|
防止攻击跳板主机的安全管理策略
摘要
攻击跳板主机的问题对於目前网路结构已构成严重安全威胁,潜伏的危机将超过一般电脑
病毒。据警政署刑事局的统计估计,国内约有十分之一网路主机被殖入木马程式(即攻击
跳板所利用的後门宿主)。最近网站入侵事件频传,多数与被操纵的主机有关,如
Yahoo、 eBay 等商用网站遭受分散式阻断攻击(大量主机被安放阻断攻击程式),
Love-You-Letter 与最近的 Navidad 事件等则是个人电脑被用来间接散攻击程式。本文
探讨各种跳板攻击方法,防止策略、并探讨追查技术的未来发展、相关法律责任归属等。
关键字: 跳板攻击、後门操控、隐密通道、诱陷执行环境、行为指纹。
一、攻击跳板与网路安全威胁
最近微软公司程式码遭窃,多处商务网站面临分散阻断攻击,美国各大学纷遭大规模全面
入侵。这些都反应资讯安全威胁已严重影响大众的日常交易往来。根据 TW-CERT 88 年的
国内Web server 年度安全调查[4],有 53 % 的主机可被取得 Web Admin 的权限。我们近
日的自我安全检测机制的记录有显示有高达 59% 机器有程度不等的安全缺陷。因此刑事局
的「木马」主机估计比率(1/10)并不算高估,因为只要有心的入侵者都可能在53% 的主机中
殖入「後门」。
但一般人对於安全警觉都限於「可视」或「可察觉」的安全威胁,例如网页遭致窜改,或
资料被毁损。去年八月政府网站被大举涂换网页,各界纷表关切,公听、座谈会不断举行,
但事仅於此。今年十月国庆网路谣传将有类似事件重演,事後仅有零星网站有网页被改迹
象,因此大家庆幸不已,更深信此为「谣传」。但情况真得如此乐观吗?根据我们深入调
查,在单一机关内有存在各种不同形式後门的主机,比例达 50%。这样的比例刚好反应
TW-CERT 年度安全调查数据的可信度:亦即这些可能被取得 admin shell 的主机,都有某
种形式的後门程式隐藏其中。
1.未来攻击趋势
未来网路安全威胁都将与後门建立息息相关,包括:
攻击後暗藏隐密操控後门
这是网路攻击精化的必然发展。亦即杂的攻击过程将分阶段,或称为攻击状态快取
(Attack Process Cache),在入侵目的达成之前,用来维前次攻击途径的畅通。
後门与病毒感染媒介整合
後门程式将与病毒感染方式互相整合。传统病毒是同步非操控模式,亦即只能依赖事件同步
(如13日星期五),以引发恶意指令。但後门程式的特性是非同步操控模式,随时可能触发
恶意指令。
分散式、大规模间接攻击
最典型的实例是分散式阻断攻击(Distributed Denial of Service),利用大量分散於各地
网路的用户主机,同时启动攻击。後门程式的运用是分散式攻击重要的一环。
2. 建立後门之目的
窃取资源利用,例如网路频宽(设置 http proxy server)
散各地电脑的後门,为数甚多是用来窃取资源,包括 Web access 与 E-mail Relay,以
取得宝贵的网路资源。举中研院为例,对外频宽充足,是有企图用户侵入的最大诱因。各大
ISP 同样面临类似威胁。事实上,这样的犯罪形态如同盗打电话,可藉以节省网路使用费用。
非同步攻击状态快取
维护状态快取(cache)将可快速取得上次攻击状态,可应付杂的入侵计画,例如攻击可依
据目标权限差异,先取得低权限用户电脑存取权,再渐进掌控高权限用户,进而入侵重要
伺服器。顺序上,为低权限资讯用户─> 高权限资讯用户 ─> 普通伺服器帐号 ─> 管理者
权限帐号。每一阶段的攻击状态快取可维入侵管道的畅通。
设立攻击跳板
间接攻击可避免被追查,同时操控大量攻击跳板,以不同来源位址达到欺骗流量管理系统目
的,进而形成分散阻断攻击。
3. 後门程式侵入方式
一般攻击後殖入
後门殖入的最佳宿主是对於「安全」不经心的使用者。第一类是管理不善的伺服器。第二类
是资讯卫生习惯不良的用户端电脑。未来面临的最大後门威胁将来自用户系统。对於用户系
统最大威胁包括:
E-mail: 病毒、恶意执行档夹带并不可怕。现在最具威胁的是使 E-mail 接收软体产生记忆
体溢写攻击的恶意控制档头(header),这类攻击的特性是只要用户接收 E-mail,不必开启
就会感染。这是可以突穿任何严密防火墙的攻击。
Web Content: malicious Script/Applet 。
Document Contents: 理论上所有格式的档案都潜藏危机,可使应用程式产生缺陷,进而执
行非法指令。这种攻击可以突破实体网路隔绝。
人因缺陷(social engineering)
实际为 Script 或可执行档案,但隐藏为 .txt .jpg .gif 档名。
以熟识朋友身份,E-mail 夹带恶意可执行内涵。
4. 侦测後门程式的困难性
一旦遭受攻击,为确保系统不被置入後门程式,若事先没有记录各档案的稽核码 (checksum),
所有可执行档、系统设定都要重新安装,因後门程式理论上可化身为现存的应用程式,甚至
