第五章 攻击技术 2.1 黑客发展史 2.2 攻击技术基础 2.3 恶意软件 2017/3/22
5.1 黑客简史 什么是黑客? 他们电脑技术高超,善于利用创新的方法剖析系统。 他们以保护网络为目的,而以不正当侵入为手段。 2017/3/22
浪漫主义的黑客电影黑客帝国 2017/3/22
起源地:美国 起源 1970年左右发现最早黑客技术——哨子 盗打电话-电话飞客,利用本地电话打起长途电话。 70年代,“黑客”一词极富褒义。 独立思考、奉公守法 智力超群 为网络发展做出了巨大贡献 2017/3/22
现阶段的黑客 特点 以获取经济利益为目的 如:艾伯特冈萨雷斯(Albert Gonzolez)盗窃2亿信用卡和借记卡帐号 美国男青年阿尔伯特·冈萨雷斯恐怕要算得上是美国“最牛”黑客。他领导的黑客团伙利用计算机技术疯狂作案,先后共盗取超过4000万张信用卡账号和密码。综合英美媒体3月25日报道,日前,冈萨雷斯被波士顿当地法庭判处20年徒刑,这是美国历史上因计算机犯罪而获得的最严重的刑罚。 2017/3/22
漏洞分析 Vulnerability Identification 探测(Reconnaissanc) 先看一次典型的网络攻击 攻击的步骤: 漏洞分析 Vulnerability Identification 探测(Reconnaissanc) 控制 Control 渗透 Penetration 数据提取或更改 Data Extraction & Modification 嵌入(Embedding) 攻击重放 Attack Relay 2017/3/22
早期,入侵攻击工具少,需要 “纯手工操作”,要求攻击者具有良好的专业知识,黑客的目的是验证自己的能力,满足自己的成就感. 攻击发展变化 早期,入侵攻击工具少,需要 “纯手工操作”,要求攻击者具有良好的专业知识,黑客的目的是验证自己的能力,满足自己的成就感. 目前入侵工具多,自动化,不需高深的专业知识,目的是达到一定的政治、经济目的。 2017/3/22
当前发网络攻击的特点 网络攻击的自动化程度和攻击速度不断提高,各个攻击阶段客自动执行,2003年8月的冲击波蠕虫(MSBlaster Worm)8天之内就使全球百万台主机受害。 攻击工具越来越复杂,攻击工具的特征比以前更难发现,具备了反侦破、动态行为等特点,如隐蔽扫描,攻击内核,自动升级等。 对抗渗透网络安全工具,如渗透防火墙,逃避入侵检测。 2017/3/22
2.2 网络攻击的基本技术 2.2.1 扫描技术 信息收集技术:入侵之前的准备 通过网络扫描技术,攻击者能够发现 有哪些主机,网络拓扑结构、存在的主机。 主机的操作系统。 运行的软件,开放的端口、开放的服务。 漏洞。 双刃剑,既可以用以及操作系统或服务的于攻击的前奏,也可以用于维护网络。 2017/3/22
2017/3/22
2.2 网络攻击技术—缓冲区溢出 历史 1988年的Morris蠕虫病毒,放倒了6000多台机器:利用UNIX服务finger中的缓冲区溢出漏洞来获得访问权限,得到一个shell(命令解释程序) 1996年前后,开始出现大量的Buffer Overflow攻击,因此引起人们的广泛关注 随后,Windows系统下的Buffer Overflows也相继被发掘出来 特点 可以让被攻击主机上运行的程序,跳转到其他程序(如一个shell,或攻击者的程序(直接控制被攻击者主机) 2017/3/22
为什么会缓冲区溢出? 在C语言中,指针和数组越界不保护是Buffer overflow的根源,而且,在C语言标准库中就有许多能提供溢出的函数,如strcat(), strcpy(), sprintf(), vsprintf(), bcopy(), gets()和scanf() 通过指针填充数据 不好的编程习惯 溢出类型 栈溢出 数组越界 堆溢出 指针越界 2017/3/22
溢出栈中的局部变量,使返回地址指向攻击代码 2017/3/22
拒绝服务方法(DoS, Denial of Service ) 网络攻击技术—拒绝服务攻击 拒绝服务方法(DoS, Denial of Service ) 使系统或网络瘫痪 发送少量蓄意构造的数据包,使系统死机或重新启动。 主要利用系统软件的Bug,一旦Bug被修正,攻击就不起作用 使系统或网络无法响应正常的请求 发送大量的垃圾数据,使得系统无法处理正常的请求 2017/3/22
