防止攻擊跳板主機的安全管理策略

黃世昆

中央研究院資訊科學研究所助研究員

摘要

攻擊跳板主機的問題對目前網路結構已構成嚴重安全威脅，潛伏的危機將超過一般電腦病毒。據警政署刑事局的統計估計，國內約有十分之一網路主機被殖入木馬程式（即攻擊跳板所利用的後門宿主）。最近網站入侵事件頻傳，多數與被操縱的主機有關，如 Yahoo、eBay 等商用網站遭受分散式阻斷攻擊（大量主機被安放阻斷攻擊程式），Love-You-Letter 與最近的 Navidad 事件等則是個人電腦被用來間接散佈攻擊程式。本文探討各種跳板攻擊方法，防止策略、並探討追查技術的未來發展、相關法律責任歸屬等。

關鍵字: 跳板攻擊、後門操控、隱密通道、誘陷執行環境、行為指紋。

一、攻擊跳板與網路安全威脅

最近微軟公司程式碼遭竊，多處商務網站面臨分散阻斷攻擊，美國各大學紛遭大規模全面入侵。這些都反應資訊安全威脅已嚴重影響大眾的日常交易往來。根據 TW-CERT 88 年的國內Web server 年度安全調查[4]，有 53 % 的主機可被取得 Web Admin 的權限。我們近日的自我安全檢測機制的記錄有顯示有高達 59% 機器有程度不等的安全缺陷。因此刑事局的「木馬」主機估計比率(1/10)並不算高估，因為只要有心的入侵者都可能在53% 的主機中殖入「後門」。

但一般人對於安全警覺都侷限於「可視」或「可察覺」的安全威脅，例如網頁遭致竄改，或資料被毀損。去年八月政府網站被大舉塗換網頁，各界紛表關切，公聽、座談會不斷舉行，但事僅於此。今年十月國慶網路謠傳將有類似事件重演，事後僅有零星網站有網頁被改跡象，因此大家慶幸不已，更深信此為「謠傳」。但情況真得如此樂觀嗎？根據我們深入調查，在單一機關內有存在各種不同形式後門的主機，比例達 50%。這樣的比例剛好反應 TW-CERT 年度安全調查數據的可信度：亦即這些可能被取得 admin shell 的主機，都有某種形式的後門程式隱藏其中。

1. 未來攻擊趨勢

未來網路安全威脅都將與後門建立息息相關，包括：

n 攻擊後暗藏隱密操控後門

這是網路攻擊精緻化的必然發展。亦即複雜的攻擊過程將分階段，或稱為攻擊狀態快取 (Attack Process Cache)，在入侵目的達成之前，用來維繫前次攻擊途徑的暢通。

n 後門與病毒感染媒介整合

後門程式將與病毒感染方式互相整合。傳統病毒是同步非操控模式，亦即只能依賴事件同步（如13日星期五），以引發惡意指令。但後門程式的特性是非同步操控模式，隨時可能觸發惡意指令。

n 分散式、大規模間接攻擊

最典型的實例是分散式阻斷攻擊(Distributed Denial of Service)，利用大量分散於各地網路的用戶主機，同時啟動攻擊。後門程式的運用是分散式攻擊重要的一環。

2. 建立後門之目的

n 竊取資源利用，例如網路頻寬（設置 http proxy server）

散佈各地電腦的後門，為數甚多是用來竊取資源，包括 Web access 與 E-mail Relay，以取得寶貴的網路資源。舉中研院為例，對外頻寬充足，是有企圖用戶侵入的最大誘因。各大 ISP 同樣面臨類似威脅。事實上，這樣的犯罪形態如同盜打電話，可藉以節省網路使用費用。

n 非同步攻擊狀態快取

維護狀態快取(cache)將可快速取得上次攻擊狀態，可應付複雜的入侵計畫，例如攻擊可依據目標權限差異，先取得低權限用戶電腦存取權，再漸進掌控高權限用戶，進而入侵重要伺服器。順序上，為低權限資訊用戶─> 高權限資訊用戶 ─> 普通伺服器帳號 ─> 管理者權限帳號。每一階段的攻擊狀態快取可維繫入侵管道的暢通。

