網(wǎng)絡(luò)安全基礎(chǔ)講座

網(wǎng)絡(luò)安全之病毒、木馬攻防中國(guó)科技網(wǎng)研發(fā)部龍春

clong@2004.10目錄系統(tǒng)漏洞及常見網(wǎng)絡(luò)攻擊手段

病毒（蠕蟲）技術(shù)發(fā)展及防范

木馬技術(shù)介紹及防范措施

2003年CERT報(bào)告了3784個(gè)漏洞2003年微軟共公布51個(gè)安全公告2004年截止到8.10共公布26個(gè)安全公告系統(tǒng)漏洞2003年的重大漏洞2003.3RPC漏洞——沖擊波WormBlaster、Worm.SdBotRPC、Worm.AutoRooter（8月）等5月SendMail被發(fā)現(xiàn)存在嚴(yán)重安全漏洞6月IIS被發(fā)現(xiàn)存在4個(gè)嚴(yán)重漏洞7月針對(duì)Cisco路由設(shè)備的攻擊漏洞10月WindowsMessage服務(wù)被發(fā)現(xiàn)存在嚴(yán)重漏洞…………2004年的重大漏洞2004.4微軟MS04-011、012、013遠(yuǎn)程執(zhí)行代碼漏洞——“震蕩波”及變種（I-Worm/Sasser）2004.6CiscoIOS拒絕服務(wù)漏洞蘋果Mac系統(tǒng)首發(fā)重大漏洞2004.7MicrosoftTaskScheduler和HTML幫助遠(yuǎn)程控制漏洞2004.8Oracle發(fā)現(xiàn)多個(gè)重大安全漏洞攻擊方式利用郵件附件，誘騙受害者打開構(gòu)建惡意網(wǎng)站，并誘使受害者訪問。攻擊方式利用系統(tǒng)漏洞

如震蕩波Worm.sasser，利用微軟MS04-011公告lsass.exe緩沖區(qū)溢出漏洞。系統(tǒng)中病毒后TCP的1068端口開始搜尋可能傳播的IP地址，系統(tǒng)將開啟上百個(gè)線程去攻擊他人，如果發(fā)現(xiàn)開放了445、5554等端口，并且沒有打補(bǔ)丁的機(jī)器就會(huì)中病毒。面對(duì)漏洞我們應(yīng)該怎么做？打補(bǔ)丁。以往的統(tǒng)計(jì)數(shù)字表明，及時(shí)打補(bǔ)丁能有效防止大多數(shù)病毒爆發(fā)。攻擊名稱補(bǔ)丁發(fā)布日期攻擊開始日期我們可利用的時(shí)間Worm.sasser2004年4月13日2004年5月1日18天MSBlaster2003年7月15日2003年8月10日26天Trojan.Kaht2003年3月17日2003年5月5日49天SQLSlammer2002年7月24日2003年1月24日184天Klez-E2001年3月29日2002年1月17日294天Nimda2000年10月17日2001年9月18日336天補(bǔ)丁危機(jī)“每隔30-60天，我們就得在110個(gè)點(diǎn)分別安裝一遍補(bǔ)丁”

-美國(guó)空軍“這是一個(gè)永不停止的循環(huán)，讓人們拼命追趕”

-豐田公司來源:Forbes,2003年5月26日怎樣打補(bǔ)??？？對(duì)用戶進(jìn)行安安全培訓(xùn)，形形成定期更新新系統(tǒng)的習(xí)慣慣。Windows系統(tǒng)盡量開啟啟自動(dòng)定時(shí)更更新，以減少少網(wǎng)絡(luò)管理人人員的工作量量。對(duì)重要系統(tǒng)實(shí)實(shí)行手動(dòng)更新新，更新前做做好備份和記記錄工作。在需要打補(bǔ)丁丁的系統(tǒng)數(shù)量量多的情況下下，使用補(bǔ)丁丁管理系統(tǒng)，，實(shí)現(xiàn)補(bǔ)丁的的掃描、分發(fā)發(fā)和安裝。1、系統(tǒng)管理理服務(wù)器（SystemsManagementServer，，SMS）2、終端服務(wù)（Terminalservices）3、AppExpress、Landesk目錄系統(tǒng)漏洞及常常見網(wǎng)絡(luò)攻擊擊手段病毒（蠕蟲））技術(shù)發(fā)展及及防范木馬技術(shù)介紹紹及防范措施施病毒的分類引導(dǎo)區(qū)病毒DOS病毒

