勒索病毒
勒索病毒是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播,通过对系统的关键数据进行加密,以勒索系统管理员来牟利。
“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。
SMB(全称是Server Message Block)是一个网络协议名,它能被用于Web连接和客户端与服务器之间的信息沟通。
WannaCry勒索病毒感染后会持续访问开关域名。从网络流量上,可以看到被感染主机请求DNS解析开关域名,或者使用HTTP访问开关域名。
挖矿病毒
网络黑客将挖矿程序伪装成一个正常文件植入受害者的计算机中,在受害者不知情的情况下利用其计算机的算力进行挖矿,从而获取虚拟货币的利益。挖矿病毒本质上就是非法植入用户计算机的一段代码或者一个软件。网络设备在感染了“挖矿” 病毒成为“挖矿机” 后,在长时间高负荷的运作之下,会大大缩短 CPU/GPU、电池等部件的寿命,造成网络资源被大量抢占,检测到源地址与目的地址的矿池常用端口进行通讯,并存在数据交换。
矿池端口心跳连接:定时向矿池发送心跳包,收到后心跳包进行回复,收到回复说明对方存活。心跳能够给长连接提供保活功能,能够检测长连接是否正常。
内部扫描
内部扫描。入侵者对服务器的攻击几乎都是从扫描开始的,首先判断服务器是否存在,进而探测其开放的端口和存在的漏洞,然后根据扫描结果采取相应的攻击手段实施攻击。检测到内网源地址针对多个不同的(ip,port)二元组发出的大量udp包,平均包长小于100B。
TCP ACK扫描和TCP SYN扫描类似,其扫描方法是源主机向目标主机的一个端口发送一个只有ACK标志的TCP数据包,不论目标主机的端口是否开启,都会返回相应的RST数据包,然后通过RST包中TTL,来判断端口是否开启。
ACK即是确认字符,在数据通信中,接收站发给发送站的一种传输类控制字符。表示发来的数据已确认接收无误。
SYN(同步序列编号)是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN消息,服务器使用SYN+ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应。
DNS隧道
DNS 隧道通信是C&C常用的通信方式。隧道报文篡改了dns报文的规范,采用自定义的格式将需要传输的数据封装到常规dns报文的应用层数据中。攻击者自己控一个域的DNS权威应答服务器,然后等待失陷主机请求域名,本地DNS服务器迭代查询转发请求到那台权威DNS,从而实现失陷主机与C&C Server的通信。DNS隧道通信的请求域名包含非法字符,同时被控制的dns服务器会对这种非法域名请求做出响应。
53端口主要用于域名解析,DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换,只要记住域名就可以快速访问网站。
ICMP(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。ICMP隧道是指将TCP连接通过ICMP包进行封装传送的一种方法。
恶意URL
恶意URL检测(即:URL信誉检测),检测的是http/https协议请求报文里提取的信息。
恶意域名功能是在IPS里配置的,检测是DNS请求报文里的信息。
URL是因特网的万维网服务程序上用于指定信息位置的表示方法。基本URL包含模式(或称协议)、服务器名称(或IP地址)、路径和文件名。
僵尸网络
IoT僵尸网络是利用路由器、摄像头等设备的漏洞,将僵尸程序传播到互联网,感染并控制大批在线主机,从而形成具有规模的僵尸网络。
DGA
诸如爬虫等恶意软件通常需要与一个集中式服务器通信,以接收命令或更新。而DGA就是用于在恶意软件中生成大量半随机域名的算法。
被感染的设备将定期尝试连接由DGA所含算法生成的完整域名集。只需成功连接一个域名,就能与C2服务器建立连接。这使得网络安全研究人员更难以关闭C2通信。
工作原理:
假设有一个使用虚构的DGA算法每天生成500个恶意域名的爬虫网络。
使用这个DGA的被感染设备将每天查询这500个域名。爬虫网络的C2服务器将在每天生成相同的500个域名(前提是使用了相同的种子,详见下文)。然而,恶意人员只需要控制这500个域名中的任何一个,就能与被感染的机器(爬虫程序)通信。有时算法使用的种子会改变,从而生成一个新的域名集,然后重新开始上述过程。这使得安全研究人员难以阻止恶意流量,因为域名经常变化,往往看起来像是随机的域名。
泛洪攻击
TCP SYN泛洪攻击,英文为“TCP SYN Flood Attack”。此攻击是利用TCP三次握手过程存在的漏洞,达到一种DOS(Denial of Service)攻击目的。
当攻击者发送此攻击时,被攻击主机会在短时间内接收到大量的TCP SYN请求连接,如果被攻击对象没有相应防御策略,短时间内可能会占用大量的主机资源,或者进一步将主机资源耗尽,从而拒绝其它应该正常连接的设备进行正常连接,最终达到了使被攻击主机拒绝服务的目的。
ICMP反射泛洪
ICMP协议是一种面向无连接的协议,用于传输出错报告控制信息。它是一个非常重要的协议,它对于网络安全具有极其重要的意义。 它属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时,会自动发送ICMP消息。
ICMP反射泛洪。Smurf IP利用广播地址发送ICMP包,一旦广播出去,就会被广播域内的所有主机回应,当然这些包都回应给了伪装的IP地址(指向被攻击主机),伪装IP地址可以是互联网上的任何地址,不一定在本地;假如骇客不停地发送此种类型的包,就会造成DoS攻击。
死亡之ping
由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现为ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方宕机。
注入攻击
注入攻击是指攻击者在应用程序接收用户输入的地方注入自己精心构造的攻击代码,以达到执行任意操作、篡改数据或者获取敏感信息的目的。
扫一扫
1139
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
