1、玄奘大學惡意軟體的深度防禦與公務用電腦效能提升,佳魁資訊 郭南彤,現在流行什麼?病毒清除與分析建議程序正確有效的防護觀念Free Tool (免費工具)Cloud technology (雲端技術)惡意程式威脅管理,大綱,防毒工具資訊安全概念,沒有任何一套產品或系統可提供 100% 的安全防護。任何系統最薄弱的一環是人,安全警覺訓練是投資報酬率最高的安全對策。電腦病毒防治、人人有責。,現在流行什麼?,垃圾郵件,絕大多數的信件都是垃圾郵件,而且不斷的增加Zombies和Botnets讓發送垃圾郵件變的更容易,現在垃圾郵件幾乎是利用此管道散播Spam新技術不斷的演進,例如Image Spam既使已
2、經採取過濾垃圾郵件,大量的垃圾郵件訊仍然佔用了頻寬、伺服器容量和其他的網路問題,Image Spam 圖像式垃圾郵件,圖像取代文字利用程式隨機改變影像結合釣魚郵件,垃圾郵件氾濫,亞洲的垃圾郵件數量持續上揚1/3非英文垃圾郵件為中文,網路釣魚攻擊,何謂網路釣魚 (phishing)?網路釣魚是一種偷取您身分的欺騙方式。詐騙人士利用各種矇騙手段讓您提供他們所需的個人資料;例如信用卡號碼、密碼、帳號或其他資料。網路釣魚的途徑可以透過人或電話、在線上則是經由垃圾信件或彈跳式視窗網路釣魚詐騙的外觀像什麼?騙子的詐騙技術進步,他們的網路釣魚郵件與網頁也一樣。他們通常複製官方網頁的圖像與其他重要特徵網路釣魚
3、詐騙信件的範例:,網路釣魚攻擊,網路釣魚 (phishing)詐騙的電子郵件特徵 確認您的帳號親愛的重要客戶如果您不在 48 小時內回覆,您的帳號將被關閉按一下以下連結來存取您的帳號Masked URL 住址範例 對於可疑信件的應變方式檢舉可疑信件點選電子郵件中的超連結時請小心使用您個人書籤或直接在網址列上輸入網址當您在網站輸入個人或金融資料前確認安全簽章(SSL)不要在跳出視窗中輸入個人或金融資料經常檢查您的信用卡與銀行明細,更厲害的網域/址嫁接 (pharming),Pharming(網域/址嫁接)跟Phishing(網路釣魚)最大的不同是,後者仿冒銀行等金融機構發出帶有假網址連結的E-m
4、ail,而Pharming(網域/址嫁接)採用更難識破的網域/址嫁接手法因為它是藉由入侵DNS( Domain Name Server)伺服器的方式,植入惡意程式修改HOSTS檔案。使用者即使輸入正確網址,經DNS的IP位址轉換,也會不知不覺地被導引到偽造網站駭客有機會竊取個人的機密資料,在各大搜尋引擎、討論區以及社交網路網站發佈惡意連結,藉此感染廣大的使用者族群。網路罪犯還會利用別出心裁的社交工程手法引誘或欺騙受害者按下連結或造訪已遭感染的網站,熱門新聞,Security Page 12,傀儡網路 (botnet),現象,近年來網路掛馬事件頻傳,尤其是資料搜尋下載的重度使用者,難免成為網頁病
5、毒中獎的常客,而這些受害者往往成為發動分散式服務阻斷攻擊(DDOS),甚至是資料竊取的傀儡電腦。,植入魁儡程式,被攻擊主機,駭客,Security Page 13,USB病毒成為頭痛的資安漏洞,根據趨勢科技調查,前10大惡意程式中,有2成是USB病毒。 USB隨身碟因為輕薄、方便存取資料的特性,取代早期的磁片,成為最普遍的可攜式儲存媒體。但也成為病毒滋養肆虐的溫床。USB病毒擴散的關鍵在於受感染的USB裝置會自動執行autorun.inf內的指令,複製受感染USB中的惡意程式,甚至可以連線自動更新病毒或竊取個人資料。 USB病毒透過USB感染其他電腦的速度,並不會比透過網路芳鄰感染其他電腦的速
6、度快,但它卻是突破企業閘道層層防護的利器,Security Page 14,防毒軟體有假的,Security Page 15,15,Oct 24,2008 趨勢科技毒賣新聞,Security Page 16,資料夾也有假的,Security Page 17,來勢洶洶的機器狗病毒(玄奘噩夢),1.特性即使有裝還原卡依舊無法復原,持續竊取系統中的資料 可能會修改系統時間至西元2000年或是2099年連線至特定網址大量下載特洛依木馬病毒檔案不斷的自我更新避免防毒軟體的偵測 2.散播方式透過MS06-014與MS07-017等作業系統的弱點入侵電腦透過RealPlayer與Adobe Flash Pl
