今天的網路安全有如MIS與駭客之間的攻防競賽。現在「Windows 自動更新」已經是極為有效的工具,而終端使用者也更容易在安全漏洞公佈之後盡快完成漏洞的修補。今天,一個安全漏洞一旦公佈,就等於宣佈這個安全漏洞即將失效,因為修補程式的推出,讓攻擊得逞機會對減少。但使用者不斷修補與病毒有關的安全漏洞,但是病毒也不斷嘗試以其他的方式發動攻擊。每次新的網路病毒現身之後,用來管理升級程式與修補程式的方法與工具都有顯著的提升。這也導致病毒作者的行動也跟著全力加速衝刺。

面對與時間競走的安全挑戰考驗,MIS 對抗病毒的任務愈加艱鉅。本文將根據我以往與病毒奮戰的經驗,分享看倌們幾個防毒備忘錄,相信這些基本防毒動作,能讓日常防毒管理工作更加輕鬆。

備忘錄1:將 16個檔案格式列入隔離名單

攻陷企業網路甚至讓郵件伺服器停擺,需要多高深的技巧呢?答案是只需要一個經過包裝過的信件主旨即可。趨勢科技只在高度風險時才會執行病毒紅色警戒,然而有趣的事,往往我們實驗室的警戒鈴聲大作經常都是起於一個以交談、假冒或口語用字等方式的字眼。這種所謂的社交工程陷阱(social engineering )利用大?的疏於防範的小詭計,讓受害者掉入陷阱。

依據以往我們與病毒搏鬥的經驗,我們發現有些檔案特別容易為企業帶來內部或外部的災情。其中有些字眼你一定很熟悉,像是「你的密碼」、「蘇菲瑪索走光圖」、「免費星巴客咖啡券」..等等為名的檔案。建議 IT 部門設定閘道或郵件伺服器防毒軟體,刪除或隔離夾帶下列檔案的信件,避免員工因為一時好奇心而為企業帶來大禍。

諸如此類的安全威脅藉由操控電腦使用者以間接破壞電腦的手法,在病毒攻擊已形成重要角色,因為只要有一個人抗拒不了本身的好奇心看了郵件,採用安全弱點攻擊的病毒就可以在短時間內大行肆虐。後果可能導致用戶名單、密碼及網路結構被間諜軟體或網路釣客竊取出來。

1..VBE-- VBScript Encoded File
2..VBS-- VBScript Script File
3..JS-- JScript File
4..JSE-- JScript Encoded Script File
5..BAT-- Batch file
6..SHS-- Shell Script Object
7..PIF-- Shortcut to MS-DOS Program
8..CHM-- Compiled HTML Help File
9..WSF-- Windows Script File
10. .WSH-- Windows Scripting Host File
11. .SCR-- Screen Saver
12. .LNK--Shortcut
13. .COM--MS-DOS Application
14. .EXE-- Application
15. .DLL-- Application Extension
16. .CPL--Control Panel

備忘錄2. 將小於150KB的信件且附檔為.zip的檔案隔離

由於.zip檔常被用於公司內部正常信件,因此不能直接列入隔離名單內。除了前述附檔清單外,我發現最近還有很多病毒寄發.zip檔。根據觀察發現,很多病毒為了便於快速傳播,通常病毒信件寄出的zip檔不會超過100KB。因此MIS人員可設定閘道或郵件伺服器防毒軟體的同時,將符合下列兩個條件的信件加以過濾及阻擋:

a.附檔為.zip

b.整封信件的size小於150KB

通常病毒信件寄出的zip檔含信件文字內容不會超過150KB,而且一般使用者的含附件信件通常都會大於 150KB。因此建議將小於150KB的信件且附檔為.zip的檔案隔離。

(注意:若擔心誤殺使用者的重要檔案,設定時防毒軟體隔離規則時最好暫時勾選「隔離」。)

 

