網(wǎng)絡(luò)安全基礎(chǔ)講座

1、網(wǎng)絡(luò)安全之病毒、木馬攻防中國(guó)科技網(wǎng) 研發(fā)部 龍春 clong2004.10中國(guó)科技網(wǎng)目錄系統(tǒng)漏洞及常見網(wǎng)絡(luò)攻擊手段 病毒（蠕蟲）技術(shù)發(fā)展及防范 木馬技術(shù)介紹及防范措施 中國(guó)科技網(wǎng)2003年CERT報(bào)告了3784個(gè)漏洞中國(guó)科技網(wǎng)2003年微軟共公布51個(gè)安全公告2004年截止到8.10共公布26個(gè)安全公告中國(guó)科技網(wǎng)系統(tǒng)漏洞2003年的重大漏洞2003.3 RPC漏洞 沖擊波Worm Blaster、Worm.SdBotRPC、Worm.AutoRooter （8月）等5月 SendMail被發(fā)現(xiàn)存在嚴(yán)重安全漏洞6月 IIS被發(fā)現(xiàn)存在4個(gè)嚴(yán)重漏洞7月 針對(duì)Cisco路由設(shè)備的攻擊漏洞10月 Win

2、dows Message服務(wù)被發(fā)現(xiàn)存在嚴(yán)重漏洞中國(guó)科技網(wǎng)2004年的重大漏洞2004.4 微軟MS04-011、012、013遠(yuǎn)程執(zhí)行代碼漏洞 “震蕩波”及變種（I-Worm/Sasser）2004.6 Cisco IOS拒絕服務(wù)漏洞蘋果Mac系統(tǒng)首發(fā)重大漏洞2004.7 Microsoft Task Scheduler和HTML幫助遠(yuǎn)程控制漏洞2004.8 Oracle發(fā)現(xiàn)多個(gè)重大安全漏洞中國(guó)科技網(wǎng)攻擊方式利用郵件附件，誘騙受害者打開構(gòu)建惡意網(wǎng)站，并誘使受害者訪問。中國(guó)科技網(wǎng)攻擊方式利用系統(tǒng)漏洞 如震蕩波Worm.sasser，利用微軟MS04-011公告lsass.exe緩沖區(qū)溢出漏洞。系

3、統(tǒng)中病毒后TCP的1068端口開始搜尋可能傳播的IP地址，系統(tǒng)將開啟上百個(gè)線程去攻擊他人，如果發(fā)現(xiàn)開放了445、5554等端口，并且沒有打補(bǔ)丁的機(jī)器就會(huì)中病毒。中國(guó)科技網(wǎng)面對(duì)漏洞我們應(yīng)該怎么做？打補(bǔ)丁。以往的統(tǒng)計(jì)數(shù)字表明，及時(shí)打補(bǔ)丁能有效防止大多數(shù)病毒爆發(fā)。攻擊名稱補(bǔ)丁發(fā)布日期攻擊開始日期我們可利用的時(shí)間Worm.sasser2004年4月13日2004年5月1日18天MS Blaster2003年7月15日2003年8月10日26天Trojan.Kaht2003年3月17日2003年5月5日49天SQL Slammer2002年7月24日2003年1月24日184天Klez-E2001年3月

4、29日2002年1月17日294天Nimda2000年10月17日 2001年9月18日336天中國(guó)科技網(wǎng)補(bǔ)丁危機(jī)“每隔 30-60 天，我們就得在 110 個(gè)點(diǎn)分別安裝一遍補(bǔ)丁” - 美國(guó)空軍“這是一個(gè)永不停止的循環(huán)，讓人們拼命追趕” - 豐田公司來源: Forbes, 2003年5月 26日中國(guó)科技網(wǎng)怎樣打補(bǔ)??？對(duì)用戶進(jìn)行安全培訓(xùn)，形成定期更新系統(tǒng)的習(xí)慣。Windows系統(tǒng)盡量開啟自動(dòng)定時(shí)更新，以減少網(wǎng)絡(luò)管理人員的工作量。對(duì)重要系統(tǒng)實(shí)行手動(dòng)更新，更新前做好備份和記錄工作。在需要打補(bǔ)丁的系統(tǒng)數(shù)量多的情況下，使用補(bǔ)丁管理系統(tǒng)，實(shí)現(xiàn)補(bǔ)丁的掃描、分發(fā)和安裝。 1、系統(tǒng)管理服務(wù)器（Systems M

5、anagement Server， SMS）2、終端服務(wù)（Terminal services）3、AppExpress、Landesk中國(guó)科技網(wǎng)目錄系統(tǒng)漏洞及常見網(wǎng)絡(luò)攻擊手段 病毒（蠕蟲）技術(shù)發(fā)展及防范 木馬技術(shù)介紹及防范措施 中國(guó)科技網(wǎng)病毒的分類 引導(dǎo)區(qū)病毒 DOS 病毒 Windows 病毒 宏病毒 Script 病毒 Java 病毒1995年以前1996 - 1998年1999年以後中國(guó)科技網(wǎng)其他 特洛伊木馬 蠕蟲 惡作劇程序 黑客工具中國(guó)科技網(wǎng)當(dāng)今病毒演化趨勢(shì)攻擊和威脅轉(zhuǎn)移到服務(wù)器和互連網(wǎng)網(wǎng)關(guān)，對(duì)之提出新的安全挑戰(zhàn)IDC, 2002郵件/互聯(lián)網(wǎng)Code RedNimdaGoner200

6、12002郵件BubbleboyMelissa19992000LoveLetter1981物理介質(zhì)Apple1,2,3Brain19861994GoodTimes病毒演化趨勢(shì)中國(guó)科技網(wǎng)病毒的發(fā)展趨勢(shì)病毒更新?lián)Q代向多元化發(fā)展依賴網(wǎng)絡(luò)進(jìn)行傳播攻擊方式多樣（郵件87%，網(wǎng)頁(yè)，局域網(wǎng)等）利用系統(tǒng)漏洞成為病毒有力的傳播方式病毒與黑客技術(shù)相融合偽裝的更巧妙。 “網(wǎng)絡(luò)天空” 及變種（I-Worm/NetSky）甚至充當(dāng)震蕩波變種b的專殺工具。同時(shí)也還能偽裝成一些非常流行的病毒的專殺工具，它們是大名鼎鼎的：沖擊波、MYDOOM、雛鷹等網(wǎng)絡(luò)蠕蟲。中國(guó)科技網(wǎng)病毒的傳播速度越來越快病毒散布有“多快”（從最初被發(fā)現(xiàn)到

7、大量主機(jī)被感染）1997 : WM/Cap: 2 個(gè)月1999 : WM/Melissa: 1 天2000 : VBS/Loveletter: 4 小時(shí)2001 : CodeRed: 1 小時(shí)2004 : worm.witty :半小時(shí)中國(guó)科技網(wǎng)病毒的危害越來越大占用系統(tǒng)資源，使被感染主機(jī)運(yùn)行速度變得極為緩慢甚至崩潰，正常應(yīng)用無法運(yùn)行。占用大量網(wǎng)絡(luò)帶寬，甚至使網(wǎng)絡(luò)癱瘓。對(duì)特定著名服務(wù)器發(fā)動(dòng)DOS攻擊。如微軟、yahoo、google等。反復(fù)重啟系統(tǒng)，如沖擊波、震蕩波等攻擊防病毒軟件。放置木馬、后門，偷取商業(yè)信息及個(gè)人、企業(yè)用戶的隱私。其他中國(guó)科技網(wǎng)病毒帶來的威脅近年來全球重大電腦病毒疫情及損失

8、的統(tǒng)計(jì)圖：中國(guó)科技網(wǎng)實(shí)例：SQL Slammer 中國(guó)科技網(wǎng)病毒入侵途徑有安裝防毒軟件的用戶機(jī) RouterFirewallInternet/HTTP 中毒的網(wǎng)站主機(jī)網(wǎng)頁(yè)夾帶HTTP病毒指令用戶機(jī)雖已經(jīng)安裝防病毒軟件,但病毒(HTTP指令格式)經(jīng)由網(wǎng)頁(yè)瀏覽,透過IE的安全性漏洞,直接感染用戶機(jī)中國(guó)科技網(wǎng)我們的應(yīng)對(duì)措施 病毒防治，對(duì)企業(yè)而言已是一個(gè)整體安全問題，不再是單純的買幾套裝軟件就可以解決問題的。 企業(yè)需要集中管理 Central Control。 系統(tǒng)維護(hù), 病毒特征碼定期，及時(shí)更新. 找出并有效防堵所有病毒入侵管道。中國(guó)科技網(wǎng)如何才能有效防治病毒預(yù)防為主 + 緊急措施建立局域網(wǎng)內(nèi)部的升

