前言
如眾所周知,Web已成為現今資安威脅的最主要來源!然而根據趨勢科技公司之統計分析(【註1】、【註2】),2007年下半年前十大惡意程式入 侵管道中,Web佔了八名,另二名則是由USB奪下,可見此一管道的病毒與資安威脅也不容忽視。上(2)月下旬,國家資通安全會報技術服務中心也發出通報 並提供USB蠕蟲的威脅與防護建議。本文則彙整相關重點,提醒同仁日常使用此類設備時應格外注意。
USB逐漸淪為病毒傳播的溫床
USB隨身碟由於輕便、容量大、價格便宜等特性,早已取代磁片等其他媒體,成為最普遍的可攜式儲存裝置。但往往病毒即利用使用便利與系統預設參數 的弱點,成為病毒傳播與侵犯的溫床。已知目前有許多惡意程式會利用微軟Windows作業系統中所提供之「裝置自動執行(Autoruns)」功能進行散 播。此類利用USB儲存裝置進行散播的惡意程式被稱為「USB蠕蟲(USB Worm)」;關鍵在於多數使用者均慣於Windows環境中用「我的電腦」開啟USB隨身碟,或者不按Shift鍵開啟隨身碟檔案,允許電腦自動執行隨 身碟上的檔案。
「USB Worm」會在磁碟裝置根目錄中寫入一個autorun.inf檔案,當使用者插入該磁碟裝置,並從桌面「我的電腦」點選進入該磁碟代號時,在預設情況下,作業系統會自動讀取autorun.inf並執行autorun.inf中所指定的惡意程式,進而使惡意程式感染電腦。
關閉作業系統裝置自動執行功能可以降低此威脅的風險;而目前網路上常見關閉作業系統裝置「自動播放」功能的防護方法,並無法徹底根絕此威脅的發生。
微軟Windows作業系統關閉裝置自動執行(Autorun)功能設定的原理在於針對
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Exploerer\MountPoint2機碼之Everyone的權限進行限制,在此之下,USB裝置仍可正常使用,但不會再執行autorun.inf檔中的設定。
以下說明的設定方式只針對目前登入的使用者,若同部電腦下以不同的使用帳號登入,則必須以相同之步驟進行設定(本方法設定後無須重開機,即刻生 效)。
以下所提供的三種方法適用於Windows XP以及Windows Vista:
方法一(利用工具手動修改):
此方法適合應用於大量自動化部署,可應用於網域登錄程序檔(Logon Script),於使用者登入網域時自動進行設定。
步驟:
1.下載 Windows Resource Kit Tools -SubInACL.exe工具,下載subinacl.msi 檔案。
2.自動安裝完成後,於「開始/執行」中執行cmd,進入命令列模式。
3.進入SubInACL工具路徑(預設安裝路徑為C:\Program Files\Windows ResourceKits\Tools)。
4.執行以下指令,如【圖1】所示:
SubInACL /subkeyreg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
/deny=everyone=f(使用者可以直接以複製以上指令,再按滑鼠右鍵選擇貼上即可)
圖1
5.按下Enter鍵執行,待執行結束,權限修改完畢,如【圖2】。
圖2
6.修改完成,點選進入光碟或USB隨身碟,將不會執行autorun.inf檔。
還原設定:
若要回覆設定,請輸入(或複製/貼上)以下指令:
SubInACL /subkeyreg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
/grant=everyone=f
方法二(手動設定修改):
步驟:
1. 於「開始/執行」中執行regedit,進入登錄編輯程式。
2. 找到機碼名稱:
HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion\Explorer\MountPoints2
3. 點選該機碼,按右鍵選擇「使用權限」,如【圖3】。
圖3
4.新增使用者Everyone。點選「新增」鍵後在「輸入物件名稱來選取」欄內輸入「Everyone」即可,如【圖4】。
圖4
5.設定使用者 Everyone 的完全控制權限為「拒絕」,選取「套用/確定」後離開,如【圖5】。
圖5
還原設定:
若要回覆設定,請依照步驟1至3,再移除Everyone使用者,按「套用/確定」離開後即可。
關閉裝置自動執行功能可能造成的影響:
- 依據上述方法設定後,將關閉所有裝置的autorun.inf的執行功能,因此包含CD-ROM/DVD-ROM在內的裝置也將無法執行光碟片置入後自動執行的功能。
- 已知目前部份具特殊功能之USB隨身碟(如指紋辨識、加密等),使用autorun.inf功能來自動執行必要的應用程式,如經過上述設定後,此類隨身碟將失去自動執行的能力,必須由使用者自行點入隨身碟中執行。
方法三(電腦管理服務設定法):
以下的圖樣取自Windows Vista作業系統,Windows XP使用者在排版上會和插圖不同,但名詞的使用是一致的。
步驟:
1.點選「開始」,在「我的電腦」上按右鍵,選擇「管理」,如【圖6】(Vista的使用者會出現一個確認的畫面,請點選「繼續」)。
圖6
2.在「電腦管理」的視窗裡點選「服務及應用程式」下的「服務」,如【圖7】。
圖7
3.找出「Shell Hardware Detection」,點選後會出現另一個小視窗;在「啟動類型」裡選擇「停用」,如【圖8】(在Windows XP裡選擇「已停用」)。
圖8
4.按下「確認」鍵。
還原設定:
重複步驟1至3,在「啟動類型」裡選擇「自動」,按下「確認」鍵即可。
結語
由於使用受「USB Worm」感染之USB儲存裝置至其他電腦交換資料時,不僅可能感染其他電腦,甚至可能造成個人資料外洩;在受感染的電腦上使用USB儲存裝置也可能使正 常的USB儲存裝置成為帶原體,進而成為散播惡意程式的幫兇。雖然此類病毒傳播速度不若Web或網路芳鄰等管道快速,但卻可能穿破企業資安防線的利器。
虛擬世界的病毒危害,正如同自然世界一般,不僅千奇百怪、無所不在,更是演化快速、無孔不入;而個人的疏忽,往往也將造成組織資訊安全的嚴重危害,不可不慎!因此,正確的使用習慣、正確的系統設定、以及瞭解自身常用裝置之可能弱點,是維護個人電腦使用安全性的重要原則。
參考資料
【註2】:趨勢科技發佈「2007年資安威脅報告暨2008預測」
轉自中央研究院
0 意見: