2014.09.24
The Attack and Defense of Computers 140924
Dr. Fu-Hau Hsu (許富皓)

Malware: Logic Bombs, Key Logger, Dialer, URL Injection, Trojan Horses, and Spyware.



#Malware(惡意程式)
       
-Security Tools and toolkits
.雙面刃:Attacker / security professionals
.Neessus(設備漏洞報告)、COPS、ISS、Tiger…
*VMware 亦有安全疑慮
       
-Logic Bombs:一段Code,通常不獨立存在,插入合法程式中,通常為開發者或內部人員所寫,特殊時機執行,觸發惡意程式的機制。
        .Worms and viruses usually contain logic bombs.
                .Trojans that activate on certain dates are often called "time bombs".
-Key logger(Keystroke cops):鍵盤側錄器(program or hardware)隱藏機制,位於較底層而難以發覺。
                .EX. Ardamax Keylogger
*惡意程式嘗試service / device的濫用,例如KL原本目的是監督員工工工作狀況。
.Advance:螢幕錄影、(手機按鍵音)聲音分析。
.Tips:避免於公用電腦輸入私密資料、螢幕小鍵盤、輸入時搭配雜訊後複製貼上、以不同的順序搭配滑鼠輸入密碼。
-URL Injection(One kind of browser hijecking):使用Browser時將使用者導入與輸入之URL不同的網頁(常用於商業競爭)
 
#Browser Hijecker(Hijeckerware):惡意程式的一種,改變瀏覽器設定。
-EX. 導向其他網站=>獲利。
-系統症狀 EX. 首頁改變、預設搜尋引擎改變(小型搜尋引擎為增加市占率可能採取的手段)、非該頁面提供的 ads or ads pop、增加了新的 toolbar或新書籤、瀏覽器變慢(running sluggishly)…等等。
 
越簡單越不容易有漏洞。
EX. .txt
功能越強大越多漏洞。
EX.智慧型手機。
=>風險分散管理。
 
       
-Redirection
                .Host file =>紀錄 host name IP address.
                .DNS(Domain Name service)=> discrete data base
運作方式:給DNS add. 查 IP add.
                .Linux指令: dig(DNS lookup utility)/Window
Step: dig yahoo.com => 得yahoo IP => 將C:\WINDOWS\SYSTEM32\drivers\etc\hosts的google IP改成前者 鍵入URL 為google時會連至yahoo
        *nslookup(WINDOW)
        .EX.釣魚網站
 
 
正解:給DNS得IP
反解:給IP得DNS(通常不提供)
Broswer Hijecker 難以徹底刪除。
 
 
#Add-on:安裝於Browser上的anything皆稱之。算Browser的一部份,容易被攻擊(第三方開發不嚴謹)
-EX. extensions(使用Browser支援的語法,增加或改變內部Code)
Themes(改外觀)
plug-in(外加,Binary,需編譯程執行檔,提供額外功能)
dictionaries
          language packs
search engines.
 
 
FireFox:前身為NetScape,為最早普及的瀏覽器,後雖各Browser的名詞不同,但由於Mozilla為瀏覽器先驅,因此名詞大多著重於FireFox的分類。
 
 
#Binder:將程式夾帶進來───投射的工具
-Def:Combines two or more files into a single file. Usually for the purpose of hiding one of them.
-A host file 中夾入其他檔案(Embedded programs),host file執行時全部embedded也會執行。
-原目的為可用於環境設定等(省時)
-EX. YAB(Yet Another Binder)<= Embedded File
 
#Dropper:將某些種類的惡意程式安裝至目標系統。
        -single stage:惡意程式以DATA形式躲在dropper中以避免virus scanner.
-Two stage:Dropper 類似在目標系統上開一個洞,一旦啟動則會載入惡意程式(maintain)
-Type of droppers
        不需要參數=>打系統漏洞
        需要參數=>類似木馬
 
#Trojan Horse(木馬):將惡意程式投射在電腦中的技術,嵌入/偽造成合法程式,無法獨立存在。無法自動運行,與worms相反。
- The strategies are often collectively termed social engineering instead of systems.
-Spying function(Like packet sniffer=>側錄封包)
-backdoor function => zombie computer
EX. Sony/BMG rootkit Troja
-Email Trojan Horse、Filename extension such as .exe
-偽造ICON
        -unicode 控制字元202E副檔名欺騙
                Tips:右鍵內容=>類型
-Website:IE is is most often targeted by makers of Trojans and other pests.
EX. machine code.
 

comment 0 trackback 0
引用 URL
http://icebreak310.blog.fc2blog.us/tb.php/193-eec184e6
引用:
留言:
只对管理员显示