第三期《信息安全常见攻击技术介绍》1

1第三期《信息安全常见攻击技术介绍》一、什么是恶意程序？恶意程序是未经授权运行的、怀有恶意目的、具有攻击意图或者实现恶意功能的所有软件的统称，其表现形式有很多：计算机病毒、特洛伊木马程序、蠕虫、僵尸程序、黑客工具、漏洞利用程序、逻辑炸弹、间谍软件等。大多数恶意程序具有一定程度的破坏性、隐蔽性和传播性，难以被用户发现，但会造成信息系统运行不畅、用户隐私泄露等后果，严重时甚至导致重大安全事故和巨额财产损失等。恶意程序可能会带来不同程度的影响与破坏。轻则影响系统正常运行、消耗主机CPU、硬盘等资源，重则可能导致传播违法图像和信息、窃取或破坏用户数据、造成信息系统服务中断等严重安全事件，有些恶意程序可以穿透和破坏反病毒软件和防火墙软件，甚至对受感染计算机进行远程控制以进行危害更严重的攻击和破坏。可以说，日益泛滥的恶意程序已经成为了当前信息安全工作中最为突出的问题之一。恶意程序存在和产生的原因很多，除了其背后巨大的商业利益驱动以外，仅从技术角度而言，其主要根源是当前信息系统普遍存在设计与实现方面的缺陷。有的是系统整体设计有缺陷，有的是对新技术新发展而带来的安全威胁估计不足，有的是研发过程中存在的疏忽与遗漏，甚至还有一些情况是，软件研发单位为方便运维管理而故意留下的后门程序被恶意利用。由于以上各种技术或非技术原因，近年来，恶意程序的数量规模飞速增长，危害程度与破坏性也日趋加剧。2012年初，信息安全厂商卡巴斯基公司公开透露，平均每天检测到的感染网银木马的计算机数量为2000台，平均每天新添加到卡巴斯基实验室反病毒数据库的针对敏感金融信息的恶意程序特征高达780个，占卡巴斯基产品每天检测到的恶意软件总数的1.1％。虽然恶意程序的传播目的、表现形式、各不相同，但其传播途径往往具有较大相似性。各种系统与网络协议漏洞、移动存储介质、论坛附件、电子邮件附件以及多媒体播放等，是恶意程序进行传播的主要途径。最近几年，恶意程序普遍采用伪装欺骗技术（如伪装成IE快捷方式、文件夹、图片、系统文件等），用以躲避反病毒、木马等软硬件设备的查杀。二、什么是木马？特洛伊木马的概念源自于《荷马史诗》：古希腊大军围攻特洛伊城，长年围攻不下。后来希腊人仿作神祗于城外建造了一只巨型木马，其实在马腹中藏匿了众多希腊战士。2当希腊人假装撤退时，特洛伊人将木马作为战利品拖入城中。于是，藏匿在木马中的希腊人与城外部队里应外合，一举攻下了特洛伊城。该故事在信息安全领域也得到了广泛应用，在目标计算机上植入程序，通过“里应外合”来实现对目标计算机的完全控制。该程序即被称为特洛伊木马程序，俗称木马。木马程序往往由服务端和客户端两部分组成，具有较强的通信能力、交互能力和远程控制能力。木马一般可以分为良性和恶性两种，良性木马可被网络管理员用作远程管理工具，而恶性木马则被用窃取私密信息、来破坏信息系统资源、甚至利用受害计算机作为跳板以攻击其他计算机等。与计算机病毒类似，木马程序一般也采用隐藏技术避免被反木马软件查杀。一般来说，木马程序不能自行传播，但是可以借助于计算机病毒进行木马的传播，或者伪装成合法软件程序欺骗用户下载和使用。应该说，木马程序是良性还是恶性，并不取决于程序本身，而是取决于如何使用。例如“冰河”、“灰鸽子”、“黑洞”等木马，如果进行合理使用，管理员可以很方便地实现对目标计算机的远程管理，但如果被黑客或者恶意用户掌握，将对用户隐私和网络安全造成严重威胁。三、什么是网络攻击，常见的网络攻击主要有哪些？网络攻击，是指根据信息系统存在的漏洞和安全缺陷，通过外部对信息系统的硬件、软件及数据进行攻击行为。当前，网络攻击是信息安全对抗的主要技术手段，严重威胁、影响着信息系统的安全、平稳运行。网络攻击的技术与方法有很多种类型，通常从攻击对象入手，可以分为针对主机、协议、应用和信息等攻击。针对主机的攻击１、针对主机的攻击大多数网络攻击的最终目的是破坏目标主机系统（包括终端PC、网络服务器等），攻击时主要是非法窃取或破坏用户文件、非法修改注册表和BIOS等关键配置信息、开启特定系统服务与端口、释放病毒、安装木马程序与后门，或者将目标主机系统作为跳板以发起更大危害的攻击。恶意攻击者对目标主机进行初步信息收集和端口扫描后，基本可以判断攻击入口以及攻击成功的可能性。收集的信息包括目标主机是运行的操作系统类型，开放了哪些端口和服务，安装了哪些应用程序以及版本号，然后进一步判断该主机可能有哪些漏洞，然后有针对性地实施攻击。２、针对通信协议的攻击3通信协议是网络和信息系统的运行和使用的基础，针对通信协议进行攻击，会严重影响网络与信息系统的可用性，甚至可以破坏信息系统直至瘫痪。常见的针对通信协议的攻击有拒绝服务式攻击、ARP欺骗、DNS欺骗、会话劫持、IMAP和SMTP攻击等。３、针对应用的攻击虽然操作系统或者网络协议的安全缺陷与漏洞的危害较大，但是操作系统和网络协议往往设计和维护的力量较强，漏洞相对较少，并且修补速度较快。与之相反，用户使用的很多应用程序和各种第三方插件种类繁多，相应的安全检测不够全面，存在的漏洞相对较多，近几年由应用程序引发的攻击越来越多。这类攻击如果被黑客充分掌握和利用，同样会对系统造成较大的破坏和危害，必须给予足够的重视。针对应用的攻击种类繁多，常见的应用型攻击，包括针对Web网站的攻击、对办公软件进行的攻击、对数据库进行的攻击以及利用媒体播放器和电子邮件进行的攻击等等。４、针对信息的攻击针对信息的攻击主要是指通过各种技术方法，直接破坏信息自身的保密性、完整性和不可否认性等安全属性。