200802291632防護12式,讓電腦遠離USB病毒

防護12式,讓電腦遠離USB病毒

USB病毒最惱人的行為就是重複感染,加上越來越多周邊載具都使用USB介面,一旦連接上Windows系統,就會自動識別成儲存裝置,此時,無論病毒存放在電腦或這些儲存裝置上,所有Windows系統可辨視的磁區都會被植入病毒,只要沒有清除乾淨,過一段時間,它又會發作,而且病毒特徵還會利用網路持續更新,在不斷的變種情況下,掃毒工作也更困難。

當你處理完這臺電腦的問題後,或許過沒幾天又中毒,雖然解決方法沒有很複雜,但只能手動操作,每處理一臺都很費力,因此預防再中毒,刻不容緩。

5項基本功保平安
其實要防護病毒從USB儲存裝置感染電腦,只要利用電腦群組原則(Group Policy)、防毒軟體及防火牆,就可以達到最基本的防禦方法。如果企業架構在Windows系統上,只要變更些許設定,就能防範USB病毒「自動」感染電腦的危機;若員工「手動」觸發病毒,就只能依靠防毒軟體的病毒特徵碼比對技術,就是「硬碰硬」的對戰。另外,若企業採用Windows AD建構網路環境,我們建議利用群組原則建立第一道防線,是最容易、且馬上可達成的方式。

網域群組原則
優點:能大規模禁止所有網域內電腦,執行自動播放功能
限制:欲控管的電腦必須登入Windows網域
如果企業網域是架構在Windows AD(Active Directory)中,利用群組原則編輯器,能很輕易地管控用戶端存取USB介面裝置。

群組原則是可以讓系統管理員集中管控Windows用戶端作業系統的工具,只要用戶端電腦登入Windows網域,管理人員就可以控制整個企業內所有使用者與電腦環境,加上Windows又是目前最常使用的用戶端系統,因此,利用群組原則管理用戶端電腦存取方式,是防堵USB病毒最經濟且有效的方式。

在Windows AD服務中,預設值下並沒有提供限制存USB介面裝置的設定,因此,我們需要先到http://support.microsoft.com/kb/555324/en-us下載範本檔案。使用上很容易,只要登入上述連接的網頁,複製Resolution這一段的資料到記事本中,並儲存成副檔名為.adm的檔案格式即可使用。

然後到執行網域服務的Windows Server系統上,啟動「群組原則物件編輯器」,在「電腦設定」的「系統管理範本」中,點選滑鼠右鍵使用「新增/移除範本」,匯入剛剛我們儲存成.adm檔案的資料即可,最後在「系統管理範本」中就會出現「Custom Policy Settings」設定,它所提供的範本能管控可移除式USB硬碟、光碟機及軟碟機等多種USB介面裝置。我們實際在Windows 2000 Server SP4及Windows Server 2003 SP2測試,也能順利執行,不過在Windows Server 2003中,還需要點選「檢視」的「篩選」中,取消「只顯示可以完全管理的原則設定」,才會正常顯示禁用USB裝置的設定。

當匯入範本後,預設值中,群組原則尚未設定可移除式USB硬碟的資訊,管理人員必須自行啟動才會執行,而用戶端電腦登入網域後,就會禁止執行autorun.inf,但還是可以正常存取硬碟中的資料。
此方法是利用usbstor.sys(通用型USB的驅動程式)限定用戶端電腦存取可移除式的USB硬碟裝置,包括記憶卡、隨身碟及外接硬碟等,若有用戶不想被控管,自行刪除此檔,也將無法使用USB裝置。

本機群組原則
優點:每臺電腦可以自行處理,無需加入網域
限制:需要手動自行操作,若電腦數目多,較麻煩
網域群組原則能減少管理網域內電腦的設定麻煩,但如果企業沒有架設Windows AD呢?其實我們也可從個別電腦的本機群組原則中設定,功能大同小異,只是需要每臺逐一設定。

以Windows XP專業版為例,我們只要從群組原則的系統工具中,點選「電腦設定」中「系統管理範本」的「系統」,就有「關閉自動播放」選項,只要啟動此功能,就可以停止從所有磁碟機或光碟機的自動播放功能;若要禁止USB介面的儲存裝置,就是選用套用在所有磁碟機。需要注意的是,它只能選擇停止所有磁碟機或光碟機的自動播放,不像Windows AD的群組原則,可以同時限制各種介面,然而目前從USB介面感染的病毒,多半以外接可移除式硬碟為主,因此也已經足夠。

