《l第十二周 网络攻击与防御(第21,22章)》由会员分享,可在线阅读,更多相关《l第十二周 网络攻击与防御(第21,22章)(180页珍藏版)》请在金锄头文库上搜索。
1、1华南理工大学经贸学院 本科课程电子商务安全与保密第十二周(第21,22章)网络攻击与防范2安全威胁拒绝服务攻击内部、外部泄密逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、 篡改、销毁后门、隐蔽通道蠕虫Internet现在.未来-会怎样?恶意代码n恶意代码(Malicious Code):主要是指 以危害信息安全等不良意图为目的的程序 ,它们一般潜伏在受害计算机系统中实施 破坏或窃取信息。 来源: 冯登国,赵险峰信息安全概论v恶意代码是指没有作用却会带来危险的代码。 来源:v恶意代码是经过存储介质和网络进行传播,从一 台计算机系统到另外一台计算机系统,未经授权 认证破坏计算机系统完整性的程序或
2、代码.来源:7恶意代码类型主要特点计计算机病毒潜伏传染破坏蠕虫扫描攻击扩散特洛伊木马马欺骗隐藏信息窃取逻辑逻辑 炸弹弹潜伏破坏恶意代码n恶意代码的特性n一类程序,由人编制,而非在计算环境或系统 中自生的;n对系统具有破坏性或威胁性,这是它们与普通 程序最大的区别;n按照种类,不同恶意代码具有潜伏性、传染性 、依附性等性质。恶意代码收集你的相关信息诱骗访问恶意网站删除敏感信息监视键盘窃取文件开启后门(肉鸡)作为网络传播的起点隐藏在主机上的所有活动 恶意代码计算机病毒n计算机病毒n计算机病毒能够寻找宿主对象,并且依附于 宿主,是一类具有传染、隐蔽、破坏等能力 的恶意代码,n本质特征:传染性和依附性
3、n分类n按传播媒介分类 单机病毒和网络病毒 n按传播方式分类 引导型病毒、文件型病毒和混合型病毒 n按隐藏手段分类 加密型病毒、隐藏型病毒、多态型病 毒和变形病毒计算机病毒的特征病毒主要特征解释传染性病毒具有把自身复制到其它程序中的特性。 隐蔽性通过隐蔽技术使宿主程序的大小没有改变,以至 于很难被发现。 破坏性计算机所有资源包括硬件资源和软件资源,软件 所能接触的地方均可能受到计算机病毒的破坏潜伏性长期隐藏在系统中,只有在满足特定条件时,才 启动其破坏模块。其它取得系统控制权和不可预见等特征。计算机病毒n计算机病毒的基本机制n三大模块:传染机制、破坏机制、触发机制 l计算机病毒的传染机制 n指
4、计算机病毒由一个宿主传播到另一个宿主程序,由一 个系统进入另一个系统的过程。 l触发机制 计算机病毒在传染和发作之前,要判断某些特定条件是否 满足,这个条件就是计算机病毒的触发条件。l破坏机制 良性病毒表现为占用内存或硬盘资源。 恶性病毒则会对目标主机系统或信息产生严重破坏。 计算机病毒n被动传播n用户在进行复制磁盘或文件时,把病毒由一 个载体复制到另一个载体上,或者通过网络 把一个病毒程序从一方传递到另一方。n主动传播n计算机病毒以计算机系统的运行及病毒程序处于 激活状态为先决条件,在病毒处于激活状态下, 只要传播条件满足,病毒程序能主动把病毒自身 传播给另一个载体或另一个系统。计算机病毒n
5、概念n一类特殊的恶意代码,可以在计算机系统或 网络中繁殖,由于不依附于其他程序,这种 繁殖使它们看上去是在内存、磁盘或网络中 移动。v它可以n不用计算机使用者干预即可运行的攻击程序 或代码。n它会扫描和攻击网络上存在系统漏洞的节点 主机,通过网络从一个节点传播到另外一个 节点蠕虫蠕虫的特征蠕虫主要特征解释主动攻击从搜索漏洞,到利用搜索结果攻击系统,到攻击 成功后复制副本是全自动。造成网络拥塞1.传播的过程中,蠕虫需要判断感染条件的存在 。 2.同时出于攻击网络的需要,蠕虫也可以产生大 量恶意流量。消耗系统资源搜索目标主机、漏洞、感染其它主机需要消耗资 源;许多蠕虫本身就会恶意耗费系统的资源。反
