Download
1 / 72
720 likes | 843 Views
计算机病毒事故 紧急救æ´ç³»ç»Ÿ. å¼ ç‘žé£ž 销售ç»ç† 趋势科技ä¸å›½ Nov 2003. 韩涌. 议程安排. ç”µè„‘éƒ¨é£Žé™©å› ç´ åŠé€šå¸¸çš„管ç†æŽªæ–½ 网络病毒将导致新的安全问题 æ··åˆæ”»å‡»å¨èƒåˆ°é‡‘èžäº¤æ˜“系统 具有混åˆæ”»å‡»èƒ½åŠ›çš„病毒 趋势科技 EPS II 解决方案 建立计算机病毒应急救æ´ä¸å¿ƒ. 内容介ç». ç”µè„‘éƒ¨é£Žé™©å› ç´ åŠé€šå¸¸çš„管ç†æŽªæ–½. ç”µè„‘éƒ¨é£Žé™©å› ç´ åŠé€šå¸¸çš„管ç†æŽªæ–½. ç”µè„‘ç³»ç»Ÿé£Žé™©å› ç´ ç³»ç»Ÿé£Žé™© 硬件部分 ï¼ç”µåŠ›ä¾›ç»™è®¾å¤‡ç³»ç»Ÿä¿éšœé£Žé™© ï¼ç”µè„‘ã€ç½‘络åŠå‘¨è¾¹è®¾å¤‡ ï¼å®‰é˜²ç³»ç»Ÿé£Žé™© ï¼é€šè®¯çº¿è·¯. ç”µè„‘éƒ¨é£Žé™©å› ç´ åŠé€šå¸¸çš„管ç†æŽªæ–½. ç”µè„‘ç³»ç»Ÿé£Žé™©å› ç´
E N D
计算机病毒事故紧急救援系统 张瑞飞 销售经理 趋势科技中国 Nov 2003 韩涌
议程安排 • 电脑部风险因素及通常的管理措施 • 网络病毒将导致新的安全问题 • 混合攻击威胁到金融交易系统 • 具有混合攻击能力的病毒 • 趋势科技EPS II 解决方案 • 建立计算机病毒应急救援中心
内容介绍 电脑部风险因素及通常的管理措施
电脑部风险因素及通常的管理措施 • 电脑系统风险因素 • 系统风险 • 硬件部分 • -电力供给设备系统保障风险 -电脑、网络及周边设备 -安防系统风险 -通讯线路
电脑部风险因素及通常的管理措施 • 电脑系统风险因素 • 系统风险 • 软件部分 • -操作系统、数据库、应用软件的安全等级 • -网络入侵及恶意操作 • -计算机病毒 • -数据完整性、机密性及可恢复性 • -灾难备份及恢复
电脑部风险因素及通常的管理措施 • 电脑系统风险因素 • 管理风险 • 日常差错 • 业务、资金权限 • 违规操作 • 系统升级及参数设置修改 • 泄密
计算机病毒风险及通常的防护手段 • 计算机病毒风险及通常的防护手段 • - 柜台交易系统死机 • ¨-ATM网络中断 • ¨-办公系统运行缓慢 • ¨-办公网阻塞 • ¨-财务及其他业务数据丢失(多数EXCEL表) • ¨-莫名其妙的电子邮件 • ¨-网络打印失灵 • ¨-后台系统数据被监听、窜改
计算机病毒风险及通常的防护手段 • 各金融机构目前已经采用的防范措施 • 1.安装经公安部认证检测过的计算机防病毒软件 • 单机(95/98/ME) • 网关(SMTP/POP3/HTTP/FTP) • 服务器(NT/2000/NETWARE/UNIX) • 邮件(NOTES,EXCHANGE) • 中央管控系统(Management Console) • 2. 设立专职人员负责全辖范围内的计算机病毒维护,升级及防范工作。 • 3. 杜绝使用外来软盘、光盘及游戏程序等未经检查的软件,阻断病毒传播的来源。 • 4. 建立《计算机病毒防范管理制度》,对个人的上机操作,登录密码,上网,软件使用及升级作出规范。 • 5. 发现病毒及时隔离,由各级人员指导查杀工作,并形成报告制度。
内容介绍 网络病毒将导致新的安全问题
网络病毒将导致新的安全问题 资料来源:ICSA 实验室《2002年流行病毒调查报告》 • 病毒的传染途径被分成7类: • 1. 电子邮件 • 2. 互联网下载 • 3. WEB浏览 • 4. 第三方设备 • 5. 软件分发 • 6. 磁盘 • 7. 未知
网络病毒将导致新的安全问题 在绝大多数机构内部, 对于通过磁盘交叉使用而感染病毒的途径已经得到控制, 但对于通过网络进行传播的病毒依然束手无策 资料来源:ICSA 实验室《2002年流行病毒调查报告》
网络病毒将导致新的安全问题 • 网络病毒特征: • 1. 网络病毒主要通过无形介质进行传播 • 2. 网络病毒的传播仅需要几个小时的时间,并且越来越快 • 3. 网络病毒多数利用系统注册表、电子邮件附件、网络攻击漏洞等 方式实现驻留并控制系统 • 4. 网络病毒不怕暴露特征码明文给防病毒软件,因为只要连着网, 即使被防毒软件杀灭,它们也有机会再复制回来 • 5. 网络病毒的破坏性变得相对隐蔽
