本文探讨了计算机网络安全中网购木马的种类,如交易劫持、盗号木马和压缩包炸弹,以及防范措施。同时介绍了安全使用IM软件时的威胁和二维码安全,提供了网络购物安全的全面指南,包括杀毒软件、账户保护和钓鱼网站识别方法。
计算机网络安全(三)
作者的话
本文章发布至今经历了n次下架。全文主要借鉴于全国计算机一级考试科目《网络安全素质教育》,本着知识共享的原则,通过多方面渠道结合自己的理解、整理编写了此篇文章,文中有很多相似之处,如有侵权,及时告知,整改,给原创作者带来不便,还请谅解。码字不易,希望能为更多渴望知识的小伙伴,带来收获。
前言
互联网已经融入人们工作、学习和生活的方方面面。在享受网络应用的同时,人们也必须面对由此带来的安全问题。近些年来网络的黑色产业链条逐渐孵化成熟,并向组织化、集团化发展,黑客攻击事件频发,各类盗取信息的行为不断发生,国家层面和个人层面的信息安全面临着新的问题和挑战。
网络应用安全
互联网与经济社会的融合度越来越高,出现了多种 “互联网+”模式,如网络社交、网络购物、网络搜索、网络电话、网络银行、网络医疗等。随着发展,网络交友被骗、网络账户被盗、恶意软件骚扰、钓鱼网站花样百出,让网民防不胜防。因信息泄露而造成个人财产损失的网络恶劣事件越来越多,因此,人们应当积极维护自身权限,提高网络安全技能,保护上网和用网安全。
安全网上购物
从技术角度看,网购盗窃手段主要有两种:传输网购木马和制作钓鱼网站。网购盗窃的七成是被钓鱼网站欺骗,被网购木马直接抢钱站三成。目前,网购被盗呈现出3中特点:一是木马、钓鱼网站更新越来越快,传统的安全软件应接不暇;二是木马样本的体积制作得越来越大,使用试图绕过杀毒软件的云技术;三是整个作案速度越来越快。
网购木马种类
网购木马以交易劫持为主,是“卖家”与买家进行沟通时以各种名义给买家传送文件实现盗窃。一旦中招,所有购物交易都将被木马劫持到犯罪分子指定的第三方支付。
- 盗号木马
潜藏在网页中或是图片及一些文件里,受害者打开网页或是打开文件,受害者的账号、银行卡、等信息被盗窃,犯罪分子就伺机盗取受害人资产
- 交易劫持
此类网购木马不需要借助任何其他文件,通过聊天工具将文件发给买家,买家打开就会直接运行木马程序。
- 压缩包炸弹
网购木马的新形式,主要采用两种方式来逃脱杀毒软件的查杀。先增大文件自身体积,影响杀毒结果;其次,病毒制作者采用稀有压缩格式对病毒多层循环打包。这类网购木马在最后一层打包后会重新命名为诸如“实物图”等一些会诱骗买家点击的名字,让受害者自行解包运行。
- 用正常软件作掩护
主要是依附于正常有数字证书的应用程序,由正常程序间接运行网购木马,以躲避杀毒软件拦截。
网络购物安全对策
网络安全涉及多个方面,如网络本身安全问题、网络交易平台、杀毒软件应对病毒能力、网商诚信度、用户安全意识、上网习惯、账号密码保护等诸多方面。
- 移动平台的软件安全
用户应当安装来源正规的软件,不要轻易点击陌生链接,不要安装不明来路的软件,并选择正规的网络商店。交易时选择安全支付方式,选择第三方担保的付款方式更为安全。购买结束后,保留交易凭证、聊天记录等。
- 安装杀毒软件,并启用网购防护功能
杀毒软件是每个计算机用户必须安装的软件,能够提供对病毒、木马的查杀。
- 保护账户密码安全
单独设置高安全级别的密码。使用数字证书、宝令、支付盾等安全产品,帮助提升账户的安全等级。
安全使用IM软件
IM(Instant Messaging)软件,又称即时通讯软件,通过通讯技术来实现在线聊天的软件。
IM软件结构
目前有两种架构,一种是B/S架构,即浏览器/服务器形式,用户可通过浏览器直接使用,不需要装客户端软件;另一种是C/S架构,即客户机/服务器形式,需要安装客户端才能使用。典型的代表软件有QQ、微信等。
C/S模式通信分为两个阶段:认证阶段和通信阶段。有客户端发起的连接请求,输入密码,经过服务器验证后建立连接,而后通过服务器进行中转进行即时消息的互通。为了满足用户数据量传输大的需求,在客户端间建立P2P连接,进行直接传送。这种模式方便、灵活、便于服务器管理。
IM工具存在的威胁
- 不安全的连接
主流IM软件一般都是以客户端为连接端口,攻击者可以通过切断当前网络协议对数据传输进行窃听和篡改。
- 服务器仿冒
攻击者可以使用一些木马来修改用户系统中的网络设置,使其指向错误的DNS(域名与IP转换的服务器)服务器,用虚假信息接入用户系统,窃取用户信息。
- 身份假冒
当用户登录到服务器时,攻击者可以直接捕获并接收客户端链接到服务器的方式使用正常用户的登录信息。
- 蠕虫传播
IM软件中的文件传输功能能帮助蠕虫穿过防火墙进行传播,恶意软件可以附着在文件中传输到被攻击者计算机中。
- 恶意链接
攻击者可以通过IM工具向被攻击者发送有消息文本的恶意超链接,使得用户在不知不觉中访问了恶意网站。
安全扫描二维码
二维码又称二维条码。常见的二维条码QR Code,是近几年来移动设备上流行的一种编码方式,在代码编制上使用0、1,比特流的概念,使用若干个与二进制相对应的几何图形来表示文字、数值信息,通过图像输入设备自动识别,实现信息自动处理。