6、复性即使清除了蠕虫,如果没有修补计算机系统漏洞 ,网络中的计算机还是会被重新感染。破坏性现在蠕虫开始包含其它种类恶意代码,破坏被攻 击的计算机系统,而且造成的损失越来越大。蠕虫16信息收集攻击渗透现场处理通过收集的漏洞 信息尝试攻击,一 旦攻击成功,则获 得控制该主机的权 限,将蠕虫代码渗 透到被攻击主机。按照一定的策 略搜索网络中存活 的主机,收集目标 主机的信息,并远 程进行漏洞的分析 。如果目标主机上 有可以利用的漏洞 则确定为一个可以 攻击的主机,否则 放弃攻击。攻击成功后,要对 被攻击的主机进行 一些处理,将攻击 代码隐藏,为了能 使被攻击主机运行 蠕虫代码,还要通 过注册表将蠕虫程
7、 序设为自启动状态 ;可以完成它想完 成的任何动作,如 恶意占用CPU资源等 。蠕虫n概念n木马是指隐藏在正常程序中的一段具有特殊 功能的恶意代码,是具备破坏和删除文件、 发送密码和记录键盘等的特殊功能的后门程 序。特洛伊木马n木马的组成结构 客户端:安装在攻击者机器上的部分。 服务器端:通过各种手段植入目标机器的部分。木马的特征木马主要特征解释隐蔽性隐蔽性是木马的首要特征。木马类软件的服务端程序 在被控主机系统上运行时,会使用各种方法来隐藏自 己。自动运行性木马程序通过修改系统配置文件,在目标主机系统启 动时自动运行或加载。欺骗性木马程序要达到其长期隐蔽的目的,就必需借助系统 中已有的文件,
8、以防用户发现。自动恢复性很多的木马程序中的功能模块已不再是由单一的文件 组成,而是具有多重备份,可以相互恢复,只删除某 一个木马文件来进行清除是无法清除干净的。破坏或信息收集木马通常具有搜索Cache中的口令、设置口令、扫描 目标机器的IP地址、进行键盘记录、远程注册表的操 作、以及锁定鼠标等功能。 特洛伊木马n木马-“聪明基因”n植入系统后,生成以下三个文件:C:windowsMBBManager.exeC:windowsExplore32.exeC:windowssystemeditor.exe用的都是 HTML文 件图标 关联:MBBManager.exe在启动时加载Explore32.
9、exe关联HLP文件( Windows帮助文件)Editor.exe关联TXT文件 机理 当MBBManager.exe被发现删除,只要打开HLP文件或 文本文件,Explore32.exe和Editor.exe就被激活并再次 生成MBBManager.exe。特洛伊木马木马与病毒、蠕虫的区别是否主动传播是否独立存在木马否是病毒否否蠕虫是是木马与远程控制软件的区别远程控制“善意”的控制,不具有隐蔽性和破坏性木马“恶意”的控制,对目标系统执行恶意操作 或窃取信息特洛伊木马n植入技术,木马植入技术可以大概分为主 动植入与被动植入两类。 主动植入:就是攻击者利用网络攻击技术通过 网络将木马程序植入到
10、远程目标主机,这个行 为过程完全由攻击者主动掌握。 被动植入:是指攻击者预先设置某种环境,然 后被动等待目标系统用户的某种可能的操作, 只有这种操作执行,木马程序才有可能植入目 标系统。特洛伊木马n主动植入技术主要包括 :n利用系统自身漏洞植入n利用第三方软件漏洞植入 n利用即时通信软件发送伪装的木马文件植入 n利用电子邮件发送植入木马 n被动植入主要包括: 软件下载 利用共享文件 利用Autorun文件传播 网页浏览传播特洛伊木马针对Windows系统,木马的自动加载主要有以下方法:特洛伊木马恶意代码生存技术n生存技术主要包括4方面:u反跟踪技术u加密技术u模糊变换技术u自动生产技术n反跟踪
11、技术可以减少被发现的可能性, 加密技术是恶意代码自身保护的重要机 制。24恶意代码生存技术-反跟踪技术恶意代码采用反跟踪技术可以提高自身的伪装 能力和防破译能力,增加检测与清除恶意代码的难 度。n反动态跟踪技术主要包括4方面内容:u禁止跟踪中断。u封锁键盘输入和屏幕显示,破坏各种跟踪调试工 具运行的必需环境;u检测跟踪法。u其它反跟踪技术。n反静态分析技术主要包括两方面内容:u对程序代码分块加密执行u伪指令法(Junk Code)恶意代码生存技术-加密技术n加密技术是恶意代码自我保护的一种手段, 加密技术和反跟踪技术的配合使用,使得分 析者无法正常调试和阅读恶意代码,不知道 恶意代码的工作原理
