 |
| ThaiCERT:
Thai Computer Emergency Response Team ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย |
|
|
||||||||
|
|
|||||||
ชื่อเรื่อง : Windows NT Intruder Detection Checklist
เรียบเรียงโดย : ร.อ. วิวัต เรืองมี
เผยแพร่เมื่อ : 17 ธันวาคม 2544
เอกสารนี้เป็นคำแนะนำที่ใช้ในการตรวจสอบว่าระบบของท่านถูกบุกรุกหรือไม่ ผู้ดูแลระบบอาจใช้ข้อมูลนี้ในการตรวจหาบุกรุกลักษณะต่าง ๆ
A. ค้นหาสิ่งที่จะบอกว่าระบบของท่านถูก compromised หรือไม่
1.ตรวจสอบ log files เพื่อดูว่ามีการเชื่อมต่อจาก host ที่ไม่ปกติ หรือเชื่อมต่อเพื่อการกระทำธุรกรรมที่ไม่ปกติ ท่านสามารถใช้ Event Viewer ในการตรวจหาข้อมูลการ logon ที่ผิดปกติ, การล้มเหลวของ services หรือ การ restart ระบบที่ไม่ปกติ ถ้า firewall,web server หรือ router เขียน logs ได้ทำการเขียน logs ไปยังที่อื่น นอกเหนือจากบนระบบที่ถูก compromised ท่านก็ควรทำการตรวจสอบ log files นั้น ๆ ด้วย ท่านควรจำไว้ว่า log files นี้ไม่ใช่สิ่งที่ท่านจะเชื่อถือได้ทั้งหมด ถ้าท่านไม่ได้เขียน log files บน append-only media เนื่องจากผู้บุกรุกจะทำการแก้ไข log files เพื่อที่จะลบล้างธุรกรรมของพวกเขา
2.ตรวจสอบ account และ group ของผู้ใช้ที่ผิดปกติ ท่านสามารถใช้ User Manager หรือคำสั่ง`net group` และ `net local group` ท่านควรตรวจสอบให้แน่ใจว่า GUEST account ได้ถูก disabled ถ้าระบบของท่านไม่จำเป็นต้องใช้ guest access
3.ตรวจสอบทุก ๆ กลุ่มของผู้ใช้ว่ามี invalid user อยู่หรือไม่ เนื่องจากบางกลุ่มของ NT จะให้สิทธิพิเศษแก่สมาชิกในกลุ่ม สมาชิกของ administrator group สามารถที่จะทำธุรกรรมใด ๆ ก็ได้บน local system หรือ backup operator สามารถอ่านไฟล์ใดๆ ก็ได้บนระบบ
4.ตรวจสอบว่ามีสิทธิ์บ้างของ user ที่ invalid ซึ่งสามารถตรวจสอบได้โดยการใช้ user manager tool โดยปกติจะมีแบบของสิทธิทั้งหมด 27 แบบ ที่จะสามารถกำหนดให้กับผู้ใช้หรือกลุ่มของผู้ใช้
5.ตรวจสอบว่ามี unauthorized applications ใดบ้างที่ทำงานอยู่ ผู้บุกรุกสามารถทำการรัน back door program ได้หลายวิธีด้วยกัน เพราะฉะนั้นท่านต้องมั่นใจว่าท่านได้กระทำในสิ่งต่อไปนี้6.ตรวจสอบไบนารีของระบบว่ามีการเปลี่ยนแปลงหรือไม่ ทำการเปรียบเทียบระหว่างไบนารีในระบบที่ท่านเชื่อถือได้ เช่น ไบนารีที่ท่านเริ่มติดตั้งครั้งแรกกับไบนารีที่ถูกเปลี่ยนแปลง ท่านควรจำไว้ว่า backups อาจจะประกอบด้วย Trojan horses ก็ได้
- ตรวจสอบ startup folders ตรวจสอบทุก ๆ อย่างใน c:\winnt\profiles\*\start menu\programs\startup folders จำไว้ว่า startup folders มีอยู่ 2 folders ด้วยกัน folder แรกสำหรับ local user และอีกหนึ่ง folder ใช้สำหรับ users ทุก ๆ คน เมื่อ users ได้ทำการ logon ทุก ๆ applications ใน "All users" และใน users startup folder จะถูก started ขึ้น ด้วยเหตุผลดังกล่าวท่านจึงควรตรวจสอบทุก ๆ startup folders เพื่อดูว่ามี applications ที่น่าสงสัยหรือไม่
- ตรวจสอบ registry
- ตรวจสอบหา invalid services, backdoor programs บางตัวจะเริ่มการติดตั้งตัวเอง services เช่นเดียวกัน ก็จะเริ่มทำงาน เมื่อระบบเริ่มทำงานทำการตรวจสอบ services ที่ทำงานโดยอัตโนมัติ และทำการตรวจสอบว่า services ที่เป็น executable นั้นไม่ใช่ Trojan horse หรือ backdoor program