宏病毒

Script病毒

Java病毒1995年以以前1996-1998年1999年以以後其他特洛伊木馬蠕蟲惡作劇程序黑客工具當(dāng)今病毒演化化趨勢(shì)攻擊和威脅轉(zhuǎn)轉(zhuǎn)移到服務(wù)器器和互連網(wǎng)網(wǎng)網(wǎng)關(guān)，對(duì)之提提出新的安全全挑戰(zhàn)IDC,2002郵件/互聯(lián)網(wǎng)CodeRedNimdaGoner20012002郵件BubbleboyMelissa19992000LoveLetter1981物理介質(zhì)Apple1,2,3Brain19861994GoodTimes病毒演化趨勢(shì)勢(shì)病毒的發(fā)展趨趨勢(shì)病毒更新?lián)Q代代向多元化發(fā)發(fā)展依賴網(wǎng)網(wǎng)絡(luò)進(jìn)進(jìn)行傳傳播攻擊方方式多多樣（（郵件件87%，，網(wǎng)頁頁，局局域網(wǎng)網(wǎng)等））利用系系統(tǒng)漏漏洞成成為病病毒有有力的的傳播播方式式病毒與與黑客客技術(shù)術(shù)相融融合偽裝的的更巧巧妙。。“網(wǎng)絡(luò)絡(luò)天空空”及及變變種（（I-Worm/NetSky）甚至充充當(dāng)震震蕩波波變種種b的專殺殺工具具。同同時(shí)也也還能能偽裝裝成一一些非非常流流行的的病毒毒的專專殺工工具，，它們們是大大名鼎鼎鼎的的：沖沖擊波波、MYDOOM、、雛鷹等等網(wǎng)絡(luò)絡(luò)蠕蟲蟲。病毒的的傳播播速度度越來來越快快病毒散散布有有“多多快””（從從最初初被發(fā)發(fā)現(xiàn)到到大量量主機(jī)機(jī)被感感染））1997:WM/Cap:2個(gè)月1999:WM/Melissa:1天2000:VBS/Loveletter:4小時(shí)2001:CodeRed:1小時(shí)2004:worm.witty:半小時(shí)時(shí)病毒的的危害害越來來越大大占用系系統(tǒng)資資源，，使被被感染染主機(jī)機(jī)運(yùn)行行速度度變得得極為為緩慢慢甚至至崩潰潰，正正常應(yīng)應(yīng)用無無法運(yùn)運(yùn)行。。占用大大量網(wǎng)網(wǎng)絡(luò)帶帶寬，，甚至至使網(wǎng)網(wǎng)絡(luò)癱癱瘓。。對(duì)特定定著名名服務(wù)務(wù)器發(fā)發(fā)動(dòng)DOS攻擊。。如微微軟、、yahoo、google等。反復(fù)重重啟系系統(tǒng)，，如沖沖擊波波、震震蕩波波等攻擊防防病毒毒軟件件。放置木木馬、、后門門，偷偷取商商業(yè)信信息及及個(gè)人人、企企業(yè)用用戶的的隱私私。其他病毒帶帶來的的威脅脅近年來來全球球重大大電腦腦病毒毒疫情情及損損失的的統(tǒng)計(jì)計(jì)圖：：實(shí)例：：SQLSlammer病毒入入侵途途徑有安裝裝防毒毒軟件件的用用戶機(jī)機(jī)RouterFirewallInternet/HTTP中毒的的網(wǎng)站站主機(jī)機(jī)網(wǎng)頁夾夾帶HTTP病毒指指令用戶機(jī)機(jī)雖已已經(jīng)安安裝防防病毒毒軟件件,但但病毒毒(HTTP指令格格式)經(jīng)由由網(wǎng)頁頁瀏覽覽,透透過IE的安全性漏漏洞,直接接感染用戶戶機(jī)我們的應(yīng)對(duì)對(duì)措施病毒防治，對(duì)企業(yè)而言已是一個(gè)整體安全問題，不再是單純的買幾套裝軟件就可以解解決問題的。企業(yè)需要集中管理CentralControl。