460 likes | 675 Views
网络安全之病毒、木马攻防. 中国科技网 研发部 龙春 clong@cstnet.cn 2004.10. 目录. 系统漏洞及常见网络攻击手段 病毒(蠕虫)技术发展及防范 木马技术介绍及防范措施. 2003年 CERT 报告了3784个漏洞. 2003年微软共公布51个安全公告 2004年截止到8.10共公布26个安全公告. 系统漏洞. 2003年的重大漏洞 2003.3 RPC 漏洞 —— 冲击波 Worm Blaster 、 Worm.SdBotRPC、Worm.AutoRooter (8 月)等 5月 SendMail 被发现存在严重安全漏洞
E N D
网络安全之病毒、木马攻防 中国科技网 研发部 龙春 clong@cstnet.cn 2004.10 中国科技网
目录 • 系统漏洞及常见网络攻击手段 • 病毒(蠕虫)技术发展及防范 • 木马技术介绍及防范措施 中国科技网
2003年CERT报告了3784个漏洞 中国科技网
2003年微软共公布51个安全公告 • 2004年截止到8.10共公布26个安全公告 中国科技网
系统漏洞 • 2003年的重大漏洞 • 2003.3 RPC漏洞 ——冲击波Worm Blaster、Worm.SdBotRPC、Worm.AutoRooter (8月)等 • 5月 SendMail被发现存在严重安全漏洞 • 6月 IIS被发现存在4个严重漏洞 • 7月 针对Cisco路由设备的攻击漏洞 • 10月 Windows Message服务被发现存在严重漏洞 ………… 中国科技网
2004年的重大漏洞 • 2004.4 微软MS04-011、012、013远程执行代码漏洞 ——“震荡波”及变种(I-Worm/Sasser) • 2004.6 Cisco IOS拒绝服务漏洞 • 苹果Mac系统首发重大漏洞 • 2004.7 Microsoft Task Scheduler和HTML帮助远程控制漏洞 • 2004.8 Oracle发现多个重大安全漏洞 中国科技网
攻击方式 • 利用邮件附件,诱骗受害者打开 • 构建恶意网站,并诱使受害者访问。 中国科技网
攻击方式 • 利用系统漏洞 如震荡波Worm.sasser,利用微软MS04-011公告lsass.exe缓冲区溢出漏洞。系统中病毒后TCP的1068端口开始搜寻可能传播的IP地址,系统将开启上百个线程去攻击他人,如果发现开放了445、5554等端口,并且没有打补丁的机器就会中病毒。 中国科技网
面对漏洞我们应该怎么做? • 打补丁。以往的统计数字表明,及时打补丁能有效防止大多数病毒爆发。 中国科技网
补丁危机 “这是一个永不停止的循环,让人们拼命追赶” - 丰田公司 “每隔 30-60 天,我们就得在 110 个点分别安装一遍补丁” - 美国空军 来源: Forbes, 2003年5月 26日 中国科技网
怎样打补丁? • 对用户进行安全培训,形成定期更新系统的习惯。 • Windows系统尽量开启自动定时更新,以减少网络管理人员的工作量。 • 对重要系统实行手动更新,更新前做好备份和记录工作。 • 在需要打补丁的系统数量多的情况下,使用补丁管理系统,实现补丁的扫描、分发和安装。 1、系统管理服务器(Systems Management Server, SMS) 2、终端服务(Terminal services) 3、AppExpress、Landesk 中国科技网
目录 • 系统漏洞及常见网络攻击手段 • 病毒(蠕虫)技术发展及防范 • 木马技术介绍及防范措施 中国科技网
病毒的分类 • 引导区病毒 • DOS 病毒 • Windows 病毒 • 宏病毒 • Script 病毒 • Java 病毒 1995年以前 1996 - 1998年 1999年以後 中国科技网
其他 • 特洛伊木马 • 蠕虫 • 恶作剧程序 • 黑客工具 中国科技网
