1、缓冲区溢出攻击:漏洞存在的原因、攻击的原理、如何实施、如何防范特洛伊木马:定义、特征、工作原理(功能机制、传播机制、启动机制、连接机制)知 识 回 顾如何防范木马攻击?知 识 回 顾以下哪一种恶意代码旨在非法访问主机系统中信息资源?A.木马;B.蠕虫;C.病毒;D.逻辑炸弹;缓冲区溢出攻击需要利用的函数返回指针在下列哪个内容区域?A.代码段;B.堆栈段;C.数据段;D.静态内存;木马的启动可以采用以下哪些方式?A.修改注册表,注册为服务;B.修改注册表,注册为启动项;C.修改注册表,修改文件关联;D.注入到系统进程;什么是SQL注入攻击 SQL-Structured Query Languag
2、e,结构化查询语言 SQL注入即是指攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的任意查询。4.3 利用型攻击dim rsadmin1=request(admin)password1=request(password)set rs=server.CreateObject(ADODB.RecordSet)rs.open select*from admin where admin=&admin1&and password=&password1&,conn,1if rs.eof and rs.bof thenresponse.writealert
3、(用户名或密码用户名或密码不正确!不正确!);response.writejavascript:history.go(-1)response.endelsesession(admin)=rs(admin)session(password)=rs(password)session(aleave)=rs(aleave)response.redirect admin.aspend ifrs.closeset rs=nothing 一个经典的SQL注入漏洞4.3 利用型攻击分析分析 在用户名和密码那里都填入 OR=,SQL语句被构造成select*from admin where admin=OR=a
4、nd password=OR=意思是当admin为空或者空等于空,password为空或者空等于空的时候整个查询语句就为真。4.3 利用型攻击如何来修补漏洞?如何来修补漏洞?过滤掉其中的特殊字符。这里我们就过滤掉其中的“”,即是把程序的头两行改为:admin1=replace(trim(request(admin),)password1=replace(trim(request(password),)4.3 利用型攻击防止防止SQL注入注入四种方法四种方法(1)在服务端正式处理之前对提交数据的合法性进行检查;(2)封装客户端提交信息;(3)替换或删除敏感字符/字符串;(4)屏蔽出错信息。4.3
5、 利用型攻击u拒绝服务攻击DoS(Denial of Service),凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击,其目的是使目标计算机或网络无法提供正常的服务。u拒绝服务是一种简单的破坏性攻击,最本质的特征是延长正常的应用服务的等待时间。u拒绝服务有时不需要目标主机存在任何的漏洞就可以实施,因此是网络攻击中最难以抵御的攻击方法。4.4 DoS与DDoS按照DoS攻击工作机理,DoS攻击分为四类:带宽耗用 资源衰竭 漏洞利用 路由和DNS攻击4.4 DoS与DDoS (1)死亡之Ping(Ping of Death)死亡之Ping利用Ping命令向目标主机发送超过64K的ICMP报文
6、实现DOS攻击。这种攻击只对win95和未打补丁的WindowsNT起作用,可以直接造成目标主机蓝屏死机。其攻击命令如下:ping ping L 65538 L 65538 4.4 DoS与DDoS互联网上常用的DoS技术:SMB(Session Message Block,会话消息块协议)又叫做NetBIOS或LanManager协议,用于不同计算机之间文件、打印机、串口和通讯的共享和用于Windows平台上提供磁盘和打印机的共享。SMB协议版本有很多种,在Windows 98、Windows NT、Windows 2000和XP使用的是NTLM 0.12版本。利用该协议可以进行各方面的攻击
