大砲開講

在過去幾年，網路攻擊有增無減，但現在呢？



越來越多的網路攻擊的對象已經把目標轉向到一般使用者 (End User)，駭客或病毒作者把惡意程式置入釣魚網站或一般正常的網站 (我之前公佈的哪些中毒網站就是實例)，如果使用者不小心拼錯網址或連上這些有惡意連結的網站，可想而知，你的系統會發生什麼事呢？嚴重的話，你會損失鉅額金錢 (駭客利用網釣盜走瑞典Nordea銀行百萬美元)。下面的影片說明當你在網址列拼錯網址，會發生什麼事 (請各位不要亂嘗試喔)：

[youtube]eFdm4PxRWd4[/youtube]

最後，我會盡量找出這些有惡意連結的網站，但憑一己之力，很難發揮極大作用，如果各位再不重視它，下一個受害者可能是你。

更新資訊：忘了寫原始來源為 What happens to Your Computer if you Mispell Google.com

IceSword 已經可以支援 32 位元的 Windows Vista。



為什麼我要特別強調此工具呢？因為它是號稱當今最強 (也許有其他的工具比它偵測更多的 rootkit) 的 Rootkit 偵測與清除工具 (也可以利用此工具移除其他惡意程式)。如果想要試試這個工具，可以到作者的網站下載 (到其他地方下載，可不保證沒問題喔)。



如果各位知道更好的工具，請分享一下。

更新內容: 2007-01-25 06:30 PM

Apple 終於發布修補第一個 MOAB QuickTime 安全漏洞 (MOAB-01-01-2007)。



這是因為 QuickTime 在處理 RTSP URLs 時，會發生緩衝區溢位 (Buffer Overflow) 的問題，可能被有心人士利用，以至於使用著有可能執行到一個惡意的 RTSP URL。有需要的人，請盡速更新。

修補程式：

Security Update 2007-001

-----

根據防毒廠商 Sophos 的研究報告，美國是惡意程式和垃圾郵件的大本營。



2006 年十大代管網站包含惡意程式的國家：

1. 美國: 34.2%


2. 中國: 31.0%


3. 俄羅斯: 9.5%


4. 荷蘭: 4.7%


5. 烏克蘭: 3.2%


6. 法國: 1.8%


7. 台灣: 1.7%


8. 德國: 1.5%


9. 香港: 1.0%


10. 韓國: 0.9%


11. 其他國家: 10.5%

2006 年十二大垃圾郵件發送的國家：

1. 美國: 22.0%


2. 中國(包含香港): 15.9%


3. 南韓: 7.4%


4. 法國: 5.4%


5. 西班牙: 5.1%


6. 波蘭: 4.5%


7. 巴西: 3.5%


8. 義大利: 3.2%


9. 德國: 3.0%


10. 英國: 1.9%


11. 俄羅斯、台灣: 1.8%


12. 其他國家: 24.4%

台灣竟然都有上榜，可見我們的資安做得如何了？

至於更詳細的資訊，請參考 Sophos Security Threat Report 2007。

大紀元時報報導中國教授宣稱破解了 SHA-1 (Secure Hash Algorithm) 演算法，如果是真的，那可就危險了。



有興趣的人，請參考 Chinese Professor Cracks Fifth Data Security Algorithm 或 世界??密? 中?教授十年破五套。

-----

根據美國電腦網路危機處理暨協調中心 (Computer Emergency Response Team/Coordination Center, CERT/CC) 安全漏洞統計報告指出，2006 年的安全漏洞比 2005 年增加了 35% 左右。



下面的圖是從 2000 年到 2006 年的安全漏洞總數：



隨著網際網路的快速發展，越來越多的應用軟體被發現有很多的安全漏洞，尤其是網路應用軟體 (Web Application)，安全或軟體廠商疲於奔命地修補漏洞，但往往成效不彰，使得有心人士可以利用這些安全漏洞進行破壞，所以，以後各位在瀏覽網站時，應當要特別小心。至於更詳細的資訊，有興趣的人，請參考 Vulnerability tallies surged in 2006 和 CERT/CC Statistics 1988-2006。

