2010年3月29日 星期一

[news]僅靠兩個弱點 駭客成功突破 Windows 7的 IE8

0 意見

荷蘭駭客Peter Vreugdenhil在CanSecWest Pwn2Own施展神功,突破一系列反攻擊障礙,僅利用兩個IE弱點,成功駭入一台修補完全的64位元Windows 7主機。

獨立研究員Vreugdenhil,專長在尋找和利用客端軟體弱點。他採用幾個技巧繞過ASLR(位址空間編排隨機化)和DEP(資料執行防止)兩大Windows平台內建的安全防護。

Vreugdenhil說:「我先繞過ALSR,那讓我取得一個IE內含模組的基礎位址,我再利用這項資訊迴避DEP。」
Vreugdenhil因此贏得1萬美元現金大獎,和一台新的Windows電腦。他用模糊編碼技術(fuzzing techniques)尋找軟體弱點。Vreugdenhil說:「我特別在我的fuzzing紀錄中,仔細尋找這類型的錯誤,因為我能用來迴避ASLR。」

找到特定的IE 8弱點後,Vreugdenhil又花了大約兩週的時間,編寫一份搭配的攻擊程式。

微軟的IE團隊也目睹了Vreugdenhil的示範。一名公司發言人表示,他們還不清楚當中弱點的細節,一旦取得主辦單位提供的資料,將立即啟動其安全反應程序。 (陳智文/譯)

新聞連結:http://www.zdnet.com.tw/news/web/0,2000085679,20144805,00.htm?feed=NL:+%AC%EC%A7%DE%B7s%BBD%A4%E9%B3%F8

2010年3月26日 星期五

[知識]惡意程式的隱形斗蓬-rootkit

0 意見

駭客七號
惡意程式的隱形斗蓬-rootkit
文/圖 吳俊達.責任編輯/陳啟川

「山啊BOT、土地BOT,現在連海阿要BOT」,這是電影「海角七號」裡的對話,意思指地方建設什麼都BOT出去了,利益都被財團瓜分,只剩下一些檢垃圾的差事留下來給地方的一段對話。有時聯想在資安的世界裡不也到處充滿著「BOT」,個人機密資料都讓駭客偷走,而剩下一堆惡意程式在用戶端的電腦中,以下將就入侵攻擊常見的rootkit技術為讀者做一詳盡的介紹。


看不見,可是它依舊存在──這不是在形容七月半的阿飄,而是在說一項你我電腦上隨時都有可能發生的事,rootkit。
2005年包括Celine Dion (席琳狄翁)在內的19張SONY發行的CD因為含有防盜版技術,而意外地造成「買 CD 唱片,送駭客隱形斗蓬」的安全意外。這個始作俑者就是BREPLIBOT特洛伊木馬程式家族,其利用Sony唱片防拷軟體採用的Rootkit工具留下的後門來作自我隱藏,使得病毒不易被追蹤。也使得有些公司頒出禁令:上班時間不準聽CD,免得公司被駭客入侵。
廣義來說,rootkit其實是一項技術,用來隱藏其他行程、檔案或者網路使用者。至於為什麼要隱藏這些玩意,最初的原因其實相當簡單,各位可以想像,如果有天你進行檔案備份,把一些重要的系統資訊存在備份目錄裡,你勢必不想因為哪天手賤就把這些檔案一併刪除了。因此,rootkit出於善意的用途,便能適當的隱藏你要保護的檔案。
然而駭客也可以藉由使用rootkit,隱藏他們在你電腦上的一舉一動,例如隱藏他們產生的惡意行程,進而竊取你電腦的資訊而不被發現;隱藏他們產生的惡意檔案,進而避開防毒軟體掃描而不會被刪除。這種種用途,都說明了rootkit這柄雙面刃給予駭客們的便利性,讓許多Bot蠕蟲、間諜軟體都利用這套工具來打造隱形斗篷。
rootkit的歷史
早在1990年的時候,rootkit的理念就已經被提出來了,但一直到1996年,第一隻Linux rootkit才正式出現下世人面前。當時那只rootkit只是簡單的替換掉Linux上頭的ps,login,跟netstat等執行檔。這些執行檔的功能,多半是用來顯示目前系統中有哪些行程正在執行,或者哪些網路行為正在運作。而這只Linux rootkit替換這些系統執行檔後,就會將它所指定的惡意行程隱藏起來,不被使用者發現。儘管這只rootkit很快就被人們利用檔案驗証碼,檢查該執行檔是否被替換過而解決了,但在這以後,越來越多的rootkit技術以及實作迅速出現。以最為人熟知的作業系統Windows來說,從2002年第一只在Windows 上出現的rootkit「ierk8243.sys」面世以來,每年都有數以百計的rootkit出現。根據2006年微軟惡意程式移除工具提出的報告,570萬台電腦上,就有14%的電腦被安裝過rootkit。
惡名昭彰的Sony事件
當時Sony BMG在他們發行的音樂光碟裡,加入了rootkit的技術。最初的目的只是為了保護他們的音樂不被盜拷,但由於Sony BMG的工程師們小瞧了使用rootkit會帶來的影響,他們把所有名稱前行是「$sys$」的檔案,都進行了隱藏。換句話說,如果你把電腦上的notepad.exe改名為$sys$notepad.exe,那麼在這只rootkit被移除之前,你的notepad將會暫時消失。
這件事曝光之後,不但很快就被駭客們用來隱藏他們的惡意檔案,Sony BMG更因此承受了龐大的商譽損失。只不過,用「從那裡跌倒,就從那裡再跌倒」這句話來形容Sony,恐怕是在適合不過。
2007年8月,Sony在他們發行的Sony’s MicroVault USB drives裡頭,又用上了rootkit的技術。這次主要是因為Sony這款USB提供了指紋辨識能力,為了保護指紋辨識的內容資料,他們將這些資料全放在同一個目錄裡,並將這個目錄進行了隱藏,可惜,駭客們見到了這樣一個大漏洞,哪還有不鑽的道理,於是許多惡意軟體就將他們的檔案放置在這個隱藏目錄,從而躲避過了防毒軟體的掃描。
綜合上面的敘述我們可以得知,rootkit的技術跟觀念已逐漸成為下一波駭客們關注的重點。現下,就讓我們更深一層來探討rootkit的技術以及應用。
rootkit使用的技術
有念過計算機組織的讀者必定知道,CPU在執行指令時有著不同的特權等級 (privilege level)。現代的作業系統也採用了這個理念,在執行較重要的指令 (例如作業系統核心) 或是存取較隱密關鍵的資料,都必須在CPU為高特權等級 (kernel mode) 時才能通行;反之,若是一般的使用者程式及資料則沒此限制 (user mode),以下將就分別對rootkit在user mode和kernel mode使用的技巧一一介紹。
user mode rootkit
user mode rootkit在實作技術上難度不高,不具備系統核心開發理念的程式設計者都可以輕易的達成。user mode rootkit的流程,基本上都是在正常程式呼叫某函式時,先將執行權轉移到rootkit本身,rootkit再去呼叫真正的函式取得執行結果,並對其結果做更改或是取得權限,以達到其目的。
目前有兩種熱門方法能在user mode將程式呼叫時的執行權轉移,一種是IAT (Import Address Table) hook,另一種是Inline Function Patch。

Import Address Table Hooking (IAT Hooking)

當一個應用程式使用Win32 API時,會需要知道這些API的address,很多應用程式把這些address紀錄在IAT內。當這些應用程式需要使用Win32 API時就去IAT內查詢這些Win32 API的address然後再執行。

IAT Hooking流程圖。


IAT Hooking很容易實作,OS也時常使用這樣的模式,但其缺點是容易被偵測到。不過,雖然容易偵測,卻不容易判斷是否真的為惡意軟體利用rootkit進行IAT Hook。此外若應用程式內部使用Win32 API時是使用late binding的話 (使用 LoadLibrary & GetProcAddress),此時IAT Hooking也會失效。

Inline Function Patch

這個模式比IAT Hooking應用更廣泛,不會被late binding影響,因為它是直接去修改目標程式在RAM中的byte code。因此不管應用程式怎么取得Win32 API的address,Inline Function Patch的機制始終有效。下圖2為Inline Function Patch簡單的示意圖。
Inline Function Patch流程圖。


