《攻防演练平台-僵尸网络.》由会员分享,可在线阅读,更多相关《攻防演练平台-僵尸网络.(68页珍藏版)》请在金锄头文库上搜索。
1、 2008 绿盟科技 攻防演练平台 应急演练 绿盟科技 僵尸网络 攻防演练平台 演练流程介绍 最近国内外众媒体纷纷报道出现了一种新的恶意病毒 Flame ( Worm.Win32.Flame ,又称 Flamer 或 sKyWlper 、Skywiper 等),中文名“ 火焰病毒”、“超级火焰病毒”。Flame 被包括世界电信联盟等官方以及卡巴斯 基等国际权威厂商认定为迄今为止最复杂、最危险、最致命的病毒威胁。那么这个 Flame 到底是什么样的病毒呢,值得被冠以“最复杂、最危险”“最厉害”甚至 “设计最巧妙”“最隐密”“最致命”等众多称号呢?面对 Flame 病毒我们到底 值不值得防范,以及
2、又应当如何防范呢? Flame 是于 2012 年 5 月被发现的电脑病毒,其构造复杂,可以通过USB存储器 以及网络复制和传播,并能接受来自世界各地多个服务器的指令。目前被定性为“ 工业病毒”。 恶意病毒 Flame介绍 Flame 病毒用上了 5 种不同的加密算法,3 种不同的压缩技术,和至少 5 种不同的文件 格式,包括其专有的格式。并将它感染的系统信息以高度结构化的格式存储在SQLite 等 数据库中,病毒文件达到 20MB 之巨(代码打印出来的纸张长度达到2400米)。此外, 还使用了游戏开发用的 Lua 脚本语言编写,使得结构更加复杂。 卡巴斯基表示由于“火焰”病毒是由大量相当复杂
3、的组件和某些体积庞大的文件组成的 ,且编写方式非常复杂,在如此有限的时间内提供全面的分析是几乎没有可能性的,因 此可能需花上数年时间,才能完全了解该病毒的全部情况。赛门铁克也表示,“火焰” 的一些特点是前所未见的,它的复杂性犹如“用核武器去砸核桃”。截至目前国内外杀 毒软件没人一家正式发布完整发现该病毒并能够完美拦截。 高潜伏性 据悉 Flame 病毒出现的最早时间可追溯到 2007 年,并推测可能于 2010 年 3 月就被攻 击者放出(攻击伊朗石油部门的商业情报),但由于其结构的复杂性和攻击目标具有选 择性,安全软件一直未能发现它。目前一致看法是 Flame 病毒可能已经以某种形式活跃 了
4、长达 5 至 8 年的时间,甚至还可能更久。这种高潜伏性很是危险。此外,一旦完成搜 集数据任务,这些病毒还可自行毁灭,这也是其能够长期潜伏的原因之一。 高危害性 一旦感染 Flame 病毒并激活组件后,它会运用包括键盘,屏幕,麦克风,移动存储设备 ,网络,WIFI,蓝牙,USB和系统进程在内的所有的可能条件去收集信息,然后将用户 浏览网页、通讯通话、账号密码以至键盘输入等纪录,甚至利用蓝牙功能窃取与被感染 电脑相连的智能手机、平板电脑中的文件发送给远程操控病毒的服务器。此外,即便与 服务器的联系被切断,攻击者依然可通过蓝牙信号对被感染计算机进行近距离控制。从 功能角度是非常强大的,可以称之为偷
5、盗技术全能,覆盖了用户使用电脑的所有输入输 出的接口。 号称最复杂、最危险 工信部监管要求 目的: 通过将网络与信息安全责任落实情况纳入 三家基础电信企业集团公司绩效考核体 系。 考核内内容: 依据:中华人民共和国电信条例、 互联网信息服务管理办法、通信网络 安全防护管理办法)(工业和信息化部第 11号令)、基础电信企业信息安全责任 管理办法(试行) ) (工信部保 (2009J 713 号)以及特殊通信、通信管制等有关规定要 求。 主要内容: 组织保障情况 制度建设情况 安全管理情况 技术手段建设情况 一、落实信息安全责任: 三同步 定级 备案 符合性评测 风险评 估 整改 网络安全监测 系
6、统建设 二、应急保障: 网络安全事件信息上报 网络安全事件应急处置 应急演练 公共互联网网络安全应急预案(工信部保2009514号) 三、公共互联网环境治理: 内部机制 技术手段建设 事件监测 通报 事件处置和反馈 木马僵尸网络监测 与处置机制(工信部保2009157号)和 移动互联网恶意程序监测 和处置机制(工信部保2011545 号) 僵木蠕定义 僵尸网络指的是攻击者利用互联网用户的计算机秘 密建立的可以远程统一控制的计算机群,目前僵尸 网络主要采用木马控制,通过蠕虫、恶意网站来传 播。 木马是基于远程控制的黑客工具,其实质 是一种“客 户/服务”型的网络程序。木马程序表面上看上去具有 某