二维码的攻击方式
- 网络钓鱼
网站地址(URL)被编成二维码。攻击者伪造的二维码替换合法的二维码,,篡改登录网站的URL信息,将用户导向一个假冒的登录页面。在这情况下,用户扫描后,将个人信息泄露给了攻击者。
- 传播恶意软件
将自动下载恶意软件网址的命令编码到二维码中
- 中间人攻击
不法分子拦截用户扫描二维码和服务器之间的请求,进行篡改。
二维码防御措施
- 认真审核二维码来源
确认二维码来源正规商家或可信赖人。不扫描来源不明的二维码。
- 小心二维码贴纸
观察是否为正规二维码,是否有覆盖行为。
- 预知扫描二维码的后果
当用户知道他们扫描二维码的结果,非所期望,可以放弃这个链接。
防范仿冒页面
仿冒页面又称为钓鱼网站,是指攻击者通过垃圾邮件、即时通讯、社交网络等信息载体,发布欺诈性消息,骗取用户信息的一种网络犯罪行为。
钓鱼网站报告
12月31日,江民科技防钓鱼监测中心亿盾互联发布了《2020年反钓鱼网站分析报告》,全年服务客户200+,其中监测发现网络钓鱼49052例,关停处理45690例(有些未被授权关停),最短关停时间0.2小时,平均关停时间18.5小时。
- 钓鱼网站的IP及域名注册商由境内向境外转移的趋势明显。
- 钓鱼网站集中行业主要分布在银行、保险、证券、支付、政企,其中银行业的钓鱼网站发现超过80%。
- 钓鱼网站IP地址主要分布在中国香港、中国境内、韩国、美国、加拿大。
- 国内钓鱼攻击服务密度排名依次为:广东、北京、上海、四川、河北。
- 网络钓鱼类型排在前三的则依次分为网站、公众号、APP。
- 钓鱼网站的顶级域名主要集中于“.com”、“.cn”、“.org”和“.net”,“.xyz”。
钓鱼网站识别方法
- 安全标志查验法
网站身边标识是以浏览器公司作为第三方认证机构,经过对有认证需求的企业网站进行全面审核并对其身份和安全状态给予确认的服务。认证通过的企业网站能得到认证标识,用户只要看到此标识便可放心访问该网站。
- 域名结构分析法
对域名结构进行分析是识别钓鱼网站最基本的方法。
- 网站地址对比法
钓鱼网站一般用外观字形容易混淆的字符来代替使用,达到迷惑用户的目的。用户在使用敏感信息进行电子交易时,要仔细辨别其不同之处,比如c和o、O和0、a和e、I和L、I和1、L和1等字母和数字从外形看非常相似。
- QQ传输验证法
在聊天中发送链接,来判断网站是否安全。第一类为信任网站,一般都是日访问量较高的大型正规网站,可放心访问。第二类属安全性未知的网站,第三类属于危险网站。
- 信息尝试输入法
当访问一个不能确定是否安全的网站,且该网站提示用户需要登录或者输入个人信息时,可以采用“信息尝试输入法”,即在登录框内连续多次输入编造的用户名和密码,若成功登录,表明该网站为钓鱼网站。
- 网站内容比较法
钓鱼网站与正规网站的字体颜色和字体样式存在一定差异,如图片和字体模糊不清,网页上链接很少或甚至没有链接等。用户可以点击栏目或图片中的各个链接,测试是否能顺利打开。若出现登录界面要求输入验证码时,可多次刷新更换验证码,如果只有少量的验证码在循环显示,则可断定该网站是钓鱼网站。
- 网站备案查询法
通过工信部ICP备案管理网站(http://www.miibeian.gov.cn/)可以查询网站拥有者、网站的基本情况、ICP经营性许可证和合法备案,查询网站名称、经营内容是否与备案相符,
无线网安全
无线网络的普及非常快,与传统网络相比,无需再拖着长长的网线访问网络。
无线网络标准
网络协议即网络中传递、管理信息的一些规范。而为无线设备互通信息而制定的规则称为“无线网络协议标准”。
- IEEE 802.11
1997年,第一个无线局域网标准,速率最高只能达到2Mbps。
- IEEE 802.11b
相比传统的以太网,该标准可以支持最高11 Mbps的数据传输速率。采用2.4GHz扩频,降低成本,但信号容易受微波炉、无线电话干扰。
- IEEE 802.11a
传输速率高达54Mbps,工作在5GHz频段上,成本较高。
无线路由器设置
- 设置无线路由器
(1)登录路由器设置界面,查看运行状态。
(2)更改网络的SSID名称。
SSID是服务匹配识别符,是无线局域网唯一命名的一串字符,也可以理解为无线网络的名称。当计算机启动网卡后,网卡通过不停扫描周围空间内的无线网络信号来搜索无线网络,若找到用户想要连接的无线网络,无线网卡就会通知,并尝试连接。
(3)启动网络加密
为了防止他人蹭网,用户需要加密用户的无线信号。登录路由器后,从路由器的设置页面的管理设置中更改密码,将路由器的默认密码改成更复杂、更安全的密码,以阻止他人访问路由器,并且可以轻松地维护网络的安全设置。
(4)减少无线信号的范围。
如果用户的无线路由器的射程较远,则可以考虑将路由器的模式更改为IEEE 802.11g(而不是IEEE 802.11n或IEEE 802.11b)或使用其他无线渠道。
(5)升级用户的路由器的固件。