若用戶端系統採用Windows XP家用版或Windows 2000時,因為不支援群組原則的系統工具,因此只能從更改註冊機碼下手。

在登錄編輯程式中,在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer下,將NoDriveTypeAutoRun值改成255即可,若只想禁用USB介面的硬碟,而光碟機能正常使用自動播放功能,就要將該值設定為95。

防毒軟體
優點:可偵測、刪除或隔離電腦病毒感染主機,是最基本的防護方式
限制:只能防止已知電腦病毒,對未知病毒防護力較弱
防毒軟體通常是企業建置資訊安全的第一步,而且企業版的防毒軟體不像個人版防毒只著重在病毒的偵測率,更會考量到管理性、部署方式、報表統計及操作介面等眾多面向,除了防護個人電腦的安全外,更讓管理簡易化,理論上只要上線使用,並定期購買更新服務,就不用花費額外的資源處理。

現在的電腦病毒種類越來越多,防毒軟體為了應因許多病毒威脅,功能上從基本的防毒引擎,陸續延伸到個人防火牆及主機型入侵防禦系統(Host Intrusion Prevention System,HIPS)等,但原則上,防毒還是最基本需求,其他防禦機制是否啟用,則視個別用途而定。不過,現在防毒軟體對「毒」的定義也在轉變,從傳統的電腦病毒,延伸到間諜程式、木馬程式、垃圾郵件及網路釣魚等惡意攻擊都可算是病毒,因此各防毒軟體的病毒資料料也隨著多種惡意程式的進展同步更新。因此雖然病毒威脅增多,防毒軟體的防護功能仍持續增加中。

不過現在病毒的更新及變種速度太快,防毒軟體更新病毒特徵碼通常需要一段時間,有時根本趕不上電腦病毒變化的速度,因此單靠防毒軟體的病毒特徵碼已不敷使用。這也是近來許多電腦遭受USB病毒持續不斷、重複感染,而防毒軟體卻一籌莫展的原因。

另外,雖然現在防毒軟體強調啟發式掃描技術,採用類似行為分析模式,能偵測各種程式的處理方式,但對USB病毒的防護功能還是有限。

趨勢科技資深經理戴燊表示,USB病毒是利用autorun.inf執行病毒,這個過程原則上屬於合法行為,啟發式掃描技術可能無法判斷,但如果把autorun.inf及病毒載入電腦的各磁區時,就認為屬於異常行為,啟發式掃描技術就會發出警示,只是,此時若病毒早已植入電腦,最後還是要搭配防毒軟體的特徵碼比對能力。

賽門鐵克資深技術顧問莊添發認為,行為分析的方式仍有一定準確度,它會綜合各種合法及非法行為,最後提出一個總分,如果病毒的異常行為超過臨界值,啟發式掃描才會偵測到未知的惡意程式行為。

當然,哪種處理行為屬於合法或非法,就要看各家防毒軟體的設計方式,使用者也可以自定安全等級,甚至當把autorun.inf及病毒載入電腦的各磁區前就警示通報,不過誤判率可能提高的情況下,需有所取捨。

從防火牆阻擋更新來源
優點:避免病毒自行更新程式
限制:病毒更新來源變動時,需手動查詢、調整新的來源IP
現在病毒為了躲避防毒軟體更新病毒特徵碼的速度,也開始具有自我更新能力,類似在電腦中安裝下載器,一旦病毒版本發布更新,病毒就會自動下載執行,若防毒軟體更新特徵碼速度不夠快,根本無法比對資料,也因此無法偵測及清除病毒。

USB病毒就是有這種特性,所以如果我們能分析該病毒從哪個IP Address位址更新資料,然後阻斷更新來源,再等待防毒軟體製作解藥,較能防範疫情擴大。只是一般很難自行分析病毒的更新來源,通常要依靠資安廠商協助。

奕瑞科技客服專員陳怡吉分析過最近USB病毒的特徵,也利用工具解析出該病毒更新的IP Address位址來源,發現範圍是60.169.0.182~60.169.0.188,他建議先從防火牆封鎖,可避免病毒自我更新。根據他的經驗,60.169.0.185是最主要的更新來源,一定要阻斷連線,避免病毒更新管道。

