 1 /bin/ps -AFZ f \| /bin/grep syslog
如果有名稱為fsyslog或osyslog的進程,說明中招了,注意不要和正常的系統日誌進程混淆
檢查 /etc/init.d/sshd 的檔頭是否被篡改過 # /usr/bin/head /etc/init.d/sshd
檢查 /etc/init.d/sendmail 的檔頭是否被篡改過 # /usr/bin/head /etc/init.d/sendmail
檢查是否有對外鏈結的 82 埠 # /bin/netstat -anp | /bin/grep ':82'
如果有,而你又沒設置過,說明已經中招了
檢查是否有鏈結到 98.126.55.226 的鏈結 # /bin/netstat -anp | /bin/grep '98\.' --color
如果有,說明已經中招了
檢查 /etc 檔夾下的隱藏檔 .fsyslog .osyslog,檢查 /lib 檔夾下的隱藏檔 .fsyslog .osyslog
/usr/bin/find /etc -name '.*' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
/usr/bin/find /lib -name '.*' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
/usr/bin/find /etc -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
/usr/bin/find /lib -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
如果有近期修改過的名稱包含fsyslog或osyslog的檔,說明已經中招了
恢復系統日誌
查看系統日誌檔夾 # ls -al /var/log
創建系統日誌檔夾 # /bin/mkdir /var/log
如果被刪除的話需要創建
查看系統日誌服務 # /usr/bin/find /etc/init.d/ -name '*log*'
需要區分出你的伺服器所使用的日誌服務
關閉系統日誌服務 # /sbin/service syslog stop
你的伺服器的日誌服務的名稱可能是另外一個名字
啟動系統日誌服務 # /sbin/service syslog start
你的伺服器的日誌服務的名稱可能是另外一個名字
創建錯誤登錄日誌檔 # /bin/touch /var/log/btmp
設置錯誤登錄日誌檔用戶組 # /bin/chown root:utmp /var/log/btmp
設置錯誤登錄日誌檔許可權 # /bin/chmod 600 /var/log/btmp
創建登錄日誌檔 # /bin/touch /var/log/wtmp
設置登錄日誌檔用戶組 # /bin/chown root:utmp /var/log/wtmp
設置登錄日誌檔許可權 # /bin/chmod 664 /var/log/wtmp
恢復SELinux(安全增強Linux)設置
查看 SELinux 狀態 # /usr/sbin/sestatus -v
檢查 /var/log 檔夾的安全上下文 # /sbin/restorecon -rn -vv /var/log
恢復 /var/log 檔夾的安全上下文 # /sbin/restorecon -r -vv /var/log
檢查 /etc 檔夾的安全上下文 # /sbin/restorecon -rn -vv /etc 2>/dev/null
恢復 /etc 檔夾的安全上下文 # /sbin/restorecon -r -vv /etc 2>/dev/null
檢查 /lib 檔夾的安全上下文 # /sbin/restorecon -rn -vv /lib 2>/dev/null
作者 胡爭輝 引用自《遊俠安全網》
