防止攻擊跳板主機的安全管理策略

黃世昆

中央研究院資訊科學研究所助研究員

摘要

攻擊跳板主機的問題對目前網路結構已構成嚴重安全威脅，潛伏的危機將超過一般電腦病毒。據警政署刑事局的統計估計，國內約有十分之一網路主機被殖入木馬程式（即攻擊跳板所利用的後門宿主）。最近網站入侵事件頻傳，多數與被操縱的主機有關，如 Yahoo、eBay 等商用網站遭受分散式阻斷攻擊（大量主機被安放阻斷攻擊程式），Love-You-Letter 與最近的 Navidad 事件等則是個人電腦被用來間接散佈攻擊程式。本文探討各種跳板攻擊方法，防止策略、並探討追查技術的未來發展、相關法律責任歸屬等。

關鍵字: 跳板攻擊、後門操控、隱密通道、誘陷執行環境、行為指紋。

一、攻擊跳板與網路安全威脅

最近微軟公司程式碼遭竊，多處商務網站面臨分散阻斷攻擊，美國各大學紛遭大規模全面入侵。這些都反應資訊安全威脅已嚴重影響大眾的日常交易往來。根據 TW-CERT 88 年的國內Web server 年度安全調查[4]，有 53 % 的主機可被取得 Web Admin 的權限。我們近日的自我安全檢測機制的記錄有顯示有高達 59% 機器有程度不等的安全缺陷。因此刑事局的「木馬」主機估計比率(1/10)並不算高估，因為只要有心的入侵者都可能在53% 的主機中殖入「後門」。

但一般人對於安全警覺都侷限於「可視」或「可察覺」的安全威脅，例如網頁遭致竄改，或資料被毀損。去年八月政府網站被大舉塗換網頁，各界紛表關切，公聽、座談會不斷舉行，但事僅於此。今年十月國慶網路謠傳將有類似事件重演，事後僅有零星網站有網頁被改跡象，因此大家慶幸不已，更深信此為「謠傳」。但情況真得如此樂觀嗎？根據我們深入調查，在單一機關內有存在各種不同形式後門的主機，比例達 50%。這樣的比例剛好反應 TW-CERT 年度安全調查數據的可信度：亦即這些可能被取得 admin shell 的主機，都有某種形式的後門程式隱藏其中。

1. 未來攻擊趨勢

未來網路安全威脅都將與後門建立息息相關，包括：

n 攻擊後暗藏隱密操控後門

這是網路攻擊精緻化的必然發展。亦即複雜的攻擊過程將分階段，或稱為攻擊狀態快取 (Attack Process Cache)，在入侵目的達成之前，用來維繫前次攻擊途徑的暢通。

n 後門與病毒感染媒介整合

後門程式將與病毒感染方式互相整合。傳統病毒是同步非操控模式，亦即只能依賴事件同步（如13日星期五），以引發惡意指令。但後門程式的特性是非同步操控模式，隨時可能觸發惡意指令。

n 分散式、大規模間接攻擊

最典型的實例是分散式阻斷攻擊(Distributed Denial of Service)，利用大量分散於各地網路的用戶主機，同時啟動攻擊。後門程式的運用是分散式攻擊重要的一環。

2. 建立後門之目的

n 竊取資源利用，例如網路頻寬（設置 http proxy server）

散佈各地電腦的後門，為數甚多是用來竊取資源，包括 Web access 與 E-mail Relay，以取得寶貴的網路資源。舉中研院為例，對外頻寬充足，是有企圖用戶侵入的最大誘因。各大 ISP 同樣面臨類似威脅。事實上，這樣的犯罪形態如同盜打電話，可藉以節省網路使用費用。

n 非同步攻擊狀態快取

維護狀態快取(cache)將可快速取得上次攻擊狀態，可應付複雜的入侵計畫，例如攻擊可依據目標權限差異，先取得低權限用戶電腦存取權，再漸進掌控高權限用戶，進而入侵重要伺服器。順序上，為低權限資訊用戶─> 高權限資訊用戶 ─> 普通伺服器帳號 ─> 管理者權限帳號。每一階段的攻擊狀態快取可維繫入侵管道的暢通。

