1 / 35

電腦病毒防護與防駭

電腦病毒防護與防駭. 東區服務課 資深工程師 吳啟銘 大同資訊系統業務處 台東分公司. 課程大綱. 為什麼電腦會中毒? 病毒的種類介紹 病毒 蠕蟲 木馬後門程式 間諜軟體、惡意程式 病毒的基本防護與防範 社交工程介紹 社交工程攻擊手法介紹與防範 防毒軟體與防毒牆設備、基本實作介紹 防毒軟體 什麼是防毒牆? 電腦設定、指令實作介紹 Q&A. 為什麼電腦會中毒?. 網路上下載不明檔案 電子郵件病毒散播 即時通訊軟體不明連結點選 網頁遭駭客植入惡意 script 碼 電腦未安裝防毒軟體 使用點對點傳輸軟體 作業系統未定期更新 hotfix… 等.

nami
Download Presentation

電腦病毒防護與防駭

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 電腦病毒防護與防駭 東區服務課 資深工程師 吳啟銘 大同資訊系統業務處 台東分公司

  2. 課程大綱 • 為什麼電腦會中毒? • 病毒的種類介紹 • 病毒 • 蠕蟲 • 木馬後門程式 • 間諜軟體、惡意程式 • 病毒的基本防護與防範 • 社交工程介紹 • 社交工程攻擊手法介紹與防範 • 防毒軟體與防毒牆設備、基本實作介紹 • 防毒軟體 • 什麼是防毒牆? • 電腦設定、指令實作介紹 • Q&A

  3. 為什麼電腦會中毒? • 網路上下載不明檔案 • 電子郵件病毒散播 • 即時通訊軟體不明連結點選 • 網頁遭駭客植入惡意script碼 • 電腦未安裝防毒軟體 • 使用點對點傳輸軟體 • 作業系統未定期更新hotfix…等

  4. 病毒的種類介紹 • 病毒(VIRUS) • 一段具完整且有基本人工智慧之程式碼,程式碼之執行會造成電腦設備資料毀損、作業異常等惡意破壞行為。 • 通常具備自我隱藏、複製與再生、變種等基本人工智慧。 • 病毒運作過程可分為:感染、潛伏、發作 • 蠕蟲(WORM) • 最早期出現於Unix系統,除了具備自我散播、複製、攻擊、破壞與隱藏之能力,最常透過網路自我散播 病毒與蠕蟲之間最大的差別在於病毒大量散播是因人為造成的傳播,例如USB病毒 蠕蟲則是會自我散播、複製、攻擊及透過網路自我散播

  5. 病毒的種類介紹 • 木馬-Trojan Horse • 特洛伊木馬式病毒(此程程式看似合法但實際上會有破壞的功能,故將其比喻為特洛伊木馬,有相對潛在的危險性) • 後門-Backdoor • 遭植入後門程式的電腦,將提供非傳統的便利連結通道,得以讓非授權人員任意存取資料、程式、服務

  6. 病毒的種類介紹 • 間諜軟體(Spyware) • 此手法常見於各大論譠網站,當使用者在意識不清楚的狀況下,不小心點選了網頁旁邊的廣告後,即有可能遭植入廣告軟體附帶的間諜程式,間諜軟體(Spyware)在未經用戶許可的情況下大量蒐集用戶個人訊息的程式,即有可能造成隱私資料遭人蒐集而作為非法用途。 • 惡意程式(Malware) • 在中國大陸此程式又稱為流氓軟件,形容在網路上傳播如同流氓一樣討厭的程式。意指有惡意行為的程式碼或軟體皆稱為惡意程式。

  7. 病毒的基本防護與防範 安裝防毒軟體 例如:Symantec、Pc-cillin、Avast、小紅傘、費爾托斯特…等 • 修補各類平台的漏洞 • 例如:Windows、Linux…等 • 修補各類套裝中體的漏洞 • 例如:MS SQL系列產品、Office系列產品的servicepack更新…等 • 不開啟來路不明的信件及檔案 • 不下載來路不明的軟體或檔案 • 盡量減少使用P2P或BT…等點對點傳輸軟體 • 定時透過防毒軟體掃描電腦內是否有中毒之情形

  8. 社交工程介紹 「社交工程」是指利用人性弱點,哄騙他人提供個人資料(如密碼)的技倆,而這種技倆足以危及系統的安全。 非法電子郵件有時會看似來自真實的寄發來源,藉此騙取個人資料或敏感資料。此類侵害通常稱為「社交工程攻擊(Social Engineering Attack)」,具體地說,就是「仿冒詐騙(Phishing)」。

