一、主題:當MIS碰上駭客入侵該怎麼辦之問題一?
二、說明:
當企業發現自己已遭駭客入侵後,企業IT管理人員該如何採取行動?本次資安診療室將從實務層面來建議企業緊急應變的處理方式。
三、問題:
1. 如何迅速找出企業被駭的問題發生點?
註:本文為[ RUN!PC 159 期 ]資安診療室本人所撰稿的部分內容
##CONTINUE##
一般來說企業被駭所發生的問題點大多出現在伺服器端,但目前有漸漸往使用者端入侵的趨勢。以下就針對目前最常見的幾種入侵手法來分析如何迅速找出問題的發生點。
--------------------------------------------------------------------
手法一:
駭客直接置換網站首頁或者是在Web Server中插入一頁類似駭客宣告的網頁。
被駭目標:Web Server
手法分析:
- 駭客使用掃描工具針對目標網站做系統弱點或網站服務尋找出未知或未修正的弱點。
- 針對此弱點尋找出其相對應的攻擊程式,設法取得該台伺服器的控制權。
- 上傳駭客自製的首頁或宣告網頁至目標網站的實體目錄之下,做覆蓋首頁或新增網頁的動作。
- 完成該目標網站的網頁取代。
問題發生點:
- 作業系統(Windows或Linux)平台有未知或未修正的弱點。
- 網站服務程式(IIS或Apache) 有未知或未修正的弱點。
- 網站服務程式(IIS或Apache)安裝時未變更安裝預設值,此得駭客能猜測出相關安裝的設定,取得資料。
- 網站服務程式(IIS或Apache)的網頁檔案實體路徑依循系統預設值而未變更路徑。
- 網頁檔案所存在的實體資料夾及目錄並未設定權限。(例如:NTFS權限)使得駭客可以輕易上傳網頁。
--------------------------------------------------------------------
手法二:
駭客在網站的首頁或者是其他頁面加入有惡意程式語法的隱藏框架,造成瀏覽的使用者被植入惡意程式。
被駭目標:Web Server、使用者的電腦
手法分析:
- 駭客先在免費上傳空間製作好存放惡意程式。
- 在目標網站上嘗試在網頁應用程式(ASP、ASP.Net或PHP)測試是否具有SQL Injection(資料隱碼)或具有XSS(跨網站攻擊)的弱點。
- 尋找出有弱點之網頁程式後,嘗試在URL網址之後加入SQL語法的字串,依該網頁應用程式的反應結果可猜到該程式所使用的帳號、權限大小、資料庫名稱、資料庫的類別。
- 假設是ASP+SQL Server這樣的組合,如果權限夠大便可以在URL網址之後的SQL語法加入[xp_cmdshell]取得DOS命令列模式並可以新增系統帳號、網頁加入有惡意程式語法的隱藏框架等惡意行為。
問題發生點:
- 網頁應用程式(ASP、ASP.Net或PHP)具有SQL Injection(資料隱碼)或具有XSS(跨網站攻擊)的弱點。
- 網頁應用程式撰寫時呼叫資料庫的權限太大,使得該程式一旦出問題就具有權限去執行惡意的行為。
- 資料庫安裝時採用系統預設值或最大權限,造成資料庫被入侵等於系統全線也可以取得。
--------------------------------------------------------------------
手法三:
駭客在網站的討論區套件中加入有惡意程式語法的隱藏框架,造成瀏覽該討論區的使用者被植入惡意程式。
被駭目標:Web Server、討論區套件、使用者的電腦
手法分析:
- 該手法三的入侵手法與手法二雷同,同樣是在目標網站上嘗試在網頁應用程式中尋找是否具有SQL Injection或具有XSS的弱點。只不過它所針對的目標是網站的討論區套件(例如:PHPBB)等自動化安裝的套件。
- 嘗試測試該套件預設安裝的檔案路徑、資料庫位置、資料庫名稱、帳號名稱,是否目標網站均有無變更。
- 使用該網頁應用程式的弱點攻擊程式查看是否有修正版本,如果均沒有做修正便可以取得帳號、安裝路徑。
- 使用取得的帳號及權限在網頁上插入有惡意程式語法的隱藏框架等使用者上鉤。
問題發生點:
- 討論區套件(例如:PHPBB)沒有同步修正版本,造成該弱點可被惡意程式利用。
- 討論區套件安裝時沒有改變安裝預設時的相關參數及設定,造成只要是使用相同套件其資料庫等不應該被知道的訊息均被公開。
--------------------------------------------------------------------
手法四:
駭客製造出埋藏惡意程式的釣魚網站,經由網站的討論區、郵件與即時通訊軟體傳送該釣魚網站之超連結,誘使使用者點選之後植入木馬程式,進而竊取個人及企業資料。
被駭目標:使用者的電腦
手法分析:
- 先去申請與目標網站非常相似的網域名稱。
- 再針對目標網站執行砍站程式或另存新檔將整個網站複製下來。
- 然後在該偽冒網域名稱上將砍站下來的網頁組合成跟原來一樣的網站。
- 在個偽冒網站上的首頁放入惡意程式的代碼或者寫入有惡意程式語法的隱藏框架,等使用者上鉤。
問題發生點:
- 偽冒網站必須用砍站程式去砍原來網站的網站內容,如果是一個經常變更資料的網站或者有撰寫網頁應用程式的網站就會增加被偽冒的難度。
--------------------------------------------------------------------
相關連結:
當MIS碰上駭客入侵該怎麼辦之問題一?
當MIS碰上駭客入侵該怎麼辦之問題二?
當MIS碰上駭客入侵該怎麼辦之問題三?