7、ayer的程式弱點感染目標電腦透過USB可攜式裝置感染透過ARP的攻擊方式,影響區域網路內的其他電腦,Security Page 18,當您要找尋破解軟體時,當您要找尋破解軟體時,除了違反智財權,還有.請三思,Security Page 19,藉由HTTP散播的攻擊手法,知名網站,瀏覽者,3.背景導向惡意連結,2.植入惡意連結,1.攻擊網站漏洞,4.植入惡意程式碼,5.竊取資訊至伺服器,SQL injection,竊取資料,犯罪者,Web Threats !,惡意程式的行為模式,修改系統登錄值HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVe
8、rsionRunHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices常駐在記憶體工作管理員修改系統檔Win.iniSystem.ini,近期流行的惡意程式,PE_LOOKED病毒會感染正常執行檔會透過網路芳鄰感染感染後會自Internet上下載其他特洛依木馬程式會不斷自我更新,近期流行的惡意程式,TSPY_LINEAGE一開始竊取遊戲帳號密碼為主不會自我散播利用正常網頁作跳板,使用者實際上被導到其他惡意程式網站會對外連線傳送資料,近期流行的惡意程式,USB病毒透過USB介面的可攜式裝置散播利用系統自動播放功能,主動執行可攜式裝置內的病毒檔案感染病毒
9、後會修改系統設定,無法顯示隱藏檔病毒會在所有磁碟機產生autorun.inf檔案若病毒檔案清除後autorun.inf檔案還存在,會無法瀏覽磁碟機,近期流行的惡意程式,ARP病毒病毒會修改ARP Table網路封包傳送至錯誤的位置,造成使用者無法上網駭客可以利用ARP病毒竊取網路封包,並修改封包內容,近期流行的惡意程式,CMD病毒透過電子郵件夾帶副檔名為CMD的檔案,使用Winzip壓縮成壓縮檔寄件者多為奇摩信箱的用戶利用社交工程手法,使用著名的新聞事件作為主題陳冠希事件,病毒清除與分析建議程序及 Trend iClean 解毒快手工具介紹,症頭1:忽然自動關機(沒有任何不正常的停電或是不小心
10、踢到電源電腦卻忽然關機。)症頭2:電腦出現一些明顯奇怪的舉動(一開網頁卻出現莫名寄怪不相干的網頁,例如色情網站。)症頭3:沒有上網或收eMail等,但連線燈號卻閃爍不停(明明沒有出現連線小電腦,電腦連線燈卻閃爍個不停。)症頭4:上網速度越來越遲緩(一個工作程式都沒有開,電腦卻像烏龜散步一樣的速度開啟檔案。),可能的中毒徵兆,防毒軟體訊息的判讀,防毒軟體訊息的判讀,檢視掃瞄記錄依照” 狀態”來決定處理步驟清除成功 -正常清除失敗(隔離成功) 正常清除失敗(刪除成功) 正常清除失敗(隔離失敗) 異常清除失敗(刪除失敗) 異常,由病毒紀錄找出電腦的弱點,從病毒偵測位置判別中毒原因C:Document
11、s and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5. 經由 Web 或 Outlook 開啟或載入的病毒C:Windows ,C:WindowsSystem32,C:,D: 透過具有管理員權限登入用戶端感染系統目錄的病毒D:共用區,D:work等分享資料夾 透過分享資料夾感染的病毒依照不同的原因採取不同的防護機制調整策略,Copyright 2006 - Trend Micro Inc.,清除失敗(隔離或刪除失敗)處理步驟,先確認病毒名稱、路徑及副檔名病毒名稱若為Worm_XX, PE_XX
12、,VBS_XX 表示可能己中毒需下載清除程式路徑c:.Temporary Internet File c:Recycle c:_Restore(WinMe Only) C:temp副檔名*.zip . Doc 表示檔案可能有密碼保護,若電腦中毒應如何處理,請先判斷是否真的中毒,或者只是OfficeScan偵測攔截到病毒立刻拔掉網路線執行防毒軟體手動掃描若確定是中毒,保留電腦畫面, 並馬上與電腦管理人員聯繫,Copyright 2006 - Trend Micro Inc.,執行手動掃描,Copyright 2006 - Trend Micro Inc.,執行手動掃描,Copyright 200
13、6 - Trend Micro Inc.,掃描結果,Trend iClean 解毒快手,當電腦偵測到惡意程式無法清除或刪除,或是感覺電腦運作異常,可能感染惡意程式時,請先下載此常見病毒清除及可疑程式分析工具Trend iClean 解毒快手Trend iClean 解毒快手的功能如下:清除常見病毒與Rootkit程式清理IE快取資料夾清理系統Temp資料夾收集趨勢防毒軟體病毒記錄檔收集惡意程式相關診斷資訊特殊防範功能Trend iClean 解毒快手下載位址:http:/.tw/edm/Tracking.asp?id=399&name=2008Q2_iClean_download,正確有效的防