Linux作業系統出現全新變種金融木馬:Hand of Thief
Linux作業系統出現全新變種金融木馬:Hand of Thief
多年來,Linux桌面使用者一直過著安全無虞的日子。反觀Windows的兄弟姐妹們卻常常得面對一連串永無止境的惡意程式;但除了一部分專門鎖定Linux伺服器的漏洞攻擊外,基本上並沒有什麼真正嚴重的Linux木馬或病毒。然而,這樣美好的一切恐怕就此結束。
EMC安全子公司RSA研究報告指出:「俄羅斯網路犯罪組織開始將歪腦筋動在Linux作業系統上,而推出全新『第三隻手』(Hand of Thief)金融木馬。」這似乎是當前普遍常見Windows惡意程式 ── 金融木馬的一個變種。
對此,這個惡意攻擊程式的名稱,就叫做「表格蒐集器」(Form Grabber),亦即當使用者將個人登錄及密碼資料輸進銀行或其他線上系統時,便可透過「表格採集器」,來蒐集這些個人隱私資訊。
該資訊大致是由使用者遭竊憑證、進入網站時的時間戳記、使用者所存取的網站,以及使用者Web瀏覽器Cookie等資訊所組成。最後,所有資訊都會透過網際網路,傳送到C&C主控伺服器上。接著詐騙者便會將使用者資訊賣給那些會將使用者信用卡帳單刷爆的有心人。
Hand of Thief木馬還具備防止使用者存取防毒網站的機制。該機制似乎是透過對記憶體之中網際網路域名系統(DNS)位址之操控來運作,而非像是變更使用者主機檔案內紀錄等明目張膽的手法。
資料來源:ZDNet
轉載自《網路資訊雜誌》
多年來,Linux桌面使用者一直過著安全無虞的日子。反觀Windows的兄弟姐妹們卻常常得面對一連串永無止境的惡意程式;但除了一部分專門鎖定Linux伺服器的漏洞攻擊外,基本上並沒有什麼真正嚴重的Linux木馬或病毒。然而,這樣美好的一切恐怕就此結束。
EMC安全子公司RSA研究報告指出:「俄羅斯網路犯罪組織開始將歪腦筋動在Linux作業系統上,而推出全新『第三隻手』(Hand of Thief)金融木馬。」這似乎是當前普遍常見Windows惡意程式 ── 金融木馬的一個變種。
對此,這個惡意攻擊程式的名稱,就叫做「表格蒐集器」(Form Grabber),亦即當使用者將個人登錄及密碼資料輸進銀行或其他線上系統時,便可透過「表格採集器」,來蒐集這些個人隱私資訊。
該資訊大致是由使用者遭竊憑證、進入網站時的時間戳記、使用者所存取的網站,以及使用者Web瀏覽器Cookie等資訊所組成。最後,所有資訊都會透過網際網路,傳送到C&C主控伺服器上。接著詐騙者便會將使用者資訊賣給那些會將使用者信用卡帳單刷爆的有心人。
Hand of Thief木馬還具備防止使用者存取防毒網站的機制。該機制似乎是透過對記憶體之中網際網路域名系統(DNS)位址之操控來運作,而非像是變更使用者主機檔案內紀錄等明目張膽的手法。
資料來源:ZDNet
轉載自《網路資訊雜誌》
Android WebView exploit 的漏洞示範
Android WebView exploit 的漏洞示範
在 Android 的 SDK 中封裝了 WebView 控制項。在程序中載入 WebView 控制項,主要用於設置屬性(顏色,字體等)。
而在 WebView 下有一個非常特殊的函數 addJavascriptInterface (Object object, String name) method 能實現 Java 和 JavaScript 之間的交互作用,因此可以利用 addJavascriptInterface 這個函數來實做透過 WebView 安裝惡意程式藉此控制 Android 手持式裝置。
在原文的範例中使用具有漏洞的應用程式,需具有 SMS 權限(android.permission.SEND_SMS),並利用惡意的 JavaScript 來發送詐騙的SMS簡訊。
原文出處:http://blogs.avg.com/mobile-2/analyzing-android-webview-exploit/