系統(tǒng)維護(hù),病毒特征碼碼定期，及時(shí)時(shí)更新...找出并有效防堵所所有病毒入入侵管道。如何才能有有效防治病病毒預(yù)防為主+緊急急措施建立局域網(wǎng)網(wǎng)內(nèi)部的升升級(jí)系統(tǒng)，，包括各種種操作系統(tǒng)統(tǒng)的補(bǔ)丁升升級(jí)，各種種常用的應(yīng)應(yīng)用軟件升升級(jí)，各種種殺毒軟件件病毒庫的的升級(jí)。對(duì)郵件服務(wù)務(wù)器進(jìn)行監(jiān)監(jiān)控，防止止帶毒郵件件進(jìn)行傳播播。對(duì)局域網(wǎng)用用戶進(jìn)行安安全培訓(xùn)去掉服務(wù)器器中不必要要的共享和和服務(wù)是否能在最最短的時(shí)間間內(nèi)獲得新新的系統(tǒng)漏漏洞和病毒特征征技術(shù)服務(wù)務(wù)是關(guān)鍵所所在如何才能有有效防治病病毒控制傳染源源Internet網(wǎng)關(guān)90%病毒毒的入侵渠渠道網(wǎng)絡(luò)客戶機(jī)機(jī)其余10%病毒的入入侵渠道如何才能有有效防治病病毒控制病毒的的擴(kuò)散途徑徑郵件服務(wù)器器Web服務(wù)器文件服務(wù)器器客戶端、PC安裝反病毒毒防火墻培訓(xùn)，養(yǎng)成成不打開來來歷不明的的郵件的習(xí)習(xí)慣。尤其其不要打開開附件。如何才能有有效防治病病毒選擇最快的的升級(jí)途徑徑，包括對(duì)對(duì)操作系統(tǒng)統(tǒng)和反病毒毒軟件的升升級(jí)。通過Internet升級(jí)進(jìn)行每每天/每小小時(shí)的升級(jí)級(jí)企業(yè)網(wǎng)內(nèi)防防毒產(chǎn)品自自動(dòng)部署機(jī)機(jī)制安裝，隨時(shí)時(shí)升級(jí)如何才能有有效防治病病毒集中的管理理集中的病毒毒警報(bào)機(jī)制制集中的安全全產(chǎn)品部署署、策略部部署和升級(jí)級(jí)機(jī)制集中的系統(tǒng)統(tǒng)日志、報(bào)報(bào)告機(jī)制目錄系統(tǒng)漏洞及及常見網(wǎng)絡(luò)絡(luò)攻擊手段段病毒（蠕蟲蟲）技術(shù)發(fā)發(fā)展及防范范木馬技術(shù)介介紹及防范范措施最危險(xiǎn)的敵敵人－－木木馬木馬，其實(shí)實(shí)質(zhì)只是一一個(gè)非法的的、未經(jīng)許許可安裝和和運(yùn)行的網(wǎng)網(wǎng)絡(luò)客戶端端/服務(wù)器器程序。有明確的竊竊取敏感信信息和惡意意控制主機(jī)機(jī)的意圖，，如竊取銀銀行帳戶密密碼。非常隱蔽，，非專業(yè)人人員很難發(fā)發(fā)現(xiàn)其蹤跡跡。難以清除。。對(duì)受害者造造成的損失失巨大。凡是你在PC前所說說、所做的的一切，都都有可能被被記錄！木馬具有捕捕獲每一個(gè)個(gè)用戶屏幕幕、每一次次鍵擊事件件的能力。。完全的控制制宿主主機(jī)機(jī)?？梢源虼蜷_攝像頭頭、麥克風(fēng)風(fēng)，并將得得到的圖像像、聲音傳傳給木馬控控制者（2004.6發(fā)現(xiàn)的的蜜蜂大盜盜）。帶有包嗅探探器，它能能夠捕獲和和分析流經(jīng)經(jīng)網(wǎng)卡的每每一個(gè)數(shù)據(jù)據(jù)包隨意操控PC本身資源的的能力，而而且還能夠夠冒充PC合法用戶，，例如冒充充合法用戶戶發(fā)送郵件件、修改文文檔，甚至至進(jìn)行銀行行轉(zhuǎn)帳操作作。