主动迎战混合型威胁
发布时间:2015-07-09 11:05
摘 要 研究了传统的病毒、黑客和新型的网络威胁,并举例详细分析了新型的混合型网络威胁的行为特征,针对这些研究,提出了一些独到的见解和建议。
关键词 病毒 黑客 混合型威胁
总是听说某人机器感染病毒,总是听说某某网络莫名其妙的瘫痪。究竟是什么在威胁我们的生活和生产呢?有的人可能会说主要是“病毒”,也有的人可能会说厉害的是“黑客”。根据一家网络安全业界权威公司发布的《全球互联网安全威胁报告》,读者可以从其中的数据得到准确答案,即当今网络世界的头号威胁是同时具备“病毒+黑客”特征的“混合型威胁(Blended Threats )”,因为这类威胁占了全球所有安全事件的54%甚至更多。
1 病毒、黑客和混合型威胁
病毒,简单来讲,就是一种可执行的精练的小程序,和生物界的病毒类似,会寻找寄主将自身附着到寄主身上实现传播,例如把自己的病毒代码插入到一个用户文件中,当用户传递此文件时就不知情的将病毒传播出去了,传播到一个新的目标时,病毒执行恶作剧活动或采取毁坏程序、删除文件甚至重新格式化硬盘的破坏行为。病毒包括文件型、引导型、多态型、隐藏型、宏病毒、特洛伊木马、蠕虫等等。除了蠕虫以外,其余类型的病毒都或多或少需要人为的无意操作帮助它完成传播过程。蠕虫,则有些不同,它不必借助任何人为操作,只要有可传播途径和可传播目标,它就可以自行完成传播过程,例如有网络相连且目标机有一个允许写入的共享目录,那么蠕虫就可以轻松自如进入。但是,如果目标机没有开放的资源,蠕虫就无法进入了,因为蠕虫不具备突破系统安全限制的能力。
黑客,可能是一个精通操作系统、网络协议、程序编写等各方面技术的计算机高手,也可能是一个会收集和使用黑客工具的计算机爱好者。通常的黑客行为是由一个黑客针对某一个或一些目标系统发起的信息收集、查找漏洞、攻击漏洞、控制目标机、完成目的行为、留下后门、清除攻击痕迹、离开目标系统等一系列的人为操作。因此,黑客行为和病毒行为相比,其特点是攻击行为更高级、更复杂、但一般不能自动完成全过程,基本上是手工攻击行为。这也是遭遇过病毒的机器数量远远多于遭遇过黑客攻击的机器数量的原因。
综上所述,病毒小而精练,有自我复制的特点,特别是蠕虫具备自动快速蔓延的能力,但是,病毒无法突破基本的系统防御;而黑客攻击具备了发现漏洞、突破漏洞的能力,但是相对而言黑客攻击无法自动、快速、广泛的执行。
2001年7月,红色代码(Code Red)的出现,震撼了整个Internet世界, 不仅仅因为它给广大Internet用户造成了非常巨大的直接经济损失,更可怕的是它将传统病毒原理和传统黑客攻击原理巧妙的结合在一起,将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDOS攻击、遗留后门等等攻击技术综合在一起,开创了一类新型网络威胁模式———混合型威胁(Blended Threats),标志了网络威胁发展的新方向。在红色代码(Code Red)的启发和指引下,近几年持续不断出现各种破坏能力强大的混合型威胁,例如尼姆达(Nimda)、求职信(Klez)、蠕虫王(SQLexp)、妖怪(Bugbear)、 无极大(So?鄄big)、爱情后门(Lovgate)、恶鹰(Beagle)、冲击波(Blaster)、网络天空(Netsky)等等,而这些混合型威胁正是近几年广大网络用户苦苦抗击的主要敌人。
2 剖析混合型威胁
让我们以近2年来破坏性最大的混合型威胁———冲击波(Blaster)为例,详细的分析一下混合型威胁的攻击原理和破坏行为,只有知彼知己才能更有效的防范和抗击混合型威胁。
冲击波(Blaster)于2003年8月11日爆发,几个小时内,全球有报告的就有超过60万台计算机被感染,大量企业和机构系统和网络瘫痪无法正常工作,全球总损失超过10亿美元。某一台机器一旦感染冲击波(Blaster)就会立刻释放攻击负载,冲击波的攻击负载包括了一系列智能自动的攻击和传播方式。
