《计算机病毒事故紧急救援系统ppt课件》由会员分享,可在线阅读,更多相关《计算机病毒事故紧急救援系统ppt课件(75页珍藏版)》请在金锄头文库上搜索。
1、计算机病毒事故紧急救援系统 韩涌 Copyright2002 TrendMicroInc h 1 议程安排 电脑部风险因素及通常的管理措施网络病毒将导致新的安全问题混合攻击威胁到金融交易系统具有混合攻击能力的病毒趋势科技EPSII解决方案建立计算机病毒应急救援中心 2 内容介绍 电脑部风险因素及通常的管理措施 3 电脑部风险因素及通常的管理措施 电脑系统风险因素系统风险硬件部分 电力供给设备系统保障风险 电脑 网络及周边设备 安防系统风险 通讯线路 4 电脑部风险因素及通常的管理措施 电脑系统风险因素系统风险软件部分 操作系统 数据库 应用软件的安全等级 网络入侵及恶意操作 计算机病毒 数据完
2、整性 机密性及可恢复性 灾难备份及恢复 5 电脑部风险因素及通常的管理措施 电脑系统风险因素管理风险日常差错业务 资金权限违规操作系统升级及参数设置修改泄密 6 计算机病毒风险及通常的防护手段 计算机病毒风险及通常的防护手段 柜台交易系统死机 ATM网络中断 办公系统运行缓慢 办公网阻塞 财务及其他业务数据丢失 多数EXCEL表 莫名其妙的电子邮件 网络打印失灵 后台系统数据被监听 窜改 7 计算机病毒风险及通常的防护手段 各金融机构目前已经采用的防范措施1 安装经公安部认证检测过的计算机防病毒软件单机 95 98 ME 网关 SMTP POP3 HTTP FTP 服务器 NT 2000 NE
3、TWARE UNIX 邮件 NOTES EXCHANGE 中央管控系统 ManagementConsole 2 设立专职人员负责全辖范围内的计算机病毒维护 升级及防范工作 3 杜绝使用外来软盘 光盘及游戏程序等未经检查的软件 阻断病毒传播的来源 4 建立 计算机病毒防范管理制度 对个人的上机操作 登录密码 上网 软件使用及升级作出规范 5 发现病毒及时隔离 由各级人员指导查杀工作 并形成报告制度 8 内容介绍 网络病毒将导致新的安全问题 9 确定为邮件型病毒 10 网络病毒将导致新的安全问题 资料来源 ICSA实验室 2002年流行病毒调查报告 病毒的传染途径被分成7类 1 电子邮件2 互联网
4、下载3 WEB浏览4 第三方设备5 软件分发6 磁盘7 未知 11 网络病毒将导致新的安全问题 资料来源 ICSA实验室 2002年流行病毒调查报告 在绝大多数机构内部 对于通过磁盘交叉使用而感染病毒的途径已经得到控制 但对于通过网络进行传播的病毒依然束手无策 12 网络病毒将导致新的安全问题 网络病毒特征 1 网络病毒主要通过无形介质进行传播2 网络病毒的传播仅需要几个小时的时间 并且越来越快3 网络病毒多数利用系统注册表 电子邮件附件 网络攻击漏洞等方式实现驻留并控制系统4 网络病毒不怕暴露特征码明文给防病毒软件 因为只要连着网 即使被防毒软件杀灭 它们也有机会再复制回来5 网络病毒的破坏
5、性变得相对隐蔽 13 网络病毒将导致新的安全问题 资料来源 ISS ReponseStrategiesForHybridThreats 在10年的时间里 计算机病毒向全球扩散的速度居然提高了5000多倍 14 网络病毒将导致新的安全问题 网络病毒的潜在性破坏 a 监听密码b 运行外来应用程序c 替换系统密钥d 截获屏幕显示信息e 远程控制键盘 鼠标f 启动 中止系统进程g 关闭系统h 阻塞网络 15 网络病毒将导致新的安全问题 由于这些差别非常之大 以至于有时候很难戒定是网络入侵还是病毒 这些差别在挑战着安全管理人员的同时也挑战着厂商的安全防范系统 它是否还能够抵御网络病毒的入侵 16 内容介