轉載自《網路攻防戰》
在 Android 的 SDK 中封裝了 WebView 控制項。在程序中載入 WebView 控制項,主要用於設置屬性(顏色,字體等)。
而在 WebView 下有一個非常特殊的函數 addJavascriptInterface (Object object, String name) method 能實現 Java 和 JavaScript 之間的交互作用,因此可以利用 addJavascriptInterface 這個函數來實做透過 WebView 安裝惡意程式藉此控制 Android 手持式裝置。
在原文的範例中使用具有漏洞的應用程式,需具有 SMS 權限(android.permission.SEND_SMS),並利用惡意的 JavaScript 來發送詐騙的SMS簡訊。
原文出處:http://blogs.avg.com/mobile-2/analyzing-android-webview-exploit/
轉載自《網路攻防戰》
IP身分辨識與記錄 個資法規遵循不可輕忽
從網路層著手因應個資法 訴求舉證及控管
IP身分辨識與記錄 個資法規遵循不可輕忽
個資法上路後,的確讓企業開始意識到IP身分識別管理的重要性。目前市場上解決類似問題的方案,常見的有內建於L2交換器的IDM(Identity Manager)功能,以及以ARP(Address Resolution Protocol)技術為核心的專屬設備。
企業因應個資法時,最重要的議題之一,就是該如何對個資實施控管措施以避免資料外洩,並在發生訴訟案件時能夠舉證已善盡保管責任。就舉證的角度來看,最基本必須要有具備「人事時地物」描述的軌跡記錄資料,然而長期以來企業內部網路的Log記錄檔,根本難以辨識每個IP位址究竟屬於哪一個「人」所擁有,直到法規上路後,才凸顯出IP管理的重要性。
台眾電腦總經理李坤榮指出,IP位址不能直接對應到個人,而且很容易被竄改,若沒有妥善管理機制,上了法庭也無法擔保舉證資料的正確性。「其實個資法剛開始研擬時,由法務部提交的版本中,曾明確定義軌跡資料需要記錄IP、存取時間、設備代號、經過的路徑、身分識別等項目,只是在施行細則版本修訂後被取消。但事實上,不論是否有明文規定欄位資料,這些皆屬於必要資訊。像是金管會屬於較嚴謹的事業主管機關,近來也對銀行業者開始要求軌跡資料中必須加入IP的身分識別。」
法規促使正視IP管理
欲落實IP身分識別的作法,在電腦數不多的環境通常只須配置為固定IP,再以Excel表格人工記錄。但是當員工人數逐漸增多後,人工維護表格方式不僅沒效率,且出錯率高,Extreme Networks台灣暨菲律賓總經理錢旭光從客戶端觀察發現,「自個資法上路後,的確讓企業端開始意識到IP管理的重要性。而目前市場上目的性一樣的方案,常見的是像Extreme內建於交換器的IDM(Identity Manager),以及以ARP(Address Resolution Protocol)技術為核心的專屬設備。」
具有ARP專利技術的台眾電腦UPAS ARPScanner,堪稱是台灣唯一自主研發IP身分辨識與控管方案的廠商。「國內廠商自主研發的好處是會依照在地民情習慣以及法規規範來發展產品,」李坤榮說,例如以UPAS ARPScanner而言,產出的報表即是按照人事時地物排列呈現,清楚列出IP位址、MAC、電腦名稱、IP Type、交換器連接埠編號、Active Directory帳號名稱。若Active Directory夠詳盡,甚至可一併帶出姓名、電子郵件、所屬單位、分機號碼等屬性資料。如此一來,才能讓設備所產出那些有字天書般的記錄檔變得有價值。
以基本ARP達成控管
其實UPAS ARPScanner並非新產品,在市場上已有六年的歷史,只是近年來個資法效益下才逐漸嶄露頭角。「六年前台眾電腦是以NetInsight網管軟體為主,從服務客戶多年的經驗發現,既然網路設備的Log都是以IP為記錄核心,IP的『不可否認性』未來勢必極為重要,否則網路中所有設備產出的記錄都只能僅供參考而已。」李坤榮說。
