| 導購 | 订阅 | 在线投稿
分享
 
 
 

安全寶典——病毒及攻擊防禦手冊(2)

來源:互聯網網民  2006-12-16 16:51:48  評論

第二站、攻擊防禦之旅

除了病毒,互聯網絡上還有一股暗潮——人爲攻擊。

早期的攻擊者大多是技藝高超之輩,他們對服務器的系統、程序相當熟悉,常常通過尋找他人系統中的漏洞來提高自身技術水平,並以此爲樂。不過他們的默認准則之一是不攻擊普通終端用戶、進駐服務器後不改變服務器重要設置。那是一群令人尊敬的人,他們在技/藝的邊緣地帶行走,以自己獨特的方式磨練著自己;獨特立行,或許你曾因爲各種原因在im軟件上,在web論壇中,在irc聊天室裏與他們匆匆邂逅又匆匆離別,卻茫然不知道他們的真正身份;都是真正意義上的技術好手,對操作系統,網絡協議,編程語言都有相當造詣,他們中相當一部分人的正當職業就是高級程序員、系統分析師、網絡管理員——這類人,我們尊敬地稱他們爲「黑客」,俗稱「黑帽」。

到了商業時代,隨著金錢利益的驅動,行行色色的各類人進入了互聯網。其中有一群被金錢利益驅動著的人,他們也有著不錯的技術,卻被金錢物欲所俘獲,將自己的技術和靈魂出賣給金錢——只要爲了經濟利益,可以不擇手段地進行破壞。他們對沒利益的終端個人用戶也沒有什麽興趣,相比之下服務器更令他們青睐。把攻擊得逞的服務器做成肉雞以備後用是他們的習慣之一。這類人,我們稱他們爲「駭客」,俗稱「灰帽」。

就如有影就有光一樣,網絡上也有跟「駭客」相反的一類人,他們以研究系統漏洞、幫助企業實施安全方案爲職,我們稱他們爲「安全顧問」。他們具有足以和「駭客」匹敵的能力,網絡上的商業服務器攻防之戰大多是在他們與「駭客」之間展開,,俗稱「白帽」。

最後一類,可說是墮落的平庸者。使用著前幾類人所開發者的工具,對網絡上的機器——不管是終端用戶還是服務器進行掃描;看到有漏洞的系統就又使用他人的教程、工具嘗試進入,並在進入之後大肆進行破壞;在無法進入的時候,甚至就直接用DDOS攻擊了事。他們破壞的理由大多是爲了逞一時之愉快或爲了炫耀自己而已,這類人沒有什麽技術可言,行爲也無道德可言。他們不具備紮實地技術功底,大多是使用前三類高手所開發的工具,這樣的一類人,一般被稱爲「腳本小子」。值得附帶一提的是,國內不少所謂「安全站點」上馳騁風雲、威風八面的「高手」也不過就屬于這類檔次的混混而已——不知天高地厚的自吹自擂也是這類家夥常見的特性之一呢。

對個人用戶而言,由于不具備較大的經濟利益,因此前三類人一般不會染指用戶的計算機。讓用戶深受其害的,常常是腳本小子的所爲。

攻擊的六大步驟

首先,讓我們看看這類家夥是怎麽樣一步步發起攻擊的,一次典型的正面攻擊大概分這麽幾步來進行,值得一提目前的網絡病毒傳染方式從實質上來講也是一種自動攻擊,因此下面的步驟對待病毒也是同樣適用;

1.利用掃描工具批量ping一個段的地址,判斷存活主機;

爲了加快感染的速度,常常是ping不通的主機就放棄後續的操作,相當多的病毒均是屬于先ping目標主機,再進行感染操作的;

2.掃描所開放端口;

針對常見的默認端口來猜測服務器的性質,如80是web服務器;21是ftp,22是 ssh,25是smtp等等;

3.根據獲得的情報,判斷主機的操作系統和決定攻擊方式;

如果操作系統開了80的,就看看web服務器的信息;如果開了21,就看看ftp服務器的信息——從這些蛛絲馬迹中獲得資料,如從iis的版本號、ftp服務的歡迎信息來判斷所用的程序,以及操作系統可能使用的版本;

4.嘗試攻擊——在這一步,分爲漏洞攻擊、溢出攻擊、密碼破解攻擊;