現在，隨身碟存就像數位相機、手機、iPod 等已經成為生活的一部份。



很多人把它當成一種儲存設備，存放很多資料在上面。它有可能會不見或被偷，但它有另一個風險就是攻擊者、駭客或惡意程式作者可以將它視為一種攻擊工具，把惡意程式放在上面，然後，將它插入受害者的電腦，之後，他們就可以完全地控制受害者的電腦。到底他們是如何做到得呢？微軟視窗作業系統提供一個自動執行 (Autorun 或 Autoplay) 的功能，系統會自動尋找 autorun.inf 的檔案，而且，自動執行其內容，可想而知，如果其內容是執行一個惡意程式，你可能就變成受害者，但要如何預防呢？以下分成幾點說明：

一、避免已感染的隨身碟感染電腦：可以利用下面其中一種方法，關閉動執行 (Autorun 或 Autoplay) 的功能。

1. 當隨身碟插入電腦時，一直按著「Shift」鍵，直到系統已經連結此隨身碟 (作業系統將不會執行 autorun.inf 的內容)。

2. 修改登錄機碼，找到 HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer，將 NoDriveTypeAutoRun 的值設為 0x00000095 以及
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer，將 NoDriveTypeAutoRun 的值設為 0x00000095，然後，重新開機，
這樣就可以停用 Autorun 了。

3. 利用群組原則嵌入式管理單元 (gpedit.msc) 。[本機電腦]->[開始]->[執行]->[在開啟欄中輸入 gpedit.msc]，然後，參考下圖，設定完成後，重新開機。



二、避免已感染的電腦感染隨身碟：其實，就像以前的磁片 (Floppy)，因為會被病毒感染，最後，磁片都具有唯讀 (Read-Only) 的開關，所以，各位可以購買具有唯讀開關功能的隨身碟，但現在好像比較少隨身碟有此功能，製作隨身碟的廠商可能要考慮把此項功能納入規格中，否則，很難避免中毒。(另外，各位可以常常檢查是否 autorun.inf 被更改過了)

至於，為什麼要將 NoDriveTypeAutoRun 的值要設為 0x00000095 呢？如果各位有興趣的話，我會再說明。最後，如果此篇文章有錯誤的地方，請告知。

P.S. 如果要關閉 CD-ROM 的自動執行功能，可以將 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\autorun 的值設為 0，然後，重新開機。

更新資訊： 還是把 NoDriveTypeAutoRun 設為 0xFF 比較安全 (而不是 0x95)。

雲的故鄉網頁被植入惡意連結，與惠安移民是一樣的，請各位小心。(感謝 Jimau)

**請幫忙通知他們，謝謝**

剛開始，還以為這個網站是南投仁愛警察分局，結果是一個旅館 (點下圖會放大)。



惡意連結為：



實際上，是連到惠安移民的某個網頁：



至於其他資訊，請參考惠安移民首頁又被植入惡意連結。-----

摩買城網頁被植入惡意連結，不過，這個惡意連結現在斷線中，不曉得什麼時候會上線，請各位小心。另外，這也表示這個網站有安全漏洞，他們的資安或網管人員需要查一查問題在哪，否則，之後應該還會被植入其他惡意程式。(感謝 Peter)

**請幫忙通知他們，謝謝**





惡意連結是放置在 news.asp 的檔案中，惡意連結為：



-----

俄羅斯的駭客組織最近發表一種新的 Rootkit 技術，被稱為 Unreal。它會隱匿檔案和驅動程式，只可以在微軟 NTFS 的檔案系統上運行，它不會產生任何的執行程序 (Running Process) 和註冊碼 (Registry Key)。



他們宣稱他們的目的只是為了測試 AntiRootkit 軟體，以下是這個 Rootkit 相關的資訊：

支援檔案系統：NTFS

支援作業系統：

Windows XP SP2, Windows 2003 SP1
Windows 2000 - 尚未測試

實作方式：DKOM (Direct Kernel Object Modification) (新版的 Fu Rootkit 也使用此技術)