Caller function呼叫被Patch的Function (FindFirstFile)。因Function的第一個instruction被rootkit替換成jmp 0x2c3d,所以程式接著執行到0x2c3d。Address 0x2c3d就是rootkit想要使用者執行的程式碼。待rootkit執行完後再回到原先的Function繼續執行下去。最後由Function將rootkit篩選過的結果回傳給Caller Function。
DLL植入 (DLL injection)
至此,聰明的讀者一定發現到了,user mode rootkit最主要的精神便是透過修改正常Process呼叫API的順序,將自己的惡意程式碼插入到呼叫順序的中間,去影響正常Process的運作或更改API的結果;或是直接給函式打「patch」以得到類似的結果。但事實上如何對其它Process進行修改?
若你曾在Windows下開發過程式,必然知道所有的Process都有自己的memory address space。例如0x12345在Process A中可能是存放字串"Foo",但同樣的位址在Process B裡卻是字串"Bar",此乃因為Windows的虛擬記憶體 (Virtual memory) 機制,讓每個Process都認為自己是系統上唯一的一個Process。所以Process之間是兩條平行線,沒有交集 (不考慮Process溝通機制及系統核心部份)
所以若我們想系統上其他Process做修改,一定得進入它們的memory address space。一般利用的手法便是DLL injection,而幾個常用的技巧介紹如下︰

AppInit_DLLs registry

Windows作業系統使用登錄(Registry)來做記錄系統設定及組態,在登錄中有一個特別的機碼(Key)可以讓使用者輕易的達到DLL植入。這個機碼的路徑是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,在此機碼下有一特別的值(Value)名稱叫做AppInit_DLLs,它的資料型態為一字串值(REG_SZ),系統預設值是長度為零的空字串。使用者可以指定任意DLL的路徑於此機碼的值內,舉例來說︰C:\Windows\System32\MyDll.dll。你一定會很好奇,當此機碼及值被設定之後,Windows作業系統會有什麼改變呢?
當此機碼及值被設定之後,只要有任何的Process載入User32.dll,首先User32.dll會被映射到該Process的記憶體空間裡,接著User32.dll會收到DLL_PROCESS_ATTACH的系統通知,此時User32.dll會去讀取本節前面所提到的機碼及值,並且呼叫LoadLibrary系統函式來一並載入指定的DLL,此時DLL植入的目的也就達到了。用此方法來達到DLL植入是很容易的一件事,但這種方法也有一些缺點。
1. PInit_DLLs值被設定之後,之後載入User32.dll的Process才會被DLL植入,也就是說,既有已執行的Process並不會受影響。同樣的,若已經被DLL植入的Process,就算APPInit_DLLs值被刪除,也不會受到影響。
2. 此種方法只能用來植入使用User32.dll的Process,所有的圖形化使用者介面 (GUI) 程式都會使用到User32.dll,但是console程式就不一定會使用到User32.dll。
系統中通常有多個Process存在,但用此種方法無法指定DLL植入的對象。所以用這種模式做DLL植入要很小心,因為會影響到所有的圖形化使用者介面程式。

indowsHookEx

Windows中的程式是透過資訊(message)來互相溝通的,例如鍵盤或滑鼠的事件,或是視窗間主動傳遞資訊。而Windows本身亦提供了一個正式的方法讓程式設定自己的Hook,以下程式1是SetWindowsHookEx的函式宣告︰

可以看到此函式有四個參數,第一個參數是指定Hook的類別,例如,若指定為WH_KEYBOARD,代表想監聽鍵盤的message。
當idHook所指定的事件發生時,則第二個參數lpfn所指向的函式將會被呼叫,若dwThreadId為0或是自己本身以外的Process,則lpfn必須指向一個DLL所匯出 (export) 的某個函式。
第三個參數為包含lpfn的DLL handle,若dwThreadId為自己本身Process所包含的Thread,則此參數必須為NULL。
第四個參數可指定任一Thread (Thread) 的識別(ID),則Hook只會作用在該Thread上,若其值為0,代表Hook會作用系統中所有Thread上。 
以下程式2是一段使用SetWindowsHookEx的範例程式︰

在此時DLL植入的目的也就達成了。使用SetWindowsHookEx有幾個優點︰
1. 可以指定要hook的Thread。

2. 可以呼叫系統函式UnhookWindowsHookEx將hook移除。
3. 在自訂的hook函式中(也就是範例的SysMessageProc),可以用CallNextHookEx函式將執行權交給下一個設定hook的函式。

CreateRemoteThread

Windows有一個函式可以讓某一Process在本身以外的Process中啟始一條Thread,這個函式叫做CreateRemoteThread。以下程式3是它的函式宣告︰


這個函式看起來參數很多,但只有幾個是比較重要的,若讀者有興趣,可參閱MSDN得到完整的資訊。第一個參數hProcess是由OpenProcess或是CreateProcess所得到,其可以指定要在那一個Process啟始新的Thread。第四個參數lpStartAddress指定了要被啟始Thread的起始函式位址,此函式必須存在於hProcess所指定的Process中。第五個參數則是當新Thread開始lpStartAddress函式時,會一並傳入的參數。
若A Process要用CreateRemoteThread對B執行序達成DLL植入的目的,則要利用B執行序當中Loadlibrary函式來載入指定的DLL,詳細的範例程式如下程式4︰


此時DLL植入的目的已達到。
user mode rootkit小結
介紹到這裡,讀者應已對user mode rootkit使用的技巧有初步了解 。總結一下,惡意程式先使用DLL injection技巧 (AppInit_DLL registry、SetWindowsHookEx函式,及CreateRemoteThread函式),將自己的DLL植入到別的Process,再利用IAT hooking或Inline Function Path的模式,影響正常Process執行的順序,來達到目的。要實作user mode rootkit的技術門檻不高,所需撰寫的程式碼並不會很多。雖然user mode rootkit簡單好作,但它也有先天上致命的缺陷,那就是容易被偵測出來,市面上大多數的Anti-rootkit軟體都具有核心驅動程式 (Kernel Driver),可以輕易的偵測出user mode rootkit的存在。而下期我們將就kernel mode使用的技巧繼續介紹。



【原文刊載於RUN!PC雜誌:2008年11月號】

原文網址:http://www.runpc.com.tw/content/main_content.aspx?mgo=178&fid=G03

2010年3月24日 星期三

[news]Yahoo、Google廣告平台會傳送惡意程式

0 意見

Yahoo、Google廣告平台會傳送惡意程式



本表顯示幾大廣告平台在上月在為期六天期間被Avast所偵測到的惡意程式傳播數量,最高的包括Yahoo與Fox。

總部設在布拉格的防毒軟體公司Avast指出,Yahoo、Fox和Google的廣告平台已成為一些惡意軟體傳播的跳板,而這些惡意軟體專門鑽熱門應用程式的安全漏洞


去年,諸如紐約時報和保守派新聞彙整網站Drudge Report.com等高知名度網站,被發現廣告裡潛伏著病毒以及其他的惡意軟體,今年在Drudge、TechCrunch和WhitePages.com等網站也發現類似情況。這種行為被稱為「惡意廣告」(malvertising)。


如今Avast的研究員指出,問題出在一些大型廣告派送平台,包括Yahoo的Yield Manager、Fox Audience Network的Fimserve.com,以及Google的DoubleClick。前兩者合計包辦超過50%的線上廣告,DoubleClick占的比率比較小。而且,Avast指稱,有些惡意廣告最後會出現在Yahoo與Google的網站上。


Avast公關經理Lyle Frink說:「不只是小型業者,連與Google和Yahoo連結的廣告伺服器,都已遭到感染而派送惡意廣告。」


Avast Virus Labs指出,遭惡意軟體入侵最嚴重的廣告派送平台是Yield Manager和 Fimserve,但一些小型的廣告系統,包括Myspace在內,也被發現傳播惡意軟體,只是程度比較輕微罷了。


例如,一種Avast命名為"JS:Prontexi"的JavaScript程式,就透過那些廣告網路散佈。 Avast研究員Jiri Sejtko說,這是一個用script形式編寫的木馬程式(Trojan),攻擊目標瞄準Windows作業系統,會自動搜尋Adobe Reader和Acrobat、Java、QuickTime以及 Flash內含的安全漏洞,並發出偽造的防毒警告。