此外,趨勢科技是利用防毒軟體。當用戶端電腦連接網路時,趨勢防毒軟體會查詢全球資料庫,確定是否為合法網站,一旦有異常,會主動通知用戶端注意。因此,就算病毒自動連線網路下載資料,防毒軟體也會察覺IP Address位址來源,防止病毒更新自身版本。

自行建立名為autorun.inf資料夾
優點:能防止病毒藉由autorun.inf載入
限制:所有磁區都要建立,只防護自動載入病毒,無法防護手動執行
USB病毒主要是利用autorun.inf將病毒植入電腦主機,或反向從遭感染的主機把病毒散播到各種USB介面的儲存裝置中。就是因為具有這種雙向傳遞的方式,病毒才能在電腦及USB儲存裝置中不斷擴散,而autorun.inf就是最主要的媒介。

這個純文字檔是讓電腦能自動播放程式的參考依據,當初它的目的是,使用者執行可移除式媒體(包括光碟、隨身碟及硬碟等)時,簡化需自行進入媒介中,手動點選程式的麻煩。但USB病毒就是利用這種方式逐一感染各個磁區。

autorun.inf本身並不是惡意程式,但惡意程式可以利用autorun.inf的內容,自動且隱密地進入電腦主機中,而且由於Windows作業系統在預設情況下,允許自動執行autorun.inf,也讓病毒感染速度更快。

感染USB病毒後,電腦內的各個磁碟區都會被植入autorun.inf及載入的電腦病毒等程式,只要有新的儲存裝置接上電腦,並被Windows系統視為磁區(例如C、D到Z等),如果磁區中沒有autorun.inf檔案,就會自動寫入autorun.inf和電腦病毒。

因此,如果能在病毒未感染儲存裝置前,預先在各磁區的根目錄中手動新增autorun.inf的資料夾,就能在連接感染的設備時,減少遭植入病毒的機會。

這作法很容易,只要在各磁區中新增名為「autorun.inf」的「資料夾」即可,並在內容屬性中設定成「唯讀」,以防止誤刪。

操作上有點費時,因為只要Windows系統判斷成磁區的分割區,我們都要在各磁碟區的根目錄建立該資料夾,包括所有USB介面的儲存裝置。

但此種作法還是有限制。例如電腦主機的各磁區都已新增autorun.inf的資料夾,而後接上有病毒的USB隨身碟時,Windows系統還是會自動執行autorun.inf,並載入相關病毒,到C磁區中的Windows系統資料夾中,該電腦依然會中毒,然而當該病毒要寫入其他磁區的根目錄時,因為這些地方都已經存在autorun.inf資料夾,而無法感染,中毒範圍僅局限在Windows系統資料夾中。

若將未感染且有autorun.inf資料夾的USB儲存裝置也適用。連接到遭感染的電腦時,因為本身已存在資料夾,也將無法載入病毒。需要注意的是,上述方式僅防範病毒利用autorun.inf自動執行的功能,若使用者不慎點選病毒檔,還是會中毒。

7項進階防禦法,阻撓病毒感染不手軟
除了企業現行的網路環境可以防範感染USB病毒外,還有許多軟體硬設備可以使用,只是需要額外採購,費用較高,但這些解決方案能更徹底處理病毒的感染途徑,甚至能禁止從外接式設備處理特定應用程式。如果企業打算一勞永逸處理所有電腦病毒感染主機運作的事件,這些處理方式則是不錯的做法,若打算採購新設備,也可以考慮是否具備特定功能。

防寫USB隨身碟
特色:防止病毒自動植入USB隨身碟
防寫型的USB隨身碟能有效預防受感染的主機,將病毒再次寫入隨身碟中。

一般隨身碟只能存放資料,防寫型隨身碟則有防寫鎖,一般時候可以設定成防寫模式,當真正要儲存檔案時,再解除防寫功能,因此能避免電腦自動將病毒寫入隨身碟中。例如錸德EZdrive就有多款具有防寫鎖的隨身碟。現在隨身碟為了確保資料安全,也開始整合資料加密功能,以Authenex A-Key 4000為例,就是兼具動態密碼鎖(Token)與隨身碟的設備,當使用者登入時,會要求輸入密碼才能寫入資料,若沒有輸入密碼,就只能存取磁碟的設定區域,而該區域無法寫入資料,以避免病毒自動寫入及強化資料安全,但問題是,如果使用者不知道該電腦是否感染USB病毒,而輸入密碼、通過認證,隨身碟還是會中毒。