n 設立攻擊跳板

間接攻擊可避免被追查，同時操控大量攻擊跳板，以不同來源位址達到欺騙流量管理系統目的，進而形成分散阻斷攻擊。

3. 後門程式侵入方式

一般攻擊後殖入

後門殖入的最佳宿主是對於「安全」不經心的使用者。第一類是管理不善的伺服器。第二類是資訊衛生習慣不良的用戶端電腦。未來面臨的最大後門威脅將來自用戶系統。對於用戶系統最大威脅包括：

n E-mail: 病毒、惡意執行檔夾帶並不可怕。現在最具威脅的是使 E-mail 接收軟體產生記憶體溢寫攻擊的惡意控制檔頭(header)，這類攻擊的特性是只要用戶接收 E-mail，不必開啟就會感染。這是可以突穿任何嚴密防火牆的攻擊。

n Web Content: malicious Script/Applet 。

n Document Contents: 理論上所有格式的檔案都潛藏危機，可使應用程式產生缺陷，進而執行非法指令。這種攻擊可以突破實體網路隔絕。

人因缺陷(social engineering)

n 實際為 Script 或可執行檔案，但隱藏為 .txt .jpg .gif 檔名。

n 以熟識朋友身份，E-mail 夾帶惡意可執行內涵。

4. 偵測後門程式的困難性

一旦遭受攻擊，為確保系統不被置入後門程式，若事先沒有記錄各檔案的稽核碼 (checksum)，所有可執行檔、系統設定都要重新安裝，因後門程式理論上可化身為現存的應用程式，甚至深入系統核心，可模擬原作業方式，使系統運作如常，很難發覺其存在。一般偵測軟體僅能偵測「被動連線」方式的後門，偵測率與誤失率都很難合乎需求，因被動連線的 port 位址可任意更動，連線協定更隨著運用者不同，可輕易更改。未來後門程式的變異程度與發展速度將遠高於一般單純電腦病毒。

5. 發現後門的事例

我們已簡單說明攻擊趨勢與後門建立的關係、目的、與殖入方式。此論文的動機源自最近在設定 firewall 時，因追查異常流量源才驚覺後門程式氾濫的嚴重性。在 firewall 裡面有一台很單純的伺服器，只提供信件轉送與域名查詢及委任，因此除內對外 udp port 53 ，外對內 udp port 53、 tcp port 25 開放，其他 port 不該有流量。但就在新的安全政策施行的瞬間，大量封包被拒絕傳送。我們因此懷疑後門程式已侵入。使用 lsof (list opened file) 比對各程序與所需服務位址，才找出隱身為正常的伺服應用系統。這是一支被動連線型的遠端操控 root shell。

二、後門安裝型態與跳板方式

1. 保留現有或安裝有安全缺陷服務軟體、設定(Vulnerable Service、Configuration)

最佳的後門是保留有安全缺陷的服務軟體，但讓使用者誤以為所用的是最新沒有缺陷的版本。因此理論上有安全缺陷的服務軟體，若可據以取得系統存取權限，都可視為「後門」。

n 欺騙補強程式：入侵者致力於修改安裝設定檔，更新補強版本資訊顯示訊息，但具缺陷軟體維持不變。

n 欺騙安全檢測程式：編輯執行檔，更改版本顯示資訊。包裝服務軟體 (wrapper)，過濾攔截協定輸出入中含有特定檢測字串資料（如常用安全弱點掃瞄系統、比對對於某種 CVE[3] 的檢測方式），令檢測程式誤判。

2. 置換現有服務軟體，維持其原有協定運作正常

最有名的後門是 Ken Thompson 在其早期發展的 Unix login 程式中隱藏「暗門」，當輸入特定名稱時，可取得超權限授權。因此更改 login 程式是放後門最快的途徑，將使所有互動式遠端連線程式如 telnet/rlogin 等維持原有運作正常，但在特定輸入時將開啟非正當授權的權限。