在這股理念驅動下,台眾電腦投入研發UPAS ARPScanner,從一開始推出市場被認為是可有可無的產品,直到三年前個資法準備研擬,才有大量客戶開始正視IP管理的重要性。「其實技術的選擇也很重要,要達到IP管理的方法有很多,多數外商是直接跟設備做整合,若發現用戶端違反控管政策,就會觸發指令發送到交換器將連接埠關閉,或是送出ACL指令把連線取消,諸如此類方式。但對於以Layer 2居多的台灣企業環境而言並不適用。」
於是李坤榮選用了TCP/IP內建的基本指令ARP為基礎,並且對封包格式方面做了許多研究。例如封包不能太大才不致影響交換器效能,也才不會觸發具有預防ARP Spoofing攻擊的防毒引擎,導致被判斷成惡意封包。「由於ARP Spoofing可說是駭客常見的攻擊手法之一,自然也有客戶詢問台眾電腦採用的ARP技術是否為ARP Spoofing,不可否認概念上的確類似,例如ARP Spoofing會改寫ARP Table,讓連線位址導向特定IP,這點我們當然也可以做到,只是實作上並沒有那麼單純。」
他進一步說明,UPAS ARPScanner主要在聆聽廣播封包(Broadcast),並且跟預設的控管政策加以比對,若發現違反政策,例如非法的設備、IP Type、交換器連接埠,就會自動發送指令將其隔離,讓那台電腦跟其他網路上的電腦無法連線;或者是因應個資法規範,要求員工必須登入Active Directory網域,同時必須是公司登記為合法的設備,兩者條件皆符合下才得以接入內網。「這種作法的好處是必定適用於所有客戶端的網路環境,不須依賴設備指令來執行工作,如此才能無痛導入。而客戶選用的意願高,其實跟技術本身有很大關係。」李坤榮強調。
交換器內建IDM機制
「對Extreme而言,其實IDM機制本來就是Layer 2交換器中內建功能之一,只是多數企業不知道可以運用此方式來實作軌跡記錄。」錢旭光說,IDM機制並非是因為個資法才提出,本來就具備,只是因為個資法才變得更有意義。但當初發展的主要目的,其實是為了簡化故障排除(Troubleshooting)的複雜度。
他舉例,以往IT部門一旦接到使用者來電抱怨網路不通,標準動作都是必須到現場查看線路及其連接埠編號,再到管線間查找所屬交換器,以釐清網路問題。而內建於交換器內的IDM機制,會去學習封包內帶有使用者登入Active Directory的相關資訊,取得使用者名稱、電腦名稱等屬性值,再結合IP與MAC記錄,傳送到指定的網管系統集中統合企業內部所有資訊。因此IT人員只要詢問使用者名稱,就可查找出相關網路資訊,進而直接在該使用者連接的交換器上收取連線封包,查看即時的Log狀態。這才是當初設計此機制的目的。
由於IDM是網路層的軌跡資料管理,因此會比較著重在記錄方面。至於執行控制行為,則是以角色為基礎的存取控制(Role-based Access Control List)。「也就是從Active Directory取得使用者名稱及其屬性值後,即可據此分類,以定義控制政策,而且只要制定一套,可同時套用在Extreme的有線與無線環境,不論員工從哪一種設備登入網域,存取權限皆一致。」
雖然IP管理在整個個資法因應項目中只是小細節,其身分辨識與記錄卻是軌跡資料中不可或缺的一環,必要的保存期限同樣不可忽視,才能在萬一面臨訴訟案件時,降低可能帶來的損失。
轉載自《網管人》
IP身分辨識與記錄 個資法規遵循不可輕忽
個資法上路後,的確讓企業開始意識到IP身分識別管理的重要性。目前市場上解決類似問題的方案,常見的有內建於L2交換器的IDM(Identity Manager)功能,以及以ARP(Address Resolution Protocol)技術為核心的專屬設備。
企業因應個資法時,最重要的議題之一,就是該如何對個資實施控管措施以避免資料外洩,並在發生訴訟案件時能夠舉證已善盡保管責任。就舉證的角度來看,最基本必須要有具備「人事時地物」描述的軌跡記錄資料,然而長期以來企業內部網路的Log記錄檔,根本難以辨識每個IP位址究竟屬於哪一個「人」所擁有,直到法規上路後,才凸顯出IP管理的重要性。