用户应该偶尔检查制造商的网站,以确保用户的路由器正在运行最新的固件。用户可以从路由器的控制面板找到路由器的现有固件版本。
- 关闭SSID广播
路由器设置完毕后,进入路由器设置页面的“基本设置”,取消勾选“开启SSID广播”选项,关闭广播功能,这样就找不到无线网络名称。设置完成后,在系统工具里点击“重启路由器”才能生效。
3. 过滤MAC地址
MAC地址,用来表示局域网上每一个设备的标识符,独一无二的网卡标识,采用十六进制标识。可以用来设置黑白名单决定谁可以或不可以加入无线网络。
(1)登录到路由器设置界面后,点击“启用过滤”,左侧选择“无线设置”下的“无线MAC地址过滤”
(2)加需要允许或禁止的MAC地址,如图5.109所示。(开启MAC地址过滤功能,选择“白名单”模式,将允许上网的设备MAC地址填写进去即可)。经过这个步骤设置后,即使Wi-Fi密码被破解,或某设备连接上该Wi-Fi信号,仍旧无法上网。但这个方法的前提是该无线路由器登录密码不能保持默认,必须修改为较复杂的密码。
启用各种安全设置后,用户需要将新设置添加到用户的计算机和其他无线设备中,以便他们都可以连接到WIFI网络。用户可以选择让用户的计算机自动连接到此网络,因此每次连接到Internet时都不必输入SSID、密码和其他信息。
恶意代码——病毒、蠕虫、木马
现在,计算机病毒技术和蠕虫、木马等技术呈现融合趋势,单一的计算机病毒已经很少出现,取而代之的是各种复合型的新恶意代码。
恶意代码是指人为编制的、对计算机系统或计算机网络产生危害的计算机代码(或软件)的统称。具体的讲,恶意代码是指能够影响计算机操作系统、应用程序和数据完整性、可用性、保密性的计算机程序或代码。
计算机病毒
计算机病毒(Virus)是一种非常典型的恶意代码,同时也是最受关注的恶意代码之一。
计算机病毒的发展史
- 科学起源说
冯·诺伊曼发表了题为《复杂自动装置的理论及组织的进行》论文,在该论文中描述了一个计算机程序如何复制其自身,预见了可自我繁殖程序的出现。这被视为实现计算机病毒的蓝图,即给出了计算机病毒复制的方法。
- 游戏起源说
美国贝尔实验室的3个年轻程序员业余时间编写了名为“磁芯大战”(Core War)游戏中双方程序通过不断复制自身,同时在指令控制下去消灭对方的程序,这样在预定时间内,哪一方的程序繁殖得多,谁就获得胜利。这过程与“计算机病毒”非常类似,所以被视为计算机病毒的开始。
- 科幻起源说
1975年,美国科普作家约翰•布勒尔在名为《Shock Wave Rider》的科学幻想小说中,描述了一个叫做“磁带蠕虫”的在网络上删除数据的程序。
1977年,美国作家托马斯.J.雷恩出版了《Adolescence of P1》,在书中构思了一种神秘的、能够自我复制的、可利用信息通道进行传播的计算机程序,并称之为“计算机病毒”。
1983年11月3日,“计算机病毒之父”——Fred Cohen在Unix系统下编写了第一个会自动复制并在计算机间进行传染从而引起系统死机的程序,该程序潜伏于合法程序当中,通过软盘进行传播。之后,Fred Cohen发表了题为《计算机病毒实验》的论文,并在其博士论文中给出了计算机病毒的第一个学术定义。
当计算机能力和功能不断增强,计算机通信能力和范围不断扩展,伴随的是计算机病毒从萌芽开始不断发展,到今天成为计算机系统和网络的主要威胁。
-
1987年,一对巴基斯坦兄弟编写出第一个公认的真正具备完整特征的计算机病毒C-BRAIN。
在此之后,计算机病毒很快进入快速发展期,变种病毒和新病毒层出不穷。 -
1988年,引导型计算机病毒开始出现。具有代表性的是“小球”和“大麻”病毒等。引导型病毒是将病毒程序寄生在磁盘主引导区或引导区的计算机病毒,在计算机系统启动时获得运行,通过感染软盘和硬盘实现传播。
-
1990年左右,可执行文件病毒开始出现。可执行文件病毒主要感染可执行文件,例如Windows系统的.com或.exe文件等。此类型的可执行文件病毒一直到现在还是常见的一类计算机病毒。
-
1998年~1999年,CIH病毒的爆发揭开了计算机病毒的新篇章。
-
1998年,大卫 L. 史密斯利用Word的宏编了一种能传染Word 97和Word 2000的梅丽莎病毒,主要通过邮件传播。
-
2000年以后,计算机病毒的发展出现了新的趋势,计算机网络使得计算机病毒的破坏速度加快和范围更加广泛。同时,利用漏洞的计算机病毒到与黑客技术结合的复合型病毒也层出不穷。
-
2001年出现的求职信病毒是又一类典型的病毒。
-
2010年6月首次发现了震网(Stuxnet)病毒,其利用西门子公司控制系统(SIMATIC WinCC/Step7)存在的漏洞感染数据采集与监控系统,向可编程逻辑控制器(PLC)写入代码并将代码隐藏,该病毒直接攻击了伊朗的布什尔核电站。
-
2000年之后,借助网络、漏洞等技术和环境,整合了计算机病毒、蠕虫、木马等不同形式的复合型恶意代码成为主流,且与经济利益越来越相关。
计算机病毒的定义