7、种很有用的功能,实际 上隐藏着可以控制整个计 算机系统,打开后门,危害系统安全的功能。 蠕虫是一种病毒,通过网络传 播感染存在漏洞的主 机,自动复制,通常无需人们交互。蠕虫产生的流 量占据了运营商大量有效带宽 。 蠕虫的定义 蠕虫这个生物学名词在1982年由Xerox PARC 的 John F. Shoch等人最早引入计算机领域15,并给 出了计算机蠕虫的两个最基本特征:“可以从一台计 算机移动到另一台计算机”和“可以自我复制”。 震荡波 冲击波 魔鬼波 刻毒虫 Stuxnet超级工厂 蠕虫病毒介绍蠕虫病毒介绍(1)(1) “刻毒虫”的组成 蠕虫的“弹头” 缓冲区溢出探测 文件共享攻击 电子
8、邮件 其他普通的错误配置 蠕虫病毒介绍蠕虫病毒介绍(2)(2) 传播引擎 Ftp、Tftp Http U盘、可移动存储 Arp欺骗下载 Arp欺骗网页挂马 蠕虫病毒介绍蠕虫病毒介绍(3)(3) 目标选择算法 随机性扫描 顺序扫描 基于目标列表的扫描(可控蠕虫) 基于路由的扫描 网络蠕虫的设计者通常利用 BGP 路由表公开的信息获取互连网路由的 IP 地址 前辍,然后来验证 BGP数据库的可用性.基于路由的扫描极大地提高了蠕虫的传 播速度,以 CodeRed 为例,路由扫描蠕虫的感染率是采用随机扫描蠕虫感染率的 3.5 倍.基于路由的扫描不足是网络蠕虫传播时必须携带一个路由 IP 地址库,蠕 虫
9、代码量大. 蠕虫自动判断Ip地址是否可路由 蠕虫病毒介绍蠕虫病毒介绍(4)(4) 扫描引擎 利用目标目引擎得到的地址,蠕虫在网络上积极的扫描以决定合适 的攻击者。利用扫描引擎,蠕虫对潜在的目标慢慢传送一个或多个 数据包以此权衡蠕虫的弹头足否可以在这台计算机上工作。找到 一个合适的目标时,蠕虫将向这个新的受害者传播整个传播过程 不断地熏复进行。弹头打开通道,蠕虫开始繁殖,有效载荷开始运 行,新的日标被选择。接着继续扫描,整个过程的一个重复大约常 常在几秒或更少的时问内完戌,一瞬间,蠕虫感染了受害者并利用 它更进一布的蔓延。 蠕虫病毒介绍蠕虫病毒介绍(5)(5) 有效载荷(Payload) 打开一
10、个后门 恶意操做 删除文件、 格式化磁盘 信息窃取 窃取银行账号 窃取虚拟资源 游戏账号 qq账号 安装一个分布式拒绝代理 Codered 执行一个复杂的数学运算 执行分布式式计算、破解口令? 蠕虫病毒介绍蠕虫病毒介绍(6)(6) 蠕虫、病毒之间的区别 病毒蠕虫 存在形式寄生独立个体 复制机制插入到宿主程序(文件)中自身的拷贝 传染机制宿主程序运行系统存在漏洞(vulnerability) 搜索机制(传染目标)针对本地文件针对网络上的其它计算机 触发传染计算机使用者程序自身 影响重点文件系统网络性能、系统性能 计算机使用者角色病毒传播中的关键环节无关 防治措施从宿主文件中摘除为系统打补丁(Pa
11、tch) 对抗主体计算机使用者、反病毒厂商系统提供商、网络管理人员 木马:是指由攻击者安装在受害者计算机上秘密运行并 用于窃取信息及远程控制的程序。 僵尸网络:是指由攻击者通过控制服务器控制的受害计 算机群。(大多数由木马远程控制) 工信部定义 运营商关注点在木马和僵尸网络控制端,就是俗运营商关注点在木马和僵尸网络控制端,就是俗 称称CCCC主机(主机(command & control servercommand & control server) 。 僵尸木马网络的组成 僵尸程序 (BOT) 僵尸主机( Zombie) N级命令控制 中心( Command & Control Center