n 設立攻擊跳板

間接攻擊可避免被追查，同時操控大量攻擊跳板，以不同來源位址達到欺騙流量管理系統目的，進而形成分散阻斷攻擊。

3. 後門程式侵入方式

一般攻擊後殖入

後門殖入的最佳宿主是對於「安全」不經心的使用者。第一類是管理不善的伺服器。第二類是資訊衛生習慣不良的用戶端電腦。未來面臨的最大後門威脅將來自用戶系統。對於用戶系統最大威脅包括：

n E-mail: 病毒、惡意執行檔夾帶並不可怕。現在最具威脅的是使 E-mail 接收軟體產生記憶體溢寫攻擊的惡意控制檔頭(header)，這類攻擊的特性是只要用戶接收 E-mail，不必開啟就會感染。這是可以突穿任何嚴密防火牆的攻擊。

n Web Content: malicious Script/Applet 。

n Document Contents: 理論上所有格式的檔案都潛藏危機，可使應用程式產生缺陷，進而執行非法指令。這種攻擊可以突破實體網路隔絕。

人因缺陷(social engineering)

n 實際為 Script 或可執行檔案，但隱藏為 .txt .jpg .gif 檔名。

n 以熟識朋友身份，E-mail 夾帶惡意可執行內涵。

4. 偵測後門程式的困難性

一旦遭受攻擊，為確保系統不被置入後門程式，若事先沒有記錄各檔案的稽核碼 (checksum)，所有可執行檔、系統設定都要重新安裝，因後門程式理論上可化身為現存的應用程式，甚至深入系統核心，可模擬原作業方式，使系統運作如常，很難發覺其存在。一般偵測軟體僅能偵測「被動連線」方式的後門，偵測率與誤失率都很難合乎需求，因被動連線的 port 位址可任意更動，連線協定更隨著運用者不同，可輕易更改。未來後門程式的變異程度與發展速度將遠高於一般單純電腦病毒。

5. 發現後門的事例

我們已簡單說明攻擊趨勢與後門建立的關係、目的、與殖入方式。此論文的動機源自最近在設定 firewall 時，因追查異常流量源才驚覺後門程式氾濫的嚴重性。在 firewall 裡面有一台很單純的伺服器，只提供信件轉送與域名查詢及委任，因此除內對外 udp port 53 ，外對內 udp port 53、 tcp port 25 開放，其他 port 不該有流量。但就在新的安全政策施行的瞬間，大量封包被拒絕傳送。我們因此懷疑後門程式已侵入。使用 lsof (list opened file) 比對各程序與所需服務位址，才找出隱身為正常的伺服應用系統。這是一支被動連線型的遠端操控 root shell。

二、後門安裝型態與跳板方式

1. 保留現有或安裝有安全缺陷服務軟體、設定(Vulnerable Service、Configuration)

最佳的後門是保留有安全缺陷的服務軟體，但讓使用者誤以為所用的是最新沒有缺陷的版本。因此理論上有安全缺陷的服務軟體，若可據以取得系統存取權限，都可視為「後門」。

n 欺騙補強程式：入侵者致力於修改安裝設定檔，更新補強版本資訊顯示訊息，但具缺陷軟體維持不變。

n 欺騙安全檢測程式：編輯執行檔，更改版本顯示資訊。包裝服務軟體 (wrapper)，過濾攔截協定輸出入中含有特定檢測字串資料（如常用安全弱點掃瞄系統、比對對於某種 CVE[3] 的檢測方式），令檢測程式誤判。

2. 置換現有服務軟體，維持其原有協定運作正常

最有名的後門是 Ken Thompson 在其早期發展的 Unix login 程式中隱藏「暗門」，當輸入特定名稱時，可取得超權限授權。因此更改 login 程式是放後門最快的途徑，將使所有互動式遠端連線程式如 telnet/rlogin 等維持原有運作正常，但在特定輸入時將開啟非正當授權的權限。