9、級(jí)系統(tǒng)，包括各種操作系統(tǒng)的補(bǔ)丁升級(jí)，各種常用的應(yīng)用軟件升級(jí)，各種殺毒軟件病毒庫(kù)的升級(jí)。對(duì)郵件服務(wù)器進(jìn)行監(jiān)控，防止帶毒郵件進(jìn)行傳播。對(duì)局域網(wǎng)用戶進(jìn)行安全培訓(xùn)去掉服務(wù)器中不必要的共享和服務(wù)是否能在最短的時(shí)間內(nèi)獲得新的系統(tǒng)漏洞 和病毒特征技術(shù)服務(wù)是關(guān)鍵所在中國(guó)科技網(wǎng)如何才能有效防治病毒控制傳染源Internet網(wǎng)關(guān)90%病毒的入侵渠道網(wǎng)絡(luò)客戶機(jī)其余10%病毒的入侵渠道中國(guó)科技網(wǎng)如何才能有效防治病毒控制病毒的擴(kuò)散途徑郵件服務(wù)器Web服務(wù)器文件服務(wù)器客戶端、PC安裝反病毒防火墻培訓(xùn)，養(yǎng)成不打開來歷不明的郵件的習(xí)慣。尤其不要打開附件。中國(guó)科技網(wǎng)如何才能有效防治病毒選擇最快的升級(jí)途徑，包括對(duì)操作系統(tǒng)和反病毒

10、軟件的升級(jí)。通過Internet升級(jí)進(jìn)行每天/每小時(shí)的升級(jí)企業(yè)網(wǎng)內(nèi)防毒產(chǎn)品自動(dòng)部署機(jī)制安裝，隨時(shí)升級(jí)中國(guó)科技網(wǎng)如何才能有效防治病毒集中的管理集中的病毒警報(bào)機(jī)制集中的安全產(chǎn)品部署、策略部署和升級(jí)機(jī)制集中的系統(tǒng)日志、報(bào)告機(jī)制中國(guó)科技網(wǎng)目錄系統(tǒng)漏洞及常見網(wǎng)絡(luò)攻擊手段 病毒（蠕蟲）技術(shù)發(fā)展及防范 木馬技術(shù)介紹及防范措施 中國(guó)科技網(wǎng)最危險(xiǎn)的敵人木馬木馬，其實(shí)質(zhì)只是一個(gè)非法的、未經(jīng)許可安裝和運(yùn)行的網(wǎng)絡(luò)客戶端/服務(wù)器程序。有明確的竊取敏感信息和惡意控制主機(jī)的意圖，如竊取銀行帳戶密碼。非常隱蔽，非專業(yè)人員很難發(fā)現(xiàn)其蹤跡。難以清除。對(duì)受害者造成的損失巨大。中國(guó)科技網(wǎng)凡是你在PC前所說、所做的一切，都有可能被記錄

11、！木馬具有捕獲每一個(gè)用戶屏幕、每一次鍵擊事件的能力。完全的控制宿主主機(jī)?？梢源蜷_攝像頭、麥克風(fēng)，并將得到的圖像、聲音傳給木馬控制者（2004.6發(fā)現(xiàn)的蜜蜂大盜）。帶有包嗅探器，它能夠捕獲和分析流經(jīng)網(wǎng)卡的每一個(gè)數(shù)據(jù)包隨意操控PC本身資源的能力，而且還能夠冒充PC合法用戶，例如冒充合法用戶發(fā)送郵件、修改文檔，甚至進(jìn)行銀行轉(zhuǎn)帳操作。中國(guó)科技網(wǎng)Back Orifice中國(guó)科技網(wǎng)網(wǎng)銀大盜（II）木馬盜取包括工商銀行、招商銀行、建設(shè)銀行、交通銀行、深圳發(fā)展銀行、民生銀行、華夏銀行、上海銀行等8個(gè)銀行及首都電子商城、中國(guó)在線支付網(wǎng)、銀聯(lián)支付網(wǎng)關(guān)等三家網(wǎng)上支付機(jī)構(gòu)的帳號(hào)、密碼、驗(yàn)證碼等每隔10毫秒檢查一次用戶