深入系统核心,可模拟原作业方式,使系统运作如常,很难发觉其存在。一般侦测软体仅能
侦测「被动连线」方式的後门,侦测率与误失率都很难合乎需求,因被动连线的 port 位址
可任意更动,连线协定更随着运用者不同,可轻易更改。未来後门程式的变异程度与发展速
度将远高於一般单纯电脑病毒。
5. 发现後门的事例
我们已简单说明攻击趋势与後门建立的关、目的、与殖入方式。此论文的动机源自最近在
设定 firewall 时,因追查异常流量源才惊觉後门程式滥的严重性。在 firewall 里面有
一台很单纯的伺服器,只提供信件转送与域名查询及委任,因此除内对外 udp port 53 ,
外对内 udp port 53、 tcp port 25 开放,其他 port 不该有流量。但就在新的安全政策
施行的瞬间,大量封包被拒绝传送。我们因此怀疑後门程式已侵入。使用
lsof (list opened file) 比对各程序与所需服务位址,才找出隐身为正常的伺服应用系
统。这是一支被动连线型的远端操控 root shell。
二、後门安装型态与跳板方式
1. 保留现有或安装有安全缺陷服务软体、设定(Vulnerable Service、Configuration)
最佳的後门是保留有安全缺陷的服务软体,但让使用者误以为所用的是最新没有缺陷的版
本。因此理论上有安全缺陷的服务软体,若可据以取得系统存取权限,都可视为「後门」。
欺骗补强程式:入侵者致力於修改安装设定档,更新补强版本资讯显示讯息,但具缺陷软体
维持不变。
欺骗安全检测程式:编辑执行档,更改版本显示资讯。包装服务软体 (wrapper),过滤拦截
协定输出入中含有特定检测字串资料(如常用安全弱点扫瞄系统、比对对於某种 CVE[3]
的检测方式),令检测程式误判。
2.置换现有服务软体,维持其原有协定运作正常
3. 非既有服务,另安装操控服务。
三、建立隐密操控通道
要建立隐密操控通道,可分别建立(1)操控指令通道(Command Tunnel, C Tunnel),(2)
回应讯息通道(Response Tunnel, R Tunnel)。二者可相依或独立。这两种通道又分别可由
操控者主动(Active Controller)/被动(Passive Controller),与受控者主动
(Active Responder)/被动(Passive Responder)。以 (C Tunnel, R Tunnel) 表示,
Type I: (Active Controller, Active Responder), Type II:
(Passive Controller, Active Responder), Type III:
(Active Controller, Passive Responder), Type IV:(Passive Controller,
Passive Responder)。
1.Type I Tunnel
这是一般建立被动连线 (Passive Tunnel, forward shell)的方式。在受控方(被寄宿端)
执行後门指令接收服务程式(於特定服务位址),这是最广泛存在的操纵方式,形成暗藏的
伺服系统。这是一般互动式的终端服务程式如 telnetd/rlogind 等形式的後门。网路防火
墙即可阻挡这类的操控通道。(防外往内流量)
2. Type II Tunnel
这是受控者主动传递资料 (Active Tunnel, reverse shell)的操控方式,一般都是以
http/ftp 等合法对外协定,建立 tunnel (如所有对外连线都经由 http),形同建立以
http 封包携带层,构建虚拟专属网路。
Reverse Shell
Valid Protocol Tunnel for VPN
防火墙必须防护内往外流量。
3.Type III Tunnel
操控者对内部网路送指令封包,并以间接方法接收回应讯息。
4.Type IV Tunnel
操控者将指令置於外部公众网路,例如经掌控之入口网站的网页。受操控者再将回应置於外
部提供上载档案 ftp 伺服器。
5.特殊的 Command Tunnel 与 Response Tunnel
Command Tunnel
1.内送 E-mail 内涵暗藏指令 (with Terminal Invisible Text string)
2.内送特殊协定暗藏指令,例如 ICMP unused option
(echo request, echo reply, port unreachable, host unreachable 等)
3.外部入口网站 Web Page 暗藏指令
4.内部网路流量暗藏指令
Response Tunne
1.影像暗藏回应资料 (Information Hiding)
2.外送 E-mail 内涵暗藏指令