7、,比如可以抓取其他用户访问自己计算机共享目录的SMB会话包,然后利用SMB会话包登录对方的计算机等。利用SMB漏洞存在一种典型的DoS攻击方法-SMB致命攻击。(2)SMB致命攻击4.4 DoS与DDoS 利用SMB攻击可以让对方操作系统系统重新启动或者蓝屏死机。工具软件:SMBDie V1.0,该软件对打了SP3、SP4的Win2000计算机依然有效,要防范这种攻击,必须打专门的SMB补丁。软件的主界面4.4 DoS与DDoS点按钮“Kill”,如果参数输入没有错误的话,对方计算机立刻重启或蓝屏,命中率几乎100%。被攻击的计算机蓝屏界面4.4 DoS与DDoS在发送的IP分组包指定非法的片
8、偏移值,会造成某些协议软件出现缓冲区覆盖,导致系统崩溃。(3)泪滴攻击(Teardrop)4.4 DoS与DDoS偏移=0/8=0偏移=1400/8=175偏移=2800/8=350140028003799279913993799需分片的数据报数据报片 1首部数据部分共 3800 字节首部 1首部 2首部 3字节 0数据报片 2数据报片 314002800字节 0IP 数据报分片的举例数据报分片的举例4.4 DoS与DDoS向目标主机发送源地址与目的地址相同的数据包,造成目标机解析Land包占用太多资源,从而使网络功能完全瘫痪。不同系统对Land攻击反应不同,许多UNIX将崩溃,而Window
9、sNT/2000会变得极其缓慢。(4)Land攻击4.4 DoS与DDoSlSmurf使用IP欺骗和ICMP回复方法,使大量网络传输充斥目标系统,导致目标系统拒绝为正常系统服务。l攻击者通过以目标主机为源地址向网络发送Ping广播,使和全网上的主机都向目标主机回送ICMP响应报文,从而使目标主机的网络带宽被大量浪费,造成拒绝服务攻击。(5)Smurf攻击4.4 DoS与DDoS因为TCP建立连接时需要进行三次握手,攻击者向目标主机发送大量的SYN请求,但恶意的不完成三次握手,从而使目标主机缓冲区资源衰竭,达到拒绝服务攻击的目的。(6)SYN Flood(SYN洪水攻击)4.4 DoS与DDoS
10、TCP三次握手过程三次握手过程Syn Flood恶意地不完成三次握手恶意地不完成三次握手4.4 DoS与DDoS 目前互联网上一些服务器默认开放着一些有可能被恶意利用的UDP服务,因此攻击者可以通过向目标主机发送大量UDP报文达到拒绝服务攻击的目的。(7)UDP Flood4.4 DoS与DDoS 攻击者通过在短时间内连续寄发大量邮件给同一收件人,使得收件人的信箱容量不堪负荷而无法收发邮件。甚至使收件人在进入邮箱时引起系统死机。邮件炸弹不仅造成收件人信箱爆满无法接收其它邮件,还会加重网络流量负荷,甚至导致整个邮件系统瘫痪。(8)Email炸弹4.4 DoS与DDoSl 随着计算机与网络技术的发
11、展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了。l DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。4.4 DoS与DDoS4.4 DoS与DDoSl针对服务器的性能提升,分布式的拒绝服务攻击手段(DDoS)应运而生。理解了DoS攻击,DDoS原理就很简单。l如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。l简言之,分布式拒绝服务攻击仍然采取的是DOS的技术,只不过增加了攻击主
12、机。DDoSDDoS攻击示意图攻击示意图分布式拒绝服务攻击步骤1ScanningProgram不安全的计算机不安全的计算机Hacker攻击者使用扫描工攻击者使用扫描工具探测扫描大量主具探测扫描大量主机以寻找潜在入侵机以寻找潜在入侵目标。目标。1Internet4.4 DoS与DDoS分布式拒绝服务攻击步骤2Hacker被控制的计算机被控制的计算机(代理端代理端)黑客设法入侵有安全漏洞黑客设法入侵有安全漏洞的主机并获取控制权。这的主机并获取控制权。这些主机将被用于放置后门、些主机将被用于放置后门、sniffer或守护程序甚至是或守护程序甚至是客户程序。客户程序。2Internet4.4 DoS与
13、DDoS分布式拒绝服务攻击步骤3Hacker 黑客黑客在得到入侵计算机在得到入侵计算机清单后,从中选出满足建清单后,从中选出满足建立网络所需要的主机,放立网络所需要的主机,放置已编译好的守护程序,置已编译好的守护程序,并对被并对被控制的计算机发送控制的计算机发送命令。命令。3被控制计算机(代理端)被控制计算机(代理端)MasterServerInternet4.4 DoS与DDoSHackerUsing Client program,黑客发送控制命令给主机,黑客发送控制命令给主机,准备启动对目标系统的攻击准备启动对目标系统的攻击4被控制计算机(代理端)被控制计算机(代理端)TargetedSy
