10.蠕虫木马幻灯片.pptVIP

中国科技网 网络木马 主讲：程光 （博士后、副教授） 东南大学计算机科学与工程学院 目录 系统漏洞及常见网络攻击手段 木马技术介绍及防范措施 2003年CERT报告了3784个漏洞 2003年微软共公布51个安全公告 2004年截止到8.10共公布26个安全公告 系统漏洞 2003年的重大漏洞 2003.3 RPC漏洞 ——冲击波Worm Blaster、Worm.SdBotRPC、Worm.AutoRooter （8月）等 5月 SendMail被发现存在严重安全漏洞 6月 IIS被发现存在4个严重漏洞 7月 针对Cisco路由设备的攻击漏洞 10月 Windows Message服务被发现存在严重漏洞 ………… 2004年的重大漏洞 2004.4 微软MS04-011、012、013远程执行代码漏洞 ——“震荡波”及变种（I-Worm/Sasser） 2004.6 Cisco IOS拒绝服务漏洞 苹果Mac系统首发重大漏洞 2004.7 Microsoft Task Scheduler和HTML帮助远程控制漏洞 2004.8 Oracle发现多个重大安全漏洞 攻击方式 利用邮件附件，诱骗受害者打开 构建恶意网站，并诱使受害者访问。 攻击方式 利用系统漏洞 如震荡波Worm.sasser，利用微软MS04-011公告lsass.exe缓冲区溢出漏洞。系统中病毒后TCP的1068端口开始搜寻可能传播的IP地址，系统将开启上百个线程去攻击他人，如果发现开放了445、5554等端口，并且没有打补丁的机器就会中病毒。 面对漏洞我们应该怎么做？ 打补丁。以往的统计数字表明，及时打补丁能有效防止大多数病毒爆发。 补丁危机 怎样打补丁？ 对用户进行安全培训，形成定期更新系统的习惯。 Windows系统尽量开启自动定时更新，以减少网络管理人员的工作量。 对重要系统实行手动更新，更新前做好备份和记录工作。 在需要打补丁的系统数量多的情况下，使用补丁管理系统，实现补丁的扫描、分发和安装。 1、系统管理服务器（Systems Management Server， SMS） 2、终端服务（Terminal services） 3、AppExpress、Landesk 目录 系统漏洞及常见网络攻击手段 木马技术介绍及防范措施 最危险的敌人－－木马 木马，其实质只是一个非法的、未经许可安装和运行的网络客户端/服务器程序。 有明确的窃取敏感信息和恶意控制主机的意图，如窃取银行帐户密码。 非常隐蔽，非专业人员很难发现其踪迹。 难以清除。 对受害者造成的损失巨大。 凡是你在PC前所说、所做的一切，都有可能被记录！ 木马具有捕获每一个用户屏幕、每一次键击事件的能力。 完全的控制宿主主机。可以打开摄像头、麦克风，并将得到的图像、声音传给木马控制者（2004.6发现的蜜蜂大盗）。 带有包嗅探器，它能够捕获和分析流经网卡的每一个数据包 随意操控PC本身资源的能力，而且还能够冒充PC合法用户，例如冒充合法用户发送邮件、修改文档，甚至进行银行转帐操作。 Back Orifice 网银大盗（II）木马 盗取包括工商银行、招商银行、建设银行、交通银行、深圳发展银行、民生银行、华夏银行、上海银行等8个银行及首都电子商城、中国在线支付网、银联支付网关等三家网上支付机构的帐号、密码、验证码等 每隔10毫秒检查一次用户是否正在使用涉及到的银行“个人网上银行”的登陆界面 记录用户键入的所有键盘记录 每隔60秒有哪些信誉好的足球投注网站一次记录数据，然后把窃取到的信息以get方式发送到指定的http://*****.com/****/get.asp 木马的植入 利用系统漏洞，远程下载并执行木马安装程序。 捆绑在下载的其他软件中，用户安装该软件的同时安装木马。 伪装为其他软件（如破解工具、漂亮的屏保等）。 利用IE漏洞可以通过Script、ActiveX及Asp、PHP、Cgi等交互脚本的方式植入。 社会工程（如谎称是朋友寄给你的贺卡）。 木马的隐藏 在任务栏里隐形 在任务管理器里隐形 无进程、无端口的DLL（动态链接库）木马 木马的启动方式 自动启动（注册表、win.ini、system.ini等） 捆绑到其他的程序上（如：phAse 1.0版本和NetBus 1.53） Dll的形式注入到系统服务中，随服务的启动而启动 反弹技术 反弹技术：由木马服务端主动连接客户端，因此在互联网上可以访问到局域网里通过 NAT 代理 透明代理 上网的电脑，并且可以穿过防火墙。 多线程技术 一个木马同时运行多个线程。例如：三个线程，其中一个为主线程，负责远程控制的工作。另外两个为辅助线程，其中一个辅助线程称为监视线程，它负责检查木马程序是否被删除和是否被停止自启动。 防范－－御敌于门