  9. 社交工程介紹 • 應用社交工程的各種攻擊方法 除了利用電話詐騙之外,常見的社交工程攻擊還包括︰ (1)電子郵件隱藏電腦病毒 駭客利用社交工程的概念,將病毒、蠕蟲與惡意程式等隱藏在電子郵件中,這些看似朋友所寄來的郵件,卻是應用社交工程的電子郵件陷阱,例如過去造成重大損害的I LOVE YOU蠕蟲,就是一種利用社交工程散播的電腦病毒。

  10. 社交工程介紹 • 應用社交工程的各種攻擊方法 除了利用電話詐騙之外,常見的社交工程攻擊還包括︰ (2)網路釣魚 有一種偽裝知名企業或機關單位寄發的電子郵件,通知收件人必須重新驗證密碼或登入某網址輸入個人資料等,這種詐騙稱為網路釣魚。收件人若無小心求證而連結了郵件中的鏈結,可能就下載了惡意程式;或者在假網頁上輸入了帳號密碼或信用卡資料等,造成銀行戶頭被盜領或盜刷等的嚴重後果,這是近年來造成個人與企業極大損害的犯罪手法,而網路釣魚就是一種典型的社交工程攻擊。

  11. 社交工程介紹 • 應用社交工程的各種攻擊方法 除了利用電話詐騙之外,常見的社交工程攻擊還包括︰ (3)圖片中的惡意程式 明星或色情圖片也是許多惡意程式慣用的社交工程技巧之一,這些都是利用使用者的好奇心來散佈惡意程式,之前Sobig網路病毒出現在某個含有色情內容的網路討論群組,網友點選了其中像是裸照的內容就會感染病毒,而該病毒總共導致了約10億美金的損失。

  12. 社交工程介紹 • 應用社交工程的各種攻擊方法 除了利用電話詐騙之外,常見的社交工程攻擊還包括︰ (4)偽裝修補程式 另一種社交工程的欺騙手法,就是偽裝成微軟的修補更新程式,因為一般使用者不會覺得這是來路不明的程式,卻沒有防範社交工程也會利用這個漏洞,而將惡意程式隱藏其中。使用者若安裝了這個檔案,不但不會修補作業系統的任何漏洞,還可能被安裝了遠端竊取資料的木馬程式。

  13. 社交工程介紹 • 應用社交工程的各種攻擊方法 除了利用電話詐騙之外,常見的社交工程攻擊還包括︰ (5)即時通也是社交工程新途徑 近年來,社交工程傳播惡意程式的途徑擴大至即時通訊軟體,如MSN、ICQ、YAHOO即時通、QQ等。2005年2月,一個使用MSN大量散播的病毒造成嚴重災情,這個電腦病毒會利用MSN自動傳檔給MSN連絡人上的朋友,亞洲各國皆傳出災情,包括台灣的案例也有千起以上。

  14. 社交工程介紹 社交工程攻擊四步驟 社交工程攻擊首先取得一個攻擊目標的背景資訊,透過交談與受害人建立信任,然後向受害人要求資訊,再利用這些資訊向其他或更高層人員欺騙,不斷重覆這些步驟,以達成最後目標。

  15. 社交工程介紹 常見的社交攻擊手法與目標 不管是純粹使用詐騙技巧,或是利用電腦專業技術製造詐騙機會,常見的詐騙與攻擊手法相當多元,包括︰假冒為同事;假冒新進員工;假冒廠商、客戶或政府單位;假冒具有權威的人;假冒系統廠商,表示欲提供系統修補程式或更新程式;假冒好心人士,告訴對方如果電腦發生問題可以找他,然後製造問題,讓受害人打電話來求援…等。其中,某些職務人員是社交工程攻擊常鎖定的目標,尤其是基層庶務人員,當其對於公司主要業務較無直接關係時,往往對於資訊保密的警覺性較低,常常成為社交工程攻擊常鎖定的主要目標。

  16. 社交工程介紹 有效防範社交工程攻擊的方法   在了解社交工程的攻擊手法後,應建立正確防範社交工程的觀念,包括人員的教育訓練與平常的宣導。   (1)認識常見社交工程的可疑徵兆 首先,隨時具備危機意識,惡意人士可能以任何角色或形式出現,在沒有適當的認證情況下,不應輕信他人,只要出現社交工程攻擊警訊,都應保持小心求證的戒心。認識幾個社交工程的可疑徵兆,例如對方強調是緊急事件;提出不尋常的請求;威脅對方如果不照辦會有嚴重的後果;拒絕告知回電號碼…等,遇有上述情形時應提高警覺心。   (2)遵守公司安全政策與程序 確認要求者的身分 另外,平時亦應遵守公司安全政策與程序,例如依資料分級制度流通資訊,不開啟來路不明的電子郵件等,在任何資訊釋出時,都要確認要求者的身分及對方經過授權。