14、stemMasterServerInternet分布式拒绝服务攻击步骤44.4 DoS与DDoSTargeted SystemHacker 主机发送攻击信号给被控主机发送攻击信号给被控制计算机开始对目标系统制计算机开始对目标系统发起攻击。发起攻击。5MasterServerInternet被控制计算机(代理端)被控制计算机(代理端)分布式拒绝服务攻击步骤54.4 DoS与DDoS分布式拒绝服务攻击步骤6TargetedSystemHacker 目标系统被无数的伪造目标系统被无数的伪造的请求所淹没,从而无法对的请求所淹没,从而无法对合法用户进行响应,合法用户进行响应,DDOS攻击成功。攻击成功。
15、6MasterServerUserRequest DeniedInternet被控制计算机(代理端)被控制计算机(代理端)4.4 DoS与DDoSDDoS比较著名的攻击工具:Trin00:1999年6月出现,由攻击者、主控端、代理端三部分组成,通过代理端向目的主机发送UDP报文瘫痪目的主机 Stacheldraht:结合了Trin00的特点,在攻击者与主控端间采用加密验证通信机制 TFN2K另外,国内还有傀儡僵尸、特南克斯等DDoS工具。4.4 DoS与DDoS 确保主机不被入侵且是安全的;周期性审核系统;检查文件完整性;优化路由和网络结构;优化对外开放访问的主机;在网络上建立一个过滤器或侦测
16、器在攻击信息到达网站服务器之前阻挡攻击信息。DDoS攻击的预防4.4 DoS与DDoSu Google极光攻击:Google内部终端被未知恶意程序渗入数月,攻击者持续监听并最终获成功渗透进入Google邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息,造成各种系统数据被窃取。4.5 APT攻击u RSA SecurID窃取攻击:2011年3月,EMC公司下属的RSA公司遭受入侵,公司关键技术及客户资料被窃取。u 超级工厂病毒攻击(震网攻击):控制了离心机控制系统,修改了离心机参数,让其发电正常但生产不出制造核武器的物质,成功的将伊朗制造核武器的进程拖后了几年。u 高级持续性威胁(Ad
17、vanced Persistent Threat,APT),APT(高级持续性渗透攻击)是一种以商业和政治为目的的网络犯罪类别,通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击,具有长期经营与策划、高度隐蔽等特性。这种攻击不会追求短期的收益或单纯的破坏,而是以步步为营的渗透入侵策略,低调隐蔽的攻击每一个特定目标,不做其他多余的活动来打草惊蛇。4.5 APT攻击u 技术上的高级l 0DAY0DAY漏洞漏洞l 0DAY0DAY特马特马l 通道加密通道加密u 投入上的高级l 全面信息的收集与获取全面信息的收集与获取l 针对的目标和工作分工针对的目标和工作分工l 多种手段的结合:社工多种手段的
18、结合:社工+物理物理Advance了解对方使用软件和环境了解对方使用软件和环境有针对性的寻找只有攻击者知道有针对性的寻找只有攻击者知道的漏洞的漏洞绕过现有的保护体系实现利用绕过现有的保护体系实现利用新型特殊木马新型特殊木马绕过现有防护绕过现有防护了解环境下使用专门的对抗了解环境下使用专门的对抗关闭防护关闭防护绕过防护绕过防护合法逃逸合法逃逸模拟合法用户行为模拟合法用户行为协议与软件端口协议与软件端口配合用户行为同步配合用户行为同步使用加密通道使用加密通道常见必开的协议如常见必开的协议如DNSDNS合法加密的协议如合法加密的协议如HTTPSHTTPS针对人的薄弱环节与信任体系针对人的薄弱环节与信
19、任体系攻击人的终端,利用人的权限获攻击人的终端,利用人的权限获取取常见人的信息流通道的深度检测常见人的信息流通道的深度检测缺乏,如邮件、缺乏,如邮件、WEBWEB访问、访问、IMIM等等4.5 APT攻击u APT攻击6个阶段:l 情报搜集情报搜集l 首次突破防线首次突破防线l 幕后操纵通讯幕后操纵通讯l 横向移动横向移动l 资产资产/资料发掘资料发掘l 资料外传资料外传APTAPT攻击阶段划分攻击阶段划分4.5 APT攻击情报收集情报收集u黑客透过一些公开的数据源(如Facebook)搜寻和锁定特定人员并加以研究,然后开发出定制化攻击。l 这个阶段 是黑客信息收集阶段,其可以通过搜索引擎,配
