《计算机病毒事故紧急救援系统》由会员分享,可在线阅读,更多相关《计算机病毒事故紧急救援系统(72页珍藏版)》请在金锄头文库上搜索。
1、计算机病毒事故 紧急救援系统,韩涌,议程安排,电脑部风险因素及通常的管理措施 网络病毒将导致新的安全问题 混合攻击威胁到金融交易系统 具有混合攻击能力的病毒 趋势科技EPS II 解决方案 建立计算机病毒应急救援中心,内容介绍,电脑部风险因素及通常的管理措施,电脑部风险因素及通常的管理措施,电脑系统风险因素 系统风险 硬件部分 电力供给设备系统保障风险 电脑、网络及周边设备 安防系统风险 通讯线路,电脑部风险因素及通常的管理措施,电脑系统风险因素 系统风险 软件部分 操作系统、数据库、应用软件的安全等级 网络入侵及恶意操作 计算机病毒 数据完整性、机密性及可恢复性 灾难备份及恢复,电脑部风险因
2、素及通常的管理措施,电脑系统风险因素 管理风险 日常差错 业务、资金权限 违规操作 系统升级及参数设置修改 泄密,计算机病毒风险及通常的防护手段,计算机病毒风险及通常的防护手段 柜台交易系统死机 ATM网络中断 办公系统运行缓慢 办公网阻塞 财务及其他业务数据丢失(多数EXCEL表) 莫名其妙的电子邮件 网络打印失灵 后台系统数据被监听、窜改,计算机病毒风险及通常的防护手段,各金融机构目前已经采用的防范措施 1 安装经公安部认证检测过的计算机防病毒软件 单机(95/98/ME) 网关(SMTP/POP3/HTTP/FTP) 服务器(NT/2000/NETWARE/UNIX) 邮件(NOTES,
3、EXCHANGE) 中央管控系统(Management Console) 2. 设立专职人员负责全辖范围内的计算机病毒维护,升级及防范工作。 3. 杜绝使用外来软盘、光盘及游戏程序等未经检查的软件,阻断病毒传播的来源。 4. 建立计算机病毒防范管理制度,对个人的上机操作,登录密码,上网,软件使用及升级作出规范。 5. 发现病毒及时隔离,由各级人员指导查杀工作,并形成报告制度。,内容介绍,网络病毒将导致新的安全问题,确定为邮件型病毒 ,网络病毒将导致新的安全问题,资料来源:ICSA 实验室 2002年流行病毒调查报告,病毒的传染途径被分成7类: 1. 电子邮件 2. 互联网下载 3. WEB浏览
4、 4. 第三方设备 5. 软件分发 6. 磁盘 7. 未知,网络病毒将导致新的安全问题,资料来源:ICSA 实验室 2002年流行病毒调查报告,在绝大多数机构内部, 对于通过磁盘交叉使用而感染病毒的途径已经得到控制, 但对于通过网络进行传播的病毒依然束手无策,网络病毒将导致新的安全问题,网络病毒特征: 1. 网络病毒主要通过无形介质进行传播 2. 网络病毒的传播仅需要几个小时的时间,并且越来越快 3. 网络病毒多数利用系统注册表、电子邮件附件、网络攻击漏洞等 方式实现驻留并控制系统 4. 网络病毒不怕暴露特征码明文给防病毒软件,因为只要连着网, 即使被防毒软件杀灭,它们也有机会再复制回来 5.
5、 网络病毒的破坏性变得相对隐蔽,网络病毒将导致新的安全问题,资料来源:ISS Reponse Strategies For Hybrid Threats,在10年的时间里,计算机病毒向全球扩散的速度居然提高了5000多倍,网络病毒将导致新的安全问题,网络病毒的潜在性破坏,a) 监听密码 b) 运行外来应用程序 c) 替换系统密钥 d) 截获屏幕显示信息 e) 远程控制键盘、鼠标 f) 启动/中止系统进程 g) 关闭系统 h) 阻塞网络,网络病毒将导致新的安全问题,由于这些差别非常之大,以至于有时候很难戒定是网络入侵还是病毒, 这些差别在挑战着安全管理人员的同时也挑战着厂商的安全防范系统, 它是
6、否还能够抵御网络病毒的入侵?,内容介绍,混合攻击威胁到金融交易系统,混合攻击威胁到金融交易系统,新一代的网络病毒会带来新一代的网络攻击方式,混合攻击(Hybrid Attack),1.攻击可以不是人为的,而是由计算机病毒或更复杂的攻击系统(攻击树)自动发出的 2.来自外部的入侵感染模型在爆发时多数呈现不均匀分布 3.现有的攻击技术可以自动生成更复杂、更为系统化的攻击工具,混合攻击威胁到金融交易系统,资料来源:Cert -02tr039,来自外部的入侵感染模型显示,在爆发时多数呈现不均匀分布,混合攻击威胁到金融交易系统,来自外部的入侵感染模型显示,在爆发时多数呈现不均匀分布,混合攻击威胁到金融交
7、易系统,现有的攻击技术可以自动生成更复杂、更为系统化的攻击工具,1、组合攻击因子。通常包括启动因子(最为核心部分,负责通讯),传播因子(可组合),入侵因子,控制指令解码(被加密),监听因子,自毁因子等。 2、生成攻击树。向攻击目标释放含有不同因子的攻击树,并监控其渗透过程。 3、建立指令通道。启动因子利用控制引擎建立指令通道,负责攻击树内部及攻击树之间互相通讯 4、建立攻击通道。启动因子利用入侵因子建立攻击通道,在攻击树之间进行路由运算。 5、获取合法身份。启动因子利用监听因子实现获取包括证书备份,截获屏幕(如果网上银行系统不用键盘输入口令),监听口令等动作 5、内部、外部攻击。注意防火墙这时
8、候不起作用,证书和口令也许均被截获,攻击完全从内部合法发出。 6、自我销毁。,混合攻击威胁到金融交易系统,现有的攻击技术可以自动生成更复杂、更为系统化的攻击工具,攻击树及攻击子集资料来源:CERTAttack Modeling for information Security and Survivability,混合攻击威胁到金融交易系统,缓存溢出(buffer overflow)入侵因子,目的:利用缓存溢出漏洞向目标系统释放恶意代吗 条件:攻击者能够在目标系统运行特定程序 攻击: AND 1.识别目标系统可疑的缓存溢出漏洞 2.确定在当前权限下可以运行的攻击程序 3.制作参数及SHELL C
