信息安全入门第七课ppt课件

RPC漏洞 Remote Procedure Call（ RPC，远程过程调用） 是windows使用的一个协议，在处理通过TCPIP进 行信息交换过程中，如果遇到畸形数据包，将导 致RPC服务无提示的崩溃掉；而且由于许多应用 和服务程序都依赖于该RPC（默认安装情况下该 服务的135端口是开放的），因此可能遭到这些 程序与服务的拒绝。 n黑客如果要利用这个漏洞，可以发送畸形请求给 远程服务器监听的特定RPC端口，如：135、139 、445等任何配置了RPC端口的机器，受到攻击的 Windows系统大多出现系统蓝屏、重新启动、自 动关机等现象。 n在win2000中停止掉此服务后比较明显的特征是 复制文件时，鼠标右键的“粘贴”总是禁用的。 RPC漏洞攻击 n在攻击之前，一般要用RPC漏洞扫描器先扫描出网络 上的存在RPC漏洞的机器。 n扫描出漏洞之后即可向有RPC漏洞的机器发起攻击， 比如使用冲击波病毒向对方开放的135端口发起攻击 。 n当系统资源被大量占用，会出现RPC服务终止的对话 框，并且系统反复重启，不能收发邮件，不能正常复 制文件，无法正常浏览网页，复制粘贴等操作受到影 响，DNS和IIS服务遭到非法拒绝等现象。 拒绝服务攻击 n拒绝服务攻击，也叫DOS（denial of service）。 n拒绝服务攻击就是用超出被攻击目标处理 能力的数据包可用系统、带宽资源，致使 网络服务瘫痪的一种攻击手段。 什么是拒绝服务 n拒绝服务的攻击原理是：攻击者首先通过比较常 规的黑客手段侵入并控制某个网站之后，在该网 站的服务器上安装并启动一个攻击者发出的特殊 指令来进行控制的进程。 n当攻击者把攻击对象的IP地址作为指令下达给这 些进程时，这些进程就开始对目标主机发起攻击 ，这种方式可集中成百上千服务器的带宽能力对 某个特定目标实施攻击，所以在悬殊的带宽对比 下，被攻击目标的剩余带宽会被迅速耗尽，从而 导致该服务的瘫痪。 拒绝服务攻击的类型 n1、Ping拒绝服务攻击 n2、land攻击 n3、SYN flood攻击 n4、UDP flood攻击 n5、Smurf攻击 n6、畸形消息攻击 n7、DDos（分布式拒绝服务攻击） n8、对安全工具的拒绝服务攻击 恶意代码概述 n代码是指计算机程序代码，可以被执行完成特定 功能。任何食物事物都有正反两面，人类发明的 所有工具既可造福也可作孽，这完全取决于使用 工具的人。计算机程序也不例外，软件工程师们 编写了大量的有用的软件（操作系统，应用系统 和数据库系统等）的同时，黑客们在编写编写扰 乱社会和他人的计算机程序，这些代码统称为恶 意代码（Malicious Codes）。 恶意代码的发展史 n恶意代码经过20多年的发展，破坏性、种类和感染性都得 到增强。随着计算机的网络化程度逐步提高，网络传播的 恶意代码对人们日常生活影响越来越大。 n1988 年11 月泛滥的Morris蠕虫，顷刻之间使得6000 多台 计算机（占当时Internet 上计算机总数的10%多）瘫痪， 造成严重的后果，并因此引起世界范围内关注。 n1998 年CIH病毒造成数十万台计算机受到破坏。1999 年 Happy 99、Melissa 病毒大爆发，Melissa 病毒通过E-mail 附件快速传播而使E-mail 服务器和网络负载过重，它还将 敏感的文档在用户不知情的情况下按地址簿中的地址发出 。 n2000 年5 月爆发的“爱虫”病毒及其以后出现的50 多个变 种病毒，是近年来让计算机信息界付出极大代价的病毒， 仅一年时间共感染了4000 多万台计算机，造成大约87 亿 美元的经济损失。 恶意代码的发展史 n2001 年，国信安办与公安部共同主办了我国首次计算机 病毒疫情网上调查工作。结果感染过计算机病毒的用户高 达73，其中，感染三次以上的用户又占59多，网络安 全存在大量隐患。 n2001 年8月，“红色代码”蠕虫利用微软Web 服务器IIS 4.0 或5.0 中Index服务的安全漏洞，攻破目标机器，并通过自 动扫描方式传播蠕虫，在互联网上大规模泛滥。 n2003 年，SLammer 蠕虫在10 分钟内导致互联网90脆弱 主机受到感染。同年8月，“冲击波”蠕虫爆发，8天内导致 全球电脑用户损失高达20亿美元之多。 n2004年到2006年，振荡波蠕虫、爱情后门、波特后门等恶 意代码利用电子邮件和系统漏洞对网络主机进行疯狂传播 ，给国家和社会造成了巨大的经济损失。 