3. 非既有服務，另安裝操控服務

這是目前最流行的後門操控方式，猶如遠端操控個人電腦，但也最容易被偵測出來。一般病毒偵測程式都能找出這類的後門。

三、建立隱密操控通道

要建立隱密操控通道，可分別建立（1）操控指令通道(Command Tunnel, C Tunnel)，（2）回應訊息通道(Response Tunnel, R Tunnel)。二者可相依或獨立。這兩種通道又分別可由操控者主動(Active Controller)/被動(Passive Controller)，與受控者主動(Active Responder)/被動(Passive Responder)。以 (C Tunnel, R Tunnel) 表示，Type I: (Active Controller, Active Responder), Type II:(Passive Controller, Active Responder), Type III:(Active Controller, Passive Responder), Type IV:(Passive Controller, Passive Responder)。

1. Type I Tunnel

這是一般建立被動連線 (Passive Tunnel, forward shell)的方式。在受控方（被寄宿端）執行後門指令接收服務程式（於特定服務位址），這是最廣泛存在的操縱方式，形成暗藏的伺服系統。這是一般互動式的終端服務程式如 telnetd/rlogind 等形式的後門。網路防火牆即可阻擋這類的操控通道。（防外往內流量）

2. Type II Tunnel

這是受控者主動傳遞資料 (Active Tunnel, reverse shell)的操控方式，一般都是以 http/ftp 等合法對外協定，建立 tunnel (如所有對外連線都經由 http)，形同建立以 http 封包攜帶層，構建虛擬專屬網路。

n Reverse Shell

n Valid Protocol Tunnel for VPN

n 防火牆必須防護內往外流量。

3. Type III Tunnel

操控者對內部網路送指令封包，並以間接方法接收回應訊息。

4. Type IV Tunnel

操控者將指令置於外部公眾網路，例如經掌控之入口網站的網頁。受操控者再將回應置於外部提供上載檔案 ftp 伺服器。

5. 特殊的 Command Tunnel 與 Response Tunnel

Command Tunnel

1. 內送 E-mail 內涵暗藏指令 (with Terminal Invisible Text string)

2. 內送特殊協定暗藏指令，例如 ICMP unused option (echo request, echo reply, port unreachable, host unreachable 等)

3. 外部入口網站 Web Page 暗藏指令

4. 內部網路流量暗藏指令

Response Tunne

1. 影像暗藏回應資料 (Information Hiding)

2. 外送 E-mail 內涵暗藏指令

上述指令或回應通道都可經加密處理。

四、防禦策略

n 一般性保護（general protection）

1. vulnerable host 禁止外對內/內對外連線。與安全檢測程式配合 (Vulnerability Scanner/Auditor)，若一檢測有安全缺陷，馬上與 firewall policy service 連線，拒絕所有內外連線。

2. 後門程式偵測 (backdoor detection)

Active Detection

n 用以偵測 passive tunnel 的存在

Passive Detection

n 用以偵測 active tunnel (reverse shell) 的存在。

n 偵測 well known protocol port number，記錄非合法協定封包、來源及目的位址。

n 偵測非 Interactive protocol port number，記錄非 Interactive 行為封包。[16,17]

n 用戶端保護措施（Client Protection）

1. Sendmail SMTP authentication

此措施可預防類似 Melissa 、Love-letter、Navidad 等信件連鎖風暴的後門攻擊。但必須警告使用者不要記憶認證密碼。

2. Delay sent of Outgoing E-mail

3. Security Policy Enforcement

n 外對內：拒絕所有連線 (Not established)

n 內對外：只開放允許使用服務的 port 位址，並以 application proxy 方式，檢查連線封包，拒絕非正確協定封包的傳遞。但為了拒絕以特定協定作為虛擬專線底層協定的 tunnel 連線，必須以異常分析機制監控。這方面的監控方法尚待解決。因為 tunnel 封包以合法的協定對外，溝通的封包量與頻率也能控制在合理範圍（只是降低操控者的回應速率），因此不易偵測。

n 伺服端保護措施 （Server Protection）

1. all open files are monitored

2. 建立伺服器檔案稽核檢查記錄 (如 tripwire)

