CISM0203恶意代码及网络安全攻防_V30(2016年)

恶意代码及网络安全攻防中国信息安全测评中心版本：3.0课程内容2信息安全技术恶意代码及网络安全攻防终端及数据安全恶意代码概念和防治知识网络安全攻防技术密码及网络安全知识体：恶意代码及网络安全攻防知识域：恶意代码概念和防治知识理解恶意代码的定义了解恶意代码发展过程和趋势理解典型的恶意代码的传播方式和危害了解恶意代码的防御措施3恶意代码定义什么是恶意代码恶意代码（UnwantedCode,MaliciousSoftware,Malware,Malicouscode）是指没有作用却会带来危险的代码恶意代码类型二进制代码二进制文件脚本语言宏语言……4恶意代码发展史孕育和诞生1949：冯·诺依曼在《复杂自动机组织论》提出概念1960：生命游戏（约翰·康维）磁芯大战（贝尔实验室三名程序员）1983：真正的恶意代码在实验室产生5恶意代码发展史初露峥嵘1986年—第一个PC病毒：Brainvirus1988年—MorrisInternetworm—6000多台群雄逐鹿1990年—第一个多态病毒1991年—virusconstructionset-病毒生产机1994年—GoodTimes(joys)1995年—首次发现macrovirus6罗伯特.莫里斯恶意代码发展史巅峰时刻1996年—netcat的UNIX版发布（nc）1998年—第一个Javavirus(StrangeBrew)1998年—netcat的Windows版发布（nc）1998年—backorifice(BO)/CIH1999年—melissa/worm(macrovirusbyemail)1999年—backorifice(BO)forWIN2k1999年—DOS/DDOS-DenialofServiceTFT/trin001999年—knark内核级rootkit(linux)7恶意代码发展史风起云涌2000年—loveBug(VBScript)2001年—CodeRed–worm(overflowforIIS)2001年—Nimda-worm(IIS/webbrowser/outlook/fileshareetc.)2002年—SQLslammer(sqlserver)2003年—MSBlaster/Nachi2003年—中文上网2004年—MyDoom/Sasser2006年—熊猫烧香8恶意代码发展史暗影杀手2010年—Stuxnet(工业蠕虫)2012年—火焰病毒9各种蠕虫、木马悄悄的潜伏在计算机中，窃取信息……恶意代码技术的发展传播速度恶意代码的爆发和传播速度越来越快攻击意图恶意代码的开发者从游戏、炫耀转向恶意牟利功能上恶意代码的分工越来越细实现技术恶意代码实现的关键技术不断变化传播范围恶意代码呈现多平台传播的特征恶意代码的传播方式11移动存储文件传播网络传播网页电子邮件即时通讯共享主动放置软件漏洞[AutoRun]OPEN=Autorun.exeICON=icon.ico恶意代码传播方式-移动存储12自动播放功能Windows默认自动执行autorun.inf指定的文件设置组策略编辑器恶意代码传播方式-文件传播感染软件捆绑强制安装：在安装其他软件时被强制安装上默认安装：在安装其他软件时被默认安装上13恶意代码传播方式-网页14将木马伪装为页面元素利用脚本运行的漏洞伪装为缺失的组件通过脚本运行调用某些com组件利用软件漏洞例如：在渲染页面内容的过程中利用格式溢出释放或下载木马恶意代码传播方式-邮件15社会工程学欺骗性标题吸引人的标题•Iloveyou病毒•库娃等……利用系统及邮件客户端漏洞尼姆达（畸形邮件MIME头漏洞）……恶意代码传播方式-通讯与数据传播即时通讯伪装即时通讯中的用户向其联系人发送消息。使用欺骗性或诱惑性的字眼P2P下载伪造有效资源进行传播16恶意代码传播方式-共享共享17管理共享C盘、D盘……Windows安装目录用户共享用户设置的共享典型病毒LovegateSpybotSdbot……恶意代码传播方式-主动放置攻击者获得权限后主动放入的恶意代码木马后门逻辑炸弹……18恶意代码传播方式-软件漏洞利用各种系统漏洞缓冲区溢出：冲击波、振荡波利用服务漏洞IIS的unicode解码漏洞：红色代码……19恶意代码的防治预防检测清除20恶意代码的预防技术增强安全策略与意识减少漏洞补丁管理主机加固减轻威胁防病毒软件间谍软件检测和删除工具入侵检测/入侵防御系统防火墙路由器、应用安全设置等21恶意代码检测技术特征码扫描沙箱技术行为检测22特征码扫描工作机制：特征匹配病毒库（恶意代码特征库）扫描（特征匹配过程）优势准确(误报率低)易于管理不足效率问题（特征库不断庞大、依赖厂商）滞后（先有病毒后有特征库，需要更新特征库）……23应用最广泛的恶意代码检测技术恶意代码检测技术-沙箱技术24工作机制将恶意代码放入虚拟机中执行，其执行的所有操作都被虚拟化重定向，不改变实际操作系统优势优点能较好的解决变形代码的检测恶意代码检测技术-行为检测工作机制：基于统计数据恶意代码行为有哪些行为符合度优势能检测到未知病毒不足误报率高难点：病毒不可判定原则25恶意代码清除技术感染引导区型修复/重建引导区文件感染型附着型：病毒行为逆向还原替换型：备份还原独立型独立可执行程序：终止进程、删除独立依附型：内存退出、删除嵌入型更新软件或系统重置系统26知识体：恶意代码及网络安全攻防知识域：网络安全攻击与防范了解网络攻击的基本步骤了解信息收集及目标分析实现及防御措施理解攻击者利用人性弱点、协议缺陷、软件缺陷等进行攻击的技术原理及防御措施了解攻击者设置后门的实现方式及防