(1)修改注册表,新增下列值:
“windows auto update”=“”
加入注册键:
HKEY_LOCAL_MACHINE“SOFTWARE“Microsoft“Windows“CurrentVersion“Run
因此,当您启动 Windows 时,蠕虫都会执行。
(2)计算出一个 IP 地址然后试图感染拥有此地址的计算机。IP 地址的算法是先按一定规律计算出IP地址网段,即IP地址:A.B.C.D 的前3位,然后对于D位采取从0~254一个不漏的递增。
(3)在 TCP 端口 135 上发送攻击 DCOM RPC 漏洞的数据。这样就造成:
·本地子网将充斥着端口 135 请求,网络带宽极大消耗。
·由于蠕虫构造漏洞数据的方式具有随机性,因此如果它发送了不正确的数据,可能导致计算机崩溃。
·如果 RPC 服务崩溃,Windows XP 和 Windows Server 2003 下的默认过程是重新启动计算机。
(4)使用 创建隐藏的远程 shell 进程,该进程将侦听 TCP 端口 4444,从而允许攻击者在受感染系统上发出远程命令。
(5)侦听 UDP 端口 69。当蠕虫收到来自它能够利用 DCOM RPC 漏洞进行连接的计算机的请求时,会向该计算机复制 ,并指示该计算机执行攻击动作。
(6)如果当前日期是1~8月份的 16 日到月底之间,或者当前月份是9~12月,蠕虫将试图对 Windows Update 执行 DoS 攻击。
从冲击波(Blaster)的分析中,我们可以看到感染冲击波的系统,不仅被修改了注册表、被遗留了后门,而且按条件发起DOS攻击,更有甚者它又成为新的传播平台开始继续搜寻地址、突破漏洞、感染周边的系统,造成冲击波的破坏性迅速以指数形式扩散。
另有一些EMAIL类的混合型威胁,如熊熊虫(Bugbear),一旦感染了熊熊虫,它首先也是修改注册表让自己能每次被运行,同时,它也开了一个后门,有待将来攻击者进行远程操作。特殊的就是它能在本系统里各种文件中收集EMAIL地址,接着使用自带的SMTP引擎,以伪装后的发件人给所有EMAIL地址发送带攻击性附件的EMAIL,收到该EMAIL的用户的系统如果存在漏洞就会自动开始执行这危险的附件,从而再占领本机并以本机为平台继续往外发邮件,这样实现快速的传播蔓延。最具有黑客特色的是,熊熊虫带了一个有1000多银行域名的列表,如果它确认本地系统的默认电子邮箱属于某个银行,它会使用自带的键盘记录工具记录用户的键盘输入,不仅发送键盘记录文件,熊熊虫还会把缓存中的拨号网络密码寄到其开发者的EMAIL地址去。无极大(Sobig)、爱情后门(Lovgate)、网络天空(Netsky)都是E?鄄MAIL类的混合型威胁。
3 主动迎战混合型威胁
迎战混合型威胁必须积极主动,最有效的防护措施应该是多阶段防护,即要做到安全预警、打补丁、多功能防护、应急响应四个阶段的工作。
(1)混合型威胁的突出特点是利用漏洞的攻击,在2003年,每周就有40个漏洞被发现和公布。因此,首先必须使用安全预警服务,主动的去收集和掌握In?鄄ternet世界最新漏洞和网络威胁动态,知彼知己,百战不怠。一些安全网站免费提供安全预警服务,任何人都可以在那儿得到最新的信息;而一些安全厂商则提供更可靠更及时更专业的安全预警服务商业化产品,使用这样的产品就保证了有后端的专家为你收集、分析和供应最新的安全信息了。
(2)根据威胁预警报告提供的漏洞的严重级别有选择的有次序的及时打安全补丁,先重点修复最严重的漏洞,然后是较严重的、一般性的和不严重的漏洞。网络里用户众多,就必须用到网络版补丁分发软件。针对WINDOWS系统的漏洞可以选择使用微软自动的WINDOWS UPDATE,而一些专用的安全补丁分发及管理工具能够更灵活更高效的执行和管理各种打补丁的问题。