3. Security Policy Enforcement:

n 外對內：只開放伺服器服務 port 位址（如 E-mail smtp tcp port 25），且以 application proxy 方式接受連線，拒絕非正確協定封包（如 udp port 53 只允許 DNS packet，丟棄並記錄其他所有非 DNS 、不合法封包，採取這樣的措施將可避免主動訊息後門經由 port 53 傳遞反向 shell 封包。）

n 內對外：拒絕所有連線 (Not established)。

五、追查技術的發展

1. 誘陷裝置系統

誘陷的目的是追查入侵來源。目前網路犯罪破案率相當低，誘陷與追蹤的相關性與重要性明顯可見，一般建議的方法是建立各重要網路出口監視系統，並配合網管系統，建立即時 caller ID 追蹤。

這方面的成果主要是 NAI[5]的 CyberCop Sting Server，具有模仿 Windows NT、Solaris、以及 Cisco Router等作業環境。[7,10]是如何建置 Honey Pots 環境，[6] 則是更動 Inetd 或所有會洩漏系統資訊的地方，顯示令入侵者混淆的資訊，例如原是 Linux ，則換裝為 FreeBSD 或 Solaris。[8] 是偽裝成中Back-Orifice 病毒的主機，引誘在網路專門掃瞄 BO 的受害者上門。[9] 介紹在 FreeBSD 如何建立如 Jail 的環境。

2. 流量分析

Thumbprint [11-13]的觀念在未來入侵線索的建立上將有極大助益。所謂 Thumbprint 是分析入侵者各種獨特可區分之特點，例如其打字速率、連線狀況、系統特有狀況，雖經網路大量 traffic 等 noise 影響，仍可經過濾後找出可供識別的特徵。這些特徵稱為 Thumbprint。類似的研究有別於一般網路證據蒐集的方法[14]，必須監視及記錄入侵者通過的所有路徑，反而回到傳統現實環境的方法，盡可能只依賴犯罪現場所遺留的證據。

[16,17] 更以流量分析的方法建立 passive filter，分析非互動 port 連線卻呈現互動連線流量，藉此偵測後門程式的存在。

3. 稽核記錄

一般遭受後門「污染」之系統，就不能確信任何稽核記錄檔。Bruce Schnier 最近則致力於Forensics的主題[15]，研究如何保護不安全、或不能完全信賴主機上的系統記錄資料。

六、法律責任歸屬

1. 善意第三者的法律責任

被經由攻擊跳板主機入侵的受害者，可能控告被當作跳板的主機擁有者？若真可行，事實上是在懲罰不經心的網路主機管理者，因為自己不小心的後果，造成其他人受害。在國外甚至已開始考慮這方面立法的可行性[1]。這反應出未來網路安全已經不再是單純保護自己網路不受侵犯的消極性防護，更要以保護他人系統不致遭受到源自本身網路的攻擊（亦即為了保護別人而更盡力保護自己）。但在責任釐清上可能會相當複雜。根據上述分析，後門指令、回應管道的建立可分為四種類型，直接、間接參與攻擊跳板的系統涵蓋層面廣泛，包括善意的上載伺服器、Napster 等形式的 peering service、Free Homepage provider，這些型態的公眾服務都可能成為被動操控命令的傳遞跳板。

