計算機病毒事故緊急救援系統(tǒng)

計算機病毒事故

緊急救援系統(tǒng)

韓涌精選課件議程安排電腦部風險因素及通常的管理措施網(wǎng)絡病毒將導致新的安全問題混合攻擊威脅到金融交易系統(tǒng)具有混合攻擊能力的病毒趨勢科技EPSII解決方案建立計算機病毒應急救援中心內容介紹電腦部風險因素及通常的管理措施電腦部風險因素及通常的管理措施

電腦系統(tǒng)風險因素系統(tǒng)風險硬件部分 －電力供給設備系統(tǒng)保障風險 －電腦、網(wǎng)絡及周邊設備 －安防系統(tǒng)風險 －通訊線路電腦部風險因素及通常的管理措施

電腦系統(tǒng)風險因素系統(tǒng)風險軟件部分 －操作系統(tǒng)、數(shù)據(jù)庫、應用軟件的安全等級 －網(wǎng)絡入侵及惡意操作 －計算機病毒 －數(shù)據(jù)完整性、機密性及可恢復性 －災難備份及恢復電腦部風險因素及通常的管理措施

電腦系統(tǒng)風險因素管理風險日常差錯業(yè)務、資金權限違規(guī)操作系統(tǒng)升級及參數(shù)設置修改泄密計算機病毒風險及通常的防護手段計算機病毒風險及通常的防護手段

－柜臺交易系統(tǒng)死機¨

－ATM網(wǎng)絡中斷¨

－辦公系統(tǒng)運行緩慢¨

－辦公網(wǎng)阻塞¨

－財務及其他業(yè)務數(shù)據(jù)丟失（多數(shù)EXCEL表）¨

－莫名其妙的電子郵件¨

－網(wǎng)絡打印失靈¨

－后臺系統(tǒng)數(shù)據(jù)被監(jiān)聽、竄改計算機病毒風險及通常的防護手段各金融機構目前已經(jīng)采用的防范措施 1．

安裝經(jīng)公安部認證檢測過的計算機防病毒軟件 單機（95/98/ME）

網(wǎng)關（SMTP/POP3/HTTP/FTP）

服務器（NT/2000/NETWARE/UNIX）

郵件(NOTES,EXCHANGE)

中央管控系統(tǒng)(ManagementConsole)

2.設立專職人員負責全轄范圍內的計算機病毒維護，升級及防范工作。

3.杜絕使用外來軟盤、光盤及游戲程序等未經(jīng)檢查的軟件，阻斷病毒傳播的來源。

4.建立《計算機病毒防范管理制度》，對個人的上機操作，登錄密碼，上網(wǎng)，軟件使用及升級作出規(guī)范。

5.發(fā)現(xiàn)病毒及時隔離，由各級人員指導查殺工作，并形成報告制度。內容介紹網(wǎng)絡病毒將導致新的安全問題確定為郵件型病毒…..網(wǎng)絡病毒將導致新的安全問題資料來源：ICSA實驗室

《2002年流行病毒調查報告》

病毒的傳染途徑被分成7類：1.

電子郵件2.

互聯(lián)網(wǎng)下載3.

WEB瀏覽4.

第三方設備5.

軟件分發(fā)6.

磁盤7.

未知網(wǎng)絡病毒將導致新的安全問題資料來源：ICSA實驗室

《2002年流行病毒調查報告》

在絕大多數(shù)機構內部，對于通過磁盤交叉使用而感染病毒的途徑已經(jīng)得到控制，但對于通過網(wǎng)絡進行傳播的病毒依然束手無策

網(wǎng)絡病毒將導致新的安全問題網(wǎng)絡病毒特征：1.

網(wǎng)絡病毒主要通過無形介質進行傳播

2.

網(wǎng)絡病毒的傳播僅需要幾個小時的時間，并且越來越快

3.

網(wǎng)絡病毒多數(shù)利用系統(tǒng)注冊表、電子郵件附件、網(wǎng)絡攻擊漏洞等 方式實現(xiàn)駐留并控制系統(tǒng)

4.

網(wǎng)絡病毒不怕暴露特征碼明文給防病毒軟件，因為只要連著網(wǎng)， 即使被防毒軟件殺滅，它們也有機會再復制回來

5.