御措施了解渗透测试的特点、流程及实现的工具27攻击的过程28踩点定位入侵留后门抹去痕迹攻击的过程信息收集目标分析实施攻击留后门，方便再次进入打扫战场，清理入侵记录防御针对以上提到的行为了解其原理并考虑应对措施获取攻击目标资料网络信息主机信息应用部署信息漏洞信息其他任何有价值的信息分析目标信息、寻找攻击途径排除迷惑信息可被利用的漏洞利用工具信息收集-攻击的第一步29收集哪些信息目标系统的信息系统相关资料域名、网络拓扑、操作系统、应用软件相关脆弱性目标系统的组织相关资料组织架构及关联组织地理位置细节电话号码、邮件等联系方式近期重大事件员工简历其他可能令攻击者感兴趣的任何信息30信息收集的技术公开信息收集（媒体、搜索引擎、广告等）域名及IP信息收集（whois、nslookup等）网络结构探测（Ping、tracert等）系统及应用信息收集（端口扫描、旗标、协议指纹等）脆弱性信息收集（nessus、sss等）……31公开信息收集范例（1）现实中的范例：著名的照片泄密案背景•大庆油田在发现之初，其位置、储量、产量等信息全部定为国家机密1964年《中国画报》封面泄露信息•衣着判断-北纬46度至48度的区域（即齐齐哈尔与哈尔滨之间）•所握手柄的架式-油井的直径•钻井与背后油田的距离和井架密度-储量和产量32设计出适合中国大庆的设备，在我国设备采购中中标！公开信息收集范例（2）信息时代的范例：某影星的住址背景：•明星家庭住址是明星隐私，她们都不愿意透露•微博时代，明星也爱玩微博微博信息•13:50:四环堵死了，我联排要迟到了？•在北京工作这么久，都没在北京中心地带买一套房子•光顾着看围脖，忘记给老爸指路，都开到中关村了结论：北四环外某个成熟小区，小区中间有三个相连的方形花坛Googleearth能帮助我们快速找到这个小区33公开信息收集快速定位Google搜索“5sf67.jsp”可以找到存在此脚本的Web网站Google搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器信息挖掘定点采集•Google搜索“.doc+website”挖掘信息隐藏信息•.mdb、.ini、.txt、.old、.bak……后台入口34Howtohackwebsitewithgoogle!域名信息收集35NSlookup域名解析查询WhoisWhois是一个标准服务，可以用来查询域名是否被注册以及注册的详细资料Whois可以查询到的信息•域名所有者•域名及IP地址对应信息•联系方式•域名到期日期•域名注册日期•域名所使用的DNSServers•……网络信息收集Tracert(Traceroute)发现访问控制设备探测目标网络拓扑结构原理利用TTL工作机制理论上任何一种IP数据包都可以用于追踪路由36系统信息收集-TCP/IP协议栈检测原理不同厂商对IP协议栈实现之间存在许多细微的差别，通过这些差别就能对目标系统的操作系统加以猜测。检测方法主动检测被动检测37系统信息收集-服务旗标检测服务旗标检测法[root@pooh]#telnet192.168.1.13DebianGNU/Linux2.1target.domain.comtargetlogin:Redhat:/etc/issue、/etc/issue.netbsd:/etc/motdSolaris:/etc/motd缺陷：不准确，负责任的管理员一般都修改这个文件38FTP回显信息Web回显信息原理通过端口扫描确定主机开放的端口，不同的端口对应运行着的不同的网络服务扫描方式全扫描半打开扫描隐秘扫描……系统及应用信息收集-端口扫描端口测试数据包测试响应数据包我知道主机上开放的端口了39分析目标-入侵的准备为什么需要分析目标确定收集信息的准确性去除迷惑信息（例如:index.ycs是java开发，开发人员修改了脚本后缀以迷惑攻击者）攻击方式及攻击路径的选择漏洞信息及攻击工具获取漏洞扫描漏洞库QQ群论坛等交互应用……4041信息收集与分析工具-扫描器网络设备漏洞扫描器CiscoAuditingTools集成化的漏洞扫描器NessusShadowSecurityScannereEye的RetinaInternetSecurityScannerGFILANguard专业web扫描软件IBMappscanAcunetixWebVulnerability数据库漏洞扫描器ISSDatabaseScanneroscannerOracle数据库扫描器Metacoretex数据安全审计工具信息收集与分析的防范公开信息收集防御信息展示最小化原则，不必要的信息不要发布网络信息收集防御部署网络安全设备（IDS、防火墙等）设置安全设备应对信息收集（阻止ICMP）系统及应用信息收集防御修改默认配置（旗标、端口等）减少攻击面42严防死守！攻击实施利用人性弱点的攻击口令破解社会工程学利用协议弱点的攻击拒绝服务攻击电子欺骗利用软件开发缺陷SQL注入跨站脚本43利用人性懒惰-密码破解44密码破解方法暴力猜解密码破解工具密码暴力破解工具密码字典生成工具密码破解防御密码生成技巧密码管理策略暴力猜解方法一：散列值破解已知密码的散列算法及散列值的破解方法Linux密码散列值#root:$1$acQMceF9:13402:0:99999:7:::Windows密码散列值（LM-Hash）Administrator:500:C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE6CC:::45密码明文对明文密码进行加密对比密文更换密码明文暴力猜解方法一：散列值破解获取散列值p