3. 非既有服務，另安裝操控服務

這是目前最流行的後門操控方式，猶如遠端操控個人電腦，但也最容易被偵測出來。一般病毒偵測程式都能找出這類的後門。

三、建立隱密操控通道

要建立隱密操控通道，可分別建立（1）操控指令通道(Command Tunnel, C Tunnel)，（2）回應訊息通道(Response Tunnel, R Tunnel)。二者可相依或獨立。這兩種通道又分別可由操控者主動(Active Controller)/被動(Passive Controller)，與受控者主動(Active Responder)/被動(Passive Responder)。以 (C Tunnel, R Tunnel) 表示，Type I: (Active Controller, Active Responder), Type II:(Passive Controller, Active Responder), Type III:(Active Controller, Passive Responder), Type IV:(Passive Controller, Passive Responder)。

1. Type I Tunnel

這是一般建立被動連線 (Passive Tunnel, forward shell)的方式。在受控方（被寄宿端）執行後門指令接收服務程式（於特定服務位址），這是最廣泛存在的操縱方式，形成暗藏的伺服系統。這是一般互動式的終端服務程式如 telnetd/rlogind 等形式的後門。網路防火牆即可阻擋這類的操控通道。（防外往內流量）

2. Type II Tunnel

這是受控者主動傳遞資料 (Active Tunnel, reverse shell)的操控方式，一般都是以 http/ftp 等合法對外協定，建立 tunnel (如所有對外連線都經由 http)，形同建立以 http 封包攜帶層，構建虛擬專屬網路。

n Reverse Shell

n Valid Protocol Tunnel for VPN

n 防火牆必須防護內往外流量。

3. Type III Tunnel

操控者對內部網路送指令封包，並以間接方法接收回應訊息。

4. Type IV Tunnel

操控者將指令置於外部公眾網路，例如經掌控之入口網站的網頁。受操控者再將回應置於外部提供上載檔案 ftp 伺服器。

5. 特殊的 Command Tunnel 與 Response Tunnel

Command Tunnel

1. 內送 E-mail 內涵暗藏指令 (with Terminal Invisible Text string)

2. 內送特殊協定暗藏指令，例如 ICMP unused option (echo request, echo reply, port unreachable, host unreachable 等)

3. 外部入口網站 Web Page 暗藏指令

4. 內部網路流量暗藏指令

Response Tunne

1. 影像暗藏回應資料 (Information Hiding)

2. 外送 E-mail 內涵暗藏指令

上述指令或回應通道都可經加密處理。

四、防禦策略

n 一般性保護（general protection）

1. vulnerable host 禁止外對內/內對外連線。與安全檢測程式配合 (Vulnerability Scanner/Auditor)，若一檢測有安全缺陷，馬上與 firewall policy service 連線，拒絕所有內外連線。

2. 後門程式偵測 (backdoor detection)

Active Detection

n 用以偵測 passive tunnel 的存在

Passive Detection

n 用以偵測 active tunnel (reverse shell) 的存在。

n 偵測 well known protocol port number，記錄非合法協定封包、來源及目的位址。

n 偵測非 Interactive protocol port number，記錄非 Interactive 行為封包。[16,17]

n 用戶端保護措施（Client Protection）

1. Sendmail SMTP authentication

此措施可預防類似 Melissa 、Love-letter、Navidad 等信件連鎖風暴的後門攻擊。但必須警告使用者不要記憶認證密碼。

2. Delay sent of Outgoing E-mail

3. Security Policy Enforcement

n 外對內：拒絕所有連線 (Not established)

n 內對外：只開放允許使用服務的 port 位址，並以 application proxy 方式，檢查連線封包，拒絕非正確協定封包的傳遞。但為了拒絕以特定協定作為虛擬專線底層協定的 tunnel 連線，必須以異常分析機制監控。這方面的監控方法尚待解決。因為 tunnel 封包以合法的協定對外，溝通的封包量與頻率也能控制在合理範圍（只是降低操控者的回應速率），因此不易偵測。

n 伺服端保護措施 （Server Protection）

1. all open files are monitored

2. 建立伺服器檔案稽核檢查記錄 (如 tripwire)

3. Security Policy Enforcement:

n 外對內：只開放伺服器服務 port 位址（如 E-mail smtp tcp port 25），且以 application proxy 方式接受連線，拒絕非正確協定封包（如 udp port 53 只允許 DNS packet，丟棄並記錄其他所有非 DNS 、不合法封包，採取這樣的措施將可避免主動訊息後門經由 port 53 傳遞反向 shell 封包。）

n 內對外：拒絕所有連線 (Not established)。