恶意代码从80 年代发展至今体现出 来的3个主要特征 n恶意代码日趋复杂和完善 n恶意代码编制方法及发布速度更快 n从病毒到电子邮件蠕虫，再到利用系统 漏洞主动攻击的恶意代码 7.1.3 恶意代码长期存在的原因 n计算机技术飞速发展的同时并未使系统的安全性得到增强 。技术进步带来的安全增强能力最多只能弥补由应用环境 的复杂性带来的安全威胁的增长程度。不但如此，计算机 新技术的出现还很有可能使计算机系统的安全变得比以往 更加脆弱。 nAT&T 实验室的S. Bellovin曾经对美国CERT（Computer Emergency Response Team）提供的安全报告进行过分析 ，分析结果表明，大约50%的计算机网络安全问题是由软 件工程中产生的安全缺陷引起的，其中，很多问题的根源 都来自于操作系统的安全脆弱性。互联网的飞速发展为恶 意代码的广泛传播提供了有利的环境。互联网具有开放性 的特点，缺乏中心控制和全局视图能力，无法保证网络主 机都处于统一的保护之中。计算机和网络系统存在设计上 的缺陷，这些缺陷会导致安全隐患。 恶意代码实现机理 n早期恶意代码的主要形式是计算机病毒。80年代 ，Cohen 设计出一种在运行过程中可以复制自身 的破坏性程序，Adleman将它命名为计算机病毒 ，它是早期恶意代码的主要内容。随后， Adleman把病毒定义为一个具有相同性质的程序 集合，只要程序具有破坏、传染或模仿的特点， 就可认为是计算机病毒。这种定义有将病毒内涵 扩大化的倾向，将任何具有破坏作用的程序都认 为是病毒，掩盖了病毒潜伏、传染等其它重要特 征。 恶意代码的定义 n90 年代末，恶意代码的定义随着计算机网络技术的发展 逐渐丰富，Grimes 将恶意代码定义为，经过存储介质和 网络进行传播，从一台计算机系统到另外一台计算机系统 ，未经授权认证破坏计算机系统完整性的程序或代码。它 包括计算机病毒(Computer Virus)、蠕虫(Worms)、特洛 伊木马(Trojan Horse)、逻辑炸弹(Logic Bombs)、病菌 (Bacteria)、用户级RootKit、核心级RootKit、脚本恶意代 码(Malicious Scripts)和恶意ActiveX 控件等。由此定义， 恶意代码两个显著的特点是：非授权性和破坏性。 恶意代码的相关定义 恶意代码类型定义特点 计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者 毁坏数据，影响计算机使用，并能自我复制的一组 计算机指令或者程序代码。 潜伏、传染和 破坏 计算机蠕虫指通过计算机网络自我复制，消耗系统资源和网络资 源的程序 扫描、攻击和 扩散 特洛伊木马指一种与远程计算机建立连接，使远程计算机能够通 过网络控制本地计算机的程序。 欺骗、隐蔽和 信息窃取 逻辑炸弹指一段嵌入计算机系统程序的，通过特殊的数据或时 间 作为条件触发，试图完成一定破坏功能的程序。 潜伏和破坏 病菌指不依赖于系统软件，能够自我复制和传播，以消耗 系统资源为目的的程序。 传染和拒绝服 务 用户级RootKit指通过替代或者修改被系统管理员或普通用户执行的 程序进入系统，从而实现隐 藏和创建后门的程序 。 隐蔽，潜伏 核心级RootKit指嵌入操作系统内核进行隐藏和创建后门的程序隐蔽，潜伏 恶意代码攻击机制 n恶意代码的行为表现各异，破坏程度千差万别，但基本作用机制大体相同， 其整个作用过程分为6个部分： n侵入系统。侵入系统是恶意代码实现其恶意目的的必要条件。恶意代码入 侵的途径很多，如：从互联网下载的程序本身就可能含有恶意代码；接收已 经感染恶意代码的电子邮件；从光盘或软盘往系统上安装软件；黑客或者攻 击者故意将恶意代码植入系统等。 n维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者进程的合 法权限才能完成。 n隐蔽策略。为了不让系统发现恶意代码已经侵入系统，恶意代码可能会改 名、删除源文件或者修改系统的安全策略来隐藏自己。 n潜伏。恶意代码侵入系统后，等待一定的条件，并具有足够的权限时，就 发作并进行破坏活动。 n破坏。恶意代码的本质具有破坏性，其目的是造成信息丢失、泄密，破坏 系统完整性等。 n重复至对新的目标实施攻击过程。 恶意代码实现关键技术 n一段好的恶意代码，首先必须具有良好隐蔽性，生存性， 不能轻松被软件或者用户察觉。