9、ODE 4.运行程序以覆盖返回地址并跳转执行SHELL CODE 事后处理:确保程序正常返回并清理记录,混合攻击威胁到金融交易系统,一个形象的混合攻击过程,l 防火墙:请出示工作证 l 电子邮件混合攻击:我是正常的电子邮件 l 防火墙:可以,校验通过 l 电子邮件混合攻击:启动进入邮件服务器及办公系统,并截获其他人的邮件地址 l 电子邮件混合攻击:现已进入邮件系统,处于防火墙之内,可以在网络内部发起攻击了 l 电子邮件混合攻击:感染通讯因子并生成监听因子,生成攻击通道 l 电子邮件混合攻击:发现与预先设定的触发模式吻合,应该是生产交易系统,开始下载攻击工具 l 电子邮件混合攻击:攻击开始,并从
10、系统内部发出,身份获得伪装 l 生产交易系统:请出示身份证 l 电子邮件混合攻击:给出伪装身份证 l 生产交易系统:可以,校验通过 l 电子邮件混合攻击:利用攻击通道通知远端控制台攻击过程 l 电子邮件混合攻击:攻击成功。传出加密数据,自毁。 电子邮件混合攻击:攻击失败。清理现场,下载新的攻击因子,尝试继续攻击。,内容介绍,具有混合攻击能力的病毒,具有混合攻击能力的计算机病毒,SQL蠕虫 病毒体376字节 生存方式驻留内存感染 受攻击系统 Microsoft SQL Server 2000 SP2 Microsoft SQL Server 2000 SP1 Microsoft SQL Serv
11、er 2000 Desktop Engine Microsoft SQL Server 2000 - Microsoft Windows NT 4.0 SP6a - Microsoft Windows NT 4.0 SP6 - Microsoft Windows NT 4.0 SP5 - Microsoft Windows NT 4.0 - Microsoft Windows 2000 Server SP3 - Microsoft Windows 2000 Server SP2 - Microsoft Windows 2000 Server SP1 - Microsoft Windows 20
12、00,具有混合攻击能力的计算机病毒,SQL蠕虫 传播方式 SQL Resolution Service Buffer Overflow (UDP/1434)* 攻击方式DoS (UDP Flood)* HKLMSoftwareMicrosoftMicrosoft SQL Server %s%sMSSQLServerCurrentVersion *Microsoft 2002/07/25发布 *CERT Advisory 1996/02/08发布,具有混合攻击能力的计算机病毒,该恶意病毒采用了结合蠕虫和后门程序等多种特性的方式。在传播中,它会向网络中的共享文件夹中散布自身。而同时作为后门攻击程序
13、,它会打开一个网络端口(默认情况为”10168”),从而允许远端访问者控制和操作整个受感染的系统;同时还向2个邮箱通知受感染系统的情况: ,,Worm_LoveGate.C 爱虫,具有混合攻击能力的计算机病毒,将文件放置在系统目录下。通常为: C:WindowsSystem,Windows 9x 系统中 C:WinNTSystem32 in Windows NT/2K 系统中 文件名称(都是79KB大小): WinRpcsrv.e syshelp.exe winrpc.exe WinGate.exe rpcsrv.exe,具有混合攻击能力的计算机病毒,自动运行 添加注册表键值 HKEY_LO
14、CAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,具有混合攻击能力的计算机病毒,如图所示:,具有混合攻击能力的计算机病毒,其它注册表键值 该键值由病毒添加,目的是通过修改注册表使得每次用户打开TXT文件时,病毒即可自动运行 注册表键值如下: HKEY_CLASSES_ROOTtxtfileshellopencommand “C:WINDOWSNOTEPAD.EXE %1“ “winrpc.exe %1“ HKEY_LOCAL_MACHINESoftwareCLASSEStxtfileshellopencommand “C:WINDOWSN
15、OTEPAD.EXE %1“ “winrpc.exe %1“,具有混合攻击能力的计算机病毒,INI 文件 病毒会通过修改Win.ini文件的方式,使得自己可以自动运行,具有混合攻击能力的计算机病毒,网络传播. 病毒会通过网络共享将自身复制到具有读写权限的网络共享文件夹中,具有混合攻击能力的计算机病毒,感染后的其它特征: 在命令行模式下,运行NETSTAT A,可观察到10168端口已经被打开,MSBlaster.A - Details,病毒详细描述 自启动技术以及常驻内存检验 在运行时,该蠕虫会在注册表中建立如下自启动项目以使得系统启动时自身能得到执行: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun, Windows auto update“ = MSBLAST.EXE 然后检查自身是否已常驻内存,如果已在内存中运行,则停止继续运行。 如果继续运行,则检查当前计算机是否有可用的网络连接。如果没有连接,则休眠10秒然后再