Avast說,使用者不需作任何點擊動作,只要瀏覽器載入廣告,電腦就會中毒


自從這個惡意軟體去年12月下旬開始散佈以來,Avast客戶的電腦上已記錄了超過260萬筆事例(instances)。其中Yield Manager就占了將近53萬個事例,DoubleClick占了1.63萬個。


Sejtko說:「Google占JS:Prontexi的比例很小,在他們採取行動改善情況後占的比率更是顯著降低。但Yahoo和Fox的情形就不是這樣了。」


Fox和MySpace拒絕評論。


Yahoo的代表證實這項報導,並表示正在深入了解情況,「若在罕見情況下發現某則廣告與我們的預期和準則相牴觸,我們會儘快採取行動把它移除」。


Google發言人表示,DoubleClick的安全監測系統主動發現廣告中潛在的幾個惡意軟體,已加以攔截,並調整安全措施以防範類似的惡意廣告。(唐慧文譯)

本篇文章出處:http://www.zdnet.com.tw/news/web/0,2000085679,20144717,00.htm?feed=NL:+%AC%EC%A7%DE%B7s%BBD%A4%E9%B3%F8

2010年3月23日 星期二

[必看]用FOXY抓檔!?三思而後行!完全解析FOXY分享原理!

0 意見

用FOXY抓檔!?三思而後行!完全解析FOXY分享原理!

轉自台灣論壇 — 病毒防駭
作者:莫斯科指揮官

相信有不少人曾經或正在使用FOXY,這篇文章就是要帶你全盤了解FOXY的運作原理!

【希望你能耐著性子看完。】
這篇文看起來很長,但是內容相當容易懂。
如果你深深體悟到使用FOXY的疑慮,歡迎你把這篇文章轉貼給你的好友看。
這篇文寫出來用意就是要大家在使用軟體時都能了解其相關的原理啦
如果你認為本文有轉載價值的話,都歡迎你轉載到其他地方。
當然也請盡到網路禮儀,附上轉貼來源

一、為何它那麼熱!?
我曾經在即時通好友名單中隨機挑選20人來詢問有關FOXY的問題,
而其中15人曾經用過FOXY,可見它有多紅。
為何它紅?根據多半數的網友說法,皆集中於兩個點:方便、快速。
方便這點我能深深體會。比起BT要去找資源檔、eMule要找伺服器,
FOXY單靠一條搜尋棒就能輕鬆找到自己要的東西,
對懶惰的免費主義者絕對是個再好不過的分享平台。
那快速呢?這點在我測試的期間,基本上沒有太大的感覺;
加上系統傳送封包數不斷飆高,且在BT優化世界中
連對Tracker伺服器的連線次數都斤斤計較的狀況下,我不得不對這點打上一個問號。
這點跟FOXY的分享原理有關,先保留,等一下就會提到。

二、是天使,還是惡魔?
在網路社群中,對於FOXY的評價正反兩極都有——
為什麼有的人用FOXY老是中毒卻渾然不知,有的人卻怎麼抓都沒事!?

A. 網路上好壞人都有
  各位都知道FOXY是以一個資料夾為一個單位,隨便檔案丟進去就分享出去了;
  再者,FOXY搜尋"完完全全"是靠關鍵字(檔名)來搜尋,
  不像BT有Torrent當媒介,也沒有eMule的評分機制當後盾;有安全性可言嗎?


B. 下載的檔案性質不同
  重點來了,有人說用FOXY下載MP3等性質單純的檔案就好了。
  看起來很有道理,但前面已經提到過了:搜尋是以關鍵字(檔名)來搜尋,
  檔案要怎樣是隨發佈者高興。
  所以如果今天你拿某遊戲當作關鍵字搜尋,那一定會搜尋到不少有關「帳號密碼」
  或是「密碼搜尋器」等看起來很棒的程式或檔案。如果你抓了,那你就上當了!

  為什麼?下面再解釋。

C. 使用習慣
  FOXY 預設是一開機就會啟動,但多半數的使用者根本不知道該如何把它關閉。
  這又跟他的分享機制有關係了。
  前面已經提到,「分享是以一個資料夾為單位」。
  理論上一個資料夾在網路上隨意的分享出去是相當危險的一件事,
  況且你還長時間掛在網路上


D. 不明白分享原理
  如前面一直強調的,分享原理的確很重要。
  有些小朋友根本不知道所謂的「分享資料夾」,看到設定項目就隨便勾,
  不小心就把C碟整個分享出去,帶有密碼資訊的cookies也連帶分享出去了!


三、分享原理解析
看以下破破的流程圖,就可以大致了解:


圖片位置已經過本人重新上傳,不會有盜連的問題。

這樣幾個疑問就能解釋了——
A. 為何開FOXY就無時無刻的對外丟封包?
  因為你必須無時無刻與FOXY伺服器連線,並回應搜尋方的搜尋要求

B. 怎麼就算沒分享任何資料夾或檔案,還是有送大型封包出去?
  因為你用FOXY一定會下載檔案,而這些檔案會放到FOXY資料夾中的TEMP資料夾;
  基於檔案共享的原則,這個資料夾在FOXY是強制分享的。


至於先前有網友指出:
『FOXY不會理會該設定項目,執意分享所有系統檔案』
的問題,在此稍作解釋:
在下使用的是從官方抓下來的1.9版,
在測試期間(約10天)是沒有出現「非分享資料夾因FOXY分享佔用導致拒絕存取」的問題
所以在下推測這個問題的原因有幾個可能:
1. 使用非官方版本的FOXY(網路上好像有流傳加強版或是改造版的FOXY)
2. 於不明地點抓取舊版本軟體(軟體分享機制可能遭修改)
3. 在下測試時間不夠長
但是根據我的試用心得,透過搜尋可以找到一些系統檔案
以及桌面上的.lnk(捷徑),而且數量還不少!
各位明白了吧?誰會沒事幹在分享資料夾放系統檔案以及桌面上的捷徑?
關於這點要拉長測試時間才能解釋了。

C. 抓的檔案明明就是MP3或是JPG甚至TXT,為何還是中標?
  這又跟FOXY的搜尋機制有關了。
  FOXY的搜尋機制完完全全是單靠「檔名」以及系統註冊的「檔案類型」
  來比對關鍵字搜尋的資料。這樣產生了幾個問題:
  1. 檔案合併夾藏惡意程式
     會使用命令字元的人都知道一個小技巧——檔案合併。
     用簡單的語法就可以合併兩個不相干的檔案,
     而只要開啟的程式接受,這兩個檔案都可以正常使用。
     這樣一來JPG圖檔跟MP3這類看似單純的檔案也變的不單純了。


參考文獻:台灣微軟Technet技術中心 — 關於合併檔案的項目

http://www.microsoft.com/technet ... sserver2003/zh-cht/
縮址:http://0rz.tw/7a2rq

  2. RM/RMVB本身格式的漏洞
     這應該不用多解釋了。
     有抓過此類影片的網友應該多多少少都有遇到過其中夾藏廣告的影片,
     如果今天夾藏的不是廣告,而是一個0大小的惡意網頁,那這樣你又中標了。


參考文獻:看RMVB影片也中招 教你查殺媒體文件病毒(台灣論壇文章)
               網址連結因板規規定,所以已經刪除,如需要請 PM。

  3. 功能強大卻邪惡的自解檔
     有很多好用的程式都是這樣重新封包變木馬的:
     先把木馬跟程式綁在一起壓縮,然後做成EXE的自解檔。
     有興趣的話可以開WinRAR自己做看看。
     設定木馬的存放位置並自動執行正常的程式,
     這樣一來看似啟動之後沒有異狀的程式也變成夾藏木馬的「偽」程式了


  4. 不良的解壓縮方式
     想必很多人看到需要解壓縮的檔案(尤其是需安裝程式)
     都是直接跳過解壓縮的步驟,直接選擇Setup來安裝。
     嘿嘿,問題就出在這裡!
     RAR 預設無論你執行其中的哪個檔案,都會對壓縮檔中的所有檔案做解壓縮
     如果裡面夾藏了像之前的熊貓病毒或是隨身碟病毒,
     檔案放到了TEMP暫存資料夾,就能觸發病毒執行了


想必各位看到上面的解析應該都……嗯,心裡想就好。

四、那要怎麼抓的安心,用的放心?
A. 看起來很棒的程式或檔案別抓
  像是帳號密碼、改IP、雙視窗、外掛加速等都可能是隻大木馬!

