防止攻击跳板主机的安全管理策略(一)
/ns/wz/sys/data/20020311141711.htm
摘要
攻击跳板主机的问题对於目前网路结构已构成严重安全威胁,潜伏的危机将超过一般电脑
病毒。据警政署刑事局的统计估计,国内约有十分之一网路主机被殖入木马程式(即攻击
跳板所利用的後门宿主)。最近网站入侵事件频传,多数与被操纵的主机有关,如
Yahoo、 eBay 等商用网站遭受分散式阻断攻击(大量主机被安放阻断攻击程式),
Love-You-Letter 与最近的 Navidad 事件等则是个人电脑被用来间接散攻击程式。本文
探讨各种跳板攻击方法,防止策略、并探讨追查技术的未来发展、相关法律责任归属等。
关键字: 跳板攻击、後门操控、隐密通道、诱陷执行环境、行为指纹。
一、攻击跳板与网路安全威胁
最近微软公司程式码遭窃,多处商务网站面临分散阻断攻击,美国各大学纷遭大规模全面
入侵。这些都反应资讯安全威胁已严重影响大众的日常交易往来。根据 TW-CERT 88 年的
国内Web server 年度安全调查[4],有 53 % 的主机可被取得 Web Admin 的权限。我们近
日的自我安全检测机制的记录有显示有高达 59% 机器有程度不等的安全缺陷。因此刑事局
的「木马」主机估计比率(1/10)并不算高估,因为只要有心的入侵者都可能在53% 的主机中
殖入「後门」。
但一般人对於安全警觉都限於「可视」或「可察觉」的安全威胁,例如网页遭致窜改,或
资料被毁损。去年八月政府网站被大举涂换网页,各界纷表关切,公听、座谈会不断举行,
但事仅於此。今年十月国庆网路谣传将有类似事件重演,事後仅有零星网站有网页被改迹
象,因此大家庆幸不已,更深信此为「谣传」。但情况真得如此乐观吗?根据我们深入调
查,在单一机关内有存在各种不同形式後门的主机,比例达 50%。这样的比例刚好反应
TW-CERT 年度安全调查数据的可信度:亦即这些可能被取得 admin shell 的主机,都有某
种形式的後门程式隐藏其中。
1.未来攻击趋势
未来网路安全威胁都将与後门建立息息相关,包括:
攻击後暗藏隐密操控後门
这是网路攻击精化的必然发展。亦即杂的攻击过程将分阶段,或称为攻击状态快取
(Attack Process Cache),在入侵目的达成之前,用来维前次攻击途径的畅通。
後门与病毒感染媒介整合
後门程式将与病毒感染方式互相整合。传统病毒是同步非操控模式,亦即只能依赖事件同步
(如13日星期五),以引发恶意指令。但後门程式的特性是非同步操控模式,随时可能触发
恶意指令。
分散式、大规模间接攻击
最典型的实例是分散式阻断攻击(Distributed Denial of Service),利用大量分散於各地
网路的用户主机,同时启动攻击。後门程式的运用是分散式攻击重要的一环。
2. 建立後门之目的
窃取资源利用,例如网路频宽(设置 http proxy server)
散各地电脑的後门,为数甚多是用来窃取资源,包括 Web access 与 E-mail Relay,以
取得宝贵的网路资源。举中研院为例,对外频宽充足,是有企图用户侵入的最大诱因。各大
ISP 同样面临类似威胁。事实上,这样的犯罪形态如同盗打电话,可藉以节省网路使用费用。
非同步攻击状态快取
维护状态快取(cache)将可快速取得上次攻击状态,可应付杂的入侵计画,例如攻击可依
据目标权限差异,先取得低权限用户电脑存取权,再渐进掌控高权限用户,进而入侵重要
伺服器。顺序上,为低权限资讯用户─> 高权限资讯用户 ─> 普通伺服器帐号 ─> 管理者
权限帐号。每一阶段的攻击状态快取可维入侵管道的畅通。
设立攻击跳板
间接攻击可避免被追查,同时操控大量攻击跳板,以不同来源位址达到欺骗流量管理系统目
的,进而形成分散阻断攻击。
3. 後门程式侵入方式
一般攻击後殖入
後门殖入的最佳宿主是对於「安全」不经心的使用者。第一类是管理不善的伺服器。第二类
是资讯卫生习惯不良的用户端电脑。未来面临的最大後门威胁将来自用户系统。对於用户系
统最大威胁包括:
E-mail: 病毒、恶意执行档夹带并不可怕。现在最具威胁的是使 E-mail 接收软体产生记忆
体溢写攻击的恶意控制档头(header),这类攻击的特性是只要用户接收 E-mail,不必开启
就会感染。这是可以突穿任何严密防火墙的攻击。
Web Content: malicious Script/Applet 。
Document Contents: 理论上所有格式的档案都潜藏危机,可使应用程式产生缺陷,进而执
行非法指令。这种攻击可以突破实体网路隔绝。
人因缺陷(social engineering)
实际为 Script 或可执行档案,但隐藏为 .txt .jpg .gif 档名。
以熟识朋友身份,E-mail 夹带恶意可执行内涵。
4. 侦测後门程式的困难性
一旦遭受攻击,为确保系统不被置入後门程式,若事先没有记录各档案的稽核码 (checksum),
所有可执行档、系统设定都要重新安装,因後门程式理论上可化身为现存的应用程式,甚至
深入系统核心,可模拟原作业方式,使系统运作如常,很难发觉其存在。一般侦测软体仅能