BackOrifice網(wǎng)銀大盜（（II）木木馬盜取包括工工商銀行、、招商銀行行、建設(shè)銀銀行、交通通銀行、深深圳發(fā)展銀銀行、民生生銀行、華華夏銀行、、上海銀行行等8個(gè)銀銀行及首都都電子商城城、中國(guó)在在線支付網(wǎng)網(wǎng)、銀聯(lián)支支付網(wǎng)關(guān)等等三家網(wǎng)上上支付機(jī)構(gòu)構(gòu)的帳號(hào)、、密碼、驗(yàn)驗(yàn)證碼等每隔10毫毫秒檢查一一次用戶是是否正在使使用涉及到到的銀行““個(gè)人網(wǎng)上上銀行”的的登陸界面面記錄用戶鍵鍵入的所有有鍵盤記錄錄每隔60秒秒搜索一次次記錄數(shù)據(jù)據(jù)，然后把把竊取到的的信息以get方式發(fā)送到到指定的http://*****.com/****/get.asp木馬的植入入利用系統(tǒng)漏漏洞，遠(yuǎn)程程下載并執(zhí)執(zhí)行木馬安安裝程序。。捆綁在下載載的其他軟軟件中，用用戶安裝該該軟件的同同時(shí)安裝木木馬。偽裝為其他他軟件（如如破解工具具、漂亮的的屏保等））。利用IE漏洞可以通通過Script、ActiveX及Asp、PHP、Cgi等交互腳本本的方式植植入。社會(huì)工程（（如謊稱是是朋友寄給給你的賀卡卡）。木馬的隱藏藏在任務(wù)欄里里隱形在任務(wù)管理理器里隱形形無進(jìn)程、無無端口的DLL（動(dòng)態(tài)鏈接庫庫）木馬木馬的啟動(dòng)動(dòng)方式自動(dòng)啟動(dòng)（（注冊(cè)表、、win.ini、system.ini等）捆綁到其他他的程序上上（如：phAse1.0版本和NetBus1.53）Dll的形式注入入到系統(tǒng)服服務(wù)中，隨隨服務(wù)的啟啟動(dòng)而啟動(dòng)動(dòng)反彈技術(shù)反彈技術(shù)：：由木馬服務(wù)務(wù)端主動(dòng)連連接客戶端端，因此在在互聯(lián)網(wǎng)上上可以訪問問到局域網(wǎng)網(wǎng)里通過NAT代理(透明明代理)上上網(wǎng)的電腦腦，并且可可以穿過防防火墻。多線程技術(shù)術(shù)一個(gè)木馬同同時(shí)運(yùn)行多多個(gè)線程。。例如：三個(gè)線程，，其中一個(gè)個(gè)為主線程程，負(fù)責(zé)遠(yuǎn)遠(yuǎn)程控制的的工作。另另外兩個(gè)為為輔助線程程，其中一一個(gè)輔助線線程稱為監(jiān)監(jiān)視線程，，它負(fù)責(zé)檢檢查木馬程程序是否被被刪除和是是否被停止止自啟動(dòng)。防范－－御御敵于門外外不要打開來來歷不明的的文件，包包括郵件附附件和P2P軟件發(fā)過來來的文件。。非必須打開開的服務(wù)、、端口全部部關(guān)閉。保持操作系系統(tǒng)的更新新，減少漏漏洞。安裝個(gè)人防防火墻軟件件。下載軟件要要到可信的的知名網(wǎng)站站。并仔細(xì)細(xì)閱讀安裝裝說明。警惕－－我我中木馬了了嗎？留意系統(tǒng)一一些可疑狀狀況，如系系統(tǒng)速度突突然變慢、、CPU利用率上升升、沒有進(jìn)進(jìn)行任何網(wǎng)網(wǎng)絡(luò)相關(guān)操操作時(shí)、網(wǎng)網(wǎng)絡(luò)連接顯顯示在接收收和發(fā)送數(shù)數(shù)據(jù)、硬盤盤頻繁讀盤盤等。使用工具（（如netstat－－a、TcpView等）查看是是否有可疑疑的連接查看c：\、、c：\windows、c：\windows\system、c：\windows\system32等位置有有沒有可可疑文件件查看