台眾電腦總經理李坤榮指出,IP位址不能直接對應到個人,而且很容易被竄改,若沒有妥善管理機制,上了法庭也無法擔保舉證資料的正確性。「其實個資法剛開始研擬時,由法務部提交的版本中,曾明確定義軌跡資料需要記錄IP、存取時間、設備代號、經過的路徑、身分識別等項目,只是在施行細則版本修訂後被取消。但事實上,不論是否有明文規定欄位資料,這些皆屬於必要資訊。像是金管會屬於較嚴謹的事業主管機關,近來也對銀行業者開始要求軌跡資料中必須加入IP的身分識別。」
法規促使正視IP管理
欲落實IP身分識別的作法,在電腦數不多的環境通常只須配置為固定IP,再以Excel表格人工記錄。但是當員工人數逐漸增多後,人工維護表格方式不僅沒效率,且出錯率高,Extreme Networks台灣暨菲律賓總經理錢旭光從客戶端觀察發現,「自個資法上路後,的確讓企業端開始意識到IP管理的重要性。而目前市場上目的性一樣的方案,常見的是像Extreme內建於交換器的IDM(Identity Manager),以及以ARP(Address Resolution Protocol)技術為核心的專屬設備。」
具有ARP專利技術的台眾電腦UPAS ARPScanner,堪稱是台灣唯一自主研發IP身分辨識與控管方案的廠商。「國內廠商自主研發的好處是會依照在地民情習慣以及法規規範來發展產品,」李坤榮說,例如以UPAS ARPScanner而言,產出的報表即是按照人事時地物排列呈現,清楚列出IP位址、MAC、電腦名稱、IP Type、交換器連接埠編號、Active Directory帳號名稱。若Active Directory夠詳盡,甚至可一併帶出姓名、電子郵件、所屬單位、分機號碼等屬性資料。如此一來,才能讓設備所產出那些有字天書般的記錄檔變得有價值。
以基本ARP達成控管
其實UPAS ARPScanner並非新產品,在市場上已有六年的歷史,只是近年來個資法效益下才逐漸嶄露頭角。「六年前台眾電腦是以NetInsight網管軟體為主,從服務客戶多年的經驗發現,既然網路設備的Log都是以IP為記錄核心,IP的『不可否認性』未來勢必極為重要,否則網路中所有設備產出的記錄都只能僅供參考而已。」李坤榮說。
在這股理念驅動下,台眾電腦投入研發UPAS ARPScanner,從一開始推出市場被認為是可有可無的產品,直到三年前個資法準備研擬,才有大量客戶開始正視IP管理的重要性。「其實技術的選擇也很重要,要達到IP管理的方法有很多,多數外商是直接跟設備做整合,若發現用戶端違反控管政策,就會觸發指令發送到交換器將連接埠關閉,或是送出ACL指令把連線取消,諸如此類方式。但對於以Layer 2居多的台灣企業環境而言並不適用。」
於是李坤榮選用了TCP/IP內建的基本指令ARP為基礎,並且對封包格式方面做了許多研究。例如封包不能太大才不致影響交換器效能,也才不會觸發具有預防ARP Spoofing攻擊的防毒引擎,導致被判斷成惡意封包。「由於ARP Spoofing可說是駭客常見的攻擊手法之一,自然也有客戶詢問台眾電腦採用的ARP技術是否為ARP Spoofing,不可否認概念上的確類似,例如ARP Spoofing會改寫ARP Table,讓連線位址導向特定IP,這點我們當然也可以做到,只是實作上並沒有那麼單純。」
他進一步說明,UPAS ARPScanner主要在聆聽廣播封包(Broadcast),並且跟預設的控管政策加以比對,若發現違反政策,例如非法的設備、IP Type、交換器連接埠,就會自動發送指令將其隔離,讓那台電腦跟其他網路上的電腦無法連線;或者是因應個資法規範,要求員工必須登入Active Directory網域,同時必須是公司登記為合法的設備,兩者條件皆符合下才得以接入內網。「這種作法的好處是必定適用於所有客戶端的網路環境,不須依賴設備指令來執行工作,如此才能無痛導入。而客戶選用的意願高,其實跟技術本身有很大關係。」李坤榮強調。
