浅论如何防范抵御混合型威胁
摘要:了解传统的病毒、黑客和新型的威胁,并举例详细了新型的混合型网络威胁的行为特征,针对这些研究,提出了一些独到的见解和建议。
关键词:病毒;黑客;混合型威胁
1 病毒、黑客和混合型威胁
病毒,简单来讲,就是一种可执行的精练的小程序,和生物界的病毒类似,会寻找寄主将自身附着到寄主身上实现传播,例如把自己的病毒代码插入到一个用户文件中,当用户传递此文件时就不知情的将病毒传播出去了,传播到一个新的目标时,病毒执行恶作剧活动或采取毁坏程序、删除文件甚至重新格式化硬盘的破坏行为。病毒包括文件型、引导型、多态型、隐藏型、宏病毒、特洛伊木马、蠕虫等等。其中大多数的病毒都需要人为的无意操作帮助它完成传播过程。
黑客,是一个精通操作系统、网络协议、程序编写等各方面技术的机高手,也可能是一个会收集和使用黑客工具的计算机爱好者。通常的黑客行为是由一个黑客针对某一个或一些目标系统发起的信息收集、查找漏洞、攻击漏洞、控制目标机、完成目行为、留下后门、清除攻击痕迹、离开目标系统等一系列的人为操作。因此,黑客行为和病毒行为相比,其特点是攻击行为更高级、更复杂、一般不能自动完成全过程,基本上是手工攻击行为。
, 百拇医药
2001年7月,红色代码(Code Red)的出现,震撼了整个Internet世界,不仅仅因为它给广大Internet用户造成了非常巨大的直接损失,更可怕的是它将传统病毒原理和传统黑客攻击原理巧妙的结合在一起,将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDOS攻击、遗留后门等等攻击技术综合在一起,开创了一类新型网络威胁模式——混合型威胁(BlendedThreats),标志了网络威胁的新方向。在红色代码(Code Red)的启发和指引下,近几年持续不断出现各种破坏能力强大的混合型威胁,例如尼姆达(Nimda)、求职信(Klez)、蠕虫::E(SQLexp)、妖怪(Bugbear)、冲击波(Blaster)等等,而这些混合型威胁正是近几年广大网络用户苦苦抗击的主要敌人。
2 剖析混合型威胁
让我们以近2年来破坏性最大的混合型威胁———冲击波(Blaster)为例,详细的分析一下混合型威胁的攻击原理和破坏行为,只有知彼知己才能更有效的防范和抗击混合型威胁。
, 百拇医药
冲击波(Blaster)于2003年8月11日爆发,几个小时内,全球有报告的就有超过60万台计算机被感染,大量和机构系统和网络瘫痪无法正常工作,全球总损失超过10亿美元。
(1)修改注册表,新增下列值:
“windows auto update”=“msblast.exe”
加入注册键:HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows\Cur-rentYersion\Run,因此,当您启动Windows时,蠕虫都会执行。
(2)计算出一个IP地址然后试图感染拥有此地址的计算机。IP地址的算法是先按一定计算出IP地址网段,即IP地址:A.B.c.D的前3位,然后对于D位采取从0~254一个不漏的递增。
, 百拇医药 (3)在TCP端口135上发送攻击DCOM RPC漏洞的数据。这样就造成:
·本地子网将充斥着端口135请求,网络带宽极大消耗。
·由于蠕虫构造漏洞数据的方式具有随机性,因此如果它发送了不正确的数据,可能导致计算机崩溃。
·如果RPC服务崩溃,Windows)(P和Windows Server2003下的默认过程是重新启动计算机。
(4)使用Cmd.exe创建隐藏的远程shell进程,该进程将侦听TCP端口4444,从而允许攻击者在受感染系统上发出远程命令。
(5)侦听UDP端口69。当蠕虫收到来自它能够利用DCOM RPC漏洞进行连接的计算机的请求时,会向该计算机复制msblast.exe,并指示该计算机执行攻击动作。
, 百拇医药
(6)如果当前日期是1~8月份的16日到月底之间,或者当前月份是9~12月,蠕虫将试图对Windows Update执行DOS攻击。
从冲击波(Blaster)的中,可看到感染冲击波的系统,不仅被修改了注册表、被遗留了后门,而且按条件发起DOS攻击,更有甚者它又成为新的传播平台开始继续搜寻地址、突破漏洞、感染周边的系统,造成冲击波的破坏性迅速以指数形式扩散。
3 主动迎战混合型威胁
(1)混合型威胁的突出特点是利用漏洞的攻击,在2003年,每周就有40个漏洞被发现和公布。因此,首先必须使用安全预警服务,主动的去收集和掌握Internet世界最新漏洞和网络威胁动态,知彼知己,百战不怠。
(2)根据威胁预警报告提供的漏洞的严重级别有选择的有次序的及时打安全补丁,先重点修复最严重的漏洞,然后是较严重的、一般性的和不严重的漏洞。同时还应该运用防病毒、入侵检测和防火墙等多种的安全防护产品才更安全有效,因为防病毒功能可以抵挡混合型威胁的病毒特征行为,如文件写入硬盘;而入侵检测可以智能判断其黑客行为特征,如端口扫描和缓存溢出攻击;而防火墙则能够阻断有问题的连接和数据流,只有这几个方面都做到了,才是真正抵挡住了混合型威胁的各种负面。
(3)无论做了多少积极主动的防护准备,仍然需要事先制定一套应急响应方案,以防前几个防护阶段的工作万一有疏漏而造成的混合型威胁入侵。
