網絡安全基礎講座

網絡安全之病毒、木馬攻防中國科技網研發(fā)部龍春

clong@2004.10目錄系統漏洞及常見網絡攻擊手段

病毒（蠕蟲）技術發(fā)展及防范

木馬技術介紹及防范措施

2003年CERT報告了3784個漏洞2003年微軟共公布51個安全公告2004年截止到8.10共公布26個安全公告系統漏洞2003年的重大漏洞2003.3RPC漏洞——沖擊波WormBlaster、Worm.SdBotRPC、Worm.AutoRooter（8月）等5月SendMail被發(fā)現存在嚴重安全漏洞6月IIS被發(fā)現存在4個嚴重漏洞7月針對Cisco路由設備的攻擊漏洞10月WindowsMessage服務被發(fā)現存在嚴重漏洞…………2004年的重大漏洞2004.4微軟MS04-011、012、013遠程執(zhí)行代碼漏洞——“震蕩波”及變種（I-Worm/Sasser）2004.6CiscoIOS拒絕服務漏洞蘋果Mac系統首發(fā)重大漏洞2004.7MicrosoftTaskScheduler和HTML幫助遠程控制漏洞2004.8Oracle發(fā)現多個重大安全漏洞攻擊方式利用郵件附件，誘騙受害者打開構建惡意網站，并誘使受害者訪問。攻擊方式利用系統漏洞

如震蕩波Worm.sasser，利用微軟MS04-011公告lsass.exe緩沖區(qū)溢出漏洞。系統中病毒后TCP的1068端口開始搜尋可能傳播的IP地址，系統將開啟上百個線程去攻擊他人，如果發(fā)現開放了445、5554等端口，并且沒有打補丁的機器就會中病毒。面對漏洞我們應該怎么做？打補丁。以往的統計數字表明，及時打補丁能有效防止大多數病毒爆發(fā)。攻擊名稱補丁發(fā)布日期攻擊開始日期我們可利用的時間Worm.sasser2004年4月13日2004年5月1日18天MSBlaster2003年7月15日2003年8月10日26天Trojan.Kaht2003年3月17日2003年5月5日49天SQLSlammer2002年7月24日2003年1月24日184天Klez-E2001年3月29日2002年1月17日294天Nimda2000年10月17日2001年9月18日336天補丁危機“每隔30-60天，我們就得在110個點分別安裝一遍補丁”

-美國空軍“這是一個永不停止的循環(huán)，讓人們拼命追趕”

-豐田公司來源:Forbes,2003年5月26日怎樣打補丁？？對用戶進行安安全培訓，形形成定期更新新系統的習慣慣。Windows系統盡量開啟啟自動定時更更新，以減少少網絡管理人人員的工作量量。對重要系統實實行手動更新新，更新前做做好備份和記記錄工作。在需要打補丁丁的系統數量量多的情況下下，使用補丁丁管理系統，，實現補丁的的掃描、分發(fā)發(fā)和安裝。1、系統管理理服務器（SystemsManagementServer，，SMS）2、終端服務（Terminalservices）3、AppExpress、Landesk目錄系統漏洞及常常見網絡攻擊擊手段病毒（蠕蟲））技術發(fā)展及及防范木馬技術介紹紹及防范措施施病毒的分類引導區(qū)病毒DOS病毒

