《網絡攻防與協(xié)議分析》課件-3.病毒文件

關于病毒文件的

入侵檢測配置1關于惡意代碼文件惡意代碼分類-傳播方式按照傳播方式對惡意代碼進行分類病毒：通過遍歷感染文件傳播。蠕蟲：通過遍歷網絡發(fā)送攻擊數(shù)據包傳播。木馬：通過欺騙和釣魚誘騙受害者訪問。惡意程序-病毒病毒定義：狹義的病毒指通過對系統(tǒng)和共享目錄中文件進行感染，以實現(xiàn)自身復制并執(zhí)行功能的惡意代碼。主要傳播方式：感染文件傳播典型家族：CIH、熊貓燒香、震蕩波正常文件惡意代碼惡意程序-熊貓燒香病毒傳播方式：本地硬盤、網絡共享威脅：感染EXE、COM、PIF、SRC、HTML、ASP等多種文件類型其他功能：終止大量殺軟進程刪除備份gho文件家族特點：被感染文件圖標替換為“熊貓燒香”惡意程序-蠕蟲定義：蠕蟲是主要通過網絡使惡意代碼在不同設備中進行復制、傳播和運行的惡意代碼。傳播方式：通過網絡發(fā)送攻擊數(shù)據包典型家族：愛蟲、沖擊波、永恒之藍蠕蟲主要傳播途徑聊天工具、郵件、漏洞聊天工具郵件漏洞蠕蟲惡意程序-愛蟲蠕蟲傳播方式：利用outlook郵件傳播威脅：感染VBS、HTA、JPG、MP3等多種文件類型其他功能：向通訊錄中所有地址發(fā)送病毒郵件副本家族特點：郵件標題為：ILOVEYOU多在情人節(jié)爆發(fā)惡意程序-永恒之藍蠕蟲傳播方式：利用永恒之藍漏洞傳播威脅:遠程任意代碼執(zhí)行其他功能：傳播wannacry勒索軟件家族特點：利用smb服務漏洞傳播攻擊面積大病毒木馬-木馬木馬是指在計算機系統(tǒng)中植入的人為設計的惡意程序。木馬大多由服務端和客戶端構成，其目的包括無感知地對目標計算機遠程接管、控制資源，如復制文件、修改文件、刪除文件、查看文件內容、上傳/下載文件等，或控制鍵盤鼠標，隨意修改計算機的注冊表和系統(tǒng)文件，也可監(jiān)視目標計算機任務并可隨時被終止任務，竊取計算機信息資料，或遠程關閉/重啟計算機，惡意導致計算機系統(tǒng)癱瘓。木馬攻擊關鍵技術木馬植入技術自動加載技術隱藏技術連接技術監(jiān)控技術相傳在古希臘時期，特洛伊王子帕里斯劫走了斯巴達美麗的王后海倫和大量的財物。斯巴達國王組織了強大的希臘聯(lián)軍遠征特洛伊，但久攻不下。有人獻計制造一只高二丈的大木馬，假裝作戰(zhàn)馬神，讓士兵藏匿于巨大的木馬中，同時命令大部隊佯裝撤退而將木馬棄于特洛伊城下。城中得知解圍的消息后，遂將“木馬”作為奇異的戰(zhàn)利品拖入城內，全城飲酒狂歡。到午夜時分，全城軍民盡入夢鄉(xiāng)，匿于木馬中的將士出來開啟城門及四處縱火，城外伏兵涌入，部隊里應外合，徹底攻破了特洛伊城。后世稱這只大木馬為“特洛伊木馬”。木馬舉例-捆綁類木馬傳播方式：通過被攻擊者主動下載其他功能：后臺靜默執(zhí)行惡意木馬家族特點：包含正常軟件木馬舉例-利用網頁木馬傳播方式：主動修改頁面內容感染網頁文件其他功能：一般作為攻擊的中間環(huán)節(jié)下載/釋放其他惡意文件家族特點：一般在網頁文件頭部或尾部惡意程序分類-功能分類按照功能對惡意代碼進行分類后門：具有感染設備全部操作權限的惡意代碼。勒索：通過加密文件，敲詐用戶繳納贖金。挖礦：消耗系統(tǒng)資源，挖取比特幣。廣告：消耗系統(tǒng)資源，騙取流量。惡意程序-后門病毒定義：后門指繞過系統(tǒng)安全性控制而具有操作權限的惡意代碼。典型功能：文件管理、屏幕監(jiān)控、鍵盤監(jiān)控、視頻監(jiān)控、命令執(zhí)行等。典型家族：灰鴿子、pcshare惡意程序-灰鴿子后門典型功能：視頻/鍵盤/屏幕監(jiān)控文件/命令操作家族特點：開發(fā)初衷為機房管理國產后門反向連接惡意程序-勒索病毒定義：通過加密用戶文件使用戶數(shù)據無法正常使用，并以此為條件向用戶勒索贖金的惡意代碼。加密特點：主要采用非對稱加密方式對文檔、郵件、數(shù)據庫、源代碼、圖片、壓縮文件等多種文件類型進行加密其他特點：通過比特幣或其它虛擬貨幣交易利用釣魚郵件和爆破rdp口令進行傳播典型家族：Wannacry、GandCrab、GlobeImposter惡意程序-wannacry勒索軟件典型功能：利用永恒之藍漏洞主動傳播幾乎加密所有文件類型家族特點：2017年5月12日爆發(fā)傳播存在開關域名勒索彈窗有“wanna”字樣惡意程序-挖礦病毒定義：攻擊者通過向被感染設備植入挖礦工具，消耗被感染設備的計算資源進行挖礦，以獲取數(shù)字貨幣收益的惡意代碼。特點：不會對感染設備的數(shù)據和系統(tǒng)造成破壞。由于大量消耗設備資源，可能會對設備硬件造成損害。惡意程序-廣告軟件定義：廣告是一種附帶廣告功能，以流量作為盈利來源的惡意代碼，其往往會強制安裝并無法卸卸載。特點：在后臺收集用戶信息頻繁彈出廣告消耗系統(tǒng)資源等典型家族：PUA廣告軟件廣告軟件舉例-PUA廣告軟件