交換器內建IDM機制
「對Extreme而言,其實IDM機制本來就是Layer 2交換器中內建功能之一,只是多數企業不知道可以運用此方式來實作軌跡記錄。」錢旭光說,IDM機制並非是因為個資法才提出,本來就具備,只是因為個資法才變得更有意義。但當初發展的主要目的,其實是為了簡化故障排除(Troubleshooting)的複雜度。
他舉例,以往IT部門一旦接到使用者來電抱怨網路不通,標準動作都是必須到現場查看線路及其連接埠編號,再到管線間查找所屬交換器,以釐清網路問題。而內建於交換器內的IDM機制,會去學習封包內帶有使用者登入Active Directory的相關資訊,取得使用者名稱、電腦名稱等屬性值,再結合IP與MAC記錄,傳送到指定的網管系統集中統合企業內部所有資訊。因此IT人員只要詢問使用者名稱,就可查找出相關網路資訊,進而直接在該使用者連接的交換器上收取連線封包,查看即時的Log狀態。這才是當初設計此機制的目的。
由於IDM是網路層的軌跡資料管理,因此會比較著重在記錄方面。至於執行控制行為,則是以角色為基礎的存取控制(Role-based Access Control List)。「也就是從Active Directory取得使用者名稱及其屬性值後,即可據此分類,以定義控制政策,而且只要制定一套,可同時套用在Extreme的有線與無線環境,不論員工從哪一種設備登入網域,存取權限皆一致。」
雖然IP管理在整個個資法因應項目中只是小細節,其身分辨識與記錄卻是軌跡資料中不可或缺的一環,必要的保存期限同樣不可忽視,才能在萬一面臨訴訟案件時,降低可能帶來的損失。
轉載自《網管人》
F-Secure:聯合Java的水坑式攻擊成為企業安全最大威脅
F-Secure:聯合Java的水坑式攻擊成為企業安全最大威脅
芬蘭赫爾辛基行動防毒商F-Secure,剛出爐一份2013年上半季安全威脅報告,其中有許多威脅狀況依舊:瀏覽器Java仍是攻擊PC的主要媒介、Android是首當其衝的行動攻擊目標、Mac惡意程式雖有成長但仍非常少。
不論如何,該公司表示:「2013年上半季最值得注意的資訊安全事件,無庸置疑的當屬包括Twitter、Facebook、Apple及Microsoft等許多網際網路巨頭,以及無數的矽谷公司,都遭到專門針對iPhone開發套件之「水坑式」(Watering hole)攻擊的入侵。」
水坑式攻擊是專門因應良好公司安全的一大隱憂。該攻擊並非透過直接發動的方式,其理念是以企業員工最常閒逛、瀏覽、進行聊天的第三方網站為入侵目標。其多半會藉由上述方式,並透過「行動開發人員網站之零時差Java漏洞入侵」的手法,來入侵Facebook及其他主要科技公司。
F-Secure的報告並指出:「該攻擊屬於目標式與必要性的人工作業,而非自動化的犯罪軟體,針對與Twitter、Facebook、Apple及Microsoft一樣有價值的目標,攻擊者很顯然地樂意投入工時。」
另一個重大趨勢發展,莫過於F-Secure所謂的進階持續威脅(Advanced Persistent Threat, APT)攻擊,其通常涉及一個精心製作的漏洞入侵文件,藉由某種形式的社交工程來傳送給目標組織或產業中的使用者。
APT攻擊經常透過PDF做為誘餌,然後再下載可做為植入惡意軟體的後門程式。F-Secure指出:「公司使用者最常被看起來很像是會議進程或報告的誘餌文件所鎖定。」
資料來源:ZDNet
轉載自《網路資訊雜誌
歐洲駭客集團宣稱「破解」iPhone 5S指紋辨識機制
歐洲駭客集團宣稱「破解」iPhone 5S指紋辨識機制
Starbug利用碳粉與樹脂複製使用者的指紋,然後把它按在用來感應使用者指紋的iPhone Home鍵上,便成功解鎖了iPhone。CCC集團的作法嚴格說來並不算真正破解蘋果的指紋辨識系統,但該集團表示,大眾不應再被生物辨識業者的錯誤安全口號所愚弄。