宏病毒

Script病毒

Java病毒1995年以以前1996-1998年1999年以以後其他特洛伊木馬蠕蟲惡作劇程序黑客工具當今病毒演化化趨勢攻擊和威脅轉轉移到服務器器和互連網網網關，對之提提出新的安全全挑戰(zhàn)IDC,2002郵件/互聯網CodeRedNimdaGoner20012002郵件BubbleboyMelissa19992000LoveLetter1981物理介質Apple1,2,3Brain19861994GoodTimes病毒演化趨勢勢病毒的發(fā)展趨趨勢病毒更新換代代向多元化發(fā)發(fā)展依賴網網絡進進行傳傳播攻擊方方式多多樣（（郵件件87%，，網頁頁，局局域網網等））利用系系統漏漏洞成成為病病毒有有力的的傳播播方式式病毒與與黑客客技術術相融融合偽裝的的更巧巧妙。?！熬W絡絡天空空”及及變變種（（I-Worm/NetSky）甚至充充當震震蕩波波變種種b的專殺殺工具具。同同時也也還能能偽裝裝成一一些非非常流流行的的病毒毒的專專殺工工具，，它們們是大大名鼎鼎鼎的的：沖沖擊波波、MYDOOM、、雛鷹等等網絡絡蠕蟲蟲。病毒的的傳播播速度度越來來越快快病毒散散布有有“多多快””（從從最初初被發(fā)發(fā)現到到大量量主機機被感感染））1997:WM/Cap:2個月1999:WM/Melissa:1天2000:VBS/Loveletter:4小時2001:CodeRed:1小時2004:worm.witty:半小時時病毒的的危害害越來來越大大占用系系統資資源，，使被被感染染主機機運行行速度度變得得極為為緩慢慢甚至至崩潰潰，正正常應應用無無法運運行。。占用大大量網網絡帶帶寬，，甚至至使網網絡癱癱瘓。。對特定定著名名服務務器發(fā)發(fā)動DOS攻擊。。如微微軟、、yahoo、google等。反復重重啟系系統，，如沖沖擊波波、震震蕩波波等攻擊防防病毒毒軟件件。放置木木馬、、后門門，偷偷取商商業(yè)信信息及及個人人、企企業(yè)用用戶的的隱私私。其他病毒帶帶來的的威脅脅近年來來全球球重大大電腦腦病毒毒疫情情及損損失的的統計計圖：：實例：：SQLSlammer病毒入入侵途途徑有安裝裝防毒毒軟件件的用用戶機機RouterFirewallInternet/HTTP中毒的的網站站主機機網頁夾夾帶HTTP病毒指指令用戶機機雖已已經安安裝防防病毒毒軟件件,但但病毒毒(HTTP指令格格式)經由由網頁頁瀏覽覽,透透過IE的安全性漏漏洞,直接接感染用戶戶機我們的應對對措施病毒防治，對企業(yè)而言已是一個整體安全問題，不再是單純的買幾套裝軟件就可以解解決問題的。企業(yè)需要集中管理CentralControl。系統維護,病毒特征碼碼定期，及時時更新...找出并有效防堵所所有病毒入入侵管道。如何才能有有效防治病病毒預防為主+緊急急措施建立局域網網內部的升升級系統，，包括各種種操作系統統的補丁升升級，各種種常用的應應用軟件升升級，各種種殺毒軟件件病毒庫的的升級。對郵件服務務器進行監(jiān)監(jiān)控，防止止帶毒郵件件進行傳播播。對局域網用用戶進行安安全培訓去掉服務器器中不必要要的共享和和服務是否能在最最短的時間間內獲得新新的系統漏漏洞和病毒特征征技術服務務是關鍵所所在如何才能有有效防治病病毒控制傳染源源Internet網關90%病毒毒的入侵渠渠道網絡客戶機機其余10%病毒的入入侵渠道如何才能有有效防治病病毒控制病毒的的擴散途徑徑郵件服務器器Web服務器文件服務器器客戶端、PC安裝反病毒毒防火墻培訓，養(yǎng)成成不打開來來歷不明的的郵件的習習慣。尤其其不要打開開附件。如何才能有有效防治病病毒選擇最快的的升級途徑徑，包括對對操作系統統和反病毒毒軟件的升升級。