14、護觀念,Security Page 38,防毒小秘訣,安裝最少的系統元件 (降低被入侵的風險)密碼是保護電腦的第一防線,密碼安全的四大守則告訴任何人密碼(包括親人、職務代人等)寫下密碼貼於可被找到的地方請勿將密碼設為生日、身分證字號、學號、電話,密碼長度6碼以上,中英數字穿插,加個特殊符號如,、(、 )、#、.等一旦懷疑有人可能知道你的密碼,即刻改。遠離來路不明的軟體,檔案,磁片及光碟;並隨時注意電腦異常狀況安裝防毒軟體:定期更新病毒碼、掃毒引擎及程式定期備份,39,關閉Outlook Express預覽功能,部份沒有內容的郵件可能就是信箱的驗證信這些信件的主旨往往十分聳動,如退信通知,你寄錯
15、了,系統公告,停機通告,最新病毒等,讓你會主動開啟這種信件一但開啟後,信內完全沒有內容,事實上信中的scrip已經回報信箱的可用性,你的信箱就會成為廣告信的寄發目標,確認電子郵件的真實性,定期刪除cookie和不必要的檔案,拒絕安裝來源不明之 ActiveX 簽署程式,42,玄奘大學專屬師生在家使用權不管怎麼樣都要裝防毒!這是權利也是義務!,玄奘大學專屬師生在家使用權,Cloud technology (雲端技術),Security Page 45,零接觸,零感染,零威脅,時間,感染數量,阻斷惡意連結終止病毒感染,防毒戰線提前,避免接觸惡意程式,解決病毒困境,Security Page 46,
16、非疫區,疫區,疫管局,Security Page 47,信譽評等服務應用,企業內部網路,企業外部網路,Internet,URLCategory,DomainReputation,防毒閘道端,Query,Query,Client,Client,URL即時查詢,避免接觸惡意連結,Security Page 48,網頁威脅防護示意,Http Client,安全連結,正常網站,瀏覽正常網站,Security Page 49,網頁威脅防護示意,Http Client,危險連結,惡意網站,瀏覽惡意網站,Security Page 50,網頁威脅防護示意,Http Client,危險連結,阻斷已感染者下載惡
17、意程式途徑,病毒自動下載器,惡意程式威脅管理,數量成長驚人,多樣化方式迴避偵測,多樣化方式多重備援快速的變種迴避式難以偵測,商業利導向,主要目的資訊竊取針對式攻擊商業犯罪,惡意程式的演化及改變,惡意程式數量1988: 17381998: 177615 2008: 1100,000 & upIT/病毒碼的管理週期以無法有效跟上,惡意程式愈來愈危險,愈來不易偵測.,校園內部資安威脅管理的概念,偵測什麼?,惡意程式的活動 惡意破壞/未經授權的存取 重要資訊外流,隔離 清除 (Pattern-free),客戶內部資安威脅,透過早期預警系統來確認內部資安威脅,並且透過一快速且有效率的管理系統來回應/處理
18、這些內部資安威脅.,小結電腦安全人人有責,人員是一切資訊安全的基礎 加強人員資訊安全警覺定期更新防毒程式,如何提升公務用電腦效能,只安裝必要的軟體請不要任意安裝下載程式建立資料存放的好習慣定期做好備份資訊服務中心。我有問題!,只裝必要的軟體,我需要甚麼?新版本最好?這些軟體我用的上嗎?建立常用軟體清單常見的問題重複安裝防毒程式新舊版本軟體共存安裝不知名的程式設備更新可是軟體沒有移除,請不要任意安裝下載程式,試用軟體、免費軟體、海盜軟體、破解軟體BT、Torrent非要安裝請上官網或是確認來源也許是安全但會造成不便道德衝突與學術自由,建立資料存放的好習慣,請放在槽(或是指定的目錄)建立清楚的資料檔案分類處室部門建立專用儲存空間及標準命名規則定期清理資料檔案,定期做好備份,幫資料減肥備份工具放在哪?隨身碟、光碟片、硬碟雲端儲存,資訊服務中心。我有問題!,我常當機嗎?我常中毒嗎?我需要重灌嗎?我要裝甚麼軟體?,工商服務我可以請佳魁幫我做甚麼?,佳魁資訊營業項目資安產品資訊圖書(佳魁/上奇)資訊軟體:微軟/ADOBE/歐特克/遊戲開發工具國外軟體平台產品:數位學習/立體投影/遊戲開發工具資訊類研習辦理包打聽玄奘專屬服務:如果有任何疑難雜症請寫信給我!MSN:IE-mail:tigerguotopteam.cc0912549071 專案部 郭南彤,Q&A,Thank You,