網(wǎng)絡病毒的破壞性變得相對隱蔽

網(wǎng)絡病毒將導致新的安全問題資料來源：ISS《ReponseStrategiesForHybridThreats》

在10年的時間里，計算機病毒向全球擴散的速度居然提高了5000多倍

網(wǎng)絡病毒將導致新的安全問題網(wǎng)絡病毒的潛在性破壞a)

監(jiān)聽密碼b)

運行外來應用程序c)

替換系統(tǒng)密鑰d)

截獲屏幕顯示信息e)

遠程控制鍵盤、鼠標f)

啟動/中止系統(tǒng)進程g)

關閉系統(tǒng)h)

阻塞網(wǎng)絡網(wǎng)絡病毒將導致新的安全問題由于這些差別非常之大，以至于有時候很難戒定是網(wǎng)絡入侵還是病毒，這些差別在挑戰(zhàn)著安全管理人員的同時也挑戰(zhàn)著廠商的安全防范系統(tǒng)，它是否還能夠抵御網(wǎng)絡病毒的入侵？

內容介紹混合攻擊威脅到金融交易系統(tǒng)混合攻擊威脅到金融交易系統(tǒng)新一代的網(wǎng)絡病毒會帶來新一代的網(wǎng)絡攻擊方式

混合攻擊（HybridAttack）1.攻擊可以不是人為的，而是由計算機病毒或更復雜的攻擊系統(tǒng)（攻擊樹）自動發(fā)出的

2.來自外部的入侵感染模型在爆發(fā)時多數(shù)呈現(xiàn)不均勻分布

3.現(xiàn)有的攻擊技術可以自動生成更復雜、更為系統(tǒng)化的攻擊工具

混合攻擊威脅到金融交易系統(tǒng)資料來源：Cert<SumlatingVirus>-02tr039來自外部的入侵感染模型顯示，在爆發(fā)時多數(shù)呈現(xiàn)不均勻分布

混合攻擊威脅到金融交易系統(tǒng)來自外部的入侵感染模型顯示，在爆發(fā)時多數(shù)呈現(xiàn)不均勻分布

混合攻擊威脅到金融交易系統(tǒng)現(xiàn)有的攻擊技術可以自動生成更復雜、更為系統(tǒng)化的攻擊工具1、組合攻擊因子。通常包括啟動因子（最為核心部分，負責通訊），傳播因子（可組合），入侵因子，控制指令解碼（被加密），監(jiān)聽因子，自毀因子等。2、生成攻擊樹。向攻擊目標釋放含有不同因子的攻擊樹，并監(jiān)控其滲透過程。3、建立指令通道。啟動因子利用控制引擎建立指令通道，負責攻擊樹內部及攻擊樹之間互相通訊4、建立攻擊通道。啟動因子利用入侵因子建立攻擊通道，在攻擊樹之間進行路由運算。5、獲取合法身份。啟動因子利用監(jiān)聽因子實現(xiàn)獲取包括證書備份，截獲屏幕（如果網(wǎng)上銀行系統(tǒng)不用鍵盤輸入口令），監(jiān)聽口令等動作5、內部、外部攻擊。注意防火墻這時候不起作用，證書和口令也許均被截獲，攻擊完全從內部‘合法’發(fā)出。6、自我銷毀。混合攻擊威脅到金融交易系統(tǒng)現(xiàn)有的攻擊技術可以自動生成更復雜、更為系統(tǒng)化的攻擊工具攻擊樹及攻擊子集――資料來源：CERT《AttackModelingforinformationSecurityandSurvivability》混合攻擊威脅到金融交易系統(tǒng)緩存溢出（bufferoverflow）入侵因子目的：利用緩存溢出漏洞向目標系統(tǒng)釋放惡意代嗎條件：攻擊者能夠在目標系統(tǒng)運行特定程序攻擊：

AND1.識別目標系統(tǒng)可疑的緩存溢出漏洞 2.確定在當前權限下可以運行的攻擊程序 3.制作參數(shù)及SHELLCODE 4.運行程序以覆蓋返回地址并跳轉執(zhí)行SHELLCODE事后處理：確保程序正常返回并清理記錄混合攻擊威脅到金融交易系統(tǒng)一個形象的混合攻擊過程l