測試結果：

========================================
1. Rootkit Unhooker v3.01 BYPASSED
2. Rootkit Revealer v1.71 BYPASSED
3. F-Secure Blacklight BYPASSED
4. DarkSpy v1.05 BYPASSED
5. DarkSpy v1.05fixedbeta2 BYPASSED
6. IceSword v1.20 BYPASSED
7. GMER v1.012 BYPASSED
8. Helios v1.1a BYPASSED
9. SVV v2.3 BYPASSED
10. McAfee Rootkit Detective BYPASSED
11. Sophos AntiRootkit BYPASSED
12. TrendMicro RootkitBuster BYPASSED
13. AVG AntiRootkit BYPASSED
14. AVZ v4.23 ARK Module BYPASSED
15. BitDefender Rootkit Uncover BYPASSED
16. Panda AntiRootkit BYPASSED
17. Panda Tycan BYPASSED
18. modGreeper v0.3 BYPASSED
19. flister BYPASSED
20. UnHackMe BYPASSED
21. SEEM v4.x BYPASSED
22. SafetyCheck v1.5.x BYPASSED
23. Avira AntiRootkit BYPASSED
24. HiddenFinder v1.301 BYPASSED
25. RkDetector v0.6 BYPASSED
========================================

他們的結論：不存在最好的 AntiRootkit 軟體

如果想要測試此 Rootkit，可以在他們的網站上下載。另外，你可以在 Sysinternals 的論壇上，看到相關的討論。



以下是我的看法：

基本上，沒有 100% 的安全，如果惡意程式或 Rootkit 已經感染你的系統，雖然防毒或安全軟體廠商應該可以找到一些更好的方法 (熟悉Windows OS Architecture 的話) 去偵測這些惡意行為，但一定會用更暴力的手法 (因為它們已經使用了暴力的手法)，否則，無法偵測到它們，但結果會如何呢？系統可能會極不穩定，甚至，死給你看。

很多軟體或安全軟體廠商都想辦法在 Live System 上去偵測隱匿技術，而不想其他的方式，可想而知，結果會是怎樣呢？我的想法是利用 Rescue System 去掃描這個系統，以及把惡意程式或 Rootkit 常用的手法封鎖起來 (正常程式也可能會用這些方法
) 和不要讓惡意程式或 Rootkit 輕易地進入核心模式 (Kernel Mode)。

最後，如果對 Rootkit 相關技術有興趣的人，可以參考我們上次研討會的講義、ROOTKITS, Subverting the Windows Kernel 這本書或 rootkit.com 這個網站。

數位鑑識或電腦鑑識所得到的資料，真的可靠嗎？在這裡，強調的是資料(或證據)的有效性。



如果惡意程式已經感染你的系統，利用一些過濾技術，防毒或其他的軟體是有可能被它所欺騙，所以，有些安全公司或研究機構就發表利用硬體設備的方式擷取系統的資訊，相對地，它是比較可靠的，但真的可靠嗎？

安全專家 Joanna Rutkowska 已經找到一些方法，可以欺騙這些硬體設備，很多硬體偵測的方式都是利用 Direct Memory Acces (DMA) 的技術去存取實體記憶體，但絕對可靠嗎？不一定。她將在 BlackHat DC 上，展示她所使用的技巧，有興趣的人，可以參考她的部落格。

-----

Intel Premier IT 雜誌介紹了 Intel 相信面對不同的威脅與需求，最好的方式是縱深防禦 (A Layered Defense)。





第一個圖 (很像 CISSP 中所說的) 說明威脅對企業所造成的影響。在圖中，你可看出一個關係 [Threats]->exploit->[vulnerabilities]->exposing->[assets]->to a loss of->[confidentiality/integrity/availability]->causing->[business impact]->which are mitigated by->[controls]，意思是說明「威脅是透過系統漏洞對企業的資產所造成的損失，以影響企業運作，但可利用某些控制的方法將損害降低至企業所能承擔的範圍」。