對待網絡共享,一般采用利用弱密碼漏洞方式進入;對待公共服務,如web、ftp則通過查找該版本的軟件漏洞(這個在google上搜索到很容易,甚至有示範代碼的)進行溢出攻擊;枚舉用戶帳號,通過挂載密碼字典,進行弱密碼窮盡猜測攻擊等等;

5.進入系統,想辦法提升權限;

如果是通過服務漏洞進入,則不少情況下默認就是最高權限了(windows的服務大多默認以administrator權限運行),如果通過其他方式獲得帳號密碼的,那麽還要想辦法提升權限,常見的做法有利用重定向方式寫系統設置文件、運行有權限執行的高權限程序並造成溢出獲得;

6.獲得最高權限後進行破壞行爲實施;

常見的就是安裝木馬、設置後門、修改配置、刪除文件、複制重要文件等;

||||||應對攻擊行爲

讓我們分析一下以上6步,看看該怎麽應對攻擊行爲。

利用掃描工具批量ping一個段的地址,判斷存活主機;

由于無謂的攻擊一個不能確定是否開機的ip地址從效率上來說比較低下,在要求快速攻擊/感染的情況下,常常會對目標地址進行ping檢測——如著名的沖擊波病毒等;換句話說,如果能讓我們的主機不回應icmp包,則對方無法確定我們的存活,很可能就此放棄攻擊。目前不少免費/商業的個人網絡防火牆都帶了這一功能;

判斷主機的操作系統和掃描所開放端口;

個人用戶所開主機的服務類端口不多,但由于windows自身的設置問題,例如win98共享漏洞、win2k默認開著telnet服務等原因,讓攻擊者有多個攻擊選擇。在這一步,同樣可以用防火牆把必要的端口禁止掉——我常用的做法是把135、137、138、139、445端口禁止掉,這能避免很多麻煩,windows的網絡共享安全性實在不怎麽好,個人推薦用戶考慮放棄網絡共享,采用ftp等方式進行必要的文件傳輸;

根據獲得的情報,決定攻擊方式;

在這一步,攻擊者將上一步掃描的資料進行彙總,然後確定攻擊方式——因此上一步中,我們如果能將對外的端口開得盡量少,那麽攻擊者能利用的資源也就越少,出現漏洞攻擊的可能行就越小;

嘗試攻擊——在這一步,分爲漏洞攻擊、溢出攻擊、密碼破解攻擊;

由于攻擊個人用戶的家夥大多是屬于腳本小子一級的,只會用別人現成工具的居多,因此有了上面的防禦後,能讓他們利用的漏洞也不是太多了。只要密切注意自己所用操作系統的動態,隨時給系統升級補丁,一般來說攻擊者已經沒折了。

進入系統,想辦法提升權限;

進入到系統之後,對其他平台而言,攻擊者獲得的大多不是root權限,還要進行權限提升的步驟,利用重定向寫配置文件、信任欺騙等手段來提升權限;而在windows下,個人用戶大多直接以administrator的身份登陸並進行日常使用(值得一提的是天緣看到不少win2k/nt服務器的管理員在進行日常操作的時候也使用administrator帳號,甚至在服務器上浏覽不可信任的web頁),且windows的後台服務大多直接以administrator身份運行,因此一旦被入侵,直接獲得administrator的幾率相當高,客觀上降低了攻擊難度。漏洞多,補丁慢,服務權限設置設置不嚴格——這就是攻擊者更喜歡攻擊windows系列操作系統的原因了。

獲得最高權限後進行破壞行爲實施;

到這一步,基本上用戶已經無力阻擋了——最好的做法是立即拔掉網線再謀對策了。

對待上面這樣典型的正面攻擊行爲,有一個好的個人用戶防火牆是不錯的選擇,天網/金山的的偶比較好用,目前我個人的桌面系統使用的是費爾防火牆,它操作上不如天網/金山方便,但可定制性更好一些。普通用戶可以下一個天網的防火牆來用,默認的規則已經可以對付上面提到的大部分攻擊行爲了。