针对信息的攻击主要包括信息窃听、篡改、伪造、身份假冒、行为否认等。关于信息窃听，木马程序就是其中一种技术方法。木马程序不仅可以被安装用户计算机上以实现用户隐私信息的监听和窃取，而且可以被安装在网络核心节点服务器或路由器上，而对该网络上的所有网络通信进行监听和窃取均被。虽然大多数网络应用程序对通信过程进行了加密处理，在一定程度上保护了信息的安全，但是黑客仍然可以对应用程序自身的解密功能进行提取利用，用于监听、篡改或伪造通信内容。在现实生活中，身份假冒攻击和行为否认等行为时常发生，在网络社会中也是如此。前面介绍的ARP欺骗和会话劫持攻击等就属于典型的身份假冒攻击，即攻击者通过技术手段窃取合法用户的身份，然后以该用户的身份与服务器进行交互的攻击过程。行为否认是指对不承认自己已经进行并成为事实的操作。由于部分信息系统中的安全机制设计不合理，容易被攻击者获取用户私钥等关键信息，那么攻击者利用用户私钥进行数字签名或篡改已经签名的信息，进行身份假冒或行为否认等操作，此类攻击后果将十分严重。四、常见的网络攻击步骤是什么？网络攻击的一般过程如下图所示。攻击者首先是寻找到目标主机并进行分析探测，尝试发现其存在的安全漏洞；其次是采取各种技术手段对安全漏洞加以利用以获得目标主机的控制权；然后，攻击者对目标主机实施破坏操作，包括窃取隐私信息、删除并破坏用户文件以及实施其他非法行为；最后，攻击者为避免被发现和责任追究，往往采取4清除日志、删除备份文件等方式来隐藏自己的网络攻击痕迹，甚至安装后门程序，以方便再次进入并利用该目标主机。１、攻击的准备阶段攻击者在进行一次完整的攻击之前首先要确定攻击要达到什么样的目的，即给对方造成什么样的后果。确定攻击目的之后，攻击前的最主要工作就是收集尽量多的关于攻击目标的信息。这些信息主要包括目标的操作系统类型及版本，目标系统开放了那些端口，提供哪些服务，查看是否有能被利用的服务。进行信息收集，可以用手工进行，也可以利用扫描器等工具来完成。２、攻击的实施阶段当攻击者收集到足够的信息，了解到系统安全弱点之后就会发动攻击行动。根据不同的攻击目的或不同信息系统结构等因素，攻击者采用的攻击手段也是不同的。如果是破坏性攻击，只需利用工具发动攻击即可。而大部分攻击是入侵性攻击，往往要利用收集到的信息，找到其系统漏洞，然后利用该漏洞获取一定的权限，窃取或破坏目标系统的信息等。３、攻击的巩固阶段为了保证攻击的顺利完成，攻击者必须保持连接的时间足够长。虽然攻击者到达这一阶段也就意味已成功地规避了系统的安全控制措施，但是利用一些系统安全漏洞获取的不一定是最高权限，而往往只是一个普通用户的权限，通常达不到攻击者的目标，只有获得了最高的管理员权限之后，才可以做诸如网络监听、打扫痕迹之类的事情。攻击者往往进一步利用本地漏洞来把获得的权限进行扩大，通常会设法扩大至系统的管理员权限。４、攻击的后续处理如果攻击者完成攻击后就立刻离开系统而不做任何后续处理工作，那么他的行踪将很快被系统管理员发现，因为所有的网络操作系统一般都提供日志记录功能，会把系统上发生的动作记录下来。所以，为了自身的隐蔽性，黑客一般都会抹掉自己在日志中留下的痕迹。五、什么是拒绝服务攻击？拒绝服务攻击（DoS）即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之。常见的造成网络带宽的耗尽，使合法用户无法正常访问服务器资源的攻击，5也只是拒绝服务攻击的一部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高时，它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大。此时，分布式的拒绝服务攻击手段（DDoS）就应运而生，攻击者利用更多的主机来发起进攻，以更大的规模来进攻受害者，使被攻击的主机不正正常工作。六、什么是网络钓鱼？网络钓鱼，又名钓鱼法或钓鱼式攻击，是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID、ATMPIN码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。网络钓鱼网站被仿冒的大都是电子商务网站、金融机构网站、第三方在线支付站点、社区交友网站。如在2010年春节前期，一些不法分子通过飞信、聊天工具以及垃圾邮件大量传播假冒央视“非常6+1栏目”的钓鱼网站信息，由于此次事件发生时正值春节临近，不法分子借用“中奖”、“送礼品”等幌子进行网络欺诈，极易使用户受到蒙骗，造成重大的经济损失。根据CNCERT掌握的情况，当时假冒“非常6+1栏目”的钓鱼网站多达数十个。网络钓鱼属于是“社会工程攻击”的一种形式。七、什么是僵尸网络？僵尸网络是互联网上受到黑客集中控制的一群计算机，这些计算机被感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。这个僵尸网络往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码等也都可被黑客窃取。之所以用僵尸网络这个名字，是为了更形象的让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而，发现一个僵尸6网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。