网络病毒将导致新的安全问题 在10年的时间里,计算机病毒向全球扩散的速度居然提高了5000多倍 资料来源:ISS 《Reponse Strategies For Hybrid Threats》
网络病毒将导致新的安全问题 网络病毒的潜在性破坏 a) 监听密码 b) 运行外来应用程序 c) 替换系统密钥 d) 截获屏幕显示信息 e) 远程控制键盘、鼠标 f) 启动/中止系统进程 g) 关闭系统 h) 阻塞网络
网络病毒将导致新的安全问题 由于这些差别非常之大,以至于有时候很难戒定是网络入侵还是病毒, 这些差别在挑战着安全管理人员的同时也挑战着厂商的安全防范系统, 它是否还能够抵御网络病毒的入侵?
内容介绍 混合攻击威胁到金融交易系统
混合攻击威胁到金融交易系统 新一代的网络病毒会带来新一代的网络攻击方式 • 混合攻击(Hybrid Attack) 1.攻击可以不是人为的,而是由计算机病毒或更复杂的攻击系统(攻击树)自动发出的 2.来自外部的入侵感染模型在爆发时多数呈现不均匀分布 3.现有的攻击技术可以自动生成更复杂、更为系统化的攻击工具
混合攻击威胁到金融交易系统 来自外部的入侵感染模型显示,在爆发时多数呈现不均匀分布 资料来源:Cert <Sumlating Virus> -02tr039
混合攻击威胁到金融交易系统 来自外部的入侵感染模型显示,在爆发时多数呈现不均匀分布
混合攻击威胁到金融交易系统 现有的攻击技术可以自动生成更复杂、更为系统化的攻击工具 1、组合攻击因子。通常包括启动因子(最为核心部分,负责通讯),传播因子(可组合),入侵因子,控制指令解码(被加密),监听因子,自毁因子等。 2、生成攻击树。向攻击目标释放含有不同因子的攻击树,并监控其渗透过程。 3、建立指令通道。启动因子利用控制引擎建立指令通道,负责攻击树内部及攻击树之间互相通讯 4、建立攻击通道。启动因子利用入侵因子建立攻击通道,在攻击树之间进行路由运算。 5、获取合法身份。启动因子利用监听因子实现获取包括证书备份,截获屏幕(如果网上银行系统不用键盘输入口令),监听口令等动作 5、内部、外部攻击。注意防火墙这时候不起作用,证书和口令也许均被截获,攻击完全从内部‘合法’发出。 6、自我销毁。
混合攻击威胁到金融交易系统 现有的攻击技术可以自动生成更复杂、更为系统化的攻击工具 攻击树及攻击子集――资料来源:CERT《Attack Modeling for information Security and Survivability》
混合攻击威胁到金融交易系统 缓存溢出(buffer overflow)入侵因子 目的:利用缓存溢出漏洞向目标系统释放恶意代吗 条件:攻击者能够在目标系统运行特定程序 攻击: AND 1.识别目标系统可疑的缓存溢出漏洞 2.确定在当前权限下可以运行的攻击程序 3.制作参数及SHELL CODE 4.运行程序以覆盖返回地址并跳转执行SHELL CODE 事后处理:确保程序正常返回并清理记录
混合攻击威胁到金融交易系统 一个形象的混合攻击过程 l防火墙:请出示工作证 l电子邮件混合攻击:我是正常的电子邮件 l防火墙:可以,校验通过 l电子邮件混合攻击:启动进入邮件服务器及办公系统,并截获其他人的邮件地址 l电子邮件混合攻击:现已进入邮件系统,处于防火墙之内,可以在网络内部发起攻击了 l电子邮件混合攻击:感染通讯因子并生成监听因子,生成攻击通道 l电子邮件混合攻击:发现与预先设定的触发模式吻合,应该是生产交易系统,开始下载攻击工具 l电子邮件混合攻击:攻击开始,并从系统内部发出,身份获得伪装 l生产交易系统:请出示身份证 l电子邮件混合攻击:给出伪装身份证 l生产交易系统:可以,校验通过 l电子邮件混合攻击:利用攻击通道通知远端控制台攻击过程 l电子邮件混合攻击:攻击成功。传出加密数据,自毁。 电子邮件混合攻击:攻击失败。清理现场,下载新的攻击因子,尝试继续攻击。
内容介绍 具有混合攻击能力的病毒