计算机病毒的定义同样有不同的版本,不同的定义从不同角度去理解计算机病毒。
- Fred Cohen的定义
“计算机病毒”的概念最初是由美国计算机安全专家Fred Cohen在一次全美计算机安全会议上提出的,定义为“计算机病毒是一种能传染其他程序的计算机程序,它通过修改其他程序把自身或其演化体插入其中,从而感染它们。”从这个定义可见,计算机病毒的本质是计算机程序。同时,可以看到计算机病毒具有传染性。
- 《计算机安全术语汇编》中的定义
美国国家计算机安全中心出版的《计算机安全术语汇编》中的定义为“计算机病毒是一种自我繁殖的特洛伊木马,它由任务部分、触发部分、自我繁殖部分组成。”这个定义表达了两个部分的含义,一是传染性,二是告诉计算机病毒包括3个基本组成的单元,即任务部分、触发部分、自我繁殖部分。直接分析了计算机病毒的组成。
- 《中华人民共和国计算机信息系统安全保护条例》中的定义
1994年颁布的《中华人民共和国计算机信息系统安全保护条例》中计算机病毒被明确表述为“编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码”。定义了病毒的危害性。
通过上述不同角度的计算机病毒的定义,可以明确计算机病毒是一种人为编制的计算机程序,其同时必须具有感染性,对计算机的可用性带来影响。
计算机病毒的结构及特性
- 计算机病毒的结构
在《计算机安全术语汇编》中,给出了计算机病毒的基本结构,包括任务部分、触发部分、自我繁殖部分。实际上,还有一个引导模块。
(1)引导模块
计算机病毒要实现感染和破坏目标,首先要获得系统的控制权,引导模块就是计算机病毒的主控模块,它能实现获取目标系统的控制权,并引导病毒的其他部分工作。引导模块的主要功能包括:
- 负责将计算机病毒程序载入计算机内存,然后使感染模块和破坏模块处于活动状态。
- 需要提供自我保护功能,避免在内存中的自身代码被覆盖或者清除。
(2)感染模块
感染模块就是定义中的自我繁殖部分,是计算机病毒必不可少的核心模块。计算机病毒的传染性是其最本质的特征,如果没有传染性也就称不上是计算机病毒。
感染模块负责实现病毒的感染任务,同时也定义病毒传播的途径或方式。例如可执行文件型病毒的感染模块通过修改目标宿主程序的参数将病毒程序嵌入到目标宿主程序中。
(3)触发模块
触发模块也是计算机病毒中必不可少的模块,其负责设定、检查感染模块和破坏模块的触发条件,当满足触发条件后,激活感染模块或者破坏模块。
计算机病毒程序的触发条件形式多样,包括日期、时间、感染次数以及复杂的组合条件等。例如,CIH病毒设定在每个月26日爆发,执行破坏模块。
(4)破坏模块
破坏模块就是定义中的任务部分,是实现破坏功能的代码。从计算机病毒的定义可见破坏模块不是计算机病毒必须有的功能。因为计算机病毒的研发者,主要以炫耀为目的,并没有恶意破坏功能。破坏对象非常多样,如硬盘数据、应用程序、操作系统、网络等。实现方式也是多样的,与计算机病毒运行的系统环境等相关。
与计算机病毒结构相对应,计算机病毒的生命周期通常是由4个步骤组成的一个循环。
- 休眠阶段。在这个阶段,病毒并不发作,而是静静等待触发条件的满足,例如某一程序的运行、某一文件的打开或者敏感字符的出现等。
- 繁殖阶段。病毒对自身进行复制,并潜入到其他程序或者被拷贝到磁盘上的系统区。每个被感染的程序又会成为病毒源,而且也进入繁殖阶段。
- 触发阶段。病毒启动其设计之功能。相对于休眠阶段,在本阶段中,病毒能够在受到某些系统事件的驱动(如已经复制达到某个次数)下,启动其功能。
- 执行阶段。病毒的功能被执行。
- 计算机病毒的特性
计算机病毒具有正常程序的一切特性:可存储性、可执行性。病毒是人为设计的功能程序,设计者总数希望较大范围实现蔓延和传播,感染更多程序、系统、达到最大的侵害目的。
(1)传染性
指病毒从一个程序复制进入另一个程序体的过程,由病毒的传染模块实现。
(2)破坏性
指对正常程序和数据进行覆盖、修改和删除,造成用户敏感数据的丢失或系统的崩溃。
(3)潜伏性
病毒传染给合法的程序和系统后,一般不会立即发作,而是在一段时间内隐藏在合法文件中,对其他文件和系统进行传染,而不被用户察觉,等待满足其特定的触发条件时才启动其破坏模块。
(4)隐蔽性
计算机病毒进入计算机系统开始破坏的过程不易为用户察觉,而且这种破坏性活动用户难以预料。
(5)触发性
计算机病毒的激发需要满足一定的条件。这个条件实际上是病毒设计者事先设定的,可以是某个事件、日期、时间、文件名或者是病毒内置的计数器等,也可以是几个条件的结合,其中日期触发是大多数病毒经常采用的方法。
过于苛刻的触发条件,可能使病毒有好的潜伏性,但不易传播。而过于宽松的触发条件将导致病毒频繁感染与破坏,容易暴露,被用户发现。
(6)多态性
每次发作后,都会改变它的形态,使病毒查杀很难检测出来它们的存在。
计算机病毒的传播途径
计算机病毒的传播本质上是通过数据交换实现的,能够进行数据交换的介质都可能成为计算机病毒传播途径。
- 不可移动的计算机硬件设备