12、,也无法抽取特征串。n从加密的内容上划分,加密手段分为信息加 密、数据加密和程序代码加密三种。26恶意代码隐蔽技术n利用模糊变换技术,恶意代码每感染一 个客体对象时,潜入宿主程序的代码互 不相同。n模糊变换技术主要分为5种:u指令替换技术u指令压缩技术u指令扩展技术u伪指令技术u重编译技术n恶意代码自动生产技术是针对人工分析 技术的。n多态变换引擎可以使程序代码本身发生变 化,并保持原有功能。27恶意代码隐蔽技术n隐藏通常包括本地隐藏和通信隐藏n其中本地隐藏主要有文件隐藏、进程隐藏、 网络连接隐藏、内核模块隐藏、编译器隐藏 等n通信隐藏主要包括通信内容隐藏和传输通道 隐藏。nRootKit技术
13、n恶意代码的隐藏或多或少都与RootKit技术相 关因此这里重点介绍一下RootKit技术28恶意代码隐蔽技术n本地隐蔽是指为了防止本地系统管理人 员觉察而采取的隐蔽手段。本地系统管 理人员通常使用“查看进程列表”,“查看 目录”,“查看内核模块”,“查看系统网 络连接状态”等管理命令来检测系统是否 被植入了恶意代码。u文件隐蔽u进程隐蔽u网络连接隐蔽u编译器隐蔽u内核模块隐蔽29恶意代码隐蔽技术n使用加密算法对所传输的内容进行加密 能够隐蔽通信内容。隐蔽通信内容虽然 可以保护通信内容,但无法隐蔽通信状 态,因此传输信道的隐蔽也具有重要的 意义。对传输信道的隐蔽主要采用隐蔽 通道技术。n隐蔽通
14、道分为两种类型:u存储隐蔽通道u时间隐蔽通道30恶意代码隐蔽技术Rootkit是指其主要功能为隐藏其他程式进程的软件, 可能是一个或一个以上的软件组合;广义而言 ,Rootkit也可视为一项技术。nWindows平台上最早发现于1999n(NTRootkit, Hoglund):n不同于病毒n非破坏性的信息收集工具n通常运行在核心(更易隐藏)n通常被黑客手工安装n确保能再次进入系统n隐蔽地捕获密码,键击等31Rootkit和木马后门之间的位置对比n应用程序级木马后门: 操作系统之上由 攻击者添加至受害计算机的恶意应用程 序n用户模式Rootkit:木马化操作系统用户 模式应用程序n内核模式Ro
15、otkit:对内核组件的恶意修 改和木马化Rootkit和木马后门之间的位置对比恶意代码攻击技术及植入手段n常见的攻击技术包括:u进程注入技术u三线程技术u端口复用技术u超级管理技术u端口反向连接技术u拒绝服务攻击技术34恶意代码防范技术n基于主机的恶意代码防范方法主要包括:n基于特征的扫描技术n校验和n沙箱技术n安全操作系统对恶意代码的防范,等等。n基于网络的恶意代码防范方法包括:恶意 代码检测防御和恶意代码预警。n常见的恶意代码检测防御如蜜罐技术35僵尸程序与僵尸网络n僵尸程序(Bot)n来自于robot,攻击者用于一对多控制目标 主机的恶意代码n僵尸网络(BotNet)n攻击者出于恶意目
16、的,传播僵尸程序控制 大量主机,并通过一对多的命令与控制信 道所组成的网络。n定义特性:一对多的命令与控制通道的使 用。n僵尸网络危害提供通用攻击平台n分布式拒绝服务攻击n发送垃圾邮件n窃取敏感信息n点击欺诈僵尸网络类型nIRC僵尸网络n传统僵尸网络-基于IRC互联网实时聊天协 议构建n著名案例: sdbot, agobot等nHTTP僵尸网络n僵尸网络控制器Web网站方式构建n僵尸程序中的命令与控制模块:通过 HTTP协议向控制器注册并获取控制命令n著名案例: bobax, rustock, 霸王弹窗nP2P僵尸网络n命令与控制模块的实现机制P2P协议nP2P僵尸程序同时承担客户端和服务器的 双重角色n著名案例: storm Worm38n拒绝服务攻击2000年2月雅虎网站遭到攻击,致使雅虎的网络 服务停顿了近三个小时。 1. DoS攻击的基本过程 首先攻击者向服务器发送众多的带有虚假地址的请求, 服务器发送回复信息后等待回传信息,由于地址是伪造的, 因此服务器一直等不到回传的消息,分