具有混合攻击能力的计算机病毒 • SQL蠕虫 • 病毒体--376字节 • 生存方式--驻留内存感染 • 受攻击系统 • Microsoft SQL Server 2000 SP2Microsoft SQL Server 2000 SP1Microsoft SQL Server 2000 Desktop EngineMicrosoft SQL Server 2000 - Microsoft Windows NT 4.0 SP6a - Microsoft Windows NT 4.0 SP6 - Microsoft Windows NT 4.0 SP5 - Microsoft Windows NT 4.0 - Microsoft Windows 2000 Server SP3 - Microsoft Windows 2000 Server SP2 - Microsoft Windows 2000 Server SP1 - Microsoft Windows 2000
具有混合攻击能力的计算机病毒 • SQL蠕虫 • 传播方式-- SQL Resolution Service Buffer Overflow (UDP/1434)* • 攻击方式--DoS (UDP Flood)* • HKLM\Software\Microsoft\Microsoft SQL Server\ • %s%s\MSSQLServer\CurrentVersion • *Microsoft 2002/07/25发布 • *CERT Advisory 1996/02/08发布
具有混合攻击能力的计算机病毒 该恶意病毒采用了结合蠕虫和后门程序等多种特性的方式。在传播中,它会向网络中的共享文件夹中散布自身。而同时作为后门攻击程序,它会打开一个网络端口(默认情况为”10168”),从而允许远端访问者控制和操作整个受感染的系统;同时还向2个邮箱通知受感染系统的情况: 54love@fescomail.net,hacker117@163.com Worm_LoveGate.C 爱虫
具有混合攻击能力的计算机病毒 将文件放置在系统目录下。通常为: • C:\Windows\System,Windows 9x 系统中 • C:\WinNT\System32 in Windows NT/2K 系统中 • 文件名称(都是79KB大小): • WinRpcsrv.e • syshelp.exe • winrpc.exe • WinGate.exe • rpcsrv.exe
具有混合攻击能力的计算机病毒 自动运行 添加注册表键值 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
具有混合攻击能力的计算机病毒 如图所示:
具有混合攻击能力的计算机病毒 其它注册表键值 该键值由病毒添加,目的是通过修改注册表使得每次用户打开TXT文件时,病毒即可自动运行 注册表键值如下: HKEY_CLASSES_ROOT\txtfile\shell\open\command @ "C:\WINDOWS\NOTEPAD.EXE %1" "winrpc.exe %1" HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command @ "C:\WINDOWS\NOTEPAD.EXE %1" "winrpc.exe %1"
具有混合攻击能力的计算机病毒 INI 文件 病毒会通过修改Win.ini文件的方式,使得自己可以自动运行
具有混合攻击能力的计算机病毒 网络传播. – 病毒会通过网络共享将自身复制到具有读写权限的网络共享文件夹中
具有混合攻击能力的计算机病毒 感染后的其它特征: 在命令行模式下,运行NETSTAT –A,可观察到10168端口已经被打开
MSBlaster.A - Details 病毒详细描述自启动技术以及常驻内存检验 • 在运行时,该蠕虫会在注册表中建立如下自启动项目以使得系统启动时自身能得到执行: • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Windows auto update" = MSBLAST.EXE • 然后检查自身是否已常驻内存,如果已在内存中运行,则停止继续运行。 • 如果继续运行,则检查当前计算机是否有可用的网络连接。如果没有连接,则休眠10秒然后再次检查Internet连接。该过程一直持续到一个 Internet 连接被建立。
MSBlaster.A - Details 病毒详细描述分布式拒绝服务攻击 在Internet连接建立的情况下,蠕虫开始检查系统日期,在满足下列日期的情况下蠕虫发送对windowsupdate.com的分布式拒绝服务攻击: 以下月份的16日至31日: 一月 二月 三月 4月 五月 六月 七月 八月 或是九月至十二月的任意一天 然后,蠕虫开始尝试连接至其他目标系统的135端口。