短时间内向被攻击主机发送大量的标志位为SYN 数据包,使被攻击主机处于等待连接装态 Syn flood攻击 短时间内向被攻击主机发送大量的标志位为SYN 数据包,使被攻击主机处于等待连接装态 2017/3/22
发送源地址为被攻击主机的 地址,目的地址为广播地址的数据包。被广播 响应包 常用拒绝服务工具-Smurf 发送源地址为被攻击主机的 地址,目的地址为广播地址的数据包。被广播 响应包 2017/3/22
分布式拒绝服务攻击(DDoS) 2017/3/22
拒绝服务攻击危害与防御 危害 防御 无法有效防御 提高设备性能 容灾与备份 攻击规模大、 隐蔽性强 一般攻击的服务商 也可以攻击骨干网络 2017/3/22
漏洞 漏洞源自“Vulnerability”(脆弱性),漏洞是指硬件、软件或策略上存在的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统。 黑客一般只能通过系统漏洞进行攻击。 分类: 系统漏洞,Windows 应用软件漏洞: 迅雷、暴风影音、Adobe 管理漏洞 漏洞扫描 利用探测已知的操作系统、服务和软件漏洞,扫描主机。 2017/3/22
2.3 恶意软件 传统病毒和蠕虫 现代常用恶意软件 木马、蠕虫、网络钓鱼 2017/3/22
传统计算机病毒的分类 DOS病毒 特点: 纯手工传播 Windows病毒 危害小(相对于现代病毒) 引导区病毒 文件型病毒 混合型病毒 脚本病毒 宏病毒 PE病毒 特点: 纯手工传播 危害小(相对于现代病毒)
什么是蠕虫? 计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上 蠕虫是不需要用户干预即可执行的独立程序或代码,其通过不断搜索和侵入具有漏洞的主机来自动传播。
蠕虫发展的历史 1980 年,Xerox PARC 的研究人员编写了最早的蠕虫,用来尝试进行分布式计算,判断出计算机是否空闲,并向处于空闲状态的计算机迁移,目的是为了辅助科学实验。 1988 年11 月2 日,Morris 蠕虫6000 台以上的Internet 服务器被感染,损失超过一千万美元,经典病毒案例。 1989 年10 月16 日,WANK蠕虫被报告,它表现出来强烈的政治意味,自称是抗议核刽子手的蠕虫,系统弱口令漏洞进行传播
蠕虫发展的历史 2001 年7 月19 日,CodeRed 蠕虫爆发,爆发后的9 小时内就攻击了25 万台计算机。处于黑客大战的尾声,留下“Hacked by Chinese!”字样,为中国黑客编写。 CodeRed II 在传染过程中,如果发现被感染的计算机使用的是中文系统,就会把攻击线程数从300 增加到600,破坏推断是黑客对中国黑客的报复
蠕虫发展的历史 2001 年9 月18 日,Nimda 蠕虫被发现,不同于以前的蠕虫,Nimda 开始结合病毒技术,执行代码里包含“Concept Virus (CV) 5.5, Copyright © 2001 RP.China”,可能为中国黑客编写。只攻击微软公司的Winx 系列操作系统,为著名的蠕虫之一。
Code Red v 1扩展速度(7.19-7.20)
木马技术 木马技术概述 指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。 它与控制主机之间建立起连接,使得控制者能够通过网络控制受害系统。这与战争中的木马战术十分相似,因而得名木马程序。 2017/3/22
木马的发展历程 第一代木马出现在网络发展的早期,是以窃取网络密码为主要任务,这种木马通过伪装成一个合法的程序诱骗用户上当。第一代木马还不具有传染性,在隐藏和通信方面也均无特别之处。 第二代木马在技术上有了很大的进步,它使用标准的C/S架构,提供远程文件管理、屏幕监视等功能,在隐藏、自启动和操纵服务器等技术上也有很大的发展。由于植入木马的服务端程序会打开连接端口等候客户端连接,比较容易被用户发现。冰河、BO2000等都是典型的第二代木马。 第三代木马改变主要在网络连接方式上,特征是不打开连接端口进行侦听,而是使用ICMP通信协议进行通信或使用TCP端口反弹技术让服务器端主动连接客户端,以突破防火墙的拦截。增加了查杀难度,如网络神偷(Netthief)、灰鸽子木马等。 2017/3/22