邮件/互联网 邮件 物理介质 Apple 1,2,3 Brain Good Times Bubbleboy Melissa Love Letter Code Red Nimda Goner 1981 1986 1994 1999 2000 2001 2002 当今病毒演化趋势 病毒演化趋势 攻击和威胁转移到服务器和互连网网关,对之提出新的安全挑战 IDC, 2002 中国科技网
病毒的发展趋势 • 病毒更新换代向多元化发展 • 依赖网络进行传播 • 攻击方式多样(邮件87%,网页,局域网等) • 利用系统漏洞成为病毒有力的传播方式 • 病毒与黑客技术相融合 • 伪装的更巧妙。 “网络天空” 及变种(I-Worm/NetSky)甚至充当震荡波变种b的专杀工具。同时也还能伪装成一些非常流行的病毒的专杀工具,它们是大名鼎鼎的:冲击波、MYDOOM、雏鹰等网络蠕虫。 中国科技网
病毒的传播速度越来越快 • 病毒散布有“多快”(从最初被发现到大量主机被感染) • 1997 : WM/Cap : 2 个月 • 1999 : WM/Melissa : 1 天 • 2000 : VBS/Loveletter: 4 小时 • 2001 : CodeRed : 1 小时 • 2004 : worm.witty :半小时 中国科技网
病毒的危害越来越大 • 占用系统资源,使被感染主机运行速度变得极为缓慢甚至崩溃,正常应用无法运行。 • 占用大量网络带宽,甚至使网络瘫痪。 • 对特定著名服务器发动DOS攻击。如微软、yahoo、google等。 • 反复重启系统,如冲击波、震荡波等 • 攻击防病毒软件。 • 放置木马、后门,偷取商业信息及个人、企业用户的隐私。 • 其他 中国科技网
病毒带来的威胁 • 近年来全球重大电脑病毒疫情及损失的统计图: 中国科技网
实例:SQL Slammer 中国科技网
Internet/HTTP 病毒入侵途径 中毒的网站主机 网页夹带HTTP病毒指令 Firewall Router 用户机虽已经安装防病毒软件,但病毒(HTTP指令格式)经由网页浏览,透过IE的安全性漏洞,直接感染用户机 有安装防毒软件的用户机 中国科技网
我们的应对措施 病毒防治,对企业而言已是一个整体安全问题,不再是单纯的买几套装软件就可以解决问题的。 企业需要集中管理Central Control。 系统维护, 病毒特征码定期,及時更新... 找出并有效防堵所有病毒入侵管道。 中国科技网
如何才能有效防治病毒 • 预防为主 + 紧急措施 • 建立局域网内部的升级系统,包括各种操作系统的补丁升级,各种常用的应用软件升级,各种杀毒软件病毒库的升级。 • 对邮件服务器进行监控,防止带毒邮件进行传播。 • 对局域网用户进行安全培训 • 去掉服务器中不必要的共享和服务 是否能在最短的时间内获得新的系统漏洞 和病毒特征技术服务是关键所在 中国科技网
如何才能有效防治病毒 • 控制传染源 • Internet网关 • 90%病毒的入侵渠道 • 网络客户机 • 其余10%病毒的入侵渠道 中国科技网
如何才能有效防治病毒 • 控制病毒的扩散途径 • 邮件服务器 • Web服务器 • 文件服务器 • 客户端、PC安装反病毒防火墙 • 培训,养成不打开来历不明的邮件的习惯。尤其不要打开附件。 中国科技网
如何才能有效防治病毒 • 选择最快的升级途径,包括对操作系统和反病毒软件的升级。 • 通过Internet升级进行每天/每小时的升级 • 企业网内防毒产品自动部署机制 • 安装,随时升级 中国科技网
如何才能有效防治病毒 • 集中的管理 • 集中的病毒警报机制 • 集中的安全产品部署、策略部署和升级机制 • 集中的系统日志、报告机制 中国科技网
目录 • 系统漏洞及常见网络攻击手段 • 病毒(蠕虫)技术发展及防范 • 木马技术介绍及防范措施 中国科技网
最危险的敌人--木马 • 木马,其实质只是一个非法的、未经许可安装和运行的网络客户端/服务器程序。 • 有明确的窃取敏感信息和恶意控制主机的意图,如窃取银行帐户密码。 • 非常隐蔽,非专业人员很难发现其踪迹。 • 难以清除。 • 对受害者造成的损失巨大。 中国科技网