包括计算机内的ROM芯片和硬盘等。新购置的计算机中的硬盘内也可能带有计算机病毒。
- 可移动的存储设备
光盘、U盘、移动硬盘等。其中, U盘是使用最广泛、最方便携带的存储介质。因此,U盘也成为计算机病毒传播的主要途径之一。震网病毒就是利用U盘进行传播
- 计算机网络及网络服务
如今,计算机网络及网络服务是最主要的计算机病毒传播途径。如物联网设备(摄像头、电表)等也与网络相连。
- 手机设备
通过手机等移动通信设备传播手机病毒已经是非常常见的方式。本质上,手机传播病毒与计算机传播病毒的传播方式基本一样,但手机传播病毒有其自身的特点。
首先,手机病毒传播条件好于计算机上的条件。手机应用市场、手机应用漏洞等传播途径是手机病毒特色的传播方式。另外,基于手机或应用中身份信息的社会工程学的传播方式等,给病毒传播带来巨大的便利。
计算机蠕虫
计算机蠕虫的发展历史
- 1988年11月2日,Morris蠕虫被放到互联网中,这个只有99行的程序利用Unix系统的缺点,用Mail系统复制、传播本身的源系统,是通过互联网传播的第一种蠕虫病毒。
- 2001年7月19日,“红色代码”蠕虫爆发,感染Microsoft IIs Web 服务器。这个行为持续大约20天,不到一周便感染了40万台服务器,100万台计算机受到感染,采用随机产生IP方式,搜索未感染的计算机,传染性特别强。
- 2003年1月25日,蠕虫王病毒被发现,主要利用Microsoft SQL Server的漏洞发起攻击。消耗网络带宽资源,使得网络瘫痪。
- 2003年8月爆发的冲击波病毒是利用在2003年7月21日公布的RPC漏洞进行传播的。该病毒运行时会不停地利用IP扫描技术寻找网络上可感染的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启甚至崩溃。
- 2006年末的熊猫烧香病毒是一种经过多次变种的计算机蠕虫病毒,被该病毒感染后的文件图标会变成“熊猫烧香”图案。
在智能手机上蠕虫也呈现爆发的趋势。真正意义上的手机病毒是2004年6月出现的Cabir蠕虫病毒,手机中了该病毒后,通过蓝牙对邻近的其他手机进行扫描,在发现漏洞手机后,病毒就会复制自己并发送到该手机上。
计算机蠕虫的定义及特征
- 1982年,美国John F. Shoeh等人最早把“蠕虫”这个生物学名词定义了一类程序,也给出了计算机蠕虫的两个最基本的特征,即计算机蠕虫“可以从一台计算机移动到另一台计算机”和“可以自我复制”。
- 1988年,普渡大学的Eugene H. Spafford为了区分蠕虫和病毒,从技术角度也给出了蠕虫的定义:“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上”。
- 2003年,Darrell M. Kienzle从破坏性、网络传播、主动攻击和独立性4个方面对网络蠕虫进行了定义:“网络蠕虫是借助网络进行传播,无需用户干预,能够自主地或者通过开启文件共享功能而主动进攻的恶意代码”。
从上面的定义中可以总结出计算机蠕虫的特征,包括:
- 自我复制。通过传播感染目标设备。
- 利用系统漏洞。
- 遗留安全后门。例如“红色代码”在被感染的机器的Web目录的\scripts目录下将生成一个root.exe程序,可以接受远程输入的任何命令,从而使黑客能够再次进入。
- 消耗系统资源。大量的搜索程序消耗计算机系统资源;产生若干个自己的副本通过网络传输,会大量消耗网络带宽资源。
不需要计算机用户参与。蠕虫无线计算机使用者即可运行。
总结可见,蠕虫是一类恶意代码,它利用系统漏洞获取目标设备的控制权,通过网络传输自身的副本到目标设备,并主动运行,其主要是消耗计算机系统资源和网络带宽资源,并可实现设置后门和利用后门对数据或系统进行破坏。
近年来,蠕虫、病毒和木马程序之间的界限已不再明显。三者相互渗透,优势互补,一方面越来越多的病毒采取了部分蠕虫的技术,另一方面具有破坏性的蠕虫也采取了部分病毒和木马技术。例如Nimda蠕虫和CodeRed蠕虫既以蠕虫的传播方式去感染别的计算机,影响网络,又以病毒的方式在被感染计算机上执行恶意程序,破坏被感染计算机上的文件,最后利用木马程序在被感染主机上设置后门,供其他蠕虫病毒利用。
计算机蠕虫与病毒的异同
计算机病毒是一段可执行代码,它具有独特的复制能力,可以把自身附着在各种类型的文件上并在一定条件下激活,这一特点很像生物病毒。而蠕虫则完全不同,它是通过网络连接进行传播,通常在计算机内存中复制自己的一段程序;蠕虫不需要宿主程序,它在结构、攻击内容以及检测方法上和普通病毒有着根本上的不同。
计算机蠕虫的结构
- 实体结构
蠕虫程序相对一般程序比较复杂。通过对多个蠕虫程序的分析,可以粗略地把蠕虫程序的实体结构分为未编译的源代码、已编译的链接模块、可运行代码、脚本、受感染系统上的可执行程序、信息数据等六大部分。对一个具体的蠕虫来说,其实体结构可能是由其中的几部分组成。
- 程序结构
通常包括以下3个模块:
