面對與時間競走的安全挑戰考驗,MIS 對抗病毒的任務愈加艱鉅。本文將根據我以往與病毒奮戰的經驗,分享看倌們幾個防毒備忘錄,相信這些基本防毒動作,能讓日常防毒管理工作更加輕鬆。
備忘錄1:將 16個檔案格式列入隔離名單
攻陷企業網路甚至讓郵件伺服器停擺,需要多高深的技巧呢?答案是只需要一個經過包裝過的信件主旨即可。趨勢科技只在高度風險時才會執行病毒紅色警戒,然而有趣的事,往往我們實驗室的警戒鈴聲大作經常都是起於一個以交談、假冒或口語用字等方式的字眼。這種所謂的社交工程陷阱(social engineering )利用大?的疏於防範的小詭計,讓受害者掉入陷阱。
依據以往我們與病毒搏鬥的經驗,我們發現有些檔案特別容易為企業帶來內部或外部的災情。其中有些字眼你一定很熟悉,像是「你的密碼」、「蘇菲瑪索走光圖」、「免費星巴客咖啡券」..等等為名的檔案。建議 IT 部門設定閘道或郵件伺服器防毒軟體,刪除或隔離夾帶下列檔案的信件,避免員工因為一時好奇心而為企業帶來大禍。
諸如此類的安全威脅藉由操控電腦使用者以間接破壞電腦的手法,在病毒攻擊已形成重要角色,因為只要有一個人抗拒不了本身的好奇心看了郵件,採用安全弱點攻擊的病毒就可以在短時間內大行肆虐。後果可能導致用戶名單、密碼及網路結構被間諜軟體或網路釣客竊取出來。
1..VBE-- VBScript Encoded File
2..VBS-- VBScript Script File
3..JS-- JScript File
4..JSE-- JScript Encoded Script File
5..BAT-- Batch file
6..SHS-- Shell Script Object
7..PIF-- Shortcut to MS-DOS Program
8..CHM-- Compiled HTML Help File
9..WSF-- Windows Script File
10. .WSH-- Windows Scripting Host File
11. .SCR-- Screen Saver
12. .LNK--Shortcut
13. .COM--MS-DOS Application
14. .EXE-- Application
15. .DLL-- Application Extension
16. .CPL--Control Panel
備忘錄2. 將小於150KB的信件且附檔為.zip的檔案隔離
由於.zip檔常被用於公司內部正常信件,因此不能直接列入隔離名單內。除了前述附檔清單外,我發現最近還有很多病毒寄發.zip檔。根據觀察發現,很多病毒為了便於快速傳播,通常病毒信件寄出的zip檔不會超過100KB。因此MIS人員可設定閘道或郵件伺服器防毒軟體的同時,將符合下列兩個條件的信件加以過濾及阻擋:
a.附檔為.zip
b.整封信件的size小於150KB
通常病毒信件寄出的zip檔含信件文字內容不會超過150KB,而且一般使用者的含附件信件通常都會大於 150KB。因此建議將小於150KB的信件且附檔為.zip的檔案隔離。
(注意:若擔心誤殺使用者的重要檔案,設定時防毒軟體隔離規則時最好暫時勾選「隔離」。)
備忘錄3. 全球爆發重大病毒災情等待病毒碼空窗期,事前做好防範準備
還記得8月份ZOTOB 線上幽靈大鬧CNN 新聞播報現場的事件嗎?你當時是不是也擔心你所服務的企業會成為下一秒的受害者?現在病毒爆發的速度愈來愈快,應變再快的安全廠商也需要時間取得病毒樣本研製解藥。但企業也不一定要在等到防毒廠商病毒碼來到之前坐以待斃,只要知道病毒行為,企業網路也可以免於災害。以下以 ZOTOB為例,請你跟我一起這樣做:
(注意:不可封鎖系統檔案,以免機器運作受到影響。)
(注意:封鎖正常使用的Port會影響運作。)
主旨:
**Warning**
o Confirmed...
o Hello
o Important!
o Warning!
內文:
o 0K here is it!
o hey!!
o Looooool
o That's your photo!!?
o We found a photo of you in ...
附件:(副檔名為以下任一.bat、.cmd、.exe、.pif)
o image
o loool
o Photo
o picture
o sample
o webcam_photo
o your_photo
(注意:上述工作也可以透過具備中央控管病毒爆發政策的防毒管理軟體,集中派送到各對應的防毒軟體, 藉以簡化管理工作。)
備忘錄4. 閘道掃描HTTP,避免網路釣魚或間諜軟體背景執行
很多病毒以HTTP為入侵管道,導致很多用戶都是瀏覽網頁時中毒,甚至有些以未更新patch的IE瀏覽病毒網頁,病毒直接在背景執行,使用者根本不知道已經被植入病毒。除了假冒eBay、Yahoo、CITIBANK 騙取密碼的網路釣魚(phishing)頁面,連近年大熱門的部落格(blog)網站也傳出遭竄改,成為傳播惡意程式的媒介。
因此建議建置可針對HTTP做掃描的閘道防毒軟體,並啟用URL Filtering和Anti-Phishing功能,以降低病毒透過HTTP管道進入公司內部網路。
備忘錄5. Firewall 隔離 6667 port,避免bot傀儡蟲開後門
很多bot型的傀儡蟲包含後門程式,甚至還同時用多個漏洞攻擊。例如:WORM_RBOT系列變種自2003年開始就不斷跟著全球頭號病毒一起採用相同漏洞發動攻擊,包含:WORM_ZOTOB.D 、Worm_SASSER 、WORM_MSBLAST、SQLSLAMMER 、PE_NIMDA 等惡名昭彰病毒。
要如何避免這些從遠端入侵系統的 bot傀儡蟲暗中蠶食企業的生產力呢?根據研究,bot傀儡蟲偏好透過IRC protocol接收外部駭客的指令(例如自我更新病毒檔案、Port scan等)。建議將公司對外Firewall的 6667 port 關閉且in/out都得擋。
若要達到更高的資訊安全等級,建議MIS在Firewall上內到外的rule設定採用正面列表,只開放允許的Port或服務(例如80、21等),其餘內對外的存取全都擋掉。另外也要留意Firewall內對外的6667連線,若有的話紀錄IP並檢查是否中毒。若沒有偵測到,可能該機器已感染新型態變種病毒,這時可尋求防毒軟體業者協助, 提供捕捉新病毒樣本的方法。
備忘錄6.其他防毒要點
留言列表