信息安全概述
病毒类型
网络空间安全
网络空间 - - - - 一个由信息基础设施组成相互依赖的网络
通信保密阶段 — 计算机安全 — 信息系统安全 — 网络空间安全
传统防火墙、IPS、杀毒软件等基于特征库的安全检测、无法过滤:变种僵/木/蠕,U盘带入,恶意的内部用户,零日漏洞、APT攻击
勒索病毒
勒索病毒通过自身的解密函数解密回连服务器地址,通过HTTP GET 请求访问加密数据,保存加密数据到本地目录,然后通过解密函数解密出数据保存为DLL,最后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成密钥,进而实现对指定类型的文件进行加密,即无需联网下载密钥即可实现对文件加密。勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
发展阶段
1,勒索病毒的第一个阶段,加密设备,不加密数据,他的代表是LockScreen拉克丝润家族,时间呢是在2008年以前(10年前的技术 ,技术比较简单粗暴),这个阶段的勒索病毒一般不加密用户数据,只锁住用户设备,需提供赎金才能解锁
2,那么第二阶段的勒索病毒,就是开始加密数据了,主要出现在2013年前(5年前),代表的勒索病毒家族有:CTB-locker,特斯了拉cry,涩北,这个阶段的勒索病毒采用高强度对称和非堆成加密,由于当时算力不足,受害人只能交付赎金来恢复数据,给黑客带来很大利益
3,第三阶段的勒索病毒也是加密数据的同时还对内网其他主机进行横向渗透,这种类型病毒出现在2017年前后。与二阶段的勒索病毒相比,这阶段的病毒开始通过系统漏洞传播,比较典型的比如Wannacry,相比传统的勒索病毒传播能力更强、速度更快,影响范围更大。
4,勒索病毒的第四阶段:加密货币的出现改变勒索格局。几乎所有勒索软件支付赎金的手段都是采用比特币来进行的。那比特币来说,比特币因为他的一些特点:匿名、变现快、追踪困难。可以说比特币很好的帮助了勒索软件解决赎金的问题,进一步推动了勒索软件的繁荣发展
5,勒索病毒攻击第五阶段:勒索软件服务化,开发者提供整套勒索软件解决方案,从勒索软件的开发、传播到赎金收取都提供完整的服务。攻击者不需要任何知识,只要支付少量的租金就可以开展勒索软件的非法勾当,这大大降低了勒索软件的门槛,推动了勒索软件大规模爆发
特点
针对攻击者:
传播入口多
①公网服务器暴露端口、应用、系统,存在高危漏洞、弱口令和不合适的安全策略等
②内部用户自身遭遇钓鱼邮件,恶意链接,访问网页挂马,下载捆绑病毒的注册机破解软件等
传播技术隐蔽
①传输通道隐蔽,难以被发现,如DNS隐蔽隧道
②自动化慢速爆破,潜伏时间长,攻击频率低,难以被一般安全设备纳入统计
③病毒样本变种频繁,无法及时识别。
勒索产业化发展
①勒索软件包(勒索软件即服务)代码质量高,安全攻击能力强
②从制作到分发到洗钱每个节点都能找到对应的服务
针对受害者:
安全状况看不清
①不清楚当前资产暴露情况
②不清楚当前资产脆弱性情况
安全设备防不住
①买了很多安全设备,不会精细配置,安全策略没关联
②勒索病毒技术迭代快,传统安全设备防护不全面有疏漏
问题处置不及时
①勒索病毒爆发初期不知如何处置,小问题拖成大事件
②设备属性局限只能从单一方面处置问题,不够全面,记录缺失
为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:
1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击;
2、尽量不要点击office宏运行提示,避免来自office组件的病毒感染;
3、需要的软件从正规(官网)途径下载,不要双击打开.js、.vbs等后缀名文件;
4、升级到最新的防病毒等安全特征库;
5、升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;
6、定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复
挖矿病毒
工作过程:
受害者A机器会从攻击者Web服务器下载挖矿程序,而后会利用系统上的已有漏洞建立后门。
攻击脚本首先杀死其他同类产品以及安全软件。
并且每隔一定周期检测一次进程是否存,添加计划任务并且检查木马文件,若未检测到就会自行远程下载并执行。
同时,程序自动扫描受害者机器上的SSH文件,进行横向感染
特洛伊木马
木马是最奸诈狡猾的病毒,像传说中的特洛伊木马,他们擅长使用诡计,一不小心我们就可能从网上下载木马,木马病毒会伪装成游戏或者常用软件,有些木马还会给电脑开新的后门,让犯罪分子轻易侵入你的电脑获取信息,可怕吧,要防止木马,你必须在信任的网站下载内容就像咳嗽要掩口,饭前要洗手,提高警惕还要经常更新电脑软件,安装杀毒工具,一遍防范于未然,一遍亡羊补牢,另外陌生的链接、附件都不要点击
工作过程:
木马一般都采用C/S架构,服务器程序被植入到受害者的电脑中,控制器程序攻击者端运行,攻击者利用控制器程序主动或被动的连接服务器,对目标主机的控制。
木马运行后,会打开目标主机的一个或多个端口。
连接成功后,攻击者进入目标主机电脑内部,通过控制器可以对目标主机进行控制操作。