20、合诸如爬网系统,在网上搜索需要的信息,并通过过滤方式筛选自己所需要的信息;l 信息的来源很多,包括社交网站,博客,公司网站,甚至通过一些渠道购买相关信息(如公司通讯录等)4.5 APT攻击首次突破防线首次突破防线4.5 APT攻击u 黑客在确定好攻击目标后,将会通过各种方式来试图突破攻击目标的防线。常见的渗透突破的方法包括:l 社会工程学:发送电子邮件或即时通讯附件,欺骗企业内部员工下载或执行包含零日漏洞的恶意软件(一般安全软件还无法检测),软件运行之后即建立了后门,等待黑客下一步操作;l 水坑攻击:网站挂马。幕后操纵通讯幕后操纵通讯u 黑客在感染或控制一定数量的计算机之后,为了保证程序能够不
21、被安全软件检测和查杀,会建立命令、控制及更新服务器(C&C服务器),对自身的恶意软件进行版本升级,以达到免杀效果;同时一旦时机成熟,还可以通过这些服务器,下达指令。l 采用http/https标准协议来建立沟通,突破防火墙等安全设备;l 定期对程序进行检查,确认是否免杀,只有当程序被安全软件检测到时,才会进行版本更新,降低被IDS/IPS发现的概率。4.5 APT攻击横向移动横向移动u 黑客入侵之后,会尝试通过各种手段进一步入侵企业内部的其他计算机,同时尽量提高自己的权限。l黑客入侵主要利用系统漏洞方式进行;l企业在部署漏洞防御补丁过程存在时差,甚至部分系统由于稳定性考虑,无法部署相关漏洞补丁
22、l在入侵过程中可能会留下一些审计报错信息,但是这些信息一般会被忽略。4.5 APT攻击资产资产/资料发掘资料发掘u 在入侵进行到一定程度后,黑客就可以接触到一些敏感信息,可通过C&C服务器下发资料发掘指令:l 采用端口扫描方式获取有价值的服务器或设备;l 通过列表命令,获取计算机上的文档列表或程序列表;4.5 APT攻击资料外传资料外传u 一旦搜集到敏感信息,这些数据就会汇集到内部的一个暂存服务器,然后整理、压缩,通常并经过加密后外传。l 资料外传采用标准协议(http/https,SMTP等)l 信息泄露后黑客再根据信息进行分析识别,来判断是否可以进行交易或者破坏。l 对企业和国家造成较大影
23、响。4.5 APT攻击 情报搜集:攻击者通过FACEBOOK上的好友分析,锁定了GOOGLE公司的一个员工和他的一个喜欢摄影的电脑小白好友。首次突破防线:攻击者入侵并控制了电脑小白好友的机器,然后伪造了一个照片服务器,上面放置了IE的0DAY攻击代码,以电脑小白的身份给GOOGLE员工发送IM消息邀请他来看最新的照片,其实URL指向了这个IE 0DAY的页面,GOOGLE的员工相信之后打开了这个页面然后中招。横向转移:攻击者利用GOOGLE这个员工的身份在内网内持续渗透,直到获得了GMAIL系统中很多敏感用户的访问权限。资料外传:窃取了MAIL系统中的敏感信息后,攻击者通过合法加密信道将数据传
24、出。事后调查,不止是GOOGLE中招了,三十多家美国高科技公司都被这一APT攻击搞定,甚至包括赛门铁克这样牛比的安全厂商。极光攻击过程极光攻击过程4.5 APT攻击震网攻击过程震网攻击过程 伊朗核电站是一个物理隔离的网络,攻击者首先获得了一些核电站工作人员和其家庭成员的信息,针对这些家庭成员的主机发起攻击,成功控制这些家庭用的主机。利用4个WINDOWS的0DAY漏洞,感染所有接入的USB移动介质并通过USB移动介质攻击接入的主机。靠这种摆渡攻击渗透进了防护森严物理隔离的伊朗核电站内部网络。再利用3个西门子的0DAY漏洞,成功控制了离心机的控制系统,修改离心机参数,让其发电正常但生产不出制造核
25、武器的物质,但在人工检测显示端显示一切正常。4.5 APT攻击APTAPT组织组织“蔓灵花蔓灵花”对巴基斯坦攻击事件对巴基斯坦攻击事件l APT组织“蔓灵花”又名BITTER或T-APT-17,于2016年被国外某安全厂商曝光,该组织长期针对中国、巴基斯坦等国家进行有组织,有计划地攻击,其目的以窃取政府、军工业、电力等领域的敏感资料为主,具有强烈的政治背景。l 2019年11月,瑞星威胁情报中心捕获到一起针对巴基斯坦攻击事件,攻击者疑似APT组织“蔓灵花”,该组织利用CVE-2017-11882漏洞,通过投递带有恶意链接的DOCX文档对受害者进行攻击,一旦成功将获取受害者电脑内的所有敏感信息,并对其进行远程操控。4.5 APT攻击4.5 APT攻击 网络攻击的一般流程 社会工程学攻击 口令破解 缓冲区溢出攻击 特洛伊木马 SQL注入 DoS与DDoS攻击 APT