B. 檔案性質與檔案大小相差太大的別抓
  像是一個MP3如果只有幾百K,你應該不相信吧?這就別抓!

C. 來源太少的別抓
  這其實不是一個好的判斷方式,但這也是最基本的方式。
  當然刻意想要散佈病毒得人還是可以開好幾台電腦分享同一個檔案。

D. 老生常談——確實對檔案做掃描
  雖然不見得能百分之百靠防護軟體確認檔案安全性,但至少多分保障。

五、結論:還是少用為妙
FOXY是個很好且方便的分享平台,但是極度缺乏檔案的驗證機制或評分機制,
在網路上散佈假檔的環境下,使用者下載幾乎可以說是毫無保障可言。
所以在分享機制尚未健全的情況下,還是少用為妙!

2010年3月17日 星期三

[news]鬼影病毒侵襲 XP 重裝系統也沒用

0 意見

鬼影病毒侵襲 XP 重裝系統也沒用

鬼影病毒的由來

以前,常聽用戶說,中毒了沒啥,大不了重裝。但現在,這句話將成為歷史。金山安全實驗室捕獲一種被命名為「鬼影」的病毒,該病毒寄生在磁盤主引導記錄(MBR),即使格式化重裝系統,也無法將病毒清除出去。當系統再次重啟時,病毒會早於操作系統內核加載。而當病毒成功運行後,在進程中、系統啟動加載項裡找不到任何母體程序的特徵,病毒就像「鬼影」一樣在中毒電腦上陰魂不散。

技術講解

「鬼影」病毒是近年來極為罕見的技術型病毒,病毒作者具有高超的編程技巧。因WinXP系統的限制,一般手法改寫MBR會被系統判定為非法,這也是引導區病毒接近消亡的重要因素。這種繞過Winxp的安全限制,直接改寫MBR的技術一般稱之為MBR-rootkit,主要在國外技術論壇傳播,在 「鬼影」病毒之前,這一技術少有被黑客利用的案例。

病毒特徵

1.「鬼影」病毒母體運行後,會釋放兩個驅動到用戶電腦中,並加載。和母體病毒捆綁在一起其它流氓軟件會修改桌面快捷方式,嘗試修改IE屬性。

2.a驅動會修改系統的主引導記錄(mbr),並將b驅動寫入磁盤,保證病毒是優先於系統啟動,且病毒文件保存在系統之外。這樣進入系統後,病毒加載入內存,但找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。

3.病毒母體自刪除。

4.重啟系統後,主引導記錄(MBR)中的惡意代碼會對windows系統的整個啟動過程進行監控,發現系統加載ntldr文件時,插入惡意代碼,使其加載b驅動。

5.b驅動加載起來後,會監視系統中的所有進程模塊,若存在安全軟件的進程,直接結束。

6.b驅動會下載av終結者到電腦中,並運行。

7.下載的av終結者病毒會修改系統文件,對安全軟件進程添加大量的映像劫持,下載大量的盜號木馬。進一步盜取用戶的虛擬財產。

8.該病毒只針對Winxp系統,尚不能破壞Vista和Win7系統。

「鬼影」病毒影響力分析
據金山安全實驗室研究人員透露,在目前國內安全廠商和民間反病毒高手中,能夠完整分析「鬼影」病毒的人屈指可數。

因病毒寄生於硬盤的主引導記錄(MBR),病毒釋放的驅動程序能夠破壞大多數安全工具和系統輔助工具,在已經中毒的情況下,很難使用現有工具完成病毒清除,金山安全實驗室正在編寫針對「鬼影」病毒的專殺工具。

發現該病毒的艱難歷程
1.金山安全實驗室接到用戶報告殺毒軟件被破壞,遠程協助用戶使用多種修復工具、刪除相關的可疑文件,均無法解決,遠程檢查用戶電腦,未能成功採集病毒樣本。

2.類似案例持續增加,無一例外均未採集到母體病毒樣本,其中讓部分用戶備份數據後,格式化所有分區重裝,但該用戶重新系統後,報告中毒現象依舊。

3.嘗試讓用戶回憶最近的上網記錄,發現可疑瀏覽線索

4.金山安全實驗室的工程師訪問這些可疑網站,下載可疑程序,重現了中毒現象,確認了最初的感染來源。

 「鬼影」病毒的未來

該病毒開創了中國惡意軟件編寫的先河,預計該病毒的源文件將會成為黑色產業鏈中的搶手貨,未來可能會有更多惡意軟件利用「鬼影」病毒的MBR-rootkit技術長期駐留用戶電腦。每一個劃時代的病毒,都會令安全廠商頭疼不已。

「鬼影」病毒的防範

金山毒霸已經升級,可查殺傳播「鬼影」病毒的母體文件,避免更多用戶受「鬼影」病毒之害,用戶只需要在線升級即可獲得相應防禦能力。金山網盾已將傳播該病毒的惡意URL加入阻止訪問的列表,防止更多用戶下載這個神秘的「鬼影」病毒。

新聞連結出處:http://info.wenweipo.com/index.php/action-viewnews-itemid-14610

2010年3月16日 星期二

[news]利用USB充電軟體傳播的木馬Trojan.Arugizer

0 意見

利用USB充電軟體傳播的木馬Trojan.Arugizer


諾頓病毒週報 2010年3月15日-利用USB充電軟體傳播的木馬Trojan.Arugizer

病毒名稱:Trojan.Arugizer

病毒類型:木馬
受影響的作業系統:Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003


病毒分析:

利用USB線為自己的手機或者其他電子設備充電十分方便。不過,方便之餘,使用者也需要注意它其中包含的風險,因為最近賽門鐵克安全回應中心就發現了一個利用USB充電程式傳播的木馬病毒Trojan.Arugizer。

Trojan.Arugizer在執行以後會將自己複製到C:\WINDOWS\system32\Arucer.dll,並且修改登錄表 (registry key)達到開機自動啟動的目的。然後它將打開電腦後門,埠號為7777,攻擊者利用這個埠達到以下目的:1.下載執行可執行程式;2.刪除檔;3.發送檔到遠端伺服器;4.向攻擊者發送電腦檔目錄資訊

該木馬通常被隱藏在USB充電軟體的安裝程式中,以此來進行傳播。如果使用者下載並安裝該軟體安裝程式,電腦就可能會被Trojan.Arugizer 感染。 

新聞連結網址:http://www.oc.com.tw/readvarticlen.asp?id=18520

2010年3月14日 星期日

[攻擊]常見DDoS攻擊技術簡述

0 意見

DDoS攻擊是現在最常見的一種黑客攻擊方式,下面就給大家簡單介紹一下DDOS的七種攻擊方式。 

1.Synflood: 該攻擊以多個隨機的源主機地址向目的主機發送SYN包,而在收到目的主機的SYN ACK後並不回應,這樣,目的主機就為這些源主機建立了大量的連接隊列,而且由於沒有收到ACK一直維護著這些隊列,造成了資源的大量消耗而不能向正常請求提供服務。


2.Smurf:該攻擊向一個子網的廣播地址發一個帶有特定請求(如ICMP回應請求)的包,並且將源地址偽裝成想要攻擊的主機地址。子網上所有主機都回應廣播包請求而向被攻擊主機發包,使該主機受到攻擊。


3.Land-based:攻擊者將一個包的源地址和目的地址都設置為目標主機的地址,然後將該包通過IP欺騙的方式發送給被攻擊主機,這種包可以造成被攻擊主機因試圖與自己建立連接而陷入死循環,從而很大程度地降低了系統性能。


4.Ping of Death(最常見):根據TCP/IP的規範,一個包的長度最大為65536字節。儘管一個包的長度不能超過65536字節,但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大於65536字節的包時,就是受到了Ping of Death攻擊,該攻擊會造成主機的宕機。


5.Teardrop:IP數據包在網絡傳遞時,數據包可以分成更小的片段。攻擊者可以通過發送兩段(或者更多)數據包來實現TearDrop攻擊。第一個包的偏移量為0,長度為N,第二個包的偏移量小於N。為了合併這些數據段,TCP/IP堆棧會分配超乎尋常的巨大資源,從而造成系統資源的缺乏甚至機器的重新啟動。