上述指令或回应通道都可经加密处理。
四、防策略
一般性保护(general protection)
1.vulnerable host 禁止外对内/内对外连线。与安全检测程式配合
(Vulnerability
Scanner/Auditor),若一检测有安全缺陷,马上与 firewall policy service
连线,拒绝
所有内外连线。
2.後门程式侦测 (backdoor detection)
Active Detection 用以侦测 passive tunnel 的存在
Passive Detection 用以侦测 active tunnel (reverse shell) 的存在。
侦测 well known protocol port
number,记录非合法协定封包、来源及目的位址。
侦测非 Interactive protocol port number,记录非 Interactive
行为封包。[16,17]
用户端保护措施(Client Protection)
1.Sendmail SMTP authentication
此措施可预防类似 Melissa 、Love-letter、Navidad
等信件连锁风暴的後门攻击。但必须
警告使用者不要记忆认密码。
2.Delay sent of Outgoing E-mail
3.Security Policy Enforcement
外对内:拒绝所有连线 (Not established)
内对外:只开放允许使用服务的 port 位址,并以 application proxy
方式,检查连线封
包,拒绝非正确协定封包的传递。但为了拒绝以特定协定作为虚拟专线底层协定
的 tunnel
连线,必须以异常分析机制监控。这方面的监控方法尚待解决。因为 tunnel
封包以合法的
协定对外,沟通的封包量与频率也能控制在合理围(只是降低操控者的回应速
率),因此不易侦测。
伺服端保护措施 (Server Protection)
1.all open files are monitored
2.建立伺服器档案稽核检查记录 (如 tripwire)
3.Security Policy Enforcement:
外对内:只开放伺服器服务 port 位址(如 E-mail smtp tcp port
25),且以 application
proxy 方式接受连线,拒绝非正确协定封包(如 udp port 53 只允许 DNS
packet,丢弃
并记录其他所有非 DNS
、不合法封包,采取这样的措施将可避免主动讯息後门经由
port 53 传递反向 shell 封包。)
内对外:拒绝所有连线 (Not established)。
五、追查技术的发展
1. 诱陷装置系统
诱陷的目的是追查入侵来源。目前网路犯罪破案率相当低,诱陷与追踪的相关性
与重要性明
显可见,一般建议的方法是建立各重要网路出口监视系统,并配合网管系统,建
立即时
caller ID 追踪。
这方面的成果主要是 NAI[5]的 CyberCop Sting Server,具有模仿 Windows
NT、Solaris、
以及 Cisco Router等作业环境。[7,10]是如何建置 Honey Pots 环境,[6]
则是更动
Inetd 或所有会漏系统资讯的地方,显示令入侵者混淆的资讯,例如原是
Linux ,则换
装为 FreeBSD 或 Solaris。[8] 是伪装成中Back-Orifice
病毒的主机,引诱在网路专门扫
瞄 BO 的受害者上门。[9] 介绍在 FreeBSD 如何建立如 Jail 的环境。
2. 流量分析
Thumbprint [11-13]的观念在未来入侵线索的建立上将有极大助益。所谓
Thumbprint 是分
析入侵者各种独特可区分之特点,例如其打字速率、连线状况、系统特有状况,
虽经网路大
量 traffic 等 noise
影响,仍可经过滤後找出可供识别的特徵。这些特徵称为 Thumbprint。
类似的研究有别於一般网路据集的方法[14],必须监视及记录入侵者通过的
所有路径,
反而回到传统现实环境的方法,尽可能只依赖犯罪现场所遗留的据。
[16,17] 更以流量分析的方法建立 passive filter,分析非互动 port
连线却呈现互动连
线流量,藉此侦测後门程式的存在。
3. 稽核记录
一般遭受後门「污染」之系统,就不能确信任何稽核记录档。Bruce Schnier
最近则致力於
Forensics的主题[15],研究如何保护不安全、或不能完全信赖主机上的系统记?
?C
六、法律责任归属
1.善意第三者的法律责任
被经由攻击跳板主机入侵的受害者,可能控告被当作跳板的主机拥有者?若真可
行,事实上
是在惩罚不经心的网路主机管理者,因为自己不小心的後果,造成其他人受害。
在国外甚至
已开始考虑这方面立法的可行性[1]。这反应出未来网路安全已经不再是单纯保?