趨勢科技也正與某隨身碟設備合作,直接在隨身碟中嵌入防毒引擎,當存取資料時,會自動掃描檔案,防止隨身碟被植入惡意程式。

還原卡
特色:病毒只暫存在虛擬磁碟,一旦還原就消失
還原卡是保護電腦不受病毒感染的最佳方式之一,因為它會在作業系統啟動前,建立類似Pre-OS的磁區,類似將資料暫存在硬碟中,只要還原了電腦系統,就會呼叫該儲存點回復資料,與Windows的系統還原僅能保護系統設定不同,還原卡會保留需保護磁區的所有資料,因此有些還原產品會先在原本硬碟中分割獨立磁區,以存放資料。所以就算病毒植入電腦,我們只要設定開機或手動還原,就能回復成未受感染的況態,所以即使無論USB病毒重複一直感染電腦,我們還是能很輕易地回復系統。

不過面對USB病毒,這種方法還是有限制。此病毒會在各磁區都寫入病毒資料,若要利用還原卡徹底保護電腦,就要針對所有磁區,不能只保護系統磁區(C磁區),一旦病毒入侵電腦,就要還原全部磁區的資料,才能回復到安全狀態。在這種情況下,資料不能存放在電腦中,適合應用在共用電腦上。

Thin Client解決方案
特色:Thin Client本身沒有儲存裝置,但仍要確實做到伺服器主機安全
在Thin Client架構下,所有資料都是儲存在伺服器電腦中,只要設定適當權限,強制用戶端只能存取特定資料夾,就能將該病毒限制在某區域中,不至於擴大災情。

以HP Thin Client電腦為例,預設狀況下員工只能利用Thin Client存取伺服器資料,所有列印、儲存及應用程式都是由伺服器提供,就算用戶端被病毒入侵,它也僅將資料存放在記憶體中,重新啟動本機後,電腦依然能正常運作,只要做好伺服器的資安控管即可。

如果用戶端電腦需使用USB介面裝置,管理者可以開放特定電腦使用,雖然USB病毒可以利用此方式,將惡意程式植入到伺服器中,但也僅在特定資料夾內,並不會影響到其他用戶端資料,加上若企業定時備份伺服器資料,也可以回復至未受感染的狀態下。

Thin Client最大的問題是所有作業都在伺服器上,伺服器本身負擔大,而且可能需要重新部署及規畫網路系統,相較於其他解法,難度較高。

SSL VPN
特色:當用戶登入後,依然可以管理外接式儲存裝置
現在的SSL VPN不單提供遠端存取服務,更能延伸至終端防禦架構,保障傳輸過程安全外,還要確保用戶端電腦安全,在未經授權下,用戶端不能自行啟動特定應用程式及I/O介面(例如USB)。

Juniper SSL VPN的Security Virtual Workspace(SVW)就是在處理這方面的問題。通常在認證身分並建立VPN通道後,沒有其他方式可以防範人員盜取企業資源,SVW則是提供類似Windows系統的虛擬桌面,管理人員可以限制使用者只可以在此桌面中,編修及存取資料,並能使用哪些應用程式及I/O介面。為了避免病毒透過USB介面交互感染,我們能禁止將資料儲存在本機USB隨身碟中,只允許網路傳輸,杜絕USB感染途徑。

另一方面,利用SSL VPN連線時,有些解決方案還可以檢查本機電腦的安全等級(Host Check),若電腦被植入惡意程式或連接不安全設備,則禁止連線。

NAC
特色:檢查用戶端行為,一旦中毒,立即禁止連線
NAC(Network Access Control)是近來很熱門的資安設備類型,它對於受感染USB病毒的電腦連線,也有不錯的防護方式。

