信息系统安全武汉大学王鹃jwang@whu.edu.cn自我介绍•教师–姓名:王鹃–电话:18986213038–Email:jwang@whu.edu.cn课程内容第四章渗测试-KALI的使用概述信息系统安全模型物理安全容错计算访问控制计算机系统硬件安全/嵌入式/可信计算操作系统安全/数据库安全/软件安全/网络安全信息安全工程与信息安全审计信息系统安全的新方向信息系统安全的典型案例及近期信息安全事件分析课程目标•了解信息系统的主要安全威胁•了解物理安全•掌握容错技术的基本方法•掌握访问控制模型及机制•熟悉计算机系统安全的关键技术•熟悉渗透测试平台Kali或BackTrack•了解信息安全工程/信息安全审计的主要内容参考教材1、计算机系统安全曹天杰等高等教育出版社2、鸟哥Linux私房菜(基础篇和服务器架设篇)3、Unix环境编程,W.RichardStevens,第2或3版(中级)4、linux内核分析与设计,RobertLove5、Linux源代码详解,赵炯6、Metaspolit魔鬼训练营诸葛建伟机械工业出版社7、容错计算机系统徐拾义武汉大学出版社网络资料推荐•一个很好的渗透测试平台,前生是著名的backtrack()•上面有不少漏洞利用的源码•Syracuse的ProfDu有一个SEED项目,~wedu/seed/index.html。里面有不少可以动手的小项目。•UCSB的Vigna组织很多年iCTF了。学生也可以把往年的iCTF下载下来学习和练习。学习交流•学习交流群589852410密码ssecurity考试与考核办法学分:2学时:36(理论)总评成绩=平时成绩×40%+期末考试成绩×60%平时成绩考勤作业课堂展示期末考试考试与考核办法课堂展示15-20分从第3周开始,每次课的最后一堂课要求:1、每3人为一组,展示一种攻击手段,同时提出可能的防御手段。2、制作PPT,讲解攻击和防御原理,PPT中介绍队员以及各自分工和贡献3、现场演示,并录制视频4、时间10-15分钟4、展示内容(PPT+视频+工具)上传到网盘,以展示内容命名第一章概述与信息安全模型信息安全与管理安全模型二三一信息安全概述安全威胁及实例•信息安全:(InformationSecurity)国际标准化组织(ISO)对计算机系统安全的定义:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。•网络安全:计算机网络环境下的信息安全。什么是信息安全信息安全的特征五个基本特性机密性(1)确保信息不被非授权者获得与使用。完整性(2)信息是真实可信的,其发布者不被冒充,来源不被伪造,内容不被篡改。可用性(3)保证信息可被授权人在需要时立即获得并正常使用。可靠性(4)系统在规定条件下和规定时间内完成规定功能的概率。不可抵赖性(5)通信双方不能否认己方曾经签发的信息。对应的英文:Confidentiality(机密性)Integrity(完整性)Availability(可用性)Reliability(可靠性)Non-Repudiation(不可抵赖性)信息安全与管理安全模型二三一信息安全概述安全威胁及实例信息安全的主要威胁操作系统、数据库以及通信协议等方面存在安全漏洞和隐蔽通道等不安全因素软硬件故障和工作人员误操作等人为或偶然事故构成的威胁利用计算机实施盗窃、诈骗等违法犯罪活动的威胁网络攻击和计算机病毒构成的威胁信息战的威胁冒名顶替电磁攻击侧信道不安全服务配置问题不安全的代码设计缺陷Rootkit病毒逻辑炸弹特洛伊木马间谍行为洪泛攻击算法考虑不周随意口令口令破解口令圈套窃听偷窃安全威胁网络通信身份鉴别恶意代码系统漏洞物理威胁信息安全的主要威胁主要的攻击手段•口令破解•病毒•木马•Rootkit•蠕虫•DDoS•系统漏洞利用•网络欺诈•社会工程•其它安全威胁的典型事例•震网病毒•毒区病毒•火焰病毒•近期的一些安全事件震网病毒•利郎布什尔核电站伊朗布什尔核电站受到严重攻击。