6、绍 混合攻击威胁到金融交易系统 17 混合攻击威胁到金融交易系统 新一代的网络病毒会带来新一代的网络攻击方式 混合攻击 HybridAttack 1 攻击可以不是人为的 而是由计算机病毒或更复杂的攻击系统 攻击树 自动发出的2 来自外部的入侵感染模型在爆发时多数呈现不均匀分布3 现有的攻击技术可以自动生成更复杂 更为系统化的攻击工具 18 混合攻击威胁到金融交易系统 资料来源 Cert 02tr039 来自外部的入侵感染模型显示 在爆发时多数呈现不均匀分布 19 混合攻击威胁到金融交易系统 来自外部的入侵感染模型显示 在爆发时多数呈现不均匀分布 20 混合攻击威胁到金融交易系统 现有的攻击技术
7、可以自动生成更复杂 更为系统化的攻击工具 1 组合攻击因子 通常包括启动因子 最为核心部分 负责通讯 传播因子 可组合 入侵因子 控制指令解码 被加密 监听因子 自毁因子等 2 生成攻击树 向攻击目标释放含有不同因子的攻击树 并监控其渗透过程 3 建立指令通道 启动因子利用控制引擎建立指令通道 负责攻击树内部及攻击树之间互相通讯4 建立攻击通道 启动因子利用入侵因子建立攻击通道 在攻击树之间进行路由运算 5 获取合法身份 启动因子利用监听因子实现获取包括证书备份 截获屏幕 如果网上银行系统不用键盘输入口令 监听口令等动作5 内部 外部攻击 注意防火墙这时候不起作用 证书和口令也许均被截获 攻击
8、完全从内部 合法 发出 6 自我销毁 21 混合攻击威胁到金融交易系统 现有的攻击技术可以自动生成更复杂 更为系统化的攻击工具 攻击树及攻击子集 资料来源 CERT AttackModelingforinformationSecurityandSurvivability 22 混合攻击威胁到金融交易系统 缓存溢出 bufferoverflow 入侵因子 目的 利用缓存溢出漏洞向目标系统释放恶意代吗条件 攻击者能够在目标系统运行特定程序攻击 AND1 识别目标系统可疑的缓存溢出漏洞2 确定在当前权限下可以运行的攻击程序3 制作参数及SHELLCODE4 运行程序以覆盖返回地址并跳转执行SHELL
9、CODE事后处理 确保程序正常返回并清理记录 23 混合攻击威胁到金融交易系统 一个形象的混合攻击过程 l防火墙 请出示工作证l电子邮件混合攻击 我是正常的电子邮件l防火墙 可以 校验通过l电子邮件混合攻击 启动进入邮件服务器及办公系统 并截获其他人的邮件地址l电子邮件混合攻击 现已进入邮件系统 处于防火墙之内 可以在网络内部发起攻击了l电子邮件混合攻击 感染通讯因子并生成监听因子 生成攻击通道l电子邮件混合攻击 发现与预先设定的触发模式吻合 应该是生产交易系统 开始下载攻击工具l电子邮件混合攻击 攻击开始 并从系统内部发出 身份获得伪装l生产交易系统 请出示身份证l电子邮件混合攻击 给出伪装
10、身份证l生产交易系统 可以 校验通过l电子邮件混合攻击 利用攻击通道通知远端控制台攻击过程l电子邮件混合攻击 攻击成功 传出加密数据 自毁 电子邮件混合攻击 攻击失败 清理现场 下载新的攻击因子 尝试继续攻击 24 内容介绍 具有混合攻击能力的病毒 25 具有混合攻击能力的计算机病毒 SQL蠕虫病毒体 376字节生存方式 驻留内存感染受攻击系统MicrosoftSQLServer2000SP2MicrosoftSQLServer2000SP1MicrosoftSQLServer2000DesktopEngineMicrosoftSQLServer2000 MicrosoftWindowsNT4
11、 0SP6a MicrosoftWindowsNT4 0SP6 MicrosoftWindowsNT4 0SP5 MicrosoftWindowsNT4 0 MicrosoftWindows2000ServerSP3 MicrosoftWindows2000ServerSP2 MicrosoftWindows2000ServerSP1 MicrosoftWindows2000 26 具有混合攻击能力的计算机病毒 SQL蠕虫传播方式 SQLResolutionServiceBufferOverflow UDP 1434 攻击方式 DoS UDPFlood HKLM Software Micros