通過Internet升級進行每每天/每小小時的升級級企業(yè)網內防防毒產品自自動部署機機制安裝，隨時時升級如何才能有有效防治病病毒集中的管理理集中的病毒毒警報機制制集中的安全全產品部署署、策略部部署和升級級機制集中的系統統日志、報報告機制目錄系統漏洞及及常見網絡絡攻擊手段段病毒（蠕蟲蟲）技術發(fā)發(fā)展及防范范木馬技術介介紹及防范范措施最危險的敵敵人－－木木馬木馬，其實實質只是一一個非法的的、未經許許可安裝和和運行的網網絡客戶端端/服務器器程序。有明確的竊竊取敏感信信息和惡意意控制主機機的意圖，，如竊取銀銀行帳戶密密碼。非常隱蔽，，非專業(yè)人人員很難發(fā)發(fā)現其蹤跡跡。難以清除。。對受害者造造成的損失失巨大。凡是你在PC前所說說、所做的的一切，都都有可能被被記錄！木馬具有捕捕獲每一個個用戶屏幕幕、每一次次鍵擊事件件的能力。。完全的控制制宿主主機機?？梢源虼蜷_攝像頭頭、麥克風風，并將得得到的圖像像、聲音傳傳給木馬控控制者（2004.6發(fā)現的的蜜蜂大盜盜）。帶有包嗅探探器，它能能夠捕獲和和分析流經經網卡的每每一個數據據包隨意操控PC本身資源的的能力，而而且還能夠夠冒充PC合法用戶，，例如冒充充合法用戶戶發(fā)送郵件件、修改文文檔，甚至至進行銀行行轉帳操作作。BackOrifice網銀大盜（（II）木木馬盜取包括工工商銀行、、招商銀行行、建設銀銀行、交通通銀行、深深圳發(fā)展銀銀行、民生生銀行、華華夏銀行、、上海銀行行等8個銀銀行及首都都電子商城城、中國在在線支付網網、銀聯支支付網關等等三家網上上支付機構構的帳號、、密碼、驗驗證碼等每隔10毫毫秒檢查一一次用戶是是否正在使使用涉及到到的銀行““個人網上上銀行”的的登陸界面面記錄用戶鍵鍵入的所有有鍵盤記錄錄每隔60秒秒搜索一次次記錄數據據，然后把把竊取到的的信息以get方式發(fā)送到到指定的http://*****.com/****/get.asp木馬的植入入利用系統漏漏洞，遠程程下載并執(zhí)執(zhí)行木馬安安裝程序。。捆綁在下載載的其他軟軟件中，用用戶安裝該該軟件的同同時安裝木木馬。偽裝為其他他軟件（如如破解工具具、漂亮的的屏保等））。利用IE漏洞可以通通過Script、ActiveX及Asp、PHP、Cgi等交互腳本本的方式植植入。社會工程（（如謊稱是是朋友寄給給你的賀卡卡）。木馬的隱藏藏在任務欄里里隱形在任務管理理器里隱形形無進程、無無端口的DLL（動態(tài)鏈接庫庫）木馬木馬的啟動動方式自動啟動（（注冊表、、win.ini、system.ini等）捆綁到其他他的程序上上（如：phAse1.0版本和NetBus1.53）Dll的形式注入入到系統服服務中，隨隨服務的啟啟動而啟動動反彈技術反彈技術：：由木馬服務務端主動連連接客戶端端，因此在在互聯網上上可以訪問問到局域網網里通過NAT代理(透明明代理)上上網的電腦腦，并且可可以穿過防防火墻。多線程技術術一個木馬同同時運行多多個線程。。例如：三個線程，，其中一個個為主線程程，負責遠遠程控制的的工作。另另外兩個為為輔助線程程，其中一一個輔助線線程稱為監(jiān)監(jiān)視線程，，它負責檢檢查木馬程程序是否被被刪除和是是否被停止止自啟動。防范－－御御敵于門外外不要打開來來歷不明的的文件，包包括郵件附附件和P2P軟件發(fā)過來來的文件。。非必須打開開的服務、、端口全部部關閉。保持操作系系統的更新新，減少漏漏洞。安裝個人防防火墻軟件件。下載軟件要要到可信的的知名網站站。并仔細細閱讀安裝裝說明。警惕－－我我中木馬了了嗎？留意系統一一些可疑狀狀況，如系系統速度突突然變慢、、CPU利用率上升升、沒有進進行任何網網絡相關操操作時、網網絡連接顯顯示在接收收和發(fā)送數數據、硬盤盤頻繁讀盤盤等。使用工具（（如netstat－－a、TcpView等）查看是是否有可疑疑的連接查看c：\、、c：\windows、c：\windows\system、c：\windows\system32等位置有有沒有可可疑文件件查看