对每个网络来说,打补丁可能不是每台机器都做的很及时很全面,这样还是会受到或多或少的混合型威胁的攻击,这时仅仅有防病毒软件是无法全面抵御的,应该运用防病毒、入侵检测和防火墙等多种的安全防护产品才能够有效,因为防病毒功能可以抵挡混合型威胁的病毒特征行为,如文件写入硬盘,而入侵检测可以智能判断其黑客行为特征,如端口扫描和缓存溢出攻击,而防火墙则能够阻断有问题的连接和数据流,只有这几个方面都做到了,才是真正抵挡住了混合型威胁的各种负面影响。
(3)无论做了多少积极主动的防护准备,仍然需要事先制定一套应急响应方案,以防前几个防护阶段的工作万一有疏漏而造成的混合型威胁入侵。应急方案应该包括事件记录和分析、清除混合型威胁和恢复系统恢复生产等环节。这个阶段也应该使用一些有帮助的工具,例如配置管理工具、日志收集工具和系统镜像备份工具等等。
4 结束语
要提高网络的安全性,首先要提高IT决策人员和管理人员的安全意识以及安全知识。以前简单的病毒问题现在已经演变为非常复杂的安全问题:以前的病毒感染几台机器也仅仅是破坏几台机器,而现在的混合型威胁感染几台机器就足以搞垮整个网络,从而让整个机构无法正常运转;以前的病毒用一个专门的防病毒软件就可以轻松应对,现在的混合型威胁要运用许多安全领域的技术和产品才能够全方位的防御。因此,希望更多的IT人员重视混合型威胁,深入认识混合型威胁,主动迎战混合型威胁。
参考文献
1 张友生,米安然.计算机病毒与木马程序剖析[M].北京:北京科海电子出版社,2003
2 朱代祥.计算机病毒揭密[M].北京:人民邮电出版社,2002
3 程秉辉.黑客任务实战[M].北京:北京希望出版社,2002
4 Shon Harris.CISSP Passport.北京:人民邮电出版社,2002
5 Charles er.computer security [M].New York: McGraw-Hill,2003
关键词 病毒 黑客 混合型威胁
总是听说某人机器感染病毒,总是听说某某网络莫名其妙的瘫痪。究竟是什么在威胁我们的生活和生产呢?有的人可能会说主要是“病毒”,也有的人可能会说厉害的是“黑客”。根据一家网络安全业界权威公司发布的《全球互联网安全威胁报告》,读者可以从其中的数据得到准确答案,即当今网络世界的头号威胁是同时具备“病毒+黑客”特征的“混合型威胁(Blended Threats )”,因为这类威胁占了全球所有安全事件的54%甚至更多。
1 病毒、黑客和混合型威胁
病毒,简单来讲,就是一种可执行的精练的小程序,和生物界的病毒类似,会寻找寄主将自身附着到寄主身上实现传播,例如把自己的病毒代码插入到一个用户文件中,当用户传递此文件时就不知情的将病毒传播出去了,传播到一个新的目标时,病毒执行恶作剧活动或采取毁坏程序、删除文件甚至重新格式化硬盘的破坏行为。病毒包括文件型、引导型、多态型、隐藏型、宏病毒、特洛伊木马、蠕虫等等。除了蠕虫以外,其余类型的病毒都或多或少需要人为的无意操作帮助它完成传播过程。蠕虫,则有些不同,它不必借助任何人为操作,只要有可传播途径和可传播目标,它就可以自行完成传播过程,例如有网络相连且目标机有一个允许写入的共享目录,那么蠕虫就可以轻松自如进入。但是,如果目标机没有开放的资源,蠕虫就无法进入了,因为蠕虫不具备突破系统安全限制的能力。
黑客,可能是一个精通操作系统、网络协议、程序编写等各方面技术的计算机高手,也可能是一个会收集和使用黑客工具的计算机爱好者。通常的黑客行为是由一个黑客针对某一个或一些目标系统发起的信息收集、查找漏洞、攻击漏洞、控制目标机、完成目的行为、留下后门、清除攻击痕迹、离开目标系统等一系列的人为操作。因此,黑客行为和病毒行为相比,其特点是攻击行为更高级、更复杂、但一般不能自动完成全过程,基本上是手工攻击行为。这也是遭遇过病毒的机器数量远远多于遭遇过黑客攻击的机器数量的原因。