12、) 黑客 广告商和攻 击击需求者 犯罪者 僵尸网络(BotNet) 一级命令控制 中心( Command & Control Center) 黑客研发僵尸程序,通过蠕虫、恶意网站等 传播,僵尸程序随系统启动而启动,主动连 接到命令控制中心读取控制命令并执行 简称为C&C S(CC主机),僵尸 网络的核心部分,僵尸计算机自动 连接到此处,接受攻击者的命令发 动各种攻击 由僵尸计算机和命令控制中心 组成的一个可通信,可控制的网 络。 发发送垃圾邮邮件 连接并通过你的电 脑发 送垃圾邮件 网站攻击击 通过DDOS或者其 他手段攻击一个特 定网站。 BOT传传染行为为 对其他电脑实 施感 染扩张 。
13、个人信息泄露 进入存储各种个人 信息的个人电脑偷 窃,如信用卡号。 电脑主机指被植入 僵尸程序,接受命令 控制中心控制的计 算机称为僵尸计算 机。 提供 金钱 支持 个人 资料 是指通过各种手段 在大量计算机中植入 特定的恶意程序,使 控制者能够通过相对 集中的若干计算机直 接向大量计算机发送 指令的攻击网络。 攻击者通常利用这样 大规模的僵尸网络实 施各种其他攻击活动 僵尸网络的定义 首先 是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络 ,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添 加到这个网络中来。 其次 这个网络是采用了一定的恶意传播手段形
14、成的,例如主动漏洞攻击,邮件 病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义 上讲,恶意程序bot也是一种病毒或蠕虫。 最后 也是Botnet的最主要的特点,就是可以一对多地执行相同的恶意行为,比 如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃 圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控 制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑客青睐的根本原因 。在执行恶意行为的时候,Botnet充当了一个攻击平台的角色,这也就使得 Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。 僵尸
15、网络的特点 僵尸网络是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发 起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时 黑客控制的这些计算机所保存的信息,譬如银行帐户的密码与社会安全号码等 也都可被黑客随意“取用”。因此,不论是对网络安全运行还是用户数据安全 的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前 一个国际上十分关注的问题。然而,发现一个僵尸网络是非常困难的,因为黑 客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往 并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。 对网友而言,感染上“僵尸病毒”却十
16、分容易。网络上各种广告、各种各 样有趣的小游戏,都在吸引着网友轻轻一点鼠标。但事实上,点击之后毫无动 静,原来一切只是骗局,意在诱惑网友下载有问题的软件。一旦这种有毒的软 件进入到网友电脑,远端主机就可以发号施令,对电脑进行操控。下载时只用 一种杀毒软件查不出来。 僵尸网络出现原因 木马:在计算机领域中,木马是一类恶意程序。木马是有隐 藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对 电脑产生危害,而是以控制为主。 僵尸网络:僵尸网络 Botnet 是指采用一种或多种传播手段, 将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主 机之间所形成的一个可一对多控制的网络。 攻击者通过各种途径 传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过 一个控制信道接收攻击者的指
