《CISM0203信息安全攻防技术》由会员分享,可在线阅读,更多相关《CISM0203信息安全攻防技术(90页珍藏版)》请在金锄头文库上搜索。
1、信息安全攻防技术,中国信息安全测评中心,(20140819),2,课程内容,信息安全攻防技术,恶意代码与防范,网络安全攻防技术,3,知识体:恶意代码及网络安全攻防,知识域:恶意代码概念和防治知识 理解恶意代码的定义 了解恶意代码发展过程和趋势 理解典型的恶意代码的传播方式和危害 了解恶意代码的防御措施,4,恶意代码定义,什么是恶意代码 恶意代码(Unwanted Code,Malicious Software,Malware,Malicous code)是指没有作用却会带来危险的代码 恶意代码类型 二进制代码 二进制文件 脚本语言 宏语言 ,5,恶意代码发展史,孕育和诞生 1949:冯诺依曼在
2、复杂自动机组织论提出概念 1960:生命游戏(约翰康维 ) 磁芯大战(贝尔实验室三名程序员 ) 1983:真正的恶意代码在实验室产生,6,恶意代码发展史,初露峥嵘 1986年第一个PC病毒:Brain virus 1988年Morris Internet worm6000多台 群雄逐鹿 1990年第一个多态病毒 1991年virus construction set-病毒生产机 1994年Good Times(joys) 1995年首次发现macro virus,罗伯特.莫里斯,7,恶意代码发展史,巅峰时刻 1996年netcat的UNIX版发布(nc) 1998年第一个Java virus(
3、StrangeBrew) 1998年netcat的Windows版发布(nc) 1998年back orifice(BO)/CIH 1999年melissa/worm(macrovirus by email) 1999年back orifice(BO) for WIN2k 1999年DOS/DDOS-Denial of Service TFT/ trin00 1999年knark内核级rootkit(linux),8,恶意代码发展史,风起云涌 2000年love Bug(VBScript) 2001年Code Red worm(overflow for IIS) 2001年Nimda-worm
4、(IIS/web browser/outlook/file share etc.) 2002年SQL slammer(sqlserver) 2003年MSBlaster/ Nachi 2003年中文上网 2004年MyDoom/ Sasser 2006年熊猫烧香,9,恶意代码发展史,暗影杀手 2010年Stuxnet(工业蠕虫) 2012年火焰病毒,各种蠕虫、木马悄悄的潜伏在计算机中,窃取信息,恶意代码技术的发展,传播速度 恶意代码的爆发和传播速度越来越快 攻击意图 恶意代码的开发者从游戏、炫耀转向恶意牟利 功能上 恶意代码的分工越来越细 实现技术 恶意代码实现的关键技术不断变化 传播范围 恶
5、意代码呈现多平台传播的特征,11,恶意代码的传播方式,移动存储 文件传播 网络传播 网页 电子邮件 漏洞 共享 即时通讯 软件捆绑,12,AutoRun OPEN=Autorun.exe ICON=icon.ico,恶意代码传播方式-移动存储,自动播放功能 Windows默认 自动执行autorun.inf指定的文件 设置 组策略编辑器,13,恶意代码传播方式-文件传播,感染 软件捆绑 强制安装:在安装其他软件时被强制安装上 默认安装:在安装其他软件是被默认安装上,14,恶意代码传播方式-网页,将木马伪装为页面元素 利用脚本运行的漏洞 伪装为缺失的组件 通过脚本运行调用某些com组件 利用软件