6.PingSweep:使用ICMP Echo輪詢多個主機。


7.Pingflood: 該攻擊在短時間內向目的主機發送大量ping包,造成網絡堵塞或主機資源耗盡。


本篇文章來源:http://www.hacksky.net/news/HTML/5415.html

2010年3月12日 星期五

[駭客]駭客攻擊前的準備

0 意見

駭客攻擊前的準備
Operation System fingerprinting
文/圖 Nicholas

「知已知彼,百戰不殆」,駭客在進行攻擊時會先對目標進行了解,藉以尋求最佳的攻擊方式,本文作者將介紹一些常見的資訊收集方式,讓讀者能有一定的了解,進而小心防範以避免遭受進一步的攻擊。


在說明OS fingerprinting前需要先了解駭客的做法與步驟,因為這個步驟是駭客進行攻擊前重要的一環。如果偵測的結果不正確,就會導致無法成功攻擊目標主機。因此,在這裡列出一般在弱點掃描時或滲透測試時會進行的幾個動作:

1. 確認主機是否「存活」。
2. 檢查主機開放的port(通訊埠)。
3. 依據開放的port定義出該主機啟用的服務有哪些。
4. 依據偵測到作業系統的banner,找出該主機作業系統類型。
5. 開始進行弱點掃描。
6. 依據偵測到的主機系統繪出網路示意圖。
7. 弱點報表會顯示被偵測主機的有哪些弱點及其嚴重性、修補方式等說明。
8. 利用弱點即可進行已知的弱點,執行攻擊。

透過上述的動作,攻擊者得以取得攻擊目標的相關資訊,才能選擇以最適合的方式進行入侵。


駭客為什麼要作OS fingerprint呢?
在做網路弱點掃描評估或滲透測試時,常會使用一些偵測掃描的工具來達到目的。不過在使用這些工具前,必須先知道目標標的物的範圍,才適合開始著手進行偵測的動作。因此,瞭解標的物主機的作業系統類型,是相當重要的。若無法正確偵測出遠端主機的作業系統版本,即無法知道該主機有哪些弱點,也就無法利用這個方式進行攻擊。弱點掃描執行前會先辨識出作業系統類型,再根據目前駭客、資安研究人員或資安廠商發現到的作業系統相關應用程式、主機提供特定服務的弱點,或者是可以利用不正確的安全組態設定,來進行攻擊。一般駭客的作法會進一步利用這些經過弱點掃描工具所掃出來的部份,找出可攻擊的進入點,接著再做提升權限的動作,取得目標主機的最高管理權限。

不過近二年來,駭客的目標已經轉移至利用已發現的應用程式或主機作業系統弱點,進行大規模散佈惡意連結至各個知名網站或有SQL injection的站台。一般使用者在毫不知情的情形下,便可能瀏覽已經遭駭客攻擊成功、並注入含有新弱點攻擊程式的惡意連結網站,該使用者此時即已經遭受攻擊,並且被植入木馬後門程式。


Fingerprint技術介紹
OS fingerprint(作業系統指紋)就是利用各種作業系統版本對於接收到的封包所產生不同回應封包內容的特性,來區分辨識作業系統的類型或版本。舉例來說,較常看到的就是利用nmap分辨不同版本的UNIX:Solaris、HPUX或AIX,還能夠辨識出不同版本的Linux Kernel或其他作業系統,像是Windows平台。常見的TCP/IP Protocol Stack Fingerprint技術大致可以分為下列幾種。


TCP FIN flag偵測

當我們送出一個TCP FIN flag封包(或是任何不包含ACK或SYN flag的封包),目的地是open port,接下來會等待封包的回應。在RFC793文件規範中,正確行為是不會對這個封包有任何的回應,但是目前很許多的作業系統,像是MS Windows、BSDI、CISCO、HP/UX、MVS與IRIX,會回傳RESET封包。值此之故,目前有許多的工具都是使用這類技術偵測對方的作業系統版本。


BOGUS flag偵測

它是利用在TCP SYN封包的TCP header中設定一個未定義的TCP "flag"。在Linux 2.0.35前的舊有版本會在回應的封包裏保留" flag ",而其它的作業系統則是在收到SYN+BOGUS封包後,將目前的連線中斷,然後再重新連線。Queso就是利用這種封包行為方式辨識作業系統。


TCP ISN Sampling

此種方式是利用系統回應連線需求時,找出ISN(initial sequence numbers)的模式。粗略可分為:傳統的64K(老式的UNIX機器)、隨機遞增(新版的Solaris、IRIX、FreeBSD、Digital UNIX與Cray,還有其他大多數作業系統)與完全隨機(Linux 2.0.*、OpenVMS、新版本的AIX等等)。

而Windows機器(與其他少數作業系統類型)則是使用「依時間遞增」的方式,ISN會在每個時間週期中固定遞增,不過這個方式與古老的64K模式一樣很容易導致偵測失敗。最好的偵測技術是使用「常數」,利用固定的ISN,才能準確偵測出作業系統類型,例如3Com集線器(使用0x083值)和Apple LaserWrite印表機(使用0xC7001值)都是使用固定的ISN值。


Don't Fragment bit

許多作業系統開始在傳送的部份封包裡設定"Don't Fragment"位元來偵測作業系統。但這個技術無法偵測Solaris機器,也就是說並非所有的作業系統皆能有相同的結果。不過,可以利用這個位元,我們還是可以收集更多關於目標作業系統類型的資訊。


TCP Initial Window

這個技術是利用檢查回傳的封包中設定的Window size判定作業系統。在某些舊掃描工具中,會使用RST回應的non-zero Windows size,來判別作業系統為BSD 4.4。但較新的掃描工具 - 例如queso與nmap則會持續追蹤確切的Windows size。事實上,在不同的作業系統會產生不同的值,基本上只有Windows size值是固定的。從這些測試中可以得到相當多的資訊,像是部份作業系統可以單獨只從Windows size辨識出來,舉例來說,AIX就是唯一使用0x3F25(此為十六進位表示法,十進位值161658)的作業系統,但像是微軟的Widnows使用0x402E(此為十六進位表示法,十進位值16430),它與OpenBSD和FreeBSD所用的Windows size就完全一樣。


ACK Value

透過偵測不同的狀況會有不同的ACK欄位回應值,以此作為標準。例如,當我們送出FIN|PSH|URG的封包結束目前的TCP port連線時,在大部分的情形下會將TCP ACK的設定值設定為與你的ISN值相同。但Windows和某些印表機則會傳送ISN+1的值。因此當傳送SYN|FIN|URG|PSH去開啟通訊埠時,對Windows平台而言回傳的值並是不固定的。不過這個論點在Windows平台上並不一致:有時會傳回你的seq number,但有時候則會回傳給你seq +1的值。甚至有時候回應的是隨機數值。對於微軟這麼善變的程式碼,比較難在這裏得到一個可以遵循的規則,得到相對應的作業系統版本。


ICMP Error Message Quenching

部份作業系統會遵循RFC 1812文件的建議,限制不同的錯誤訊息的回傳比率。例如在Linux核心作業系統上 - 也就是在 /usr/src/kernels/”kernel-version”/include/net/icmp.h裡,限制4秒內只能有80個目的地無法抵達的訊息產生。當超過上限時就會停止1/4秒。所以你就可以透過下列方式測試:利用傳送許多封包到random high UDP port,並且計算無法抵達目的主機的回應封包,利用這種每個作業系統皆有不同的回傳比率規則,來辨識作業系統版本。


ICMP Message Quoting

在RFC 1122文件規範了ICMP的錯誤訊息需包含幾個ICMP錯誤訊息造成的原因。對於一個無法到達通訊埠的訊息,大部分的作業系統都只會傳回必要的IP header+8位元組。但是Solaris與Linux則會傳回更多的訊息。NMAP即是利用這個方式來辨識Solaris與Linux作業系統版本。