第二個圖，安全與成本效益之間的關係。



第三個圖是說明以安全政策 (Security Policy) 為基礎階層式架構。



第四個圖是說明縱深防禦 (A Layered Defense)。

我覺得 Intel 這一篇文章寫的不錯，想要閱讀全文的人，可以參考 Intel Premier IT Magazine。

-----

惠安移民首頁又被植入惡意連結，之前，已經移除，現在，又被植入，他們的資安或網管人員需要查一查問題在哪，否則，應該還會被植入其他惡意連結或程式。

**請幫忙通知他們，謝謝**





惡意連結為：



執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Debug\UserMode\A72BF8B.dll (注入某些執行程序如檔案總管等)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\gt0114.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\ghost0119[1].exe
C:\WINDOWS\chenzi.exe
C:\WINDOWS\Debug\UserMode\A72BF8B.dll
C:\WINDOWS\Debug\UserMode\A72BF8B.exe

[Added COM/BHO]
{13F7717D-A7AD-4DBA-92E2-083A4F1B1B1A}-C:\WINDOWS\debug\userMode\A72BF8B.dll



到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

A72BF8B.exe:
[ Kaspersky ], "Trojan-PSW.Win32.OnLineGames.fn"
[ Sophos ], "[FILE:0000]:Mal/Packer"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "W32/OnLineGames.FN!tr.pws"
[ Rising ], "Trojan.PSW.Lineage.msb"
chenzi.exe:
[ Kaspersky ], "Trojan-PSW.Win32.OnLineGames.fn"
[ Sophos ], "[FILE:0000]:Mal/Packer"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "W32/OnLineGames.FN!tr.pws"
[ Rising ], "Trojan.PSW.Lineage.msb"
ghost0119[1].exe:
[ Kaspersky ], "Trojan-PSW.Win32.OnLineGames.fn"
[ Sophos ], "[FILE:0000]:Mal/Packer"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "W32/OnLineGames.FN!tr.pws"
[ Rising ], "Trojan.PSW.Lineage.msb"
gt0114.exe:
[ Kaspersky ], "Trojan-PSW.Win32.OnLineGames.fn"
[ Sophos ], "[FILE:0000]:Mal/Packer"
[ Nod32 ], "a variant of Win32/PSW.Lineage.ACN trojan"
[ Fortinet ], "W32/OnLineGames.FN!tr.pws"
[ Rising ], "Trojan.PSW.Lineage.msb"
A72BF8B.dll:
[ Kaspersky ], "PAK:NSPack"
[ Sophos ], "Mal/Packer"
[ Nod32 ], "probably a variant of Win32/PSW.Lineage.DN trojan"
[ Fortinet ], "suspicious"
[ Norman ], "Backdoor W32/Lineage.gen1"
[ Rising ], "[>>NsPack]:Trojan.PSW.Lineage.msb"

Google Safe Browsing for FireFox 是 Google 為 FireFox 瀏覽器量身打造反釣魚網站功能，而且，它的反釣魚網站黑名單是任何人皆可自由瀏覽。



根據 Michael Sutton 的分析，這份黑名單只使用編碼或雜湊技術，可以輕易被破解，而且，此黑名單包含使用者帳號和密碼，有心人士可以利用這些資訊竊取重要資訊，不過，Google 現在已經移除這些重要資訊。



現在，越來越多人使用 Google 所提供的服務，也有越來越多的駭客試著破解它們，Google 可要小心了。

-----

禮坊喜餅首頁被植入惡意連結，不過，這個惡意連結現在斷線中，不曉得什麼時候會上線，請各位小心。另外，這也表示這個網站有安全漏洞，他們的資安或網管人員需要查一查問題在哪，否則，之後應該還會被植入其他惡意程式。**請幫忙通知他們，謝謝**





惡意連結放在首頁的：