提高网络的安全性,希望更多的IT决策人员和管理人员提高安全意识以及安全知识,能够深入认识并重视混合型威胁,从而可以从容抵御混合型威胁。, 百拇医药(张 磊)
关键词:病毒;黑客;混合型威胁
1 病毒、黑客和混合型威胁
病毒,简单来讲,就是一种可执行的精练的小程序,和生物界的病毒类似,会寻找寄主将自身附着到寄主身上实现传播,例如把自己的病毒代码插入到一个用户文件中,当用户传递此文件时就不知情的将病毒传播出去了,传播到一个新的目标时,病毒执行恶作剧活动或采取毁坏程序、删除文件甚至重新格式化硬盘的破坏行为。病毒包括文件型、引导型、多态型、隐藏型、宏病毒、特洛伊木马、蠕虫等等。其中大多数的病毒都需要人为的无意操作帮助它完成传播过程。
黑客,是一个精通操作系统、网络协议、程序编写等各方面技术的机高手,也可能是一个会收集和使用黑客工具的计算机爱好者。通常的黑客行为是由一个黑客针对某一个或一些目标系统发起的信息收集、查找漏洞、攻击漏洞、控制目标机、完成目行为、留下后门、清除攻击痕迹、离开目标系统等一系列的人为操作。因此,黑客行为和病毒行为相比,其特点是攻击行为更高级、更复杂、一般不能自动完成全过程,基本上是手工攻击行为。
, 百拇医药
2001年7月,红色代码(Code Red)的出现,震撼了整个Internet世界,不仅仅因为它给广大Internet用户造成了非常巨大的直接损失,更可怕的是它将传统病毒原理和传统黑客攻击原理巧妙的结合在一起,将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDOS攻击、遗留后门等等攻击技术综合在一起,开创了一类新型网络威胁模式——混合型威胁(BlendedThreats),标志了网络威胁的新方向。在红色代码(Code Red)的启发和指引下,近几年持续不断出现各种破坏能力强大的混合型威胁,例如尼姆达(Nimda)、求职信(Klez)、蠕虫::E(SQLexp)、妖怪(Bugbear)、冲击波(Blaster)等等,而这些混合型威胁正是近几年广大网络用户苦苦抗击的主要敌人。
2 剖析混合型威胁
让我们以近2年来破坏性最大的混合型威胁———冲击波(Blaster)为例,详细的分析一下混合型威胁的攻击原理和破坏行为,只有知彼知己才能更有效的防范和抗击混合型威胁。
, 百拇医药
冲击波(Blaster)于2003年8月11日爆发,几个小时内,全球有报告的就有超过60万台计算机被感染,大量和机构系统和网络瘫痪无法正常工作,全球总损失超过10亿美元。
(1)修改注册表,新增下列值:
“windows auto update”=“msblast.exe”
加入注册键:HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows\Cur-rentYersion\Run,因此,当您启动Windows时,蠕虫都会执行。
(2)计算出一个IP地址然后试图感染拥有此地址的计算机。IP地址的算法是先按一定计算出IP地址网段,即IP地址:A.B.c.D的前3位,然后对于D位采取从0~254一个不漏的递增。
, 百拇医药 (3)在TCP端口135上发送攻击DCOM RPC漏洞的数据。这样就造成:
·本地子网将充斥着端口135请求,网络带宽极大消耗。
·由于蠕虫构造漏洞数据的方式具有随机性,因此如果它发送了不正确的数据,可能导致计算机崩溃。
·如果RPC服务崩溃,Windows)(P和Windows Server2003下的默认过程是重新启动计算机。
(4)使用Cmd.exe创建隐藏的远程shell进程,该进程将侦听TCP端口4444,从而允许攻击者在受感染系统上发出远程命令。
(5)侦听UDP端口69。当蠕虫收到来自它能够利用DCOM RPC漏洞进行连接的计算机的请求时,会向该计算机复制msblast.exe,并指示该计算机执行攻击动作。
, 百拇医药
(6)如果当前日期是1~8月份的16日到月底之间,或者当前月份是9~12月,蠕虫将试图对Windows Update执行DOS攻击。
从冲击波(Blaster)的中,可看到感染冲击波的系统,不仅被修改了注册表、被遗留了后门,而且按条件发起DOS攻击,更有甚者它又成为新的传播平台开始继续搜寻地址、突破漏洞、感染周边的系统,造成冲击波的破坏性迅速以指数形式扩散。
3 主动迎战混合型威胁
(1)混合型威胁的突出特点是利用漏洞的攻击,在2003年,每周就有40个漏洞被发现和公布。因此,首先必须使用安全预警服务,主动的去收集和掌握Internet世界最新漏洞和网络威胁动态,知彼知己,百战不怠。
(2)根据威胁预警报告提供的漏洞的严重级别有选择的有次序的及时打安全补丁,先重点修复最严重的漏洞,然后是较严重的、一般性的和不严重的漏洞。同时还应该运用防病毒、入侵检测和防火墙等多种的安全防护产品才更安全有效,因为防病毒功能可以抵挡混合型威胁的病毒特征行为,如文件写入硬盘;而入侵检测可以智能判断其黑客行为特征,如端口扫描和缓存溢出攻击;而防火墙则能够阻断有问题的连接和数据流,只有这几个方面都做到了,才是真正抵挡住了混合型威胁的各种负面。
(3)无论做了多少积极主动的防护准备,仍然需要事先制定一套应急响应方案,以防前几个防护阶段的工作万一有疏漏而造成的混合型威胁入侵。
提高网络的安全性,希望更多的IT决策人员和管理人员提高安全意识以及安全知识,能够深入认识并重视混合型威胁,从而可以从容抵御混合型威胁。, 百拇医药(张 磊)