正因爲隨著個人防火牆的使用,腳本小子進行正面攻擊不容易得逞,因此采用欺騙的手段進行攻擊成爲了更爲可取的方式。

常見欺騙手法

1.im軟件中的一個網站地址——該網站地址其實是一個利用了activex漏洞或mime漏洞的頁面,當用戶采用啓用activex的浏覽器或mime解析不嚴格的web浏覽器訪問該頁面時,會導致腳本病毒自動執行,修改用戶的本機設置,並將遠程木馬木馬下載到本地,在沒有提示的情形下運行起來,之後又挂接到im軟件,在用戶知情/不知情的情形下,將該網站地址發送到用戶im軟件裏的好友中,以次延續感染;對付activex漏洞的方式是使用能准確控制是否啓用頁面中activex的浏覽器,如myie2;對付mime頭的方法是及時打上系統補丁——「美女圖片」病毒就是典型的一個利用浏覽器沒檢查jpg的mime的漏洞,而這個漏洞微軟在很早前就發布了patch,結果沒想到還是很多人中招了。

2.主動在im軟件中發送木馬——這類方法比較拙劣,攻擊者以「這是我的照片」,「新發現一個好用的軟件」等借口,將一個文件發過來——並要求你執行,由于可執行文件的後綴是以.exe .bat .pif . scr .cmd 爲主,所以用戶看到這幾類後綴就要小心了。如果的確想看對方的照片怎麽辦?讓對方把圖片轉成jpg文件發過來,記住是放到你本地來,而不是給你一個url,否則上面提到的mime頭檢查漏洞正等著你呢!

3.利用郵件方式傳播病毒。對利用outlook等客戶端工具的朋友來說,自動在郵件裏顯示出html是一項很貼心的設計——可惜是有漏洞的設計——這樣在ie存在漏洞的時候,讀取html格式的郵件同樣會中毒;預防方式要麽是禁用html方式解析,要麽是及時升級windows補丁,要麽是不采用outlook本地方式收信,而是先利用webmail方式以文本格式讀信,然後將有必要的信保留,沒必要的刪除,再行下載。

本來利用imap遠程管理信箱是個好主意——可以將名字/來源email看著不對勁的信直接刪除掉;但由于smtp協議本身的不完善和不少郵件病毒采用獲取用戶outlook地址本的特性,使得信件來源常常來自一個可信任的朋友地址,令遠程管理無從僅僅根據信件來源email地址和信件標題判斷是否爲病毒。對待這類病毒,除了依仗郵件系統自身的殺毒功能外,用戶在自己機器上裝一個帶郵件監控功能的殺毒系統也是非常有益的。當然,最好的方法就是用純文本方式閱讀信件——舍棄一點華麗,換來更多安全是值得的,至少在有重要資料的機器上是如此。

4.程序捆綁欺騙。目前有一種程序,專門將2個文件捆綁到一起,稱爲捆綁機。具體來說——打個比方,我把a.exe文件和b.exe文件捆綁到一起的話,會生成一個c.exe文件——那麽如果我運行c.exe,則等于同時執行了a.exe和b.exe文件。如果正好a.exe或b.exe文件是一個木馬的話……常見的做法就是不少所謂的「安全站點」告訴好奇的學習者——這是xx強大的安全工具、掃描工具。結果是捆綁著木馬的,下載下來一運行,自己先中招了。不少腳本小子自己的機器上都被人種了木馬還茫然不知,真是報應啊,哈哈哈。不過對普通用戶來說,對待不信任的人發給的這類文件還是不運行比較好;當然自己去一些不是太正規的站主動下載文件就更是腦袋裏進水了。

||||||著名病毒的攻擊原理

當然,攻擊的方式從來不是被單獨利用的 ,讓我們分析一下幾個著名病毒的攻擊原理看看就知道了;

沖擊波病毒(蠕蟲類病毒):通過ping命令探測主機——檢查是否爲win2k/xp系統——利用rpc漏洞獲取權限——通過tftp上載必要文件——修改注冊表,添加服務——感染其他機器;

這類病毒的預防手段:

禁止ping的icmp回應封包發出;

打patch將漏洞補上;

在管理工具 ——服務 中 ,將「允許遠程編輯注冊表」功能禁用;

網絡天空病毒(郵件類病毒):廣發病毒郵件——用戶收到郵件後打開運行——利用漏洞/欺騙執行郵件中的帶毒程序 ——修改系統注冊表設置——複制自身到系統目錄——搜索本地htm,eml等文件中的郵件地址——利用自帶smtp將病毒以多種標題連帶欺騙文字向各個地址發出——某些病毒會ddos攻擊某些站點;

這類病毒的預防手段:

不閱讀來曆不明和沒理由收到的信件;

使用web方式在線閱讀、管理信件;

打上最新的浏覽器、outlook補丁;

禁止信件以html格式顯示信件;