6、漏洞 例如:在渲染页面内容的过程中利用格式溢出释放或下载木马,15,恶意代码传播方式-邮件,社会工程学 欺骗性标题 吸引人的标题 I love you病毒 库娃等 利用系统及邮件客户端漏洞 尼姆达(畸形邮件MIME头漏洞) ,16,恶意代码传播方式-通讯与数据传播,即时通讯 伪装即时通讯中的用户向其联系人发送消息。使用欺骗性或诱惑性的字眼 P2P下载 伪造有效资源进行传播,17,恶意代码传播方式-共享,共享,管理共享 C盘、D盘 Windows安装目录 用户共享 用户设置的共享 典型病毒 Lovegate Spybot Sdbot ,18,恶意代码传播方式-软件漏洞,利用各种系统漏洞 缓冲区溢
7、出:冲击波、振荡波 利用服务漏洞 IIS的unicode解码漏洞:红色代码 ,19,恶意代码的防治,预防 检测 清除,20,恶意代码的预防技术,增强安全策略与意识 减少漏洞 补丁管理 主机加固 减轻威胁 防病毒软件 间谍软件检测和删除工具 入侵检测/入侵防御系统 防火墙 路由器、应用安全设置等,21,恶意代码检测技术,特征码扫描 沙箱技术 行为监测,22,特征码扫描,工作机制:特征匹配 病毒库(恶意代码特征库) 扫描(特征匹配过程) 优势 准确(误报率低) 易于管理 不足 效率问题(特征库不断庞大、依赖厂商) 滞后(先有病毒后有特征库,需要更新特征库) ,应用最广泛的恶意代码检测技术,23,恶
8、意代码检测技术-沙箱技术,工作机制 将恶意代码放入虚拟机中执行,其执行的所有操作都被虚拟化重定向,不改变实际操作系统优势 优点 能较好的解决变形代码的检测,24,恶意代码检测技术-行为检测,工作机制:基于统计数据 恶意代码行为有哪些 行为符合度 优势 能检测到未知病毒 不足 误报率高 难点:病毒不可判定原则,25,恶意代码清除技术,感染引导区型 修复/重建引导区 文件感染型 附着型:病毒行为逆向还原 替换型:备份还原 独立型 独立可执行程序:终止进程、删除 独立依附型:内存退出、删除 嵌入型 更新软件或系统 重置系统,26,知识体:恶意代码及网络安全攻防,知识域:网络安全攻防技术 理解主动攻击
9、和被动攻击的特点和区别 了解网络攻击的基本步骤,包括信息收集、目标分析、实施攻击、后门及清理痕迹等 了解渗透测试的的特点,以及常见的手段和工具,27,攻击的过程,攻击的过程 信息收集 目标分析 实施攻击 留后门,方便再次进入 打扫战场,清理入侵记录 防御 针对以上提到的行为了解其原理并考虑应对措施,28,网络攻击基本概念及术语,网络攻击的方式 主动攻击:扫描、渗透、拒绝服务 被动攻击:嗅探、钓鱼 一些术语 后门 0-day 提权 社会工程学,29,获取攻击目标资料 网络信息 主机信息 应用部署信息 漏洞信息 其他任何有价值的信息 分析目标信息、寻找攻击途径 排除迷惑信息 可被利用的漏洞 利用工
10、具,信息收集-攻击的第一步,30,收集哪些信息,目标系统的信息系统相关资料 域名、网络拓扑、操作系统、应用软件 相关脆弱性 目标系统的组织相关资料 组织架构及关联组织 地理位置细节 电话号码、邮件等联系方式 近期重大事件 员工简历 其他可能令攻击者感兴趣的任何信息,31,信息收集的技术,公开信息收集(媒体、搜索引擎、广告等) 域名及IP信息收集(whois、nslookup等) 网络结构探测(Ping、tracert等) 系统及应用信息收集(端口扫描、旗标、协议指纹等) 脆弱性信息收集(nessus、sss等) ,32,公开信息收集范例,现实中的范例:著名的照片泄密案 背景 大庆油田在发现之初
11、,其位置、储量、产量等信息全部定为国家机密 1964年中国画报封面泄露信息 衣着判断-北纬46度至48度的区域(即齐齐哈尔与哈尔滨之间) 所握手柄的架式-油井的直径 钻井与背后油田的距离和井架密度-储量和产量,设计出适合中国大庆的设备,在我国设备采购中中标!,33,公开信息收集范例,信息时代的范例:某影星的住址 背景: 明星家庭住址是明星隐私,她们都不愿意透露 微博时代,明星也爱玩微博 微博信息 13:50:四环堵死了,我联排要迟到了? 在北京工作这么久,都没在北京中心地带买一套房子 光顾着看围脖,忘记给老爸指路,都开到中关村了 结论:北四环外某个成熟小区,小区中间有三个相连的方形花坛 Goo