- 传播模块。负责蠕虫的传播,可以分为扫描模块、攻击模块和复制模块3个子模块。其中,扫描模块负责探测存在漏洞的
- 主机,攻击模块按漏洞攻击步骤自动攻击找到的对象,复制模块实现复制蠕虫程序到目标主机。
- 隐藏模块。侵入主机后,负责隐藏蠕虫程序。
- 目的功能模块。实现对计算机的控制、监视或破坏等。
计算机蠕虫的传播过程
一般的传播过程为:扫描→攻击→复制。
- 扫描阶段
探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。
现在流行的蠕虫采用的扫描策略是这样的:随机选取某一段IP地址,扫描该地址段上的主机。之后,被蠕虫感染的主机也以这种方式随机进行扫描,这些扫描程序不知道哪些地址已经被扫描过,只是简单地随机扫描互联网。于是蠕虫传播得越广,网络上的扫描包就越多。即使扫描程序发出的探测包很小,大量蠕虫程序的扫描引起的网络拥塞也是非常严重的。后来对扫描策略进行改进,比如选取IP地址段时主要选取当前主机所在网段,对外网则随机选择几个小的IP地址段进行扫描;限制扫描次数;把扫描分散在不同时间段进行等。扫描策略设计的原则主要有3点:
- 尽量减少重复的扫描,使扫描发送的数据包总量减少到最小。
- 保证扫描覆盖尽量大的范围。
- 处理好扫描的时间分布,使得扫描不要集中在某一时间段内发生。
扫描发送的探测包各有不同,它是根据不同的漏洞来设计的。比如,针对远程缓冲区溢出漏洞发送溢出代码来探测,针对Web的CGI漏洞就发送一个特殊的http请求来探测。
- 攻击阶段
攻击模块按照事先设定的攻击手段,对扫描结果列表中的主机进行攻击,取得该主机的权限(一般为管理员权限)。
攻击成功后,一般是获得一个远程主机的shell,然后就拥有了对整个系统的控制权。
- 复制阶段
复制模块将蠕虫程序在用户不知觉的情况下复制到受感染主机并启动。
复制过程的实现,可以利用系统本身的程序,也可以用蠕虫自带的程序,其实质是一个文件传输的过程。
木马
特洛伊木马是当前最主要的恶意代码之一。伴随着恶意代码的发展,唯利是图成为恶意代码的首要目的,因此获取数据和各种系统控制权已经成为恶意代码编制者的首要目标。从恶意代码方面的报告中可以发现新增的主要恶意代码都属于木马类的恶意代码。
木马的发展历史
- 1986年出现了世界上第一个计算机木马——PC-Write木马。木马伪装成共享软件PC-Write从未发行过的2.72版本。第一代木马还不具备传染特性。
- 1989年出现了传播型的AIDS木马。作者利用现实生活中的邮件进行散播:给其他人寄去一封含有木马程序软盘的邮件。已具备了传播的特征。
之后的网络型木马兼具伪装和传播两种特征,并结合计算机网络技术,还出现了后门和击键记录等功能。这一代木马比较有名的有国内的冰河木马。它们有如下共同特点:基于网络的客户机/服务器应用程序,具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。 - 1999年,冰河可以通过网络远程控制对方终端设备的鼠标、键盘或存储设备等,远程关机和重启机器等;能够查看远程计算机的密码信息,浏览远程计算机上的历史密码记录;监视对方屏幕的同时进行截图;监视远程文件操作,包括打开、创建、上传、下载、复制、删除、压缩文件等。自此开始,木马一直是新增恶意代码的主要类型。
- 2018年5月,国家计算机病毒应急处理中心发布的最新周报分析结果表明,病毒疫情以蠕虫和木马为主,主要传播途径以Microsoft Windows系统漏洞、Adobe漏洞、Flash Player的漏洞、网页挂马等方式;周报中给出的5个重要恶意代码中,包括4个计算机木马和1个勒索软件。
木马的定义
- 木马名称的来源
“特洛伊木马”名称来源于荷马史诗《伊利亚特》。据《伊利亚特》所述,希腊联军围困特洛伊城久攻不下,于是假装撤退,留下一具巨大的中空木马,特洛伊守军不知是计,把木马运进城中作为战利品。夜深人静之际,木马腹中躲藏的希腊士兵打开城门,特洛伊城沦陷。后人常用“特洛伊木马”这一典故,用来指在敌方营垒里埋下伏兵里应外合的计策。
名词“特洛伊木马”被黑客程序借用,专指表面上是有用但实际目的却是危害计算机安全并导致严重破坏的计算机程序。
- 木马工作原理
特洛伊木马程序含了两部分:服务器端程序和客户端程序。
植入对方计算机系统的是服务器端程序,即受害的计算机成为木马的服务器。黑客利用客户端程序与服务器进行通信,客户端程序发送指令到服务器,服务器计算机执行命令操作并返回信息。通过这种机制,受害计算机成为黑客的控制设备,可被利用来进行网络攻击。同时,受害计算机中的各种信息也被秘密传送到客户端。
- 定义
特洛伊木马的定义:特洛伊木马是一种直接由黑客,或是通过不令人起疑的用户秘密安装到目标系统的程序;一旦安装成功并取得管理员权限,就可以直接远程控制目标系统;特洛伊木马通常不包括感染程序,并不自我复制,只是通过欺骗获得传播。
上面的定义中给出了木马的3个方面要素。
- 木马是被秘密安装在目标系统中。
- 木马是要获取系统的控制权限,其目的是远程控制目标系统。