全球超过45000个网络60%的个人电脑感染了这种病毒。2010年6月被发现震网病毒–蠕虫病毒–利用微软至少四个漏洞–伪造驱动程序的数字签名–针对西门子公司的数据采集与监控系统SIMATICWinCC进行攻击震网病毒•Stuxnet到底是什么?–Windows2000、WindowsServer2000–WindowsXP、WindowsServer2003–WindowsVista–Windows7、WindowsServer2008–当它发现自己运行在非WindowsNT系列操作系统中,即刻退出–被攻击的软件系统包括:–SIMATICWinCC7.0–SIMATICWinCC6.2震网病毒•Stuxnet的运行环境?Stuxnet蠕虫攻击原理mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件驱动程序隐藏某些link文件U盘传播工具Stuxnet的多种传播方式特点:简单、波及范围广、危害程度高Stuxnet利用这一漏洞时,如果权限不够导致失败,还会使用一个尚未公开的漏洞来提升自身权限,然后再次尝试攻击。发动RPC攻击RPC远程执行漏洞与权限提升漏洞•这个漏洞利用Windows在解析快捷方式文件(例如.lnk文件)时的系统机制缺陷,使系统加载攻击者指定的DLL文件,从而触发攻击行为。•Stuxnet蠕虫搜索计算机中的可移动存储设备快捷方式文件解析漏洞Windows打印后台程序没有合理地设置用户权限Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播打印机后台程序服务漏洞(MS10-061)HKLM\SOFTWARE\SIEMENS\STEP7HKLM\SOFTWARE\SIEMENS\WinCC\SetupWinCCstuxnet注册表是否存在DLL加载策略上的缺陷WinCC系统中硬编码漏洞硬编码漏洞:Stuxnet利用这一漏洞尝试访问该系统的SQL数据库DLL加载策略上的缺陷:Stuxnet通过替换Step7软件中的s7otbxdx.dll,实现对一些查询、读取函数的Hook。攻击行为•。复制与传播过程中文件依赖关系•Duqu是一种复杂的木马,有迹象表明其制造者与臭名昭著的Stuxnet蠕虫创建者为同一人。与Stuxnet比起来,Duqu更像是系统中的后门程序,主要目的是为私密信息的盗取提供便利。而Stuxnet则被用来进行工业破坏。还有一点很重要的是,Stuxnet能够运用各种方法将自己从一台计算机复制到另一台计算机上,而Duqu只是一种木马,目前没有发现自我复制的行为。毒区病毒(Duqu)病毒特点与Stuxnet不同,尽管Duqu的一些子程序可以用来盗取与工业生产设备相关的信息,但它并不会直接攻击PLC/SCADA设备。从其表现来看,Duqu被创建的目的是用来收集与其攻击目标有关的情报,包括受攻击设备中所有以数字格式保存的信息.Duqu通过对Word文档的CVE-2011-3402漏洞发起针对性攻击,进而感染计算机。该漏洞是在Windows核心组件Win32k.sys中的零日漏洞,它使得攻击者可以以最高级别权限运行代码,并绕过Windows或安全软件的大部分保护机制。Duqu是唯一一个利用该漏洞来感染计算机的恶意软件。从证书认证机构中盗取证书,而这些证书可以用作为恶意代码进行数字签名收集密码、抓取桌面截图(暗中监视用户的操作)、盗取各类文件感兴趣,与控制服务器(C&C)主机,将盗取的信息发送给主控服务器。•Duqu木马的模块结构如图1所示,由驱动模块(使用数字签名)、DLL模块和配置文件组成。