ICMP Error message echoing integrity

在傳送封包給目的主機時,主機必須回傳部份的原始訊息和通訊埠無法到達的錯誤訊息,但有些主機會在開始處理回應時,利用傳送的封包header作為' scratch space ',因此會接收到已經被修改過的回應封包。例如AIX和BSDI回傳IP total length欄位的大小會高於20個位元組。而有些像是BSDI、FreeBSD、 OpenBSD、ULTRIX和VAXen這些作業系統,則會欺騙傳送IP ID的欄位。因此當checksum值因TTL的變化而改變時,有些主機(AIX、FreeBSD等)會傳回不一致或0 checksum值。 相同的狀況也會發生在UDP的checksum值。NMAP即是利用ICMP九種不同的測試來找出不同作業系統間的差異做為辯識的方式之一。


Type of Service

從ICMP port unreachable messages訊息中觀察回傳的封包中的Type of Service (TOS) 值。在這個錯誤訊息中,幾乎所有的作業系統都是使用0,但在Linux作業系統上的TOS值則會使用0xC0,若它的值改成0,我們就可以以此為依據認為它是較舊的作業系統版本,依此辨識新舊版本的不同。


Fragmentation Handling

這個技術主要是利用自不同的作業系統中,對於處理IP fragments的overlapping的不同作法,來辨識作業系統版本。例如,有些作業系統會在發生IP fragments的overlapping的情形下,用新封包將舊封包覆蓋掉,而有些則是會將新封包丟棄,但保留舊的封包。有很多不同的偵測方式可以知曉如何重組封包,詳細資訊可以參考 http://en.wikipedia.org/wiki/IP_fragmentation_attacks#IP_fragment_overlapped 網站資料。


SYN Flood Resistance

在傳送了過多偽造的SYN封包到遠端主機作業系統上時,它會停止接受新的連線。偽造封包會讓作業系統的kernel持續耗費許多效能在執行重新連線上,因此有許多作業系統在同一時間只能處理八個封包。新版本的Linux kernel作業系統則使用了不同的方式處理此類問題。例如使用SYN cookies方式,阻止大量的連線造成嚴重的效能問題。就因為不同的作業系統在處理過多的TCP SYN封包時,方式皆有所不同,所以我們才可以利用這個模式辯識作業系統版本。

上述各種技術都有工具可以「製造」或摸擬出相對應的封包 - 不過這些工具大部分只能在Linux或FreeBSD平台上使用,由於這些工具存在攻擊性意圖,為避免有心人濫用或不當使用來攻擊他人主機,此處不提供這類工具的介紹。若你需要驗證產生出來的封包是否正確,筆者推薦使用wireshark (http://www.wireshark.org - for Windows平台)或tcpdump(http://www.tcpdump.org,for UNIX或Linux平台)工具程式,錄下封包內容、執行封包比對。


OS fingerprinting的兩種類型
fingerprinting以是否有直接受測端主機直接接觸為分類而分成Active Stack fingerprinting與Passive fingerprinting兩種類型:


Active Stack fingerprinting

主要利用傳送偽造或異常的封包給遠端主機,分析遠端主機所回應的封包內容。一般常見的方式是利用傳送不同類型的假造TCP封包給受測的遠端主機,並從該遠端主機不同的回應封包中,透過分析工具辨識出特定的作業系統類型。好處是能夠大量處理,並快速偵測出遠端主機的作業系統型態,缺點是很容易讓遠端主機管理者發現我們在嘗試偵測或攻擊,積極的系統管理者會及早防範阻擋該行為。常見的Active fingerprinting工具如下:

.Xprobe2 (http://www.darknet.org.uk/2008/05/xprobe2-active-os-fingerprinting-tool/)
.SinFP (http://www.darknet.org.uk/2006/05/sinfp-next-generation-os-detection-tool/)
.nmap http://nmap.org/
nmap指令如範例1。

範例1



Passive fingerprinting

不會直接對遠端主機做偵測的動作,可以避免被察覺。以其它方式連線至遠端主機,透過特定工具分析回應的封包。主要是利用遠端主機與Internet連線的特性,利用連線的封包分析該主機的作業系統類型。或者利用網路上的資訊,得到你想知道的主機訊息。例如http://www.netcraft.com/就能提供網站資訊的查詢,資訊包括有:主機作業系統類型、使用的Web伺服器版本以及IP等資訊。常見的Passive fingerprinting 工具:

.P0f (http://secure2s.net/en/os-detectors/p0f/84/)
.httprint (http://www.net-square.com/httprint/httprint_paper.html)
.Miart HTTP header (http://www.aboutlyrics.com/Software/Download/Miart-HTTP-Header-Tool.php)
除了上述提供的工具以外,網路上還有很多網站可以查詢到目標主機的OS版本,例如可以透過http://www.netcraft.com/網站查詢而得知。


nmap網站資訊,包含IP、OS、Web Server version等。



google網站資訊。



對於作業系統偵測的防禦
對於駭客利用類似NMAP(http://nmap.org)這類型的工具做攻擊前偵測動作時,都可以利用IPS(Intrusion prevention system)設備進行阻擋,大部分的IPS設備皆有提供關於OS dectation的特徵碼進行偵測甚至進行阻擋動作。舉例來說,常見的Snort IDS(http://www.snort.org/,亦提供inline mode建置方式)也有提供免費的rules,供有需要的使用者下載並套用。



【原文刊載於RUN!PC雜誌:2009年11月號】
  文章來源網址:http://www.runpc.com.tw/content/main_content.aspx?mgo=190&fid=G02

2010年3月11日 星期四

[news]Mariposa殭屍網路的相關知識

0 意見

Mariposa殭屍網路的相關知識


什麼是「殭屍網路」?
殭屍網路是由殭屍病毒所有者所控制的殭屍電腦群組(網路)。病毒所有者會寄出殭屍病毒的主結構,然後再利用它來更新並下載新的惡意軟體病毒株,藉此散佈廣告、寄發垃圾郵件、或製造相關攻擊來導致電腦當機。


Mariposa殭屍網路是何時被人發現的?
由加拿大資安防護廠商Defence Intelligence公司首先於2009年5月發現的。

這起事件和最近的Kneber殭屍網路或Zeus病毒攻擊有關嗎?
不,除了它們都和殭屍網路有所牽連以外,實際上兩者毫無相關。Kneber是一個由Zeus木馬所構成的殭屍網路,而現在甚至還有上百種由Zeus木馬「演化」而成的殭屍網路散佈在全世界。說穿了Kneber殭屍網路和Mariposa殭屍網路的分別其實很簡單,前者早在2007年末就出現了變種分身,而後者才出現約一年而已。

Mariposa殭屍網路的特色為何?
這是有史以來規模最大的殭屍網路。在分析過log紀錄檔以及殭屍病毒所在的IP位址之後,我們才發現竟然有1,200萬台電腦遭到感染。

誰是殭屍網路的受害者?他們是打哪來的?
由於感染數量相當龐大,因此任何人都無法逃脫這個殭屍網路的魔掌,就連許多企業(包括美國1,000大企業在內)也不例外。

遍布全球190個國家、屬於個人、企業、政府機關、大學院校的1,270萬台電腦都曾受到感染;而遭到竊取的資料則包括銀行帳戶資料、信用卡號碼、使用者名稱/密碼等等。

這個殭屍網路估計造成多少金額的損失?
儘管執法單位仍在進行相關資料的鑑識比對工作,但因詐欺、金融盜竊、資料遺失所造成的相關善後成本估計高達數千萬美元。

嫌犯操縱Mariposa殭屍網路的目的是什麼?
這類案件的動機多半是為了錢。嫌犯會用幾種不同的方法來營利:出租一部分的殭屍網路資料、安裝惡意軟體、盜竊信用資料,或進行分散式阻斷服務(DDoS,一種網路駭客攻擊)等等。

由Netkairo的硬碟資料可知,這些複雜難辨的網路供應商甚至還提供了許多加值服務:駭入伺服器以操縱殭屍網路、加密殭屍網路以防防毒軟體偵測、連接隱匿的私人網路空間以運作殭屍網路等等。

他同時也有一長串的客戶名單等著付費租用某部份的殭屍網路,這些名單多半是透過偷來的信用卡號碼和強迫安裝工具列等方式取得。

電腦感染到殭屍病毒時,我們該做些什麼?
感染電腦會在被害者不知情的狀況下變成Mariposa殭屍網路的一部分。而從那一刻開始,感染電腦就成為殭屍網路首腦的玩物(被指令碼操縱),進而去安裝新型的惡意軟體、或被相關攻擊搞到電腦當機等等。