- 木马是通过欺骗获得传播的,而不是通过感染,这也是木马与计算机病毒最直接的区别。
从上面的定义可见,木马是通过欺骗获得传播的。所以从这个角度出发,也可以这样定义木马:木马是隐藏在正常程序中的一段具有特殊功能的恶意代码。
木马通常伪装成升级程序、安装程序、图片等文件,来诱惑用户点击。一旦用户打开了以为来源合法的程序,木马趁机在目标系统中运行,在不让用户感知的情况下,让攻击者获得远程访问和控制系统的权限,进而在用户计算机中实现破坏或删除文件、修改注册表、记录键盘或窃取用户信息等操作,其目的是获取用户的数据信息,并隐藏自身。
木马的特点
- 隐蔽性
隐蔽性是木马程序与远程控制程序的主要区别,也是影响木马能否长期存活的关键。木马通过利用各种手段隐藏痕迹,避免被发现或跟踪。常用的隐藏技术有:
每次执行后自动变更文件名。
自动复制到其他文件夹中做备份。
执行时不会在系统中显示出来。虽然木马程序在运行,但不会在任务栏中产生图标。
进程插入。在Windows中,每个进程都有自己的私有内存地址空间。当访问内存时,一个进程无法访问另一个进程的内存地址空间。可以将木马程序插入到其他进程中以达到隐身的目的。
加壳。木马加了壳,相当于给木马穿了件衣服,以躲避杀毒软件的查杀。
- 欺骗性
木马程序要达到长期隐藏的目的,就需要借助系统中已有的文件来鱼目混珠。
它经常使用的是常见的文件名或扩展名,如dll、win、sys、explorer等字样,或者仿制一些不易被人区别的文件名,如将本应是“explorer”的名字变成自己的程序名,名称几乎伪装成与原来无异,如把其中的字母“l”改成数字“1”、字母“o”改成数字“0”,这种改变如果不仔细留意是很难发现的。
更有甚者干脆就借用系统文件中已有的文件名,只是它保存的路径不同。
- 自启动
自启动功能是必不可少的,它可以保证木马不会因为被控制端的一次关机而彻底失去作用。
自启动分为两种类型,一种是随机自启动,木马会把自己复制到一个隐蔽的地方,然后设置自动运行。设置方法有以下几种:
- 潜入启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件。
- 利用注册表修改文件关联,注册为系统服务。
- 利用autoexec.bat、config.sys和winstart.bat等系统文件。
- 利用计划任务定时启动。
- 捆绑文件(如修改系统文件explorer.exe,在其中加入木马)。
另一种是寻找系统程序,将自己捆绑或者替换到它们身上,移花接木,这些系统程序的运行就会激活木马。
- 危害性
当木马被植入目标主机后,攻击者可以通过客户端强大的控制和破坏力对主机进行操作,如窃取系统密码、控制系统的运行、进行有关文件的操作以及修改注册表等。目前常见的木马程序多为盗号木马,给用户带来的危害可能包括窃取与毁坏重要文件、窃取网银账户、窃取股票交易账户、盗取游戏账号等。
- 潜伏性
木马植入系统后一般不会马上发作,而是等到与控制端连接之后接受其指令而动作。因此,如果用户中了木马,通常不会立刻发生恶意影响。只有当用户通过端口扫描等安全工具去检查的时候,才会发现有莫名其妙的端口正在监听。
木马与病毒、蠕虫的区别
木马同计算机病毒、计算机蠕虫相比较,主要区别如下:
- 木马不具有自我传播能力。其传播是通过欺骗来实现的。
- 攻击目的不同。木马的目标是获取数据和信息,而不像病毒和蠕虫那样去破坏系统、消耗资源。
- 木马具有极强的隐蔽性。其在工作过程中都要隐藏自己不被发现,这样才能更好地获取数据信息,控制目标系统。
- 木马能够远程控制系统。而病毒和蠕虫通常不具备这个功能。
- 但是现有的木马技术和病毒技术有相互结合的趋势,很多新的恶意代码具备了木马和病毒的特性。
木马的分类
常见木马程序主要分为以下几类:
- 远程控制型木马
远程控制型木马是现今最广泛的特洛伊木马,目前流行的大多数木马程序都是基于这个目的而编写的。
其工作原理非常简单,就是一种简单的客户机/服务器程序。只要被控制主机连入网络,并与控制端客户程序建立网络连接,控制者就能任意访问被控制的计算机。这种类型的木马比较著名的有Back Orifice、Netspy和冰河等。
- 密码发送型
密码发送型木马是专门为了盗取目标计算机上的各类密码而编写的。
这种木马可以通过自动搜索内存、Cache、临时文件夹以及各种敏感文件找到目标主机的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的邮箱。
有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便,还有人喜欢用Windows提供的密码记忆功能。这类木马恰恰是利用这一点获取目标机的密码,它们大多数会在每次启动Windows时重新运行,而且多使用25号端口发送E-mail。
- 键盘记录型
这种木马非常简单,它只记录目标主机的键盘敲击情况并且在log文件里查找密码,并且会自动将密码发送到黑客指定的邮箱。它随Windows的启动而启动。较多的就是针对QQ和网游的盗号木马。