2. 分散式攻擊參與主機的法律責任探討

基本上這仍屬於第一類的不經心管理者（或用戶端電腦）。主要責任當然在於策動攻擊者，但被操控而主動參與攻擊者，若不加諸任何刑罰，將使未來分散式跳板攻擊日益盛行。全世界網際網路電腦總數若以千萬計，應該有為數百萬以上的電腦已被暗藏操控後門。每一次攻擊參與者若以萬計，不但受害者難以承受，真正指使者更難以追查。這類被操控而參與攻擊者應該擔負民事賠償責任，特別應該規範公務部門及學術機關學校。不過此類賠償不宜直接補償受害者，而是強制需支付於加強該單位安全管理相關經費，不得挪移他用。

七、結論

1. 模擬狀況

以下模擬建立一個長時效的回應後門管道。後門管道建置的參與者包括：內部製作網頁電腦(AC)（將潛藏訊息回應程式）、Free homepage provider (FHP)。利用E-mail overflow attack 在 AC 上殖入後門。後門回應訊息將隱藏嵌於 AC 所製作網頁與圖檔（利用影像隱藏技術）。外部命令以不同形式分別（1）置於 FHP 網頁。(2) 置於內送 E-mail 內涵。(3) 隱藏於網路流量。此形式的後門可建立於任何只「接收」 E-mail 而提供 Web Content 的封閉網路。事實上 AC 可能是內部網路的任何一部電腦，或許是喜好製作個人網頁的單位主管。一旦後門指令、回應通道建立，操控者將能隨心所欲對內部網路進行開放空間的攻擊行動。

2. 對於未來網路安全的衝擊

若 1/10 的電腦都潛藏有後門程式，不只不利於未來電子商務環境的推展，各可能危急國家整體資訊安全。最可怕的後門程式是潛伏蔓延，自動尋求最合適的指令與回應通道。

八、參考文獻

1. Eric J. Sinrod, Combating Internet crimes and threats, November 07, 2000, http://www.upside.com/texis/mvm/upside_counsel?id=3a06fede1

2. Robert Stone, ”CenterTrack: An IP Overlay Network for Tracking DoS Floods,” 9^th Usenix Security Symposium

3. David E. Mann and Steven M. Christey, “Towards a Common Enumeration of Vulnerabilities, “ 2^nd Workshop on Research with Security Vulnerability Databases, Purdue University, January 21-22, 1999

4. 台灣網路安全性評估， http://www.cert.org.tw

5. CyberCop Sting http://www.nai.com/international/uk/asp_set/products/tns/ccsting_intro.asp

6. Deception Toolkit, DTK. http://www.all.net/dtk/

7. “Do You Need a Honeypot?”. Internet Security Advisor, Nov & Dec. 1999 http://www.advisor.com

8. FakeBO, http://yi.com/home/KosturjakVlatko/fakebo.htm

9. Jail(8) in FreeBSD’s System Manager's Manual http://www.FreeBSD.org

10. To Build a Honeypot, Lance Spitzner. http://www.enteract.com/~lspitz/honeypot.html

11. Terrance Goan, "A Cop on the Beat: Collecting and Appraising Intrusion Evidence," Communications of the ACM, Vol. 42, No. 7, 1999, pp. 46-52.

12. Staniford-Chen, S. and Heberlein, L.T. "Holding intruders accountable on the Internet," In Proceedings of the 1995 IEEE Symposium on Security and Privacy (Oakland, CA, 1995), 34-49.

13. L.T. Heberlein, K. Levitt and B. Mukherjee. "Internetwork Security Monitor: An Intrusion-Detection System for Large-Scale Networks," in Proc. 15^th National Computer Security Conference pages 262-271, Oct. 1992.

14. H. T. Jung et al. "Caller identification System in the Internet Environment," In Proc. 4^th Usenix Security Symposium, 1993.

15. Bruce Schneier and John Kelsey, “Secure Audit Logs to Support Computer Forensics,” ACM Trans. on Information and System Security, Vol. 2, No. 2, May 1999, Pages 159-176.

16. Yin Zhang, and Vern Paxson, “Detecting Backdoors,” 9^th Usenix Security Symposium

17. Yin Zhang, and Vern Paxson, “Detecting Stepping Stones,”. 9^th Usenix Security Symposium