木马的发展历程 -2 第四代木马在进程隐藏方面做了较大改动,让木马服务器运行时没有进程。如rootkit技术,嵌入木马通过替换系统程序、DLL、是驱动程序。木马不是单独的进程或者以注册服务的形式出现,无法通过“任务管理器”查看到正在运行的木马。。 第五代木马实现了与病毒紧密结合,利用操作系统漏洞,直接实现感染传播的目的,而不必象以前的木马那样需要欺骗用户主动激活。 2017/3/22
木马的实现原理与攻击技术 一个木马程序要通过网络入侵并控制被植入的计算机,需要采用以下四个环节 : 向目标主机植入木马,通过网络将木马程序植入到被控制的计算机; 启动和隐藏木马,木马程序一般是一个单独文件需要一些系统设置来让计算机自动启动木马程序,为了防止被植入者发现和删除运行的木马程序,就需要将运行的木马程隐藏起来。 植入者控制被植入木马的主机,需要通过网络通信,需要采取一定的隐藏技术,使通信过程不能够使被植入者通过防火墙等发现。 植入者通过客户端远程控制,可以收集被植入者的敏感信息,可以监视被植入者的计算机运行和动作,甚至可以用来攻击网络中的其它系统。 2017/3/22
2.3.2 木马的实现原理与攻击技术 植入技术,木马植入技术可以大概分为主动植入与被动植入两类。 主动植入,就是攻击者利用网络攻击技术通过网络将木马程序植入到远程目标主机,这个行为过程完全由攻击者主动掌握。 被动植入,是指攻击者预先设置某种环境,然后被动等待目标系统用户的某种可能的操作,只有这种操作执行,木马程序才有可能植入目标系统。 2017/3/22
2.3.2 木马的实现原理与攻击技术 主动植入技术主要包括 : 利用系统自身漏洞植入。攻击者利用所了解的系统的安全漏洞及其特性主动出击。 利用第三方软件漏洞植入。 利用即时通信软件发送伪装的木马文件植入 利用电子邮件发送植入木马 2017/3/22
2.3.2 木马的实现原理与攻击技术 被动植入 包括: 软件下载。一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后只要一运行这些程序,木马就会自动安装。 利用共享文件。学校或单位的局域网里为了学习和工作方便,会将许多硬盘或文件夹共享出来,甚至不加密码,具有可写权限。 利用Autorun文件传播。这一方法主要是利用Autorun文件自动运行的特性,通过U盘植入。 网页浏览传播。这种方法利用Script/ActiveX控件、JavaApplet等技术编写出一个HTML网页,当浏览该页面时,会在后台将木马程序下载到计算机缓存中,然后修改系统注册表,使相关键值指向“木马”程序。 2017/3/22
2.3.2 木马的实现原理与攻击技术 木马的自动加载技术 针对Windows系统,木马程序的自动加载运行主要有以下一些方法: 修改系统文件 修改系统注册表 修改文件打开关联 修改任务计划 修改组策略 替换系统自动运行的文件 替换系统DLL 作为服务启动 利用AppInit_DLLs 注入 2017/3/22
2.3.2 木马的实现原理与攻击技术 木马隐藏技术 主要分为两类:主机隐藏和通信隐藏。 主机隐藏主要指在主机系统上表现为正常的进程。主机隐藏方式很多,主要有文件隐藏、进程隐藏等。 文件隐藏主要有两种方式 采用欺骗的方式伪装成其它文件 伪装成系统文件, 2017/3/22
2.3.2 木马的实现原理与攻击技术 木马危害 窃取密码 远程访问控制 DoS攻击 代理攻击 程序杀手 2017/3/22
几款免费的木马专杀工具 几款免费木马专杀工具如:Windows清理助手、恶意软件清理助手、Atool、冰刃 冰刃(Icesword)是专业查杀木马工具中较好的工具之一 ,杀木马特点: 删除文件,许多木马文件为了防止删除,具有写保护功能,无法直接删除。冰刃提供了可以完全删除任何文件的功能。 删除注册表项。木马可以隐藏注册表项让Windows自带的注册表工具rgedit无法显示或删除,而冰刃程序可以容易做到删除任意的注册表项和显示所有的注册表项。 2017/3/22