典型功能：具有正常軟件下載安裝功能包含大量附加下載復選框家族特點：常見安裝包圖標附加下載復選框全部默認勾選極易被忽略被安裝大量無用軟件2病毒文件傳輸

入侵檢測實驗病毒文件檢測配置實驗關于本實驗通過配置入侵檢測策略，實現(xiàn)病毒文件傳輸?shù)臋z測。實驗目的理解入侵檢測系統(tǒng)使用簽名識別病毒文件的原理，練習入侵檢測策略的配置。實驗背景Kali主機和靶機之間，通過防火墻設備進行網絡連接，防火墻將連接靶機的流量，通過端口鏡像引流到入侵檢測設備。IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24異常包攻擊檢測配置實驗-基礎配置拓撲搭建基礎配置1、防火墻接口IP地址配置#啟動“pikachu”

靶場，sudo密碼centos[centos@localhost~]#sudodockerstartpikachuIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24異常包攻擊檢測配置實驗-基礎配置拓撲搭建基礎配置2、防火墻配置DHCPIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24異常包攻擊檢測配置實驗-基礎配置拓撲搭建基礎配置3、防火墻ge3接口配置鏡像接口引流IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24異常包攻擊檢測配置實驗-基礎配置拓撲搭建基礎配置4、防火墻配置一條全通策略，放通流量IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24異常包攻擊檢測配置實驗-基礎配置拓撲搭建基礎配置5、配置入侵檢測ge2接口為“旁路模式”，安全域為“untrust”。IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24網絡掃描檢測配置實驗-病毒文件檢測漏洞攻擊入侵檢測配置1、配置自定義病毒簽名IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24網絡掃描檢測配置實驗-病毒文件檢測漏洞攻擊入侵檢測配置2、配置防病毒安全配置文件，并在安全策略中引用IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24漏洞檢測配置實驗-實驗驗證實驗驗證1、將“re