MSBlaster.A - Details 病毒详细描述A 变种- 经UPX压缩- 使用MSBLAST.EXE作为生成的文件名称- 使用"windows auto update"作为注册表自启动项目名称- 包含下列字符串I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! 2. .B 变种- .A变种的解压缩版本- 使用PENIS32.EXE作为生成的文件名称 3. .C 变种经 FSG压缩使用 teekids.exe作为文件名称使用"Microsoft Inet Xp"作为注册表自启动项目名称包含下列字符串Microsoft can suck my left testi! Bill Gates can suck my right testi! And All Antivirus Makers Can Suck My Big Fat Cock
MSBlaster.A - Details 病毒详细描述分布式拒绝服务攻击 在Internet连接建立的情况下,蠕虫开始检查系统日期,在满足下列日期的情况下蠕虫发送对windowsupdate.com的分布式拒绝服务攻击: 以下月份的16日至31日: 一月 二月 三月 4月 五月 六月 七月 八月 或是九月至十二月的任意一天 然后,蠕虫开始尝试连接至其他目标系统的135端口。
内容介绍 趋势科技EPS II 解决方案
利用趋势科技EPS II 解决方案建立计算机病毒应急救援中心 EPSII 解决方案
Notification and Assurance Assess And cleanup Restore and Post-mortem Threat Information Scan and Eliminate Attack Prevention Pattern File Outbreak Lifecycle Timeline Declared Yellow/Red Alert August 11, 2003, 8:55 PM (GMT) Network worm First Spotted: US, August 11, 2003 (GMT) • Pattern File Deployed • Pattern File - OPR 604 • Outbreak Policies Deployed • TMCM 43 • Prevents the spread of the malware • Cleaning Template Deployed • DCT 153 +0:51 min + 1:45 min + 0:48 min + 0:00 min.
MSBLaster.A Attack B. Worm forces un-patched computer to receive a program. Then it takes control of the computer. The worm, MSBlaster begins spreading when the computer is restarted. In Windows XP, worm reboots the computer to begin spreading immediately. TCP PORT 135 Closed TCP PORT 135 Closed TCP PORT 135 Closed MS PATCH MS PATCH MS PATCH TCP PORT 135 OPEN A. Worm uses infected computer to search for other computers without the Microsoft™ patch INFECTED SYSTEM ATTEMPTS TO INFECT OTHER CLIENTS C. MSBlaster continues spreading and all infected computers begin sending repetitive messages to www.windowsupdate.com creating a cyber traffic jam that could crash the site.
为了保险起见 对移动用户和机器异常的用户,提供在线杀毒
部署病毒代码文件 发布病毒代码文件 部署策略 发布OPS 清除 EPS II 解决方案及金融业专署服务 感染数量 清除 趋势科技可以协助 银行节省的投入 时间