防火墻：請出示工作證l

電子郵件混合攻擊：我是正常的電子郵件l

防火墻：可以，校驗通過l

電子郵件混合攻擊：啟動進入郵件服務器及辦公系統(tǒng)，并截獲其他人的郵件地址l

電子郵件混合攻擊：現(xiàn)已進入郵件系統(tǒng)，處于防火墻之內，可以在網(wǎng)絡內部發(fā)起攻擊了l

電子郵件混合攻擊：感染通訊因子并生成監(jiān)聽因子，生成攻擊通道l

電子郵件混合攻擊：發(fā)現(xiàn)與預先設定的觸發(fā)模式吻合，應該是生產(chǎn)交易系統(tǒng)，開始下載攻擊工具l

電子郵件混合攻擊：攻擊開始，并從系統(tǒng)內部發(fā)出，身份獲得偽裝l

生產(chǎn)交易系統(tǒng)：請出示身份證l

電子郵件混合攻擊：給出偽裝身份證l

生產(chǎn)交易系統(tǒng)：可以，校驗通過l

電子郵件混合攻擊：利用攻擊通道通知遠端控制臺攻擊過程l

電子郵件混合攻擊：攻擊成功。傳出加密數(shù)據(jù)，自毀。電子郵件混合攻擊：攻擊失敗。清理現(xiàn)場，下載新的攻擊因子，嘗試繼續(xù)攻擊。

內容介紹具有混合攻擊能力的病毒具有混合攻擊能力的計算機病毒SQL蠕蟲

病毒體－－376字節(jié)生存方式－－駐留內存感染受攻擊系統(tǒng)MicrosoftSQLServer2000SP2

MicrosoftSQLServer2000SP1

MicrosoftSQLServer2000DesktopEngine

MicrosoftSQLServer2000

-MicrosoftWindowsNT4.0SP6a

-MicrosoftWindowsNT4.0SP6

-MicrosoftWindowsNT4.0SP5

-MicrosoftWindowsNT4.0

-MicrosoftWindows2000ServerSP3

-MicrosoftWindows2000ServerSP2

-MicrosoftWindows2000ServerSP1

-MicrosoftWindows2000

具有混合攻擊能力的計算機病毒SQL蠕蟲

傳播方式－－SQLResolutionServiceBufferOverflow(UDP/1434)*攻擊方式－－DoS(UDPFlood)*HKLM\Software\Microsoft\MicrosoftSQLServer\%s%s\MSSQLServer\CurrentVersion

*Microsoft2002/07/25發(fā)布*CERTAdvisory1996/02/08發(fā)布具有混合攻擊能力的計算機病毒該惡意病毒采用了結合蠕蟲和后門程序等多種特性的方式。在傳播中，它會向網(wǎng)絡中的共享文件夾中散布自身。而同時作為后門攻擊程序，它會打開一個網(wǎng)絡端口(默認情況為”10168”)，從而允許遠端訪問者控制和操作整個受感染的系統(tǒng)；同時還向2個郵箱通知受感染系統(tǒng)的情況:54love@

，hacker117@163.com

Worm_LoveGate.C愛蟲具有混合攻擊能力的計算機病毒將文件放置在系統(tǒng)目錄下。通常為： C:\Windows\System，Windows9x系統(tǒng)中 C:\WinNT\System32inWindowsNT/2K系統(tǒng)中文件名稱（都是79KB大?。篧inRpcsrv.e

syshelp.exe

winrpc.exe

WinGate.exe

rpcsrv.exe

具有混合攻擊能力的計算機病毒自動運行添加注冊表鍵值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run具有混合攻擊能力的計算機病毒如圖所示：具有混合攻擊能力的計算機病毒其它注冊表鍵值該鍵值由病毒添加，目的是通過修改注冊表使得每次用戶打開TXT文件時，病毒即可自動運行注冊表鍵值如下：HKEY_CLASSES_ROOT\txtfile\shell\open\command @ "C:\WINDOWS\NOTEPAD.EXE%1" "winrpc.exe%1"HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command @ "C:\WINDOWS\NOTEPAD.EXE%1" "winrpc.exe%1"具有混合攻擊能力的計算機病毒INI文件病毒會通過修改Win.ini文件的方式，使得自己可以自動運行具有混合攻擊能力的計算機病毒網(wǎng)絡傳播.–病毒會通過網(wǎng)絡共享將自身復制到具有讀寫權限的網(wǎng)絡共享文件夾中具有混合攻擊能力的計算機病毒感染后的其它特征：在命令行模式下，運行NETSTAT–A，可觀察到10168端口已經(jīng)被打開MSBlaster.A-Details病毒詳細描述

自啟動技術以及常駐內存檢驗

在運行時，該蠕蟲會在注冊表中建立如下自啟動項目以使得系統(tǒng)啟動時自身能得到執(zhí)行：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run,

Windowsautoupdate"=MSBLAST.EXE然后檢查自身是否已常駐內存，如果已在內存中運行，則停止繼續(xù)運行。如果繼續(xù)運行，則檢查當前計算機是否有可用的網(wǎng)絡連接。如果沒有連接，則休眠10秒然后再次檢查Internet連接。該過程一直持續(xù)到一個Internet連接被建立。MSBlaster.A-Details病毒詳細描述