12、oft MicrosoftSQLServer s s MSSQLServer CurrentVersion Microsoft2002 07 25发布 CERTAdvisory1996 02 08发布 27 具有混合攻击能力的计算机病毒 该恶意病毒采用了结合蠕虫和后门程序等多种特性的方式 在传播中 它会向网络中的共享文件夹中散布自身 而同时作为后门攻击程序 它会打开一个网络端口 默认情况为 10168 从而允许远端访问者控制和操作整个受感染的系统 同时还向2个邮箱通知受感染系统的情况 54love hacker117 Worm LoveGate C爱虫 28 具有混合攻击能力的计算机病毒 将文
13、件放置在系统目录下 通常为 C Windows System Windows9x系统中C WinNT System32inWindowsNT 2K系统中文件名称 都是79KB大小 WinRpcsrv esyshelp exewinrpc exeWinGate exerpcsrv exe 29 具有混合攻击能力的计算机病毒 自动运行添加注册表键值HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion Run 30 具有混合攻击能力的计算机病毒 如图所示 31 具有混合攻击能力的计算机病毒 其它注册表键值该键值由病毒添加 目的是通过
14、修改注册表使得每次用户打开TXT文件时 病毒即可自动运行注册表键值如下 HKEY CLASSES ROOT txtfile shell open command C WINDOWS NOTEPAD EXE 1 winrpc exe 1 HKEY LOCAL MACHINE Software CLASSES txtfile shell open command C WINDOWS NOTEPAD EXE 1 winrpc exe 1 32 具有混合攻击能力的计算机病毒 INI文件病毒会通过修改Win ini文件的方式 使得自己可以自动运行 33 具有混合攻击能力的计算机病毒 网络传播 病毒会通过
15、网络共享将自身复制到具有读写权限的网络共享文件夹中 34 具有混合攻击能力的计算机病毒 感染后的其它特征 在命令行模式下 运行NETSTAT A 可观察到10168端口已经被打开 35 MSBlaster A Details 病毒详细描述自启动技术以及常驻内存检验在运行时 该蠕虫会在注册表中建立如下自启动项目以使得系统启动时自身能得到执行 HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run Windowsautoupdate MSBLAST EXE然后检查自身是否已常驻内存 如果已在内存中运行 则停止继续运行 如果继
16、续运行 则检查当前计算机是否有可用的网络连接 如果没有连接 则休眠10秒然后再次检查Internet连接 该过程一直持续到一个Internet连接被建立 36 MSBlaster A Details 病毒详细描述分布式拒绝服务攻击在Internet连接建立的情况下 蠕虫开始检查系统日期 在满足下列日期的情况下蠕虫发送对的分布式拒绝服务攻击 以下月份的16日至31日 一月二月三月4月五月六月七月八月或是九月至十二月的任意一天然后 蠕虫开始尝试连接至其他目标系统的135端口 37 MSBlaster A Details 病毒详细描述A变种 经UPX压缩 使用MSBLAST EXE作为生成的文件名称 使用 windowsautoupdate 作为注册表自启动项目名称 包含下列字符串IjustwanttosayLOVEYOUSAN billygateswhydoyoumakethispossible Stopmakingmoneyandfixyoursoftware 2 B变种 A变种的解压缩版本 使用PENIS32 EXE作为生成的文件名称3 C变种经FSG压缩使用teekids exe作为