此外,殭屍病毒還擁有蠕蟲的功能,能透過P2P網路、即時通訊軟體、USB裝置(MP3播放器、手機)等平台進行散佈。

有關單位是用什麼方法來掃蕩Mariposa殭屍網路的?
Panda防毒軟體公司、Defence Intelligence公司、喬治亞理工學院等多個國家的資安專家和執法單位共同組成了Mariposa工作小組,群策群力殲滅殭屍網路,並將犯罪者繩之以法。

殭屍網路背後的藏鏡人到底是誰?
Mariposa殭屍網路是由名叫DDP的網路犯罪團體所組成。目前調查行動還在許多國家持續進行中。

有關單位進行了哪些調查行動?他們是如何逮捕嫌犯的?
首先,Mariposa工作小組在世界各地(多半是在西班牙)收集各種殭屍網路控制面板的相關資訊。然後在12月23日,透過國際間的互助行動捕捉到Mariposa首腦所用的殭屍網路專屬通訊管道,並且截斷了他的控制權。殭屍網路首腦-別名Netkairo的傢伙對此情況感到非常沮喪,也想盡各種方法來重新取得它們的部份控制權。之後他選擇透過隱匿的虛擬網路裝置服務來連接控制面板,而這個常見的連接方式卻暴露了他的所在位置。除此之外,他還犯了一個致命錯誤-透過家用電腦來上網;他設法重抓了一個殭屍網路,並利用它來對Defence Intelligence公司進行分散式阻斷服務(DDoS,一種網路駭客攻擊)。最後他完全喪失了伺服器控制權,並於2月3日遭到逮捕。

Netkairo是西班牙人,現為31歲,在他乖乖就範之後,西班牙警方透過他的電腦資料於2010年2月24日抓到了其他兩名西班牙籍同夥:30歲的J.P.R.(暱稱為jonyloleante)以及25歲的J.B.R(暱稱為ostiator)。目前調查行動還在持續進行中,我們預期未來幾周內還會有其他國家的同夥遭到逮捕。

如何辨別自己的電腦是否為殭屍網路的一員?
Panda防毒軟體公司所採取的第一個動作就是聯絡並提供殭屍病毒的樣本給其他防毒廠商,好讓它們的防毒軟體能偵測並阻檔殭屍病毒的入侵。

如何辨別自己是否為Mariposa殭屍網路的受害者(資料有無遺失)?
Defence Intelligence公司願對遭受感染的組織伸出援手。若貴組織有相關意願,請利用下列電子信箱與Defence Intelligence公司聯絡:compromise@defintel.com。

相關資訊連結:http://www.pandasecurity.com.tw/
 
相關資訊連結: http://www.pandasecurity.com.tw/ 
此篇文章出處:
Mariposa殭屍網路的相關知識

[知識]常見病毒命名規則敘述

0 意見

其實只要我們掌握一些病毒的命名規則,我們就能通過殺毒軟件的報告中出現的病毒名來判斷該病毒的一些公有的特性了。

世界上那麼多的病毒,反病毒公司為了方便管理,他們會按照病毒的特性,將病毒進行分類命名。雖然每個反病毒公司的命名規則都不太一樣,但大體都是採用一個統一的命名方法來命名的。一般格式為:<病毒前綴>.<病毒名>.<病毒後綴> 。

病毒前綴是指一個病毒的種類,他是用來區別病毒的種族分類的。不同的種類的病毒,其前綴也是不同的。比如我們常見的木馬病毒的前綴 Trojan ,蠕蟲病毒的前綴是 Worm 等等還有其他的。

病毒名是指一個病毒的家族特徵,是用來區別和標識病毒家族的,如以前著名的CIH病毒的家族名都是統一的「 CIH 」,還有近期鬧得正歡的振蕩波蠕蟲病毒的家族名是「 Sasser 」。

病毒後綴是指一個病毒的變種特徵,是用來區別具體某個家族病毒的某個變種的。一般都採用英文中的26個字母來表示,如Worm.Sasser.b就是指 振蕩波蠕蟲病毒的變種B,因此一般稱為 「振蕩波B變種」或者「振蕩波變種B」。如果該病毒變種非常多(也表明該病毒生命力頑強),可以採用數字與字母混合表示變種標識。

綜上所述,一個病毒的前綴對我們快速的判斷該病毒屬於哪種類型的病毒是有非常大的幫助的。通過判斷病毒的類型,就可以對這個病毒有個大概的評估(當然這需要積累一些常見病毒類型的相關知識,這不在本文討論範圍)。而通過病毒名我們可以利用查找資料等方式進一步瞭解該病毒的詳細特徵。病毒後綴能讓我們知道現在在你機子裡呆著的病毒是哪個變種。

下面附帶一些常見的病毒前綴的解釋(針對我們用得最多的Windows操作系統):


1、系統病毒

系統病毒的前綴為:Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows操作系統的 *.exe 和 *.dll 文件,並通過這些文件進行傳播。如CIH病毒。


2、蠕蟲病毒

蠕蟲病毒的前綴是:Worm。這種病毒的公有特性是通過網絡或者系統漏洞進行傳播,很大部分的蠕蟲病毒都有向外發送帶毒郵件,阻塞網絡的特性。比如衝擊波(阻塞網絡),小郵差(髮帶毒郵件)等。


3、木馬病毒、黑客病毒

木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為 Hack 。木馬病毒的公有特性是通過網絡或者系統漏洞進入用戶的系統並隱藏,然後向外界洩露用戶的信息,而黑客病毒則有一個可視的界面,能對用戶的電腦進行遠程控制。木馬、黑客病毒往往是成對出現的,即木馬病毒負責侵入用戶的電腦,而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種類型都越來越趨向於整合了。一般的木馬如QQ消息尾巴木馬 Trojan.QQ3344 ,還有大家可能遇見比較多的針對網絡遊戲的木馬病毒如Trojan.LMir.PSW.60 。這裡補充一點,病毒名中有PSW或者什麼PWD之類的一般都表示這個病毒有盜取密碼的功能(這些字母一般都為「密碼」的英文「password」的縮寫)一些黑客程序如:網絡梟雄(Hack.Nether.Client)等。


4、腳本病毒

腳本病毒的前綴是:Script。腳本病毒的公有特性是使用腳本語言編寫,通過網頁進行的傳播的病毒,如紅色代碼(Script.Redlof)——可不是我們的老大代碼兄。腳本病毒還會有如下前綴:VBS、JS(表明是何種腳本編寫的),如歡樂時光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。


5、宏病毒

其實宏病毒是也是腳本病毒的一種,由於它的特殊性,因此在這裡單獨算成一類。宏病毒的前綴是:Macro,第二前綴是:Word、Word97、Excel、Excel97(也許還有別的)其中之一。凡是只感染WORD97及以前版本WORD文檔的病毒採用Word97做為第二前綴,格式是:Macro.Word97;凡是只感染WORD97以後版本WORD文檔的病毒採用Word做為第二前綴,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文檔的病毒採用Excel97做為第二前綴,格式是:Macro.Excel97;凡是只感染EXCEL97以後版本EXCEL文檔的病毒採用Excel做為第二前綴,格式是:Macro.Excel,依此類推。該類病毒的公有特性是能感染OFFICE系列文檔,然後通過OFFICE通用模板進行傳播,如:著名的美麗莎(Macro.Melissa)。


6、後門病毒

後門病毒的前綴是:Backdoor。該類病毒的公有特性是通過網絡傳播,給系統開後門,給用戶電腦帶來安全隱患。如54很多朋友遇到過的IRC後門Backdoor.IRCBot 。


7、病毒種植程序病毒

這類病毒的公有特性是運行時會從體內釋放出一個或幾個新的病毒到系統目錄下,由釋放出來的新病毒產生破壞。如:冰河播種者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。


8.破壞性程序病毒

破壞性程序病毒的前綴是:Harm。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒便會直接對用戶計算機產生破壞。如:格式化C盤(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。


9.玩笑病毒

玩笑病毒的前綴是:Joke。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒會做出各種破壞操作來嚇唬用戶,其實病毒並沒有對用戶電腦進行任何破壞。如:女鬼(Joke.Girlghost)病毒。