分布式拒絕服務攻擊

在Internet連接建立的情況下，蠕蟲開始檢查系統(tǒng)日期，在滿足下列日期的情況下蠕蟲發(fā)送對的分布式拒絕服務攻擊:以下月份的16日至31日:

一月

二月

三月

4月

五月

六月

七月

八月

或是九月至十二月的任意一天

然后，蠕蟲開始嘗試連接至其他目標系統(tǒng)的135端口。MSBlaster.A-Details病毒詳細描述

A變種

-經(jīng)UPX壓縮

-使用MSBLAST.EXE作為生成的文件名稱

-使用"windowsautoupdate"作為注冊表自啟動項目名稱

-包含下列字符串

IjustwanttosayLOVEYOUSAN!!billygateswhydoyoumakethispossible?Stopmakingmoneyandfixyoursoftware!!

2..B變種

-.A變種的解壓縮版本

-使用PENIS32.EXE作為生成的文件名稱3..C變種

經(jīng)FSG壓縮

使用teekids.exe作為文件名稱

使用"MicrosoftInetXp"作為注冊表自啟動項目名稱

包含下列字符串

Microsoftcansuckmylefttesti!BillGatescansuckmyrighttesti!AndAllAntivirusMakersCanSuckMyBigFatCockMSBlaster.A-Details病毒詳細描述

分布式拒絕服務攻擊

在Internet連接建立的情況下，蠕蟲開始檢查系統(tǒng)日期，在滿足下列日期的情況下蠕蟲發(fā)送對的分布式拒絕服務攻擊:以下月份的16日至31日:

一月

二月

三月

4月

五月

六月

七月

八月

或是九月至十二月的任意一天

然后，蠕蟲開始嘗試連接至其他目標系統(tǒng)的135端口。內容介紹趨勢科技EPSII解決方案利用趨勢科技EPSII解決方案建立計算機病毒應急救援中心EPSII解決方案OutbreakLifecycleTimelineDeclaredYellow/RedAlertAugust11,2003,8:55PM(GMT)NetworkwormFirstSpotted:US,August11,2003(GMT)OutbreakPoliciesDeployedTMCM43Preventsthespreadofthemalware+0:48min+0:51minPatternFileDeployedPatternFile-OPR604+1:45minCleaningTemplateDeployedDCT153ThreatInformationAttackPreventionNotificationandAssurancePatternFileScanandEliminateAssessAndcleanupRestoreandPost-mortem+0:00min.MSBLaster.AAttackTCPPORT135ClosedTCPPORT135ClosedTCPPORT135ClosedINFECTEDSYSTEMATTEMPTSTOINFECTOTHERCLIENTSA.WormusesinfectedcomputertosearchforothercomputerswithouttheMicrosoft?patchB.Wormforcesun-patchedcomputertoreceiveaprogram.Thenittakescontrolofthecomputer.Theworm,MSBlasterbeginsspreadingwhenthecomputerisrestarted.InWindowsXP,wormrebootsthecomputertobeginspreadingimmediately.TCPPORT135OPENC.MSBlastercontinuesspreadingandallinfectedcomputersbeginsendingrepetitivemessagestocreatingacybertrafficjamthatcouldcrashthesite.MSPATCHMSPATCHMSPATCHTMCM2.5–OutbreakCommanderOutbreakCommander–OPPDeployment…1.8Virusawarenessnotification為了保險起見對移動用戶和機器異常的用戶，提供在線殺毒1.7AVportal-CustomizedAVKnowledgeBaseandreport發(fā)布OPS部署策略發(fā)布病毒代碼文件部署病毒代碼文件趨勢科技可以協(xié)助銀行節(jié)省的投入清除清除感染數(shù)量時間EPSII解決方案及金融業(yè)專署服務趨勢科技EPSII解決方案及金融業(yè)專署服務

趨勢科技EPSII解決方案及金融業(yè)專署服務

趨勢科技EPSII解決方案及金融業(yè)專署服務

2.1AVsolutiondeploymentsimulationResponseTimeLine

內容介紹建立金融業(yè)計算機病毒應急救援中心Internet攻擊模式染毒電腦未修補漏洞的系統(tǒng)已修補漏洞的系統(tǒng)隨機攻擊隨機攻擊隨機攻擊被感染不被感染不被感染被感染被感染不被感染不被感染金融企業(yè)計算機病毒事故應急救援模型全行安全管理架構集中與分布相結合

以分行作為基本管理單位總行承擔監(jiān)控職責補丁與防毒相結合

操作系統(tǒng)補丁安裝防病毒組件更新全局性管理網(wǎng)關防毒總行網(wǎng)絡防毒自助設備/服務器/客戶端防毒管理銀行總體防毒架構總行：