備忘錄3. 全球爆發重大病毒災情等待病毒碼空窗期,事前做好防範準備

還記得8月份ZOTOB 線上幽靈大鬧CNN 新聞播報現場的事件嗎?你當時是不是也擔心你所服務的企業會成為下一秒的受害者?現在病毒爆發的速度愈來愈快,應變再快的安全廠商也需要時間取得病毒樣本研製解藥。但企業也不一定要在等到防毒廠商病毒碼來到之前坐以待斃,只要知道病毒行為,企業網路也可以免於災害。以下以 ZOTOB為例,請你跟我一起這樣做:

  • a.隔離病毒產生的特定檔名:WORM_ZOTOB.A病毒會植入BOTZOR.EXE到受害電腦,因此將現行防毒軟體,設定隔離 BOTZOR.EXE,避免其進入系統。

    (注意:不可封鎖系統檔案,以免機器運作受到影響。)

  • b.封鎖病毒攻擊的特定 PORT: ZOTOB攻擊 TCP 445/33333/8080 ,可啟動用戶端防毒軟體的防火牆關閉上述特定Port。

    (注意:封鎖正常使用的Port會影響運作。)

  • c.封鎖傳播病毒的特定Email:WORM_ZOTOB病毒有特定主旨、關鍵字和附件,因此可透過郵件過濾軟體或閘道防毒軟體,設定條件過濾以下特徵的郵件:

    主旨:

    **Warning**
    o Confirmed...
    o Hello
    o Important!
    o Warning!

    內文:

    o 0K here is it!
    o hey!!
    o Looooool
    o That's your photo!!?
    o We found a photo of you in ...

    附件:(副檔名為以下任一.bat、.cmd、.exe、.pif)

    o image
    o loool
    o Photo
    o picture
    o sample
    o webcam_photo
    o your_photo

    (注意:上述工作也可以透過具備中央控管病毒爆發政策的防毒管理軟體,集中派送到各對應的防毒軟體, 藉以簡化管理工作。)

    備忘錄4. 閘道掃描HTTP,避免網路釣魚或間諜軟體背景執行

    很多病毒以HTTP為入侵管道,導致很多用戶都是瀏覽網頁時中毒,甚至有些以未更新patch的IE瀏覽病毒網頁,病毒直接在背景執行,使用者根本不知道已經被植入病毒。除了假冒eBay、Yahoo、CITIBANK 騙取密碼的網路釣魚(phishing)頁面,連近年大熱門的部落格(blog)網站也傳出遭竄改,成為傳播惡意程式的媒介。

    因此建議建置可針對HTTP做掃描的閘道防毒軟體,並啟用URL Filtering和Anti-Phishing功能,以降低病毒透過HTTP管道進入公司內部網路。

    備忘錄5. Firewall 隔離 6667 port,避免bot傀儡蟲開後門

    很多bot型的傀儡蟲包含後門程式,甚至還同時用多個漏洞攻擊。例如:WORM_RBOT系列變種自2003年開始就不斷跟著全球頭號病毒一起採用相同漏洞發動攻擊,包含:WORM_ZOTOB.D 、Worm_SASSER 、WORM_MSBLAST、SQLSLAMMER 、PE_NIMDA 等惡名昭彰病毒。

    要如何避免這些從遠端入侵系統的 bot傀儡蟲暗中蠶食企業的生產力呢?根據研究,bot傀儡蟲偏好透過IRC protocol接收外部駭客的指令(例如自我更新病毒檔案、Port scan等)。建議將公司對外Firewall的 6667 port 關閉且in/out都得擋。

    若要達到更高的資訊安全等級,建議MIS在Firewall上內到外的rule設定採用正面列表,只開放允許的Port或服務(例如80、21等),其餘內對外的存取全都擋掉。另外也要留意Firewall內對外的6667連線,若有的話紀錄IP並檢查是否中毒。若沒有偵測到,可能該機器已感染新型態變種病毒,這時可尋求防毒軟體業者協助, 提供捕捉新病毒樣本的方法。

    備忘錄6.其他防毒要點

  • 管制即時通訊軟體
  • 強制移除匿名存取
  • 取消共用帳號
  • 定期掃描重大安全漏洞
  • Admin 權限限制
  • 盡量減少具有Admin 權限的帳號
  • 密碼複雜化,且強制定期修改密碼
  • 炎龍牙 發表在 痞客邦 PIXNET 留言(0) 人氣()