2012年4月11日 星期三

網頁置換手法案例介紹

網頁置換手法案例介紹

◎張嘉哲(作者現任財團法人資訊工業策進會與行政院國家資通安全會報技術服務中心副工程師)
本文同步刊載於法務部調查局「清流月刊中華民國九十九年九月號」(資料來源)

壹、緒論
每當談論網路安全時,網路攻擊的議題常會一併進行討論;在多樣化的網路攻擊當中,網頁置換至今仍是深受駭客喜愛的攻擊手段之一,其中的原因除了攻擊成效較為顯著外,攻擊者本身其實不一定需要有高超的技術或能力,只要掌握其中幾個較常見的安全性弱點並加以利用,即可能達到網頁置換之目的。

在網站伺服器設定完整的前提下,當攻擊者執行網頁置換攻擊時,網站伺服器日誌檔均會記錄攻擊者存取網頁的過程,因此本文介紹常見的IIS 6.0網站伺服器(Internet Information Services,網際網路資訊服務)日誌檔,藉由分析網站日誌檔讓人員了解較常見的網頁置換攻擊手法,進而加強網站安全防護能量。◎張嘉哲

貳、IIS網站日誌檔介紹
子曰:「工欲善其事,必先利其器。」基於資訊安全考量,人員於建置網站伺服器時,應啟用網站伺服器日誌檔功能,設定方式詳見圖1。開啟該功能後,應定期保留或備份網站伺服器日誌,以利往後發生網頁置換攻擊事件時,能透過網站日誌的分析,清楚網頁置換攻擊所使用的手法。

由圖1可發現IIS網站伺服器提供四種日誌檔記錄格式,預設為W3C擴充記錄檔案格式,其中格式說明與日誌檔預設儲存位置詳見表1,網站日誌檔相關欄位說明詳見表2。

圖1、開啟網站伺服器日誌檔功能
圖1、開啟網站伺服器日誌檔功能

表1、IIS網站伺服器日誌檔相關資訊


日誌檔說明
 1
記錄格式
Microsoft IIS記錄檔案格式
格式說明
微軟IIS固定格式,以本地時間記錄
預設儲存位置
C:\WINDOWS\system32\LogFiles\W3SVC1\inyymmdd.log
 2
記錄格式
NCSA通用記錄檔案格式
格式說明
國家超級計算中心通用格式,以本地時間記錄
預設儲存位置
C:\WINDOWS\system32\LogFiles\W3SVC1\ncyymmdd.log
 3
記錄格式
ODBC記錄
格式說明
ODBC相容資料庫固定的資料欄位,以本地時間記錄
預設儲存位置
C:\WINDOWS\system32\Inetsrv\Logtemp.sql
 4
記錄格式
W3C擴充記錄檔案格式(預設)
格式說明
以格林威治時間記錄,臺灣時間需加8小時(GMT+8)
預設儲存位置
C:\WINDOWS\system32\LogFiles\W3SVC1\exyymmdd.log


表2、IIS網站伺服器日誌檔欄位說明

欄位
欄位說明
欄位
欄位說明
date
請求發出日期
sc-status
伺服器通訊協定狀態
time
請求發出時間
sc-substatus
伺服器通訊協定子狀態
c-ip
用戶端IP位址
sc-win32-status
伺服器Win32狀態
cs-username
用戶端名稱
sc-bytes
伺服器已傳送資料位元組
s-sitename
伺服器服務名稱
cs-bytes
用戶端已接收資料位元組
s-computername
伺服器電腦名稱
time-take
傳送資料花費時間
s-ip
伺服器IP位址
cs-version
用戶端通訊協定版本
s-port
伺服器連接埠
cs-host
用戶端主機名稱
cs-method
用戶端方法
cs(UserAgent)
用戶端使用的瀏覽器類型
cs-uri-stem
用戶端存取網址
cs(Cookie)
送出或接收的Cookie資訊
cs-uri-query
用戶端查詢網址參數
cs(Referer)
用戶端上一個造訪網站