以德文為基礎、號稱是歐洲最大駭客集團的Chaos Computing Club(CCC)上周六(9/21)宣稱已成功繞過蘋果為iPhone 5S所設計的TouchID指紋辨識系統,展示如何利用偽造的指紋來開啟已被用戶以指紋鎖住的手機。
這是蘋果首次將指紋辨識技術應用在iOS裝置上,蘋果把TouchID感應器嵌在iPhone 5S的Home鍵裡,使用者只要按下Home鍵,系統便能掃描及比對指紋,它可作為解鎖iPhone或在iTunes上消費的簽章。蘋果並強調將指紋資訊鎖在A7晶片裡,沒有其他程式能存取。
歐洲駭客集團宣稱「破解」iPhone 5S指紋辨識機制
匿稱為Starbug的CCC集團成員表示,基本上蘋果的指紋感應器只是在解析度上比其他的裝置好,不過就像他們一直認為的,指紋不應該被用來保護任何事物,因為使用者會到處留下自己的指紋,代表要偽造使用者的指紋非常容易。
Starbug利用碳粉與樹脂來複製使用者的指紋,然後把它按在用來感應使用者指紋的iPhone Home鍵上,便成功解鎖了iPhone。
雖然CCC集團的作法嚴格說來並不算真正破解蘋果的指紋辨識系統,但CCC發言人Frank Rieger認為,他們希望這項實驗能夠提醒相信指紋辨識的人,利用每天都會到處遺留的痕跡作為安全權杖真的是愚不可及,不應再被生物辨識業者的錯誤安全口號愚弄。生物辨識基本上是一項控管技術,而非用來保障裝置的每日存取安全。
Rieger還說,如果使用者被逮捕了,被迫以指紋開機比被迫以密碼開機容易多了。
對蘋果指紋辨識系統有興趣的還不只CCC集團,安全研究人員Nick DePetrillo與Robert David Graham共同設立了名為isTouchIDHackedYet的網站,邀請民眾募款以鼓勵駭客破解TouchID,迄今捐款額度已超過1.4萬美元。
轉載自《iThome》
Starbug利用碳粉與樹脂複製使用者的指紋,然後把它按在用來感應使用者指紋的iPhone Home鍵上,便成功解鎖了iPhone。CCC集團的作法嚴格說來並不算真正破解蘋果的指紋辨識系統,但該集團表示,大眾不應再被生物辨識業者的錯誤安全口號所愚弄。
以德文為基礎、號稱是歐洲最大駭客集團的Chaos Computing Club(CCC)上周六(9/21)宣稱已成功繞過蘋果為iPhone 5S所設計的TouchID指紋辨識系統,展示如何利用偽造的指紋來開啟已被用戶以指紋鎖住的手機。
這是蘋果首次將指紋辨識技術應用在iOS裝置上,蘋果把TouchID感應器嵌在iPhone 5S的Home鍵裡,使用者只要按下Home鍵,系統便能掃描及比對指紋,它可作為解鎖iPhone或在iTunes上消費的簽章。蘋果並強調將指紋資訊鎖在A7晶片裡,沒有其他程式能存取。
歐洲駭客集團宣稱「破解」iPhone 5S指紋辨識機制
匿稱為Starbug的CCC集團成員表示,基本上蘋果的指紋感應器只是在解析度上比其他的裝置好,不過就像他們一直認為的,指紋不應該被用來保護任何事物,因為使用者會到處留下自己的指紋,代表要偽造使用者的指紋非常容易。
Starbug利用碳粉與樹脂來複製使用者的指紋,然後把它按在用來感應使用者指紋的iPhone Home鍵上,便成功解鎖了iPhone。
雖然CCC集團的作法嚴格說來並不算真正破解蘋果的指紋辨識系統,但CCC發言人Frank Rieger認為,他們希望這項實驗能夠提醒相信指紋辨識的人,利用每天都會到處遺留的痕跡作為安全權杖真的是愚不可及,不應再被生物辨識業者的錯誤安全口號愚弄。生物辨識基本上是一項控管技術,而非用來保障裝置的每日存取安全。
Rieger還說,如果使用者被逮捕了,被迫以指紋開機比被迫以密碼開機容易多了。
對蘋果指紋辨識系統有興趣的還不只CCC集團,安全研究人員Nick DePetrillo與Robert David Graham共同設立了名為isTouchIDHackedYet的網站,邀請民眾募款以鼓勵駭客破解TouchID,迄今捐款額度已超過1.4萬美元。
轉載自《iThome》
訂閱:
文章 (Atom)