安全威胁课程-恶意软件部分
技术部分第一节内容,即第二章《病毒与威胁基础》之任务 1《安全威胁课程-恶意软件部分》
目前用户面临的主要威胁
更多的 IOT,更多的 DDOS
IOT:Internet Of Thing 物联网
DDOS:分布式拒绝服务攻击
更大的利益,更多的勒索软件
WannaCry、Petya、Bad Rabbit
从机会攻击,到定向攻击:APT攻击
APT 攻击:Advanced Persistent Threat 高级持续性威胁
不是利用某种服务或者漏洞的攻击,是一种攻击技术的集合
一定有针对性、定向攻击;有组织、分工明确;潜伏期长
常规 APT 攻击对内网的渗透过程
- 情报收集:找到企业内部脆弱点
- 用技术或社工方式进行入侵
- 获得内网计算机权限后,横向移动
- 找到需要的资产或数据,回传获利信息
什么是计算机病毒
广义上的解释
凡能够引起计算机故障,破坏计算机数据的程序称为计算机病毒
早期称之为 Virus,但实际上指的应该是恶意软件 Malware(= Malicious + Software)
狭义上的解释
恶意软件中的一种 —— 特指感染型病毒
在计算机程序中插入的破坏计算机功能,影响计算机使用(破坏性),并能 自我复制(感染性)的一组计算机指令或者程序代码
计算机病毒分类
- 文件感染型病毒
- 直接感染病毒:一旦执行就会感染文件
- 内存驻留病毒:隐藏在内存区,直到内存中有宿主程序执行时才会感染可执行程序
- 都是利用 重写、协同、寄生 三种方式来感染宿主程序,唯一区别是感染宿主程序的时间不同
- 引导区病毒:通过感染磁盘的引导区,在计算机进入操作系统之前控制系统的执行流程
- 混合型病毒:又称复合型病毒,顾名思义,就是既能感染引导区又可以感染文件的病毒
文件感染方式
- 重写病毒:将文件内容替换为恶意代码
- 协同病毒:修改原始文件扩展名,将病毒自身伪装成原始正常文件
- 寄生病毒:将恶意代码附加在正常文件中
恶意软件的分类(针对恶意软件行为进行分类)
感染型病毒
- 可执行病毒(PE:Portable Executable 病毒)
- 宏病毒 —— 梅利莎 Melissa
- 脚本病毒 —— 爱宠病毒 ILoveYou
网络蠕虫
利用网络服务,向网络中的其他系统进行自我复制的恶意软件
病毒和蠕虫的区别:是否需要宿主程序进行自我复制
基于传播特性分类:邮件蠕虫、文件共享蠕虫、及时通信蠕虫、局域网/互联网蠕虫
特洛伊木马(简称为木马)
一种能够伪装自身,诱骗用户执行的恶意软件
目的:破坏文件、软件或者系统本身
后门
一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法
远控木马
Remote Access Trojan(简称 RAT)
一种恶意管理工具,它具有后门功能,使攻击者具有受受感染主机的最高用户权限
有 UI 界面、客户端组件,可以实现一对多控制
勒索软件
一种通过劫持用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财的恶意软件
勒索软件形式:数据加密型、木马破坏型、用户锁定型
风险软件(灰色软件)
具有一些可能会给计算机带来威胁的功能。如果被用于恶意用途,则可能带来危害。这类中性软件,我们叫做风险软件。风险软件也被称为灰色软件
分为:间谍软件、广告软件、黑客工具和玩笑程序,这类软件的区分具有地域性和主观性
恶意软件的行为
一般感染流程
- 通过介质感染
- 伪装自身
- 安装
- 设置自启动
- 清理痕迹
- 实施恶意指令
常见感染介质
- 物理媒介
- 电子邮件
- 即使通信和聊天软件
- 社交网络
- URL 链接
- 文件共享
- 软件漏洞
社会工程学
是一种攻击手段
作为私人信息获取目的而被使用
利用社工感染的特点
利用社工后的感染媒介,让用户感觉
- 来源可靠
- 具有紧迫感和重要性
- 能够引起兴趣
自启动方式
- 主引导记录
- 引导扇区
- 批处理方式
- 任务调用
- 启动文件夹
- 注册表
恶意软件行为
弹出网页、占用高 CPU、网络资源、自动终止进程。我们要注意恶意软件的隐性行为:长期潜伏、网络交互和恶意指令
在系统中长期潜伏
隐藏性
Rootkit 技术 = Root(最高权限)+Kit(工具箱),即在用户不知情的情况下,通过获得 root 权限,完全控制操作系统
与攻击者交互
- 反馈状态
- 获取命令
- 窃取信息
常见的由恶意软件发起的网络通信
- 尝试连接 baidu 来检查网络连通性
- 连接 NTP 检查时间和日期
- 连接 C&C 服务器来检查命令
- 将窃取的数据上传到相应的服务器上