凡是你在PC前所说、所做的一切,都有可能被记录!凡是你在PC前所说、所做的一切,都有可能被记录! • 木马具有捕获每一个用户屏幕、每一次键击事件的能力。 • 完全的控制宿主主机。可以打开摄像头、麦克风,并将得到的图像、声音传给木马控制者(2004.6发现的蜜蜂大盗)。 • 带有包嗅探器,它能够捕获和分析流经网卡的每一个数据包 • 随意操控PC本身资源的能力,而且还能够冒充PC合法用户,例如冒充合法用户发送邮件、修改文档,甚至进行银行转帐操作。 中国科技网
Back Orifice 中国科技网
网银大盗(II)木马 • 盗取包括工商银行、招商银行、建设银行、交通银行、深圳发展银行、民生银行、华夏银行、上海银行等8个银行及首都电子商城、中国在线支付网、银联支付网关等三家网上支付机构的帐号、密码、验证码等 • 每隔10毫秒检查一次用户是否正在使用涉及到的银行“个人网上银行”的登陆界面 • 记录用户键入的所有键盘记录 • 每隔60秒搜索一次记录数据,然后把窃取到的信息以get方式发送到指定的http://*****.com/****/get.asp 中国科技网
木马的植入 • 利用系统漏洞,远程下载并执行木马安装程序。 • 捆绑在下载的其他软件中,用户安装该软件的同时安装木马。 • 伪装为其他软件(如破解工具、漂亮的屏保等)。 • 利用IE漏洞可以通过Script、ActiveX及Asp、PHP、Cgi等交互脚本的方式植入。 • 社会工程(如谎称是朋友寄给你的贺卡)。 中国科技网
木马的隐藏 • 在任务栏里隐形 • 在任务管理器里隐形 • 无进程、无端口的DLL(动态链接库)木马 中国科技网
木马的启动方式 • 自动启动(注册表、win.ini、system.ini等) • 捆绑到其他的程序上(如:phAse 1.0版本和NetBus 1.53) • Dll的形式注入到系统服务中,随服务的启动而启动 中国科技网
反弹技术 • 反弹技术:由木马服务端主动连接客户端,因此在互联网上可以访问到局域网里通过 NAT 代理(透明代理)上网的电脑,并且可以穿过防火墙。 中国科技网
多线程技术 • 一个木马同时运行多个线程。例如:三个线程,其中一个为主线程,负责远程控制的工作。另外两个为辅助线程,其中一个辅助线程称为监视线程,它负责检查木马程序是否被删除和是否被停止自启动。 中国科技网
防范--御敌于门外 • 不要打开来历不明的文件,包括邮件附件和P2P软件发过来的文件。 • 非必须打开的服务、端口全部关闭。 • 保持操作系统的更新,减少漏洞。 • 安装个人防火墙软件。 • 下载软件要到可信的知名网站。并仔细阅读安装说明。 中国科技网
警惕--我中木马了吗? • 留意系统一些可疑状况,如系统速度突然变慢、CPU利用率上升、没有进行任何网络相关操作时、网络连接显示在接收和发送数据、硬盘频繁读盘等。 • 使用工具(如netstat -a、TcpView等)查看是否有可疑的连接 • 查看c:\、c:\windows、c:\windows\system、 c:\windows\system32等位置有没有可疑文件 • 查看注册表特定位置有没有可疑的信息 中国科技网
警惕--我中木马了吗?--Netstat -a 中国科技网
警惕--我中木马了吗? --Tcpview 中国科技网
发现中木马后:亡羊补牢,斩断黑手 • 立即断开网络连接 • 所有的账号和密码都要马上更改,例如网上银行,拨号连接,ICQ,FTP,你的个人站点,免费邮箱等等,凡是需要密码的地方,你都要把密码尽快改过来。 • 根据发现的线索确定木马的名称版本,在备份好重要数据之后,用专杀工具或手动清除木马。 中国科技网
手动清除 • 停止木马进程,无法停止的话需要进入纯Dos模式。 • 清除自启动的途径,包括注册表、 autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等 • 删除木马体,如冰河的kernel32.exe、sysexplr.exe • 清除文件关联 中国科技网
木马清除工具--木马克星 中国科技网
木马清除工具--Trojan Remover 中国科技网
谢谢各位领导! 中国科技网