综上所述,病毒小而精练,有自我复制的特点,特别是蠕虫具备自动快速蔓延的能力,但是,病毒无法突破基本的系统防御;而黑客攻击具备了发现漏洞、突破漏洞的能力,但是相对而言黑客攻击无法自动、快速、广泛的执行。
2001年7月,红色代码(Code Red)的出现,震撼了整个Internet世界, 不仅仅因为它给广大Internet用户造成了非常巨大的直接经济损失,更可怕的是它将传统病毒原理和传统黑客攻击原理巧妙的结合在一起,将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDOS攻击、遗留后门等等攻击技术综合在一起,开创了一类新型网络威胁模式———混合型威胁(Blended Threats),标志了网络威胁发展的新方向。在红色代码(Code Red)的启发和指引下,近几年持续不断出现各种破坏能力强大的混合型威胁,例如尼姆达(Nimda)、求职信(Klez)、蠕虫王(SQLexp)、妖怪(Bugbear)、 无极大(So?鄄big)、爱情后门(Lovgate)、恶鹰(Beagle)、冲击波(Blaster)、网络天空(Netsky)等等,而这些混合型威胁正是近几年广大网络用户苦苦抗击的主要敌人。
2 剖析混合型威胁
让我们以近2年来破坏性最大的混合型威胁———冲击波(Blaster)为例,详细的分析一下混合型威胁的攻击原理和破坏行为,只有知彼知己才能更有效的防范和抗击混合型威胁。
冲击波(Blaster)于2003年8月11日爆发,几个小时内,全球有报告的就有超过60万台计算机被感染,大量企业和机构系统和网络瘫痪无法正常工作,全球总损失超过10亿美元。某一台机器一旦感染冲击波(Blaster)就会立刻释放攻击负载,冲击波的攻击负载包括了一系列智能自动的攻击和传播方式。
(1)修改注册表,新增下列值:
“windows auto update”=“”
加入注册键:
HKEY_LOCAL_MACHINE“SOFTWARE“Microsoft“Windows“CurrentVersion“Run
因此,当您启动 Windows 时,蠕虫都会执行。
(2)计算出一个 IP 地址然后试图感染拥有此地址的计算机。IP 地址的算法是先按一定规律计算出IP地址网段,即IP地址:A.B.C.D 的前3位,然后对于D位采取从0~254一个不漏的递增。
(3)在 TCP 端口 135 上发送攻击 DCOM RPC 漏洞的数据。这样就造成:
·本地子网将充斥着端口 135 请求,网络带宽极大消耗。
·由于蠕虫构造漏洞数据的方式具有随机性,因此如果它发送了不正确的数据,可能导致计算机崩溃。
·如果 RPC 服务崩溃,Windows XP 和 Windows Server 2003 下的默认过程是重新启动计算机。
(4)使用 创建隐藏的远程 shell 进程,该进程将侦听 TCP 端口 4444,从而允许攻击者在受感染系统上发出远程命令。
(5)侦听 UDP 端口 69。当蠕虫收到来自它能够利用 DCOM RPC 漏洞进行连接的计算机的请求时,会向该计算机复制 ,并指示该计算机执行攻击动作。
(6)如果当前日期是1~8月份的 16 日到月底之间,或者当前月份是9~12月,蠕虫将试图对 Windows Update 执行 DoS 攻击。
从冲击波(Blaster)的分析中,我们可以看到感染冲击波的系统,不仅被修改了注册表、被遗留了后门,而且按条件发起DOS攻击,更有甚者它又成为新的传播平台开始继续搜寻地址、突破漏洞、感染周边的系统,造成冲击波的破坏性迅速以指数形式扩散。