其中,驱动模块为jminet7.sys,用于解密负载代码和注入系统进程;DLL模块和配置文件均以加密形式存储在磁盘上,仅在需要时解密到内存;DLL模块的资源中还包含一个负责进程注入的DLL模块,因为不需要保存在磁盘,所以没有文件名;该无名模块提供了多种注入方式,通过这些注入方式中的一种,将自身的资源节代码(用于与C&C服务器通讯)注入到目标进程。毒区病毒(Duqu)Duqu木马采用了DLL注入方式来隐藏自身模块,以躲避杀毒软件的检测,并且都同时采用了驱动层注入和用户层注入两种方式。通过PsSetLoadImageNotifyRoutine设置回调函数的方式来完成驱动层的注入。每当有PE程序(DLL或者EXE)被加载,这个函数都会发生回调,从而获得执行机会。如果加载的是kernel32.dll文件,则通过API名称的哈希值,获得kernel32.dll上一些特定的API函数地址。如果被加载是特定的进程名称(该名称以加密形式保存在注册表),则修改此进程的入口点函数跳转到注入代码执行恶意行为,然后跳回到原入口点(很像感染式病毒,不过是完全内存态的感染),成为蠕虫的傀儡进程。病毒注入比较项目Duqu木马Stuxnet蠕虫功能模块化是Ring0注入方式PsSetLoadImageNotifyRoutineRing3注入方式Hookntdll.dll注入系统进程是资源嵌入DLL模块一个多个利用微软漏洞是使用数字签名是包括RPC通讯模块是配置文件解密密钥0xae2406820x01ae0000注册表解密密钥0xae240682Magicnumber0x90,0x05,0x79,0xae运行模式判断代码存在Bug是注册表操作代码存在Bug是攻击工业控制系统否是驱动程序编译环境MicrosoftVisualC++6.0MicrosoftVisualC++7.0与Stuxnet的比较winhexutraledit火焰病毒(Flame)是一种后门程序和木马病毒,同时又具有蠕虫病毒的特点。只要背后的操控者发出指令,就能在网络、移动设备中进行自我复制。一旦电脑系统被感染,将开始一系列复杂的行动,包括监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等。被感染系统中所有的数据都能通过链接传到指定的服务器,让操控火焰的人一目了然。杀毒软件厂商卡巴斯基指出,有证据显示,开发“火焰”病毒的国家可能与开发2010年攻击伊朗核项目的蠕虫病毒的国家相同。但是,他们尚未确定该病毒是否像攻击伊朗核项目的蠕虫病毒那样拥有特殊任务,并拒绝说出他们认为是谁开发了该病毒。。前车之鉴以色列伊朗外交部发言人指责是以色列制造“火焰”病毒,又说这些网络攻击手段,不会成功。伊朗方面于2012年4月时,称该病毒被其创造者命名为Wiper[4]。而卡巴斯基则说它和Wiper没有什么关系。尽管以色列副部长摩西的某段讲话似乎暗示了以色列是始作俑者,但目前以色列在受害数量上仅次于伊朗的189起,为89起。报道声称该恶意软件由美国国家安全局和以色列合作研发。类似震网病毒,可能都在OlympicGames计划下开发出来。印度时报报道,目前有80家来自亚洲、欧洲和北美的服务器在操作这种病毒。美国和以色列都正式否认与此病毒有关。美&以合作病毒来源”病毒特点职业分析该恶意软件中包含了一个伪造的数字签名。被伪造签名的主体是MicrosoftEnforcedLicensingIntermediatePCA数字证书认证机构。由于微软在终端服务授权服务证书中,错误地启用了代码签名功能,并且尽管早在2008年便有人成功地伪造了使用MD5作为签名算法的数字证书,这一证书却依旧在使用MD5作为签名算法。这使得伪造该证书变得比较容易。此恶意软件的开发者成功地通过选定前缀攻击法伪造了这一证书,并用于签名该恶意软件,使得它看起来像是来自微软。记录来自内部话筒音频数据也是相当新的手段。当然,其它一些已知的恶意程序也能够记录音频数据,但是Flame的关键不同是它很全面——能够以各种各样的手段盗取数据。在恶意