無論是Agent與Agentless的NAC解決方案,作法多是先檢查主機安全性,若有異常就禁止連線,或者強迫到另一網段更新系統,才能連線。員工將網芳電腦分享的資料夾,設定成網路磁碟機時,當該電腦被USB病毒感染後,網芳上的資料夾也會被植入病毒,接著導致其他人電腦依序中毒,此時USB病毒不單將USB介面的儲存裝置當成感染途徑,而是利用網芳交叉感染,疫情將更嚴重。我們則可以設定NAC政策,在電腦連線前,先分析是否被USB病毒更改機碼(例如被設定為無法顯示隱藏檔),若異常就禁止連線,限制病毒擴散速度,甚至禁止電腦使用USB隨身碟,徹底避免感染來源。

病毒監控服務
特色:24小時監控防毒記錄,第一時間警示注意
病毒監控是防毒廠商提供的委外資安服務之一,主要能監控電腦狀態,只要病毒在電腦中產生異常事件,就通知管理人員注意。

防毒軟體每天產生的記錄檔很多,一般管理者根本不會注意是否有異常訊息。雖然防毒軟體經常更新特徵碼,增加辨識率,但有時只能偵測、無法清除,記錄檔都會將處理狀況記載下來,但管理人員不會注意,病毒監控服務就是彌補此部分的資訊落差。

以趨勢科技ESO(Expert Service Offering)檢查USB病毒的過程為例,病毒會不斷更新避免被防毒軟體掃描,但防毒軟體多少還是能偵測出電腦異常,ESO服務會在企業內架構事件收集器,而趨勢科技的防禦中心也有人24小時監控這些事件。一旦事件異常就會通報企業的資訊人員,並提供進階的收集工具以正確分析電腦問題;若是被新種病毒感染,就能立即製作解藥,避免大規模擴散。這種方式對USB病毒很有效,因為病毒變化很快,單靠病毒特徵碼無法完全防護,有了持續監控的服務,就更有機會提供第一時間處理方針。

Endpoint Security
特色:整合多種資安防護系統,到達多層次防禦功效
現在的病毒變化越來越多,已不能單靠防毒軟體處理,特別像透過USB介面傳播的病毒,隨時都可能更新,防毒軟體根本來不及應付下,開始走向整合式終端安全發展。

Endpoint Security就是主機型的多層次防禦。以賽門鐵克Endpoint Protection為例,包括防火牆、入侵偵測、作業系統保護、系統禁止、Buffer Overflow保護及設備管理等5種,主要是在病毒入侵電腦的第一時刻,就做好把關動作。對於USB介面的儲存裝置而言,通常歸屬於設備管理部分。例如當連接上USB介面裝置時,只給予唯讀或禁用等權限,甚至像已知的Kavo病毒檔案名稱,還可以利用程式控制禁止執行這個檔案。另外像趨勢科技的OfficeScan,除了禁止某病毒檔案執行外,連載入USB病毒的autorun.inf都會一併刪除,減少操作麻煩。

此外,從DLP(Data Loss Prevention)技術發展的產品,也有防護USB病毒的功能。它主要是防範機密資料透過多種管道洩密,當然也包括USB介面裝置。以McAfee DLP為例,還可以僅允許某特定品牌、序號或型號的USB設備才能使用。

Endpoint Security不單能從設備管理限制存取USB裝置,其實利用HIPS也可以處理。當病毒從USB裝置感染電腦時,若行為異常時(例如自動將autorun.inf寫入各磁區),就會警示問題,或者像Cisco Security Agent直接監控機碼,當機碼變動時,就通知IT人員注意。

除了防毒廠商朝向Endpoint Security發展外,資產管理廠商的發展方向也類似。

例如LANDesk公司也有Endpoint Security管理方案,運作原理類似,都是在用戶端電腦植入代理程式,減少不正常行為造成病毒入侵的機會。

「預防勝於治療」這句話,對於USB病毒而言,更為重要。因為它的特性,處理過程經常人仰馬翻,與其等待中毒後再處理,不如現在就先打預防針,以免遭受無妄之災。

上述12招是我們整理後,能管理USB病毒擴散感染的作法,其中基本5招是能立即處理的方式,只需要更動些許設定即可完成,如果企業預算有限,可以先自行保護,第一時間就防止病毒入侵電腦。

 

出處: 
ITHOME
沒有上一則|日誌首頁|沒有下一則
回應

看著愛情的天空,其實愛早在心中

關鍵字
    沒有新回應!
流量統計