平時不用administrator身份登陸,而以普通用戶登錄,讓病毒修改注冊表和系統文件的權限受到抑止;

使用帶郵件即時監控的殺毒程序;

新歡樂時光病毒(腳本類病毒):outlook傳播——浏覽染毒郵件時利用outlook漏洞運行vb代碼——各個目錄下生成大量folder.htt和desktop.ini文件,由于資源浏覽器的腳本檢查漏洞,浏覽該目錄即感染——搜索網絡內其他機器共享——對有可寫權限的(新變種能自動枚舉嘗試123,111,用戶名123這樣的簡單密碼)其他機器共享目錄上載folder.htt和desktip.ini文件——其他機器使用資源浏覽器浏覽該文件夾時被感染

此類病毒的預防手段:

最好不使用網絡鄰居,必要使用的時候請只開放讀取權限;

打上outlook補丁和浏覽器補丁;

禁止采用html格式查看信件;

采用帶即時文件監控的殺毒程序:

采用第三方資源浏覽器浏覽網絡鄰居資源,如total command等等;

由此可見,目前的主流病毒/攻擊,都是將上面介紹的病毒方式/攻擊方式進行複核後,以多種方式傳播,力爭在最短時間內感染數量盡量多的機器。行文到這裏,基本上主要的攻擊方式都介紹完了,在下面,我例出一張表,各位可以大致地看看應對方法。

病毒/攻擊防禦 ——對應主動攻擊:

<掃描存活主機>( 防禦方法:禁止icmp反饋,用防火牆實現);

<掃描端口、漏洞> (防禦方法:1,禁用不必要的服務;2.禁止一些不對外的敏感端口; 3打系統補丁)

<攻擊> (防禦方法:1.用戶密碼設置得複雜一些;有特定服務的一定留意該服務的權限設置和打上針對該服務的最新補丁)

病毒/攻擊防禦2——對應欺騙攻擊:

<發起欺騙> (防禦方法:檢查對方可信任度,這裏的對方,不光是指操作計算機的人,而是指對方的機器是否可靠——如果對方是可信任的人,給你發了個url,你可以詢問是不是對方發給你,因爲病毒是不會自動應答你的詢問的,由此你可以判斷出是對方給你發的,還是對方機器已經中毒後自動發的)

|

<訪問潛在欺騙源> (防禦方法:每一個web頁,每一封信件——不管是不是來自朋友,也不管是不是門戶站點,都有可能存在木馬或腳本病毒,最好的辦法就是禁用activex,必要的時候才打開,及時升級浏覽器/郵件工具補丁,防止浏覽器漏洞被利用;)

病毒不斷演化,隨著編程技術的進步,目前的病毒具備越來越多的欺騙特征——可以說目前病毒傳播的2條主要途徑就是漏洞和欺騙;對待漏洞沒說的,第一時間打上補丁是最好的解決辦法,對待欺騙則就要依靠用戶主觀的判斷了。雖然很難量化標准,但天緣還是盡力把防止病毒/攻擊的辦法大致例舉一下,下面的有些條件比較苟苛,但還是希望能盡力做到——雖然麻煩一點,但總比中毒/攻擊後受到損失強。

1.用戶密碼足夠複雜,推薦8~16位數字+大小寫字符+特殊符號 ;win2k/xp可考慮把administrator用戶改名;

2.盡量使用網絡共享,采用ftp等更安全的方式代替(默認共享目錄,例舉用戶名,空密碼漏洞是著名的容易被利用);如果必要情況下需要使用,請一定設置上8位以上的複雜密碼,並制定文件目錄的確實需要的最小權限(例如提供資料讓人下載的,就只需要設置成只讀權限就行了)

3.及時升級系統和工具補丁;(這點我在此文中一直在強調,但事實上是——不少用戶甯可每天花10個小時的時間玩遊戲,也不願意花10分鍾去訪問一下windows的update站點,安裝殺毒軟件/防火牆是治標,打patch才是治本,隨時打好patch是每日必修功課);

4.安裝帶有病毒即時監控/郵件監控的殺毒程序,並及時升級病毒庫;(很多朋友強調自己用的是正版殺毒軟件,但一直忽略了購買正版殺毒軟件的最必要因素——獲得良好的升級支持服務,不升級病毒庫的殺毒軟件是無法捕捉到新病毒的。因此天緣個人建議每天2次升級最新病毒庫是比較適合的,一次在早上開機時,一次在下午開機時);