侦测「被动连线」方式的後门,侦测率与误失率都很难合乎需求,因被动连线的 port 位址
可任意更动,连线协定更随着运用者不同,可轻易更改。未来後门程式的变异程度与发展速
度将远高於一般单纯电脑病毒。
5. 发现後门的事例
我们已简单说明攻击趋势与後门建立的关、目的、与殖入方式。此论文的动机源自最近在
设定 firewall 时,因追查异常流量源才惊觉後门程式滥的严重性。在 firewall 里面有
一台很单纯的伺服器,只提供信件转送与域名查询及委任,因此除内对外 udp port 53 ,
外对内 udp port 53、 tcp port 25 开放,其他 port 不该有流量。但就在新的安全政策
施行的瞬间,大量封包被拒绝传送。我们因此怀疑後门程式已侵入。使用
lsof (list opened file) 比对各程序与所需服务位址,才找出隐身为正常的伺服应用系
统。这是一支被动连线型的远端操控 root shell。
二、後门安装型态与跳板方式
1. 保留现有或安装有安全缺陷服务软体、设定(Vulnerable Service、Configuration)
最佳的後门是保留有安全缺陷的服务软体,但让使用者误以为所用的是最新没有缺陷的版
本。因此理论上有安全缺陷的服务软体,若可据以取得系统存取权限,都可视为「後门」。
欺骗补强程式:入侵者致力於修改安装设定档,更新补强版本资讯显示讯息,但具缺陷软体
维持不变。
欺骗安全检测程式:编辑执行档,更改版本显示资讯。包装服务软体 (wrapper),过滤拦截
协定输出入中含有特定检测字串资料(如常用安全弱点扫瞄系统、比对对於某种 CVE[3]
的检测方式),令检测程式误判。
2.置换现有服务软体,维持其原有协定运作正常
3. 非既有服务,另安装操控服务。
三、建立隐密操控通道
要建立隐密操控通道,可分别建立(1)操控指令通道(Command Tunnel, C Tunnel),(2)
回应讯息通道(Response Tunnel, R Tunnel)。二者可相依或独立。这两种通道又分别可由
操控者主动(Active Controller)/被动(Passive Controller),与受控者主动
(Active Responder)/被动(Passive Responder)。以 (C Tunnel, R Tunnel) 表示,
Type I: (Active Controller, Active Responder), Type II:
(Passive Controller, Active Responder), Type III:
(Active Controller, Passive Responder), Type IV:(Passive Controller, Passive Responder)。
1.Type I Tunnel
这是一般建立被动连线 (Passive Tunnel, forward shell)的方式。在受控方(被寄宿端)
执行後门指令接收服务程式(於特定服务位址),这是最广泛存在的操纵方式,形成暗藏的
伺服系统。这是一般互动式的终端服务程式如 telnetd/rlogind 等形式的後门。网路防火
墙即可阻挡这类的操控通道。(防外往内流量)
2. Type II Tunnel
这是受控者主动传递资料 (Active Tunnel, reverse shell)的操控方式,一般都是以
http/ftp 等合法对外协定,建立 tunnel (如所有对外连线都经由 http),形同建立以
http 封包携带层,构建虚拟专属网路。
Reverse Shell
Valid Protocol Tunnel for VPN
防火墙必须防护内往外流量。
3.Type III Tunnel
操控者对内部网路送指令封包,并以间接方法接收回应讯息。
4.Type IV Tunnel
操控者将指令置於外部公众网路,例如经掌控之入口网站的网页。受操控者再将回应置於外
部提供上载档案 ftp 伺服器。
5.特殊的 Command Tunnel 与 Response Tunnel
Command Tunnel
1.内送 E-mail 内涵暗藏指令 (with Terminal Invisible Text string)
2.内送特殊协定暗藏指令,例如 ICMP unused option
(echo request, echo reply, port unreachable, host unreachable 等)
3.外部入口网站 Web Page 暗藏指令
4.内部网路流量暗藏指令
Response Tunne
1.影像暗藏回应资料 (Information Hiding)
2.外送 E-mail 内涵暗藏指令
上述指令或回应通道都可经加密处理。
--------------------------------------------------------------
本文摘自黄世昆博士89年12月8日中央警察大学论文发表(防止攻击跳皮主机的安全管理策略)
http://www.cert.org.tw