10.捆綁機病毒

捆綁機病毒的前綴是:Binder。這類病毒的公有特性是病毒作者會使用特定的捆綁程序將病毒與一些應用程序如QQ、IE捆綁起來,表面上看是一個正常的文件,當用戶運行這些捆綁病毒時,會表面上運行這些應用程序,然後隱藏運行捆綁在一起的病毒,從而給用戶造成危害。如:捆綁QQ(Binder.QQPass.QQBin)、系統殺手(Binder.killsys)等。

以上為比較常見的病毒前綴,有時候我們還會看到一些其他的,但比較少見,這裡簡單提一下:

DoS:會針對某台主機或者服務器進行DoS攻擊;

Exploit:會自動通過溢出對方或者自己的系統漏洞來傳播自身,或者他本身就是一個用於

Hacking的溢出工具;

HackTool:黑客工具,也許本身並不破壞你的機子,但是會被別人加以利用來用你做替身去破壞別人。

你可以在查出某個病毒以後通過以上所說的方法來初步判斷所中病毒的基本情況,達到知己知彼的效果。在殺毒無法自動查殺,打算採用手工方式的時候這些信息會給你很大的幫助。

本文資料來源:病毒命名规则大检阅教你识别病毒- 黑客技术吧

2010年3月10日 星期三

[news]微軟在安全更新日發佈IE零時攻擊警告

0 意見

微軟在安全更新日發佈IE零時攻擊警告

解決方案一:「Internet ExplorerWindows Vista和後續Windows作業系統的保護模式,有助於限制該弱點的衝擊,成功利用該弱點的攻擊者,只會得到非常有限的系統權利。這個模式將網際網路防護層級設在『高』,針對未被加入Internet Explorer信任網站區的網站,可發揮減輕效用。」

解決方案二:微軟建議IE 6IE 7使用者立即升級到IE 8

總之,若不習慣使用他牌的瀏覽器,還是趕快升級到最新版本IE8吧!
台灣微軟 IE 8.0 下載網站
新聞內容:

微軟在9日的安全更新日共修補8WindowsOffice漏洞,並警告Internet Explorer 6IE 7新發現的弱點,已被用來發動攻擊。

微軟發出的安全通告981374,是針對一個被私自揭露的弱點。若使用者造訪惡意網站,該漏洞能讓攻擊者控制整台電腦。

微軟表示,若干既有功能可減輕攻擊的效用。例如目前支援的Microsoft OutlookMicrosoft Outlook ExpressWindows Mail各版,都在預設的Restricted網站區開啟HTML郵件。

微軟的通告寫道:「Internet ExplorerWindows Vista和後續Windows作業系統的保護模式,有助於限制該弱點的衝擊,成功利用該弱點的攻擊者,只會得到非常有限的系統權利。Windows Server 2003Windows Server 2008Internet Explorer本就預設在受限的模式,名為Enhanced Security Configuration。這個模式將網際網路防護層級設在『高』,針對未被加入Internet Explorer信任網站區的網站,可發揮減輕效用。」

通告中也包含替代方案。微軟建議IE 6IE 7使用者立即升級到IE 8。針對最近接連爆出的IE漏洞,nCircle安全作業主任Andrew Storms表示:「這是三個月內第二次,微軟對新的IE零時差漏洞發出警告。這個新問題無疑將為新一輪瀏覽器大戰的關鍵安全議題加溫。」

在上週四(4日)的安全更新日預覽中,微軟說9日將發佈兩個「重要」等級快報,修補WindowsOffice產品共8項弱點。

3
月的第一個安全快報,編號MS10-016,是針對Windows Movie Maker的弱點。使用者若開啟惡意的Movie Maker企畫檔,便會受害。微軟的資深安全通訊經理Jerry Bryant在微軟安全反應中心的部落格寫道:「Windows XPWindows Vista搭配的版本(2.16.0)都受到影響,Version 2.6版也有問題,並可從網路上免費下載安裝。在任何支援平台,包括Windows 7上安裝2.6版的顧客,我們都將提供更新。」

這項弱點的影響範圍也擴及另一項免費下載的軟體,Microsoft Producer 2003Bryant寫道:「目前我們沒有提供Producer 2003的更新。在我們持續調查Producer 2003的同時,我們建議顧客反安裝該軟體,或利用現有的Microsoft Fix It,分離該軟體與企畫檔類型,多加一層防護。」

第二個快報,編號MS10-017,影響所有現行支援的Microsoft Office Excel各版,及Office 2004Office 2008 for MacOpen XML File Format Converter for Mac、目前支援的各版Excel viewerSharePoint 2007。使用者必須開啟特製的惡意檔案,才能促成攻擊。

同時,微軟的惡意軟體移除工具(Malicious Software Removal Tool)也進行更新,納入竊取熱門線上遊戲登入資料的木馬程式Win32/Helpud。微軟也重新發佈MS09-033快報,受影響的軟體除原本的Microsoft Virtual PCMicrosoft Virtual Server之外,另加入Microsoft Virtual Server 2005

微軟仍持續監控與安全通報981169有關的威脅。這個VBScript漏洞,影響微軟在31日公佈的舊版Windows系統。雖然該漏洞的概念驗證攻擊碼已在外流通,微軟聲稱尚未收到任何攻擊通報。使用Windows 2000XPServer 2003等系統的顧客,應執行替代方案。Windows 7Windows Server 2008Windows Server 2008 R2Windows Vista的使用者,不會受到影響。(陳智文/譯)

新聞網址:http://www.zdnet.com.tw/news/software/0,2000085678,20144538,00.htm?feed=NL:+%AC%EC%A7%DE%B7s%BBD%A4%E9%B3%F8

相關新聞報導:微軟:駭客針對IE6和IE7漏洞 進行攻擊

2010年3月6日 星期六

[news]西班牙破獲全球最大駭客集團

0 意見


西班牙破獲全球最大駭客集團

  • 2010-03-05
  •  
  • 工商時報
  •  
  • 【記者顏嘉南/綜合外電報導】
 西班牙警方聯合私人網路安全專家所破獲的網路犯罪集團,利用名為蝴蝶的殭屍電腦網路,蒐集使用者的個人帳號及信用卡號碼等進行犯罪。圖/美聯社
西班牙警方聯合私人網路安全專家所破獲的網路犯罪集團,利用名為蝴蝶的殭屍電腦網路,蒐集使用者的個人帳號及信用卡號碼等進行犯罪。圖/美聯社

     西班牙警方周三宣布,已聯合私人網路安全專家,破獲了全球規模最大的網路犯罪集團,同時逮捕3名嫌疑犯,3人被控利用殭屍電腦網路,讓全球超過1,300萬台電腦受到病毒攻擊,以竊取信用卡號碼和其他資料。
     西班牙警方和協助辦案的網路安全公司表示,這幾名殭屍駭客的犯罪手法係利用名為蝴蝶的殭屍電腦網路(Mariposa Botnet),Mariposa為西班牙文蝴蝶之意,影響範圍遍及全球190個國家的家庭、政府機構、學校,逾半數的美國前1,000大企業,以及至少40家大型金融機構。
     加拿大網路安全公司Defence Intelligence於去年發現該病毒,該公司執行長戴維斯(Chris Davis)表示,「這個病毒十分惡劣,我們必須立即將它關閉,並從源頭消滅。」
     Defence與西班牙的Panda Security公司並未透露,在去年12月23日關閉蝴蝶殭屍網路的伺服器前,這些駭客從受害者處竊取多少金錢。安全專家表示,要從1,300萬台電腦移除惡意程式,可能需花費數千萬美元
     蝴蝶殭屍網路被設計為祕密接管受攻擊的電腦,使其成為殭屍電腦之一,再蒐集使用者的銀行、社交網站和電子郵件登入資料,以及信用卡號碼,並記錄每次重要攻擊,再將資料送回駭客存放資料的「指揮控制中心」。
     蝴蝶殭屍網路最初是透過微軟IE瀏覽器漏洞來散布,也可藉由中毒的USB隨身碟影響電腦,或是利用微軟MSN即時訊息軟體傳送有毒連結微軟發言人表示,公司無法立即發表評論。
     Panda Security資深安全顧問巴斯特曼迪(Pedro Bustamante)表示,其中1名嫌疑犯被逮捕時,手邊還有逾80萬筆個人資料,這3名嫌犯除了蒐集資料,還將數百萬台殭屍電腦出租給其他駭客,1隻羊剝兩層皮。