而这种连接很容易被用户和安全防护系统发现,为了防止木马被发现,木马会采用多种技术实现连接隐藏,以提高木马种植和控制的成功率。
自从世界上出现第1个木马程序(1986年的PC-Write木马),木马已经经历了5个发展阶段。 [3]
第1阶段:木马在互联网初期出现,以窃取网络密码为主要任务。 [3]
第2阶段:木马开始利用C/S架构,进行远程控制和监视。但是由于植入木马的目标计算机会打开某些端口,所以能够被轻易发现。 [3]
第3阶段:木马在网络连接上进行了改变,它的特征是利用ICMP通信协议伪装自己,部分还利用欺骗技术达到被动连接的目的,这样就可以防止被安全软件查杀。 [3]
第4阶段:木马利用嵌入内核的方法,例如通过插入DLL线程、挂接PSAPI、伪装线程等。 [3]
第5阶段:木马充分利用了病毒相关技术,针对互联网和计算机操作系统的缺点和不足,渗透到目标计算机或网络中,以达到控制目标的目的,而且可以实现自动激活的目的,使用户和安全软件更难发现。 [3]
蠕虫病毒
工作过程:蠕虫病毒的程序其工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段,
首先蠕虫程序随机(或在某种倾向性策略下)选取某一段IP地址,接着对这一地址段的主机扫描,当扫描到有漏洞的计算机系统后,将蠕虫主体迁移到目标主机。
然后,蠕虫程序进入被感染的系统,对目标主机进行现场处理。
同时,蠕虫程序生成多个副本,重复上述流程。
宏病毒
工作过程:
打开感染宏病毒的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上。
从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
流氓软件/间谍软件
工作过程:
在自身安装包中捆绑其它有害软件的安装包(目标软件具有完善卸载功能且无害、无明显恶意行为的)收集敏感信息,但隐私权协议未注明,隐私权协议缺失,或将隐私信息向第三方泄露/出售。
明显弱化系统安全性或稳定性的应用,如后台植入、破坏系统文件、恶意修改根证书等。无法以自身设置取消的返利链接捆绑或主页绑定。
僵尸网络
工作过程:
Botnet的工作过程包括传播、加入和控制三个阶段。
在传播阶段,通过主动攻击漏洞、邮件病毒、即时通信软件、恶意网站脚本、特洛伊木马等途径在网络中传播。
在加入阶段,每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到Botnet中去。
在控制阶段,攻击者通过中心服务器发送预先定义好的控制指令,让被感染主机执行恶意行为。
SYN洪水攻击
1,使用代理防火墙 — 每目标IP代理阈值,每目标ip丢包阈值
2,首包丢包
3, SYN cookie
恶意程序 ---- 一般会具备以下多个或全部特点
1,非法性
2,隐蔽性
3,潜伏性
4,可触发性
5,表现性
6,破坏性
7,传染性
8,针对性
9,变异性
10,不可预见性
常见网络攻击
社工攻击
攻击过程:
社会工程学攻击是以不同形式和通过多样的攻击向量进行传播的。
常用手段有伪造好友邮件、钓鱼攻击、投放诱饵、等价交换等。
拖库,洗库,撞库
攻击过程:
黑客为了得到数据库的访问权限,取得用户数据,通常会从技术层面
和社工层面两个方向入手。技术方面大致分为远程下载数据库文件、利用
web应用漏洞、利用web服务器漏洞。社工方面大致分为水坑攻击、邮件
钓鱼、社工管理员、XSS劫持。
跳板攻击
攻击过程:
首先,攻击者会监听、扫描某一特定主机或网段。实施跳板攻击时,
黑客首先要控制“跳板”,也就攻击目标的代理。然后借助“跳板”进行
实际的攻击操作,而跳板机就成了提线木偶。虽然跳板本身可能不会被攻击,
但最终被攻击者会把其当作入侵来源。
钓鱼攻击
攻击过程:
通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮
件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、
ATM PIN 码或信用卡详细信息),将收信人引诱到一个通过精心设
计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网
站上输入的个人敏感信息。
水坑攻击
攻击过程:
黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的
弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就
会“中招”。
信息安全要素
保密性
保密性:确保信息不暴露给未授权的实体或进程。加密机制。防泄密
完整性
完整性:只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被修改。完整性鉴别机制,保证只有得到允许的人才能修改数据 。防篡改
可用性
可用性:得到授权的实体可获得服务,攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制,阻止非授权用户进入网络 。使静态信息可见,动态信息可操作。 防中断
可控性
不可否认性
案例
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
