《CISM培训课件》——恶意代码与安全攻防

恶意代码与安全攻防中国信息安全测评中心知识体：恶意代码与安全攻防知识域：恶意代码了解恶意代码的基本概念和防范；了解恶意代码的防御和查杀基本知识。2恶意代码定义什么是恶意代码恶意代码（UnwantedCode,MaliciousSoftware,Malware,Malicouscode）是指没有作用却会带来危险的代码恶意代码类型二进制代码二进制文件脚本语言宏语言……3恶意代码发展史孕育和诞生1949：冯·诺依曼在《复杂自动机组织论》提出概念1960：生命游戏（约翰·康维）磁芯大战（贝尔实验室三名程序员）1983：真正的恶意代码在实验室产生4恶意代码发展史初露峥嵘1986年—第一个PC病毒：Brainvirus1988年—MorrisInternetworm—6000多台群雄逐鹿1990年—第一个多态病毒1991年—virusconstructionset-病毒生产机1994年—GoodTimes(joys)1995年—首次发现macrovirus5罗伯特.莫里斯恶意代码发展史巅峰时刻1996年—netcat的UNIX版发布（nc）1998年—第一个Javavirus(StrangeBrew)1998年—netcat的Windows版发布（nc）1998年—backorifice(BO)/CIH1999年—melissa/worm(macrovirusbyemail)1999年—backorifice(BO)forWIN2k1999年—DOS/DDOS-DenialofServiceTFT/trin001999年—knark内核级rootkit(linux)运行状态的保护技术6恶意代码发展史风起云涌2000年—loveBug(VBScript)2001年—CodeRed–worm(overflowforIIS)2001年—Nimda-worm(IIS/webbrowser/outlook/fileshareetc.)2002年—SQLslammer(sqlserver)2003年—MSBlaster/Nachi2003年—中文上网2004年—MyDoom/Sasser2006年—熊猫烧香7恶意代码发展史暗影杀手2010年—Stuxnet(工业蠕虫)2012年—火焰病毒8各种蠕虫、木马悄悄的潜伏在计算机中，窃取信息……恶意代码分类9照恶意代码运行平台按照恶意代码传播方式按照恶意代码的工作机制按照恶意代码危害分类蠕虫病毒后门木马有害工具流氓软件风险程序其他典型恶意代码类别病毒编译病毒解释病毒蠕虫木马其他恶意代码逻辑炸弹流氓软件……10恶意代码的危害11网络拥塞蠕虫传播或爆发占用大量网络资源，导致网络瘫痪系统控制形成危害严重的僵尸网络，被作者用来发动任何攻击信息泄露监视用户操作，窃取个人隐私破坏系统及数据……编译病毒定义指的是其源代码已经由编译程序转换成操作系统可直接执行格式的病毒。类型感染文件病毒（CIH）感染引导区病毒(DIR2)混合病毒12解释病毒定义非可直接执行代码，由特定应用或服务执行解释执行感染对象Office系统文档：*.doc*.xls*.ppt*.mdb类型脚本病毒：各类脚本语言编写的病毒宏病毒：宏是office中的一项特殊功能，利用VBA编写脚本执行重复性工作。宏病毒是以此功能编写的破坏性脚本。实例VBS脚本病毒：Happytime宏病毒：美丽莎（Macro.Melissa）13蠕虫病毒定义一种具备自复制能力的程序，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中特点有独立的病毒文件体；主动自我复制传播；利用系统漏洞、弱口令、局域网共享等多种方式传播；传播速度极快。实例：莫里斯蠕虫尼姆达14木马病毒定义又称特洛伊木马，名称来源于古代神话特洛伊木马程序是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道其他的功能，例如在你不了解的情况下拷贝文件或窃取你的密码。（RFC1244）主要类别远程控制信息收集（密码窃取）其他恶意作用15其他恶意代码逻辑炸弹在特定逻辑条件满足时，实施破坏的计算机程序或代码。流氓软件尚无标准定义不会破坏计算机系统和数据，但为了达到某种目的而收集信息或干扰用户的使用体验。16恶意代码的发展趋势种类越来越难以划分不再依赖与单一的传播模式或漏洞目的明确，功利性突出隐蔽性越来越强，不再有过多的外部表现更新速度加快越来越多的技术被用于自我防护17恶意代码的传播方式18主动放置网页电子邮件漏洞移动存储共享即时通讯软件捆绑恶意代码的防治人：安全意识教育安全管理制度宣贯安全知识及意识技术：综合病毒防御体系网络基础设施防护网络边界安全防护运行环境安全防护支撑性基础设施管理：完善的制度19切断病毒传播途径人员控制措施—恶意软件的意识教育组织机构IT系统和信息使用行为规范安全意识教育组织机构的信息安全意识教育应包含对恶意软件的意识教育意识教育实践的示例：•不要打开来自于未知或已知发送者的可疑的电子邮件或电子邮件附件•不要点击可疑的Web浏览器弹出窗口•不要访问可能包含恶意内容的网站•不要打开可能同恶意软件相关的文件扩展符的文件（例如：.bat，.com，.exe，.pif，.vbs)•……20技术控制措施-构建综合病毒防御体系远程用户远程用户远程用户远程用户边界保护（隔离器、防火墙等）远程访问保护（VPN，加密等）边界电信运营商公共电话网公共移动网连接至其他边界远程用户专网密级网络PBX公网(Internet)Internet服务供应商电信运营商本地计算环境网络基础设施支撑性基础设施（PKI公钥基础设施、检测和响应基础设施）带密级网络的边界专用网络的边界公共网络的边界21保护区域边界IATF区域边界区域：采用相同安全策略的本地计算设备的集合，区域的网络设备与其它网络设备的接入点被称为“区域边界”。