參、網頁置換手法案例介紹
當發生網頁置換攻擊時,若網站伺服器日誌檔功能有開啟,即會將置換受駭網頁的過程加以記錄。而網頁置換攻擊的手法種類眾多,本章節從分析網站日誌檔來介紹2種較常見的網頁置換手法案例,並說明如何避免受到此2種手法的攻擊。

【案例1】 A機關網站遭受網頁置換攻擊,攻擊者於網站伺服器新增一個「tmp」資料夾。

一、網站日誌檔分析與攻擊手法研判

分析A機關網站日誌檔後,發現攻擊者使用「HTTP MKCOL」的方法,於網站伺服器建立「tmp」資料夾(伺服器通訊協定狀態201表示指令執行成功)。此外,有數個攻擊來源透過「HTTP PUT」的方法,成功上傳多筆惡意網頁至網站伺服器。

二、案例分析

由網站日誌檔顯示,A機關網站伺服器由於設定錯誤,啟用不安全的 HTTP功能,包含PUT(上傳)與MKCOL(建立資料夾),攻擊者可透過PUT功能達到置換網頁之目的,故在多數網站伺服器預設組態下,這些不安全的功能應予以關閉。上述提到的HTTP功能是由WebDAV(Web-Based Distributed Authoring and Versioning)所控管,WebDAV主要用途為允許應用程式於網站伺服器上建立、讀取及寫入檔案,若系統無需使用WebDAV功能,建議應予以關閉,詳見圖2。

圖2、設定禁止WebDAV
圖2、設定禁止WebDAV

【案例2】 B機關網站遭受網頁置換攻擊,攻擊者修改網站伺服器首頁畫面。

一、網站日誌檔分析與攻擊手法研判

分析B機關網站日誌檔後,發現攻擊者利用FrontPage Server Extension(FPSE)的弱點進行攻擊,FPSE為微軟所提供的遠端網站管理程式,管理者可以在有安裝FrontPage的遠端機器上,直接修改IIS網站伺服器上之網頁。在使用FPSE功能時,FrontPage會存取「/_vti_bin/_vti_aut/author.dll」檔案,表示攻擊者已透過FPSE功能進行網頁置換。

二、案例分析

由網站日誌檔顯示B機關網站伺服器同樣也是設定錯誤,啟用了FPSE功能;攻擊者可透過此功能達到置換網頁的效果。若系統無需FPSE服務,建議應停止此項服務,詳見圖3;反之,若系統必須使用FPSE服務,則需針對網頁所在目錄(例如:C:\inetpub\wwwroot\)與FPSE所在目錄(C:\Program Files\Common Files\Microsoft Shared\WebServerExtensions\40\isapi)設定存取權限,建議將Everyone權限設定為僅允許「讀取與執行」、「清單資料夾內容」與「讀取」,詳見圖4與圖5。

圖3、取消FrontPage 2002 Server Extensions設定
圖3、取消FrontPage 2002 Server Extensions設定

圖4、設定wwwroot目錄權限
圖4、設定wwwroot目錄權限

圖5、設定isapi目錄權限
圖5、設定isapi目錄權限

肆、結語
俗話說:「事出必有因」,每個網頁置換攻擊的產生,必定是受駭網站伺服器可能因安全設定不良、軟體或系統漏洞、程式開發漏洞等因素,讓攻擊者有機可乘進行攻擊,導致網站頁面遭受置換。換言之,當攻擊者能透過各種安全防護漏洞進行網頁置換攻擊時,即表示同樣也可以上傳或植入諸如後門型態的惡意程式,以便未來可以快速進行遠端指令操作,進而取得主機的控制權。因此,人員在執行網頁復原作業時,若僅僅只復原受駭頁面或移除惡意網頁,而未深入分析網站日誌檔以了解攻擊者進行網頁置換所使用的手法,未來相同劇本的資安事件必定會不斷上演。若不幸遭到網頁置換攻擊,建議資安人員除執行網頁復原外,應逐一清查網站主機資料夾內容,確認無其他惡意程式殘留主機內,並深入分析網站日誌檔,確認攻擊者執行網頁置換攻擊的手法,進而修補系統、軟體或網頁程式相關安全性弱點,俾增強網站安全防護能量。

轉載自《Chang Max的部落格

沒有留言:

張貼留言