Trojan horse programs อาจจะให้ไฟล์ที่ขนาดและ time stamp เหมือนกับ program ที่ไม่ได้เป็น Trojan horse เพราะฉะนั้นท่านควรใช้ MD5 หรือ Tripwire ในการตรวจสอบ Trojan horse programs การใช้ programs ต่อต้านไวรัสช่วยในการตรวจสอบค้นหาไวรัส, backdoors, หรือโปรแกรมที่เป็น Trojan horse แต่ท่านควรจำไว้ว่าโปรแกรมแอบแฝงจะเกิดขึ้นใหม่อยู่ตลอดเวลา ดังนั้นท่านควร update โปรแกรมดังกล่าวให้ทันสมัยอยู่ตลอดเวลา
7.ตรวจสอบระบบและเครือข่ายว่ามีการเข้ามาที่ไม่ถูกต้องหรือเปล่า โดยการตรวจสอบการ settings เช่น WINS, DNS, IP forwarding ซึ่งท่านสามารถตรวจสอบได้โดยใช้ network properties tool หรือใช้คำสั่ง "ipconfig /all"
ตรวจสอบให้แน่ใจว่ามี ที่ท่านต้องการเท่านั้น network services ที่รันอยู่ในระบบของท่าน
ตรวจสอบการเฝ้าฝังของ ports ที่แปลก ๆ โดยใช้คำสั่ง "netstat -all"
8.ตรวจสอบว่ามี unauthorized shares หรือไม่ โดยใช้คำสั่ง "net share" หรืออาจจะใช้ server manager tool เพื่อดูการใช้ไฟล์ร่วมกันทั้งหมดในระบบ ในระบบ NT ท่านอาจจะจะเพิ่ม '$' ต่อจาก share name เพื่อใช้ในการแสดงไฟล์ที่ถูกซ่อนอยู่ ในระบบ NT มี default share names ที่ NT ใช้ เช่น PRINT$ แต่ถ้าหากว่าท่านไม่ได้ใช้ printer ร่วมกับ user อัน ๆ ท่านต้องตรวจสอบดูว่าหลาย ๆ share names แต่ละ share names สามารถที่จะมี permissions ที่แตกต่างกันได้
9.ตรวจสอบทุก jobs ที่จะถูกรัน ผู้บุกรุกอาจจะทำ back doors files ซึ่งมีกำหนดให้ถูกรันในอนาคต รวมทั้งตรวจสอบดูว่า files หรือ programs ที่ถูกอ้างอิง job files นั้นไม่ได้เป็น world-writable ท่านอาจจะใช้คำสั่ง "at" หรือ WINAT tool ในการตรวจสอบว่ามี jobs ใดบ้างที่อยู่ใน scheduler
10.ตรวจสอบว่ามี process ที่ผิดปกติหรือไม่ ท่านอาจใช้ Task Manager หรือ pulist.exe หรือ tlist.exe เพื่อดูว่ามี processes ใดที่กำลังทำงานอยู่บ้าง ถ้าหากท่านใช้ pulist ท่านสามารถรู้ได้ว่าใครเป็นคนสั่งให้ process ทำงาน
11.ตรวจสอบทำระบบเพื่อดูว่ามี hidden files หรือ files ใด ๆ บ้างที่ผิดปกติในระบบ NT ท่านสามารถแสดง hidden files โดยใช้ NT Explorer โดยเลือก View, Options และ Show all Files หรือท่านอาจจะใช้ `dir /ah`
12.ตรวจสอบว่ามีการเปลี่ยนแปลง permissions ของ files หรือ registry keys หรือไม่ ส่วนหนึ่งของการทำให้ NT มีความปลอดภัย คือ การกำหนดค่า permissions ที่เหมาะสมของไฟล์และ registry keys เพื่อจะไม่ให้ unauthorized user สามารถทำการรัน unauthorized programs ได้ ท่านสามารถใช้ XCACLS.EXE ใน NT Resource Kit เพื่อตรวจสอบว่าระบบของท่านเปลี่ยนแปลงใด ๆ หรือไม่
13.ตรวจสอบว่ามีการเปลี่ยนแปลงของ user และ computer policies หรือไม่ นโยบาย (policies ) ในระบบ NT จะใช้ในการควบคุมว่า user ทำหรือทำอะไรไม่ได้ ท่านควร copy ของ policies ไว้ในกรณีที่ policies มีการเปลี่ยนแปลงและท่านต้องการเปรียบเทียบเพื่อดูว่ามีการเปลี่ยนแปลงอะไรบ้าง
14.ตรวจสอบให้แน่ใจว่าระบบของท่านไม่ได้ถูกเปลี่ยน Domain เนื่องจากผู้บุกรุกทำการเปลี่ยนแปลง Domain ให้เป็น domain ที่ผู้บุกรุกสามารถที่จะควบคุมได้
15.เมื่อทำการค้นหาร่องรอยของการบุกรุก ท่านต้องการทำการตรวจสอบทุก machines บน local network เนื่องจากโดยทั่วไปแล้ว ถ้า host หนึ่งถูก compromised แล้ว host อื่น ๆ ก็จะถูก compromised ด้วย
B. ศึกษาเพิ่มเติมบทความของ AusCERT และ CERT
C.ควรนำระบบตรวจจับการบุกรุก (Intrusion Detection System ) มาใช้
| Home
|| เอกสารเผยแพร่ || IDS
ThaiCERT Disclaimer | Copyright © 2001 ThaiCERT(NECTEC). All rights reserved. |