区域边界病毒防护目标对进出某区域（物理区域或逻辑区域）的数据流进行有效的控制与监视。区域边界病毒防御技术手段：防病毒网关垃圾邮件网关网闸入侵检测流量管理……22保护网络和基础设施网络和基础设施病毒防护目标：防止数据非法泄露防止受到拒绝服务的攻击防止受到保护的信息在发送过程中的时延、误传或未发送。技术手段：稳定可靠的拓扑结构VLAN划分流量分析非法接入控制……23计算环境病毒防护目标：使用信息保障技术确保数据在进人、离开或驻留客户机和服务器时具有保密性、完整性和可用性。技术手段：使用安全的操作系统和应用程序（补丁、安全加固加固等）防病毒系统主机入侵检测主机脆弱性扫描文件完整性保护……保护计算环境24支撑性基础设施目标：为安全保障服务提供一套相互关联的活动与基础设施,包括：•密钥管理功能•检测和响应功能方法PKI/PGP等应急响应25准备准备恢复恢复根除根除应急响应应急响应检测检测事后事后活动活动遏制遏制准备准备恢复恢复根除根除应急响应应急响应检测检测事后事后活动活动遏制遏制管理控制措施—恶意软件防护的策略组织机构就在整个组织机构内以一致和有效的方式执行恶意软件预防活动。是所有其他恶意软件防御措施的基础。相关策略考虑的大类：指定系统的可接受使用减轻脆弱性减轻威胁26知识体：恶意代码与安全攻防KA（知识域）：安全攻防网络攻击基本流程了解侦查踩点、定位绘制目标、实施攻击、扩大战果、打扫战场等网络攻击的基本步骤；了解以上各个阶段常用的攻击手段和工具。27攻击的过程28踩点入侵留后门抹去痕迹攻击的过程信息收集及目标分析实施攻击方便再次进入打扫战场防御针对以上提到的行为了解其原理并考虑应对措施获取攻击目标资料网络信息主机信息应用部署信息漏洞信息其他任何有价值的信息分析目标信息、寻找攻击途径排除迷惑信息可被利用的漏洞利用工具信息收集-攻击的第一步29收集哪些信息目标系统的信息系统相关资料域名、网络拓扑、操作系统、应用软件相关脆弱性目标系统的组织相关资料组织架构及关联组织地理位置细节电话号码、邮件等联系方式近期重大事件员工简历其他可能令攻击者感兴趣的任何信息30信息收集的技术公开信息收集（媒体、搜索引擎、广告等）域名及IP信息收集（whois、nslookup等）网络结构探测（Ping、tracert等）系统及应用信息收集（端口扫描、旗标、协议指纹等）脆弱性信息收集（nessus、sss等）……31公开信息收集范例现实中的范例：著名的照片泄密案背景•大庆油田在发现之初，其位置、储量、产量等信息全部定为国家机密1964年《中国画报》封面泄露信息•衣着判断-北纬46度至48度的区域（即齐齐哈尔与哈尔滨之间）•所握手柄的架式-油井的直径•钻井与背后油田的距离和井架密度-储量和产量32设计出适合中国大庆的设备，在我国设备采购中中标！公开信息收集范例信息时代的范例：影星的住址背景：•明星家庭住址是明星隐私，她们都不愿意透露，微博时代，明星也爱玩微博微博信息•13:50:四环堵死了，我联排要迟到了？•在北京工作这么久，都没在北京中心地带买一套房子•光顾着看围脖，忘记给老爸指路，都开到中关村了结论：北四环外某个成熟小区，小区中间有三个相连的方形花坛Googleearth能帮助我们快速找到这个小区33公开信息收集快速定位Google搜索“5sf67.jsp”可以找到存在此脚本的Web网站Google搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器信息挖掘定点采集•Google搜索“.doc+website”挖掘信息隐藏信息•.mdb、.ini、.txt、.old、.bak……后台入口34Howtohackwebsitewithgoogle!域名信息收集35NSlookup域名解析查询WhoisWhois是一个标准服务，可以用来查询域名是否被注册以及注册的详细资料Whois可以查询到的信息•域名所有者•域名及IP地址对应信息•联系方式•域名到期日期•域名注册日期•域名所使用的DNSServers•……网络信息收集Tracert(Traceroute)发现访问控制设备探测目标网络拓扑结构原理利用TTL工作机制理论上任何一种IP数据包都可以用于追踪路由36系统信息收集-TCP/IP协议栈检测原理不同厂商对IP协议栈实现之间存在许多细微的差别，通过这些差别就能对目标系统的操作系统加以猜测。检测方法主动检测被动检测37系统信息收集-服务旗标检测服务旗标检测法[root@pooh]#telnet192.168.1.13DebianGNU/Linux2.1target.domain.comtargetlogin:Redhat:/etc/issue、/etc/issue.netbsd:/etc/motdSolaris:/etc/motd缺陷：不准确，负责任的管理员一般都修改这个文件38FTP回显信息Web回显信息原理通过端口扫描确定主机开放的端口，不同的端口对应运行着的不同的网络服务扫描方式全扫描半打开扫描隐秘扫描……扫描技巧随机扫描慢速扫描……系统及应用信息收集-端口扫描端口测试数据包测试响应数据包我知道主机上开放的端口了39信息收集防御策略公开信息收集防御信息展示最小化原则，不必要的信息不要发布域名信息收集防御确保信息的更新联系人信息的保护（虚拟联系人）域名管理身份的保护网络信息收集防御防火墙上阻止ICMP系统收集防御减少攻击面修改旗标40严防死守！典型端口扫描SYN/ACKscan发送一个SYN/ACK分组，测知防火墙的规则设计。它可确定防火墙是否只是简单的分组过