12、是否正在使用涉及到的銀行“個(gè)人網(wǎng)上銀行”的登陸界面記錄用戶鍵入的所有鍵盤記錄每隔60秒搜索一次記錄數(shù)據(jù)，然后把竊取到的信息以get方式發(fā)送到指定的http:/*.com/*/get.asp中國(guó)科技網(wǎng)木馬的植入利用系統(tǒng)漏洞，遠(yuǎn)程下載并執(zhí)行木馬安裝程序。捆綁在下載的其他軟件中，用戶安裝該軟件的同時(shí)安裝木馬。偽裝為其他軟件（如破解工具、漂亮的屏保等）。利用IE漏洞可以通過Script、ActiveX及Asp、PHP、Cgi等交互腳本的方式植入。社會(huì)工程（如謊稱是朋友寄給你的賀卡）。中國(guó)科技網(wǎng)木馬的隱藏在任務(wù)欄里隱形在任務(wù)管理器里隱形無進(jìn)程、無端口的DLL（動(dòng)態(tài)鏈接庫(kù)）木馬中國(guó)科技網(wǎng)木馬的啟動(dòng)方式自動(dòng)

13、啟動(dòng)（注冊(cè)表、win.ini、system.ini等）捆綁到其他的程序上（如：phAse 1.0版本和NetBus 1.53）Dll的形式注入到系統(tǒng)服務(wù)中，隨服務(wù)的啟動(dòng)而啟動(dòng)中國(guó)科技網(wǎng)反彈技術(shù)反彈技術(shù)：由木馬服務(wù)端主動(dòng)連接客戶端，因此在互聯(lián)網(wǎng)上可以訪問到局域網(wǎng)里通過 NAT 代理(透明代理)上網(wǎng)的電腦，并且可以穿過防火墻。中國(guó)科技網(wǎng)多線程技術(shù)一個(gè)木馬同時(shí)運(yùn)行多個(gè)線程。例如：三個(gè)線程，其中一個(gè)為主線程，負(fù)責(zé)遠(yuǎn)程控制的工作。另外兩個(gè)為輔助線程，其中一個(gè)輔助線程稱為監(jiān)視線程，它負(fù)責(zé)檢查木馬程序是否被刪除和是否被停止自啟動(dòng)。中國(guó)科技網(wǎng)防范御敵于門外不要打開來歷不明的文件，包括郵件附件和P2P軟件發(fā)過來

14、的文件。非必須打開的服務(wù)、端口全部關(guān)閉。保持操作系統(tǒng)的更新，減少漏洞。安裝個(gè)人防火墻軟件。下載軟件要到可信的知名網(wǎng)站。并仔細(xì)閱讀安裝說明。中國(guó)科技網(wǎng)警惕我中木馬了嗎？留意系統(tǒng)一些可疑狀況，如系統(tǒng)速度突然變慢、CPU利用率上升、沒有進(jìn)行任何網(wǎng)絡(luò)相關(guān)操作時(shí)、網(wǎng)絡(luò)連接顯示在接收和發(fā)送數(shù)據(jù)、硬盤頻繁讀盤等。使用工具（如netstat a、TcpView等）查看是否有可疑的連接查看c：、c：windows、c：windowssystem、 c：windowssystem32等位置有沒有可疑文件查看注冊(cè)表特定位置有沒有可疑的信息中國(guó)科技網(wǎng)警惕我中木馬了嗎？Netstat -a中國(guó)科技網(wǎng)警惕我中木馬了嗎？Tcpview中國(guó)科技網(wǎng)發(fā)現(xiàn)中木馬后：亡羊補(bǔ)牢，斬?cái)嗪谑至⒓磾嚅_網(wǎng)絡(luò)連接所有的賬號(hào)和密碼都要馬上更改，例如網(wǎng)上銀行，撥號(hào)連接，ICQ，F(xiàn)TP，你的個(gè)人站點(diǎn)，免費(fèi)郵箱等等，凡是需要密碼的地方，你都要把密碼盡快改過來。根據(jù)發(fā)現(xiàn)的線索確定木馬的名稱版本，在備份好重要數(shù)據(jù)之后，用專殺工具或手動(dòng)清除木馬