  17. 社交工程介紹 有效防範社交工程攻擊的方法   在了解社交工程的攻擊手法後,應建立正確防範社交工程的觀念,包括人員的教育訓練與平常的宣導。   (1)認識常見社交工程的可疑徵兆 首先,隨時具備危機意識,惡意人士可能以任何角色或形式出現,在沒有適當的認證情況下,不應輕信他人,只要出現社交工程攻擊警訊,都應保持小心求證的戒心。認識幾個社交工程的可疑徵兆,例如對方強調是緊急事件;提出不尋常的請求;威脅對方如果不照辦會有嚴重的後果;拒絕告知回電號碼…等,遇有上述情形時應提高警覺心。   (2)遵守公司安全政策與程序 確認要求者的身分 另外,平時亦應遵守公司安全政策與程序,例如依資料分級制度流通資訊,不開啟來路不明的電子郵件等,在任何資訊釋出時,都要確認要求者的身分及對方經過授權。 (3)通報作業   最後,遇到疑似攻擊事件時應向有關單位通報。

  18. 社交工程介紹 總結 社交工程其實就是一種利用人性弱點的詐騙技術,它避開了嚴密的資通安全技術防護,是一種非常難以防範的攻擊模式,只有具備高度的危機意識及警覺心,才能減少社交工程攻擊傷害。

  19. 防毒軟體與防毒牆設備、基本實作介紹 防毒軟體 賽門鐵克、Officescan、小紅傘、AVAST、費爾托斯特…等 什麼是防毒牆? 電腦設定、指令、檢測軟體實作介紹 Ipconfig/displaydns Netstat Rootkit清除程式…等 ProcessXP、Autorun工具軟件介紹

  20. 防毒軟體 賽門鐵克免費線上掃毒 Officescan防毒軟體 OfficeScan™ 10.0提供全新革命性的威脅防禦架構,結合趨勢科技世界級創新Smart Protection Network主動式雲端截毒技術,不論端點是否連上企業網路都能獲得保護。新增的檔案信譽評等服務,將病毒碼管理的重擔轉移到雲端,以節省用戶端電腦的資源。而網頁信譽評等服務可防止用戶端電腦存取惡意網站。 小紅傘-Avira Antivir(免費防毒軟體) AntiVir是一套由德國AVIRA公司所開發的防毒軟體,除了商業版的AntiVir PersionalEdition Premium外,還提供個人版AntiVir PersonalEdition Classic供個人用戶免費使

  21. 防毒軟體 費爾托斯特安全 費爾托斯特安全(Twister Anti-TrojanVirus)是一款同時擁有反木馬、反病毒、反Rootkit功能的強大防毒軟體。擁有海量的病毒特徵庫,支持Windows資訊安全中心,支持右鍵掃瞄,支持對ZIP、RAR等主流壓縮格式的全面多層級掃瞄。

  22. 什麼防毒牆? • 由於目前流行病毒大多為混合型病毒,也就是說將病毒程序加上駭客程式,成為新世代病毒;所以目前病大部份利用網路的特性來散播,為了能防禦病毒快速大量散播,光只使用本機的毒機制,是無法提供速與能力,故網路防毒牆因應而生。 • 防毒牆從第一代軟體式,管理上較不容易,慢慢的第二代轉變成Linux加上防毒匣道軟體,非專為防毒設計的硬體系統,直到第三代硬體式防毒牆問市,提供線上更新,可透過網路線上更新病毒特徵碼,以增加防毒效能與穩定性。並可針對不同端口,例如http、https、ftp、pop3、smtp…等做防毒偵測的功能

  23. 電腦設定、指令、檢測軟體實作介紹 -ipconfig/displaydns、netstat • Ipconfig/displaydns – 用來查詢自已的電腦是否已成為跳板/中繼站。 • 開始→執行→cmd→ipconfig/displaydns(實作範例) • Netstat -顯示通訊協定統計及目前的 TCP/IP 網路連線 • 開始→執行→cmd→netstat [a] [e] [n] [s] [t] [p] [r]

  24. 惡意程式的隱形斗蓬-Rootkit • 什麼是Rootkit呢? • 駭客攻擊手法時常藉由使用rootkit,隱藏他們在你電腦上的一舉一動,例如隱藏他們產生的惡意行程,進而竊取你電腦的資訊而不被發現;隱藏他們產生的惡意檔案,進而避開防毒軟體掃描而不會被刪除。這種種用途,給予駭客們的便利性,許多殭屍網路/傀儡網路 Botnet 、蠕蟲、間諜軟體都利用這套工具來打造隱形斗篷。