然后，必须具有良好的攻 击性。 恶意代码生存技术 n生存技术主要包括4方面： n反跟踪技术 n加密技术 n模糊变换技术 n自动生产技术。 n反跟踪技术可以减少被发现的可能性，加 密技术是恶意代码自身保护的重要机制。 1. 反跟踪技术 n（1）禁止跟踪中断。针对调试分析工具运行系统的单步中 断和断点中断服务程序，恶意代码通过修改中断服务程序 的入口地址实现其反跟踪目的。“1575”计算机病毒采用该 方法将堆栈指针指向处于中断向量表中的INT 0至 INT 3区 域，阻止调试工具对其代码进行跟踪。 n（2）封锁键盘输入和屏幕显示，破坏各种跟踪调试工具运 行的必需环境； n（3）检测跟踪法。检测跟踪调试时和正常执行时的运行环 境、中断入口和时间的差异，根据这些差异采取一定的措 施，实现其反跟踪目的。例如，通过操作系统的API 函数试 图打开调试器的驱动程序句柄，检测调试器是否激活确定 代码是否继续运行。 n（4）其它反跟踪技术。如指令流队列法和逆指令流法等。 2. 加密技术 n加密技术是恶意代码自我保护的一种手段，加密技术和反 跟踪技术的配合使用，使得分析者无法正常调试和阅读恶 意代码，不知道恶意代码的工作原理，也无法抽取特征串 。从加密的内容上划分，加密手段分为信息加密、数据加 密和程序代码加密三种。 n大多数恶意代码对程序体自身加密，另有少数恶意代码对 被感染的文件加密。例如，“Cascade”是第一例采用加密 技术的DOS环境下的恶意代码，它有稳定的解密器，可以 解密内存中加密的程序体。“Mad ”和“Zombie”是 “Cascade”加密技术的延伸，使恶意代码加密技术走向32 位的操作系统平台。此外，“中国炸弹”(Chinese bomb)和“ 幽灵病毒”也是这一类恶意代码。 恶意代码攻击技术 n常见的攻击技术包括：进程注入技术、三线程技术、端口 复用技术、超级管理技术、端口反向连接技术和缓冲区溢 出攻击技术。 得到管理员密码 n用户登录以后，所有的用户信息都存储在系统的一个进程 中，这个进程是：“winlogon.exe”，可以利用程序将当前 登录用户的密码解码出来，如图所示。 n使用FindPass等工具可以对该进程进行解码，然后 将当前用户的密码显示出来。将FindPass.exe拷贝 到C盘根目录，执行该程序，将得到当前用户得登 录名，如图所示。 权限提升 n有时候，管理员为了安全，给其他用户建 立一个普通用户帐号，认为这样就安全了 。 n其实不然，用普通用户帐号登录后，可以 利用工具GetAdmin.exe将自己加到管理员 组或者新建一个具有管理员权限的用户。 普通用户建立管理员帐号 n利用Hacker帐户登录系统，在系统中执行程序 GetAdmin.exe，程序自动读取所有用户列表，在对话框中 点击按钮“New”，在框中输入要新建的管理员组的用户名 ，如图所示。 普通用户建立管理员帐号 n输入一个用户名“IAMHacker”，点击按钮“ 确定”以后，然后点击主窗口的按钮“OK”， 出现添加成功的窗口，如图所示。 暴力攻击 n暴力攻击的一个具体例子是，一个黑客试图使用 计算机和信息去破解一个密码。 n一个黑客需要破解段单一的被用非对称密钥加 密的信息，为了破解这种算法，一个黑客需要求 助于非常精密复杂的方法，它使用120个工作站， 两个超级计算机利用从三个主要的研究中心获得 的信息，即使拥有这种配备，它也将花掉八天的 时间去破解加密算法，实际上破解加密过程八天 已是非常短暂的时间了。 字典文件 n一次字典攻击能否成功，很大因素上决定与字典文件。一 个好的字典文件可以高效快速的得到系统的密码。攻击不 同的公司、不通地域的计算机，可以根据公司管理员的姓 氏以及家人的生日，可以作为字典文件的一部分，公司以 及部门的简称一般也可以作为字典文件的一部分，这样可 以大大的提高破解效率。 n一个字典文件本身就是一个标准的文本文件，其 中的每一行就代表一个可能的密码。目前有很多 工具软件专门来创建字典文件，图是一个简单的 字典文件。 n字典文件为暴力破解提供了一条捷径，程序首先 通过扫描得到系统的用户，然后利用字典中每一 个密码来登录系统，看是否成功，如果成功则将 密码显示 暴力破解操作系统密码 暴力破解操作系统密码 n比如使用图所示的字典文件，利用工具软件GetNTUser依 然可以将管理员密码破解出来，如图所示。 暴力破解邮箱密码 n邮箱的密码一般需要设置到八位以上，否则七位以下的