网络钓鱼 概念 网络钓鱼是通过发送声称来自于银行或其它知名机构的欺骗性垃圾邮件,或者伪装成其Web站点,意图引诱收信人或网站浏览者给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。 网络钓鱼的攻击方法主要有以下几种 建立假冒网上银行、网上证券的网站,骗取用户帐号密码实施盗窃。 犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金 2017/3/22
钓鱼攻击策略-欺骗的技巧 使用IP地址代替域名 注册发音相近或形似的DNS域名 假冒工商银行网站:http://www.1cbc.com.cn/ 真工商银行网站 :http://www.icbc.com.cn/ 假联想网站:http://www.1enovo.com/ 真联想网站: http://www.lenovo.com/ 2017/3/22
网络钓鱼技术-方法 发送电子邮件,以虚假信息引诱用户中圈套 利用虚假的电子商务进行诈骗 攻击者以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金 利用虚假的电子商务进行诈骗 此类犯罪活动往往是建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,犯罪分子在收到受害人的购物汇款后就销声匿迹 2017/3/22
钓鱼网站假卖奥运会门票 在线交易要谨慎 假冒的骗钱网站 www.8aymp.com/ 真实的奥运门票预定官方网站 2017/3/22
网络钓鱼技术-方法 利用QQ、MSN甚至手机短信等即时通信方式欺骗用户 利用木马和黑客技术等手段窃取用户信息后实施盗窃活动 冒充软件运营商告诉某用户中奖或者免费获得游戏币等方式,这一方法的主要欺骗目的是获取游戏币,或者通过移动服务上收取信息费。 http://yahoo.unblockwebproxysites.com/index.php 利用木马和黑客技术等手段窃取用户信息后实施盗窃活动 木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。 2017/3/22
网络钓鱼的防御 对于用户端,可以采用以下措施 尽量不通过链接打开网页,而是直接输入域名访问网络。 对于需要输入帐号和密码的网站再三确认. 给网络浏览器程序安装补丁,使其补丁保持在最新状态. 利用已有的防病毒软件,实时防御钓鱼网站。 2017/3/22
浏览器劫持 浏览器劫持是网页浏览器(IE等)被恶意程序修改的一种行为,恶意软件通过操纵浏览器的行为,可以使用户浏览器转移到特定网站,取得商业利益,或者在用户计算机端收集敏感信息,危及用户隐私安全 。 2017/3/22
浏览器劫持 浏览器劫持通过以下技术实现 浏览器辅助对象实现浏览器劫持 利用HOOK钩子 利用Winsock 2 SPI 包过滤技术(Service Provider Interface,SPI) 2017/3/22
流氓软件 流氓软件是介于病毒和正规软件之间的软件。“流氓软件”介于两者之间,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),给用户带来危害。 其特点是:它具有一定的实用价值,一般是为方便用户使用计算机工作、娱乐而开发,面向社会公众公开发布的软件,并且一般是免费的,不属于正规的商业软件;同时也具有恶意软件的种种特征,给用户带来一定危害。 2017/3/22
流氓软件 流氓软件具有以下特征 强制安装。流氓软件一般通过与其它常用软件捆绑在一起,强行安装到用户计算机中。 难以删除,或者无法彻底删除。未提供通用的卸载方式,或卸载后仍然有活动程序的行为 广告弹出。在未明确提示用户或未经用户许可的情况下,在用户计算机或其它终端上弹出广告的行为。 恶意收集用户信息。指未明确提示用户或未经用户许可,恶意收集用户信息的行为。 其它侵犯用户知情权、选择权的恶意行为。 2017/3/22
流氓软件 浏览器劫持的防御方法 直接使用IE浏览器的管理加载项,禁用恶意的加载项。 使用专用工具卸载恶意插件,如安全卫士360、超级兔子等。 专用工具查看是否有恶意的SPI,如冰刃IceSword.exe。 2017/3/22