另有一些EMAIL类的混合型威胁,如熊熊虫(Bugbear),一旦感染了熊熊虫,它首先也是修改注册表让自己能每次被运行,同时,它也开了一个后门,有待将来攻击者进行远程操作。特殊的就是它能在本系统里各种文件中收集EMAIL地址,接着使用自带的SMTP引擎,以伪装后的发件人给所有EMAIL地址发送带攻击性附件的EMAIL,收到该EMAIL的用户的系统如果存在漏洞就会自动开始执行这危险的附件,从而再占领本机并以本机为平台继续往外发邮件,这样实现快速的传播蔓延。最具有黑客特色的是,熊熊虫带了一个有1000多银行域名的列表,如果它确认本地系统的默认电子邮箱属于某个银行,它会使用自带的键盘记录工具记录用户的键盘输入,不仅发送键盘记录文件,熊熊虫还会把缓存中的拨号网络密码寄到其开发者的EMAIL地址去。无极大(Sobig)、爱情后门(Lovgate)、网络天空(Netsky)都是E?鄄MAIL类的混合型威胁。
3 主动迎战混合型威胁
迎战混合型威胁必须积极主动,最有效的防护措施应该是多阶段防护,即要做到安全预警、打补丁、多功能防护、应急响应四个阶段的工作。
(1)混合型威胁的突出特点是利用漏洞的攻击,在2003年,每周就有40个漏洞被发现和公布。因此,首先必须使用安全预警服务,主动的去收集和掌握In?鄄ternet世界最新漏洞和网络威胁动态,知彼知己,百战不怠。一些安全网站免费提供安全预警服务,任何人都可以在那儿得到最新的信息;而一些安全厂商则提供更可靠更及时更专业的安全预警服务商业化产品,使用这样的产品就保证了有后端的专家为你收集、分析和供应最新的安全信息了。
(2)根据威胁预警报告提供的漏洞的严重级别有选择的有次序的及时打安全补丁,先重点修复最严重的漏洞,然后是较严重的、一般性的和不严重的漏洞。网络里用户众多,就必须用到网络版补丁分发软件。针对WINDOWS系统的漏洞可以选择使用微软自动的WINDOWS UPDATE,而一些专用的安全补丁分发及管理工具能够更灵活更高效的执行和管理各种打补丁的问题。
对每个网络来说,打补丁可能不是每台机器都做的很及时很全面,这样还是会受到或多或少的混合型威胁的攻击,这时仅仅有防病毒软件是无法全面抵御的,应该运用防病毒、入侵检测和防火墙等多种的安全防护产品才能够有效,因为防病毒功能可以抵挡混合型威胁的病毒特征行为,如文件写入硬盘,而入侵检测可以智能判断其黑客行为特征,如端口扫描和缓存溢出攻击,而防火墙则能够阻断有问题的连接和数据流,只有这几个方面都做到了,才是真正抵挡住了混合型威胁的各种负面影响。
(3)无论做了多少积极主动的防护准备,仍然需要事先制定一套应急响应方案,以防前几个防护阶段的工作万一有疏漏而造成的混合型威胁入侵。应急方案应该包括事件记录和分析、清除混合型威胁和恢复系统恢复生产等环节。这个阶段也应该使用一些有帮助的工具,例如配置管理工具、日志收集工具和系统镜像备份工具等等。
4 结束语
要提高网络的安全性,首先要提高IT决策人员和管理人员的安全意识以及安全知识。以前简单的病毒问题现在已经演变为非常复杂的安全问题:以前的病毒感染几台机器也仅仅是破坏几台机器,而现在的混合型威胁感染几台机器就足以搞垮整个网络,从而让整个机构无法正常运转;以前的病毒用一个专门的防病毒软件就可以轻松应对,现在的混合型威胁要运用许多安全领域的技术和产品才能够全方位的防御。因此,希望更多的IT人员重视混合型威胁,深入认识混合型威胁,主动迎战混合型威胁。
参考文献
1 张友生,米安然.计算机病毒与木马程序剖析[M].北京:北京科海电子出版社,2003
2 朱代祥.计算机病毒揭密[M].北京:人民邮电出版社,2002
3 程秉辉.黑客任务实战[M].北京:北京希望出版社,2002
4 Shon Harris.CISSP Passport.北京:人民邮电出版社,2002
5 Charles er.computer security [M].New York: McGraw-Hill,2003
上一篇:自动抄表系统的发展与展望