@自己网路
不受侵犯的消极性防护,更要以保护他人系统不致遭受到源自本身网路的攻击(
亦即为了保
护别人而更尽力保护自己)。但在责任清上可能会相当杂。根据上述分析,
後门指令、
回应管道的建立可分为四种类型,直接、间接参与攻击跳板的系统涵盖层面广泛
,包括善意
的上载伺服器、Napster 等形式的 peering service、Free Homepage
provider,这些型态
的公众服务都可能成为被动操控命令的传递跳板。
2.分散式攻击参与主机的法律责任探讨
基本上这仍属於第一类的不经心管理者(或用户端电脑)。主要责任当然在於策
动攻击者,
但被操控而主动参与攻击者,若不加诸任何刑罚,将使未来分散式跳板攻击日益
盛行。全世
界网际网路电脑总数若以千万计,应该有为数百万以上的电脑已被暗藏操控後门
。每一次攻
击参与者若以万计,不但受害者难以承受,真正指使者更难以追查。这类被操控
而参与攻击
者应该担负民事赔偿责任,特别应该规公务部门及学术机关学校。不过此类赔
偿不宜直接
补偿受害者,而是强制需支付於加强该单位安全管理相关经费,不得挪移他用。
七、结论
1. 模拟状况
以下模拟建立一个长时效的回应後门管道。後门管道建置的参与者包括:内部
作网页电脑
(AC)(将潜藏讯息回应程式)、Free homepage provider (FHP)。利用E-mail
overflow
attack 在 AC 上殖入後门。後门回应讯息将隐藏嵌於 AC
所作网页与图档(利用影像隐
藏技术)。外部命令以不同形式分别(1)置於 FHP 网页。(2) 置於内送
E-mail 内涵。(3)
隐藏於网路流量。此形式的後门可建立於任何只「接收」 E-mail 而提供 Web
Content 的
封闭网路。事实上 AC
可能是内部网路的任何一部电脑,或许是喜好作个人网页的单位
主管。一旦後门指令、回应通道建立,操控者将能随心所欲对内部网路进行开放
空间的攻
击行动。
2. 对於未来网路安全的击
若 1/10
的电脑都潜藏有後门程式,不只不利於未来电子商务环境的推展,各可能危急国
家
整体资讯安全。最可怕的後门程式是潜伏蔓延,自动寻求最合适的指令与回应通
道。
八、参考文献
1.Eric J. Sinrod, Combating Internet crimes and threats, November 07,
2000,
http://www.upside.com/texis/mvm/upside_counsel?id=3a06fede1
2.Robert Stone, "CenterTrack: An IP Overlay Network for Tracking DoS
Floods," 9th
Usenix Security Symposium
3.David E. Mann and Steven M. Christey, "Towards a Common Enumeration
of
Vulnerabilities, " 2nd Workshop on Research with Security
Vulnerability Databases,
Purdue University, January 21-22, 1999
4.台湾网路安全性评估, http://www.cert.org.tw
5.CyberCop Sting
http://www.nai.com/international/uk/asp_set/products/tns/ccsting_intro
.asp
6.Deception Toolkit, DTK. http://www.all.net/dtk/
7."Do You Need a Honeypot?". Internet Security Advisor, Nov & Dec.
1999
http://www.advisor.com
8.FakeBO, http://yi.com/home/KosturjakVlatko/fakebo.htm
9.Jail(8) in FreeBSD's System Manager's Manual http://www.FreeBSD.org
10.To Build a Honeypot, Lance Spitzner.
http://www.enteract.com/~lspitz/honeypot.html
11.Terrance Goan, "A Cop on the Beat: Collecting and Appraising
Intrusion Evidence,
" Communications of the ACM, Vol. 42, No. 7, 1999, pp. 46-52.
12.Staniford-Chen, S. and Heberlein, L.T. "Holding intruders
accountable on the
Internet," In Proceedings of the 1995 IEEE Symposium on Security and
Privacy
(Oakland, CA, 1995), 34-49.
13.L.T. Heberlein, K. Levitt and B. Mukherjee. "Internetwork Security
Monitor:
An Intrusion-Detection System for Large-Scale Networks," in Proc.
15th National
Computer Security Conference pages 262-271, Oct. 1992.
14.H. T. Jung et al. "Caller identification System in the Internet
Environment,
" In Proc. 4th Usenix Security Symposium, 1993.
15.Bruce Schneier and John Kelsey, "Secure Audit Logs to Support
Computer
Forensics," ACM Trans. on Information and System Security, Vol. 2,
No. 2, May
1999, Pages 159-176.
16.Yin Zhang, and Vern Paxson, "Detecting Backdoors," 9th Usenix
Security
Symposium
17.Yin Zhang, and Vern Paxson, "Detecting Stepping Stones,". 9th
Usenix Security
Symposium
|