12、gle earth能帮助我们快速找到这个小区,34,公开信息收集,快速定位 Google 搜索“5sf67.jsp”可以找到存在此脚本的Web网站 Google 搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器 信息挖掘 定点采集 Google 搜索 “.doc+website”挖掘信息 隐藏信息 .mdb、.ini、.txt、.old、.bak 后台入口,How to hack website with google!,35,域名信息收集,NSlookup 域名解析查询 Whois Whois是一个标准服务,可以用来查询域名是否被注册以及注册的详细资料 Whoi
13、s 可以查询到的信息 域名所有者 域名及IP地址对应信息 联系方式 域名到期日期 域名注册日期 域名所使用的 DNS Servers ,36,网络信息收集,Tracert(Traceroute) 发现访问控制设备 探测目标网络拓扑结构 原理 利用TTL工作机制 理论上任何一种IP数据包都可以用于追踪路由,37,系统信息收集-TCP/IP协议栈检测,原理 不同厂商对IP协议栈实现之间存在许多细微的差别,通过这些差别就能对目标系统的操作系统加以猜测。 检测方法 主动检测 被动检测,38,系统信息收集-服务旗标检测,服务旗标检测法 rootpooh # telnet 192.168.1.13 Deb
14、ian GNU/Linux 2.1 target login: Redhat: /etc/issue、/etc/ bsd: /etc/motd Solaris: /etc/motd 缺陷:不准确,负责任的管理员一般都修改这个文件,39,原理 通过端口扫描确定主机开放的端口,不同的端口对应运行着的不同的网络服务 扫描方式 全扫描 半打开扫描 隐秘扫描 扫描技巧 随机扫描 慢速扫描 ,系统及应用信息收集-端口扫描,信息收集防御策略,公开信息收集防御 信息展示最小化原则,不必要的信息不要发布 域名信息收集防御 确保信息的更新 联系人信息的保护(虚拟联系人) 域名管理身份的保护 网络信息收集防御 防火
15、墙上阻止ICMP 系统收集防御 减少攻击面 修改旗标,40,严防死守!,漏洞扫描,向目标发送各类测试报文,根据目标主机反馈情况判断是否存在或可能存在某种类型的漏洞 意义 进行网络安全评估 为网络系统的加固提供先期准备 被网络攻击者加以利用来获取重要的数据信息,41,42,漏洞扫描工具,网络设备漏洞扫描器 Cisco Auditing Tools 集成化的漏洞扫描器 Nessus Shadow Security Scanner eEye的Retina Internet Security Scanner GFI LANguard 专业web扫描软件 IBM appscan Acunetix Web
16、 Vulnerability 数据库漏洞扫描器 ISS Database Scanner oscannerOracle数据库扫描器 Metacoretex 数据安全审计工具,43,实施攻击-无孔不入的攻击者,利用系统配置缺陷:IPC$及管理共享 利用系统实现漏洞:本地输入法漏洞 利用应用开发缺陷问题:Unicode解码漏洞 利用人性的懒惰:口令破解 利用人性的弱点:社会工程学 利用协议缺陷:拒绝服务及电子欺骗 利用软件开发缺陷-缓冲区溢出 利用脚本开发缺陷-SQL注入 ,IPC (Interprocess communications)进程间通信 Windows配置的脆弱性 IPC$空会话连接 管理共享(C$、D$、admin$) ,利用系统配置缺陷-ipc及管理共享,44,45,IPC安全问题解决,安全策略 限制IPC%空会话连接 限制匿名列举系统资源 注册表修改 取消为管理而设的共享 软件防火墙 禁止来自外部访问,46,原理 利用用户登录会话框的输入法帮助绕过验证,访问到系统资源 解决 补丁 删除帮助文件,利用系统实现缺陷-本地输入法,47,利用应用实现缺