5.使用更優秀的軟件代替産品;(例如用myie2代替ie,用total command 代替資源浏覽器。不是說微軟自身的産品不能用——有時候就是因爲微軟的産品功能太多,衆多的功能中有可能有存在漏洞的,就會危機到系統安全了,所以推薦使用代替産品。而事實上不少第三方軟件的確相當好用的)

6.使用個人版網絡防火牆,將icmp反饋禁止,再根據自己需要把敏感端口全部禁止掉;(在金山、瑞星、kv、天網的防火牆設置中,很容易找到「禁止icmp回應」,「禁止ping響應」這樣的規則,勾選上就行了)win2k/xp自帶的ipsec也能實現,不過比較繁複一些,個人感覺適合系統管理員而不是普通用戶,另外winxp自帶的防火牆也能作到禁止ping回應,各位可以試著開啓它)

7.修改xp/win2000的默認設置,在服務中禁止掉自己不需要的一些服務。如messager和遠程操作注冊表都是常常被利用的服務程序;(在中文版本中,都有詳細的中文提示,yesky網站上的介紹文章也相當多,各位可以搜索一下)

8.養成安全意識。網絡前輩說過一句名言「安全,從來都不是技術問題,而是一個意識。」前面幾條都是在第8條的基礎上得到體現的,如果沒有了安全意識,即使用再昂貴的殺毒軟件也懶于升級、用再優秀的操作系統也懶于打patch,那麽一切都是白費了。特別是對待目前逐漸成爲主流的病毒/攻擊欺騙而言,如果用戶不在主觀上保持「存疑」的態度,那麽隨意接受/打開外來的文件,中毒的可能性是相當大的。另外補充一句,網絡上只有「本地」和「遠程」2個概念,不管是不是朋友的計算機,是不是同一個工作組內的機器,它始終是台遠程機器發送過來的數據——保持必要的懷疑,不管該計算機是誰擁有。

9.在金山,瑞星和kv3000的主頁,對待流行病毒,都有專殺工具和注冊表修複工具免費下載,如果用戶能確認自己所中的是何種病毒時,使用專殺工具能獲得更高的殺毒效率;而且在這些站點上,還有最新的病毒預報可以看到,方便用戶提前作好准備以及了解攻擊細節。

後記

目前對待聯網的桌面操作系統而言,安全主要在于對網絡上病毒/攻擊的防禦,事前充分地做好准備工作,遠比病毒、攻擊入侵後再進行補救更好。病毒、攻擊除了依賴于技術實現,更重要的是依賴于用戶自身的安全意識——天緣接觸的不少用戶都知道要升級操作系統、要買正版殺毒軟件、不在網絡上隨便下載東西,但真到實施的時候卻常常因爲貪圖便利和抱有僥幸心理,最後到病毒、攻擊入侵機器後才悔之晚矣。現在的windows系統的升級做的相當方便、殺毒軟件更是做得相當貼心,升級不是多麻煩的事情,貴在持之以恒。

安全在各個行業都是一個永恒的話題,桌面操作系統從單機時代走向網絡時代是一次計算機業的重大進步,隨著互聯網絡的資訊增多、娛樂豐富、商機漸顯,它在我們的生活中變得越來越重要,而隨之而來的病毒和攻擊也越來越猖獗。希望此文能對飽受病毒/攻擊之苦的朋友一點點啓示。

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
第二站、攻擊防禦之旅   除了病毒,互聯網絡上還有一股暗潮——人爲攻擊。   早期的攻擊者大多是技藝高超之輩,他們對服務器的系統、程序相當熟悉,常常通過尋找他人系統中的漏洞來提高自身技術水平,並以此爲樂。不過他們的默認准則之一是不攻擊普通終端用戶、進駐服務器後不改變服務器重要設置。那是一群令人尊敬的人,他們在技/藝的邊緣地帶行走,以自己獨特的方式磨練著自己;獨特立行,或許你曾因爲各種原因在im軟件上,在web論壇中,在irc聊天室裏與他們匆匆邂逅又匆匆離別,卻茫然不知道他們的真正身份;都是真正意義上的技術好手,對操作系統,網絡協議,編程語言都有相當造詣,他們中相當一部分人的正當職業就是高級程序員、系統分析師、網絡管理員——這類人,我們尊敬地稱他們爲「黑客」,俗稱「黑帽」。   到了商業時代,