这类软件与一般的键盘记录软件大同小异,只是在进行键盘记录之前,先使用一个名为FindWindow的API函数判断目标程序是否在运行。如果是的话,启动键盘记录功能,否则不动作。实现键盘记录这个功能时,大多数采用的是系统提供的钩子(Hook)技术,钩住用户的击键行为。
- 破坏型
这种木马唯一的功能就是破坏并删除文件。它们可以自动删除受控主机上的文件,如.exe、.doc、.ppt、.ini和.dll类型的文件,甚至远程格式化受害者的硬盘,使其系统崩溃或者重要数据丢失。
- FTP型木马
这是最简单、最古老的木马,其唯一功能就是打开21端口,等待用户连接。
新型的FTP木马还加入了密码功能,只有攻击者本人才知道正确的密码,从而进入对方主机,并且能够以最高权限进行文件的操作,如上传和下载等,破坏受害主机系统文件的机密性
- DoS攻击型
DoS(拒绝服务攻击)指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法用户的请求无法通过。
这种攻击成功的前提是需要有大量的分布攻击节点参与攻击过程,形成一个攻击平台,如僵尸网络Botnet。这个攻击平台由互联网上数百到数十万台计算机构成,攻击者利用攻击平台实施各种破坏行为,而且使得这些破坏行为往往危害更大、防范更难。
还有一种类似DoS的木马叫做邮件炸弹,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,直到对方瘫痪、不能接收邮件为止。
- 代理型
黑客入侵时,为隐藏自己的信息,防止审计者发现其攻击痕迹和身份,给受害主机安装代理木马,使其成为一个代理,通过控制这个代理来达到入侵的目的。攻陷远程主机使其成为攻击者发动攻击的跳板就是代理木马最重要的任务。
- 反弹端口型木马
主要针对在网络出口处设置了防火墙的用户环境。这类木马利用反弹端口原理,躲避防火墙拦截。由于防火墙对于连入的连接往往会进行非常严格的过滤,但对于连出的连接却是疏于防范的。因此,反弹端口型软件与一般软件相反,其服务器端(被控制端)主动连接客户端(控制端)。为了隐蔽起见,客户端的监听端口一般开在80号端口(提供HTTP服务的端口),这样,即使用户使用防火墙检查自己的端口,也会以为是自己在浏览网页。常见的反弹端口型木马主要有灰鸽子、PcShare等。
计算机病毒防范措施
做好计算机病毒的预防,是防治计算机病毒的关键。
- 常见的电脑病毒预防措施包括:
(1)不使用盗版或来历不明的软件,特别不能使用盗版的杀毒软件。
(2)写保护所有系统软盘。
(3)安装真正有效的防毒软件,并经常进行升级。
(4)新购买的电脑在使用之前首先要进行病毒检查,以免机器带毒。
(5)准备一张干净的系统引导盘,并将常用的工具软件拷贝到该盘上,然后妥善保存。此后一旦系统受到病毒侵犯,我们就可以使用该盘引导系统,进行检查、杀毒等操作。
(6) 对外来程序要使用查毒软件进行检查,未经检查的可执行文件不能拷入硬盘,更不能使用。
(7) 尽量不要使用软盘启动计算机。
(8) 将硬盘引导区和主引导扇区备份下来,并经常对重要数据进行备份。
- 及早发现计算机病毒,是有效控制病毒危害的关键。检查计算机有无病毒主要有两种途径:一种是利用反病毒软件进行检测,一种是观察计算机出现的异常现象。下列现象可作为检查病毒的参考:
(1)屏幕出现一些无意义的显示画面或异常的提示信息。
(2)屏幕出现异常滚动而与行同步无关。
(3)计算机系统出现异常死机和重启动现象。
(4)系统不承认硬盘或硬盘不能引导系统。
(5)机器喇叭自动产生鸣叫。
(6)系统引导或程序装入时速度明显减慢,或异常要求用户输入口令。
(7)文件或数据无故地丢失,或文件长度自动发生了变化。
(8)磁盘出现坏簇或可用空间变小,或不识别磁盘设备。
(9)编辑文本文件时,频繁地自动存盘。
- 发现计算机病毒应立即清除,将病毒危害减少到最低限度。发现计算机病毒后的解决方法:
(1)在清除病毒之前,要先备份重要的数据文件。
(2)启动最新的反病毒软件,对整个计算机系统进行病毒扫描和清除,使系统或文件恢复正常。
(3)发现病毒后,我们一般应利用反病毒软件清除文件中的病毒,如果可执行文件中的病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序。
(4)某些病毒在Windows98状态下无法完全清除,此时我们应用事先准备好的干净的系统引导盘引导系统,然后在DOS下运行相关杀毒软件进行清除。常见的杀毒软件有瑞星、金山毒霸、KV3000、KILL等。
- 总结:如何防治计算机病毒可以从三个方面入手:
(1)做好计算机病毒的预防;
(2)及时检查发现电脑病毒;
(3)发现计算机病毒应立即清除。
章节目录
上一篇:计算机网络安全(二)
扫一扫
806
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