  25. 惡意程式的隱形斗蓬-Rootkit • 惡名昭彰的Sony事件 • 當時Sony BMG在他們發行的音樂光碟裡,加入了rootkit的技術。最初的目的只是為了保護他們的音樂不被盜拷,但由於Sony BMG的工程師們小瞧了使用rootkit會帶來的影響,他們把所有名稱前行是”$sys$”的檔案,都進行了隱藏。換句話說,如果你把電腦上的notepad.exe改名為$sys$notepad.exe,那麼在這只rootkit被移除之前,你的notepad將會暫時消失。 • 這件事曝光之後,不但很快就被駭客們用來隱藏他們的惡意檔案,Sony BMG更因此承受了龐大的商譽損失。只不過,用「從那裡跌倒,就從那裡再跌倒」這句話來形容Sony,恐怕是在適合不過。

  26. 惡意程式的隱形斗蓬-Rootkit • 2007年8月,Sony在他們發行的Sony’s MicroVault USB drives裡頭,又用上了rootkit的技術。這次主要是因為Sony這款USB提供了指紋辨識能力,為了保護指紋辨識的內容資料,他們將這些資料全放在同一個目錄裡,並將這個目錄進行了隱藏,可惜,駭客們見到了這樣一個大漏洞,哪還有不鑽的道理,於是許多惡意軟體就將他們的檔案放置在這個隱藏目錄中,從而躲避過了防毒軟體的掃描。 • 參考文獻:http://domynews.blog.ithome.com.tw/post/1252/59197

  27. Rootkit清除程式 • Rootkit清除程式 • HijackThis:這是一種通用的網頁綁架檢測和清除工具。(此工具亦可掃描出系統內異常的登錄檔後做修復) • WinPFind:這個工具軟件可以掃瞄硬碟中的普通位置,查找與已知的惡意軟件使用的方式相匹配的文件 • 趨勢科技iClean:此工具由趨勢科技公司所研發,屬最簡便的掃描工具,使用者只需下載後執行即可掃描電腦內的登錄檔、惡意程式並做修復。

  28. ProcessXP、Autorun檢測軟體實作介紹 • ProcessXP – 比工作管理員還強大的程序檢查工具想必MIS常遇到的電腦問題就是有惡意程式正在執行,但工作管理員又關不掉,防毒軟體掃描出來的DLL檔又搜尋不到,此時透過此工具就可以尋找出DLL檔被綁在哪個程序之下,這時逐一停掉相關程序,就能順利手動刪除惡意檔案及程序嘍。 • (實作範例)

  29. ProcessXP、Autorus檢測軟體實作介紹 • Autoruns – 可以幫助我們檢視有哪些的程式會隨著電腦啟動而啟動,並且可以讓我們做調整取消或啟用的動作,這不但可以加速電腦開啟的速度,縮短開機時間,還可以藉此幫助我們了解,是否有惡意程式會隨著電腦啟動,而危害或影響到我們的電腦系統。 • (實作範例) • 相關案例分享討論

  30. 電腦小技巧設定 – 資料執行防止DEP

  31. 電腦小技巧設定 – 關閉共用資料夾

  32. 電腦小技巧設定 – 檢查是否中KAVO病毒 • 中KAVO病毒常見問題 • C: D:槽下有不明autorun.ini檔案 • 點選磁碟機會出現選擇程式開啟的視窗 • 電腦執行異常緩慢(有惡意程式在執行,最新kavo變種病毒會在C:\windows\system32\drivers下多一個post.exe檔案且無法刪除 • 接上隨身碟以後未存取資料卻發現隨身碟的讀取燈一直閃爍 • Attrib指令介紹 • (實作範例)

  33. 電腦小技巧設定 – attrib檢查隱藏檔 • 開始→執行→cmd→attrib即可查詢,可切換到c: d:逐一查詢 • (實作範例)

  34. 後記 • 電腦病毒無所不在,不是裝了防毒軟體、防毒硬體設備或是病毒偵測程式就可以阻擋任何病毒的入侵,最主要的問題還是在於電腦使用的觀念,盡量少用點對點傳輸軟體,不下載不明軟體或程式,不隨意點選即時通或是論譠上的不明連結網址,就可以減少中毒的機會。 有的人電腦裝了二套防毒軟體,裝了間諜掃描程式及任何掃描工具,方便偵測任何病毒的入侵,但是他的電腦還是中毒了。 所以,操作電腦的習慣逐漸改變,我相信每個人的電腦都會減少病毒入侵之苦。 ^_^

  35. 感謝貴單位提供本公司服務機會 台東分公司 950台東市豐榮路300號 TEL:(089) 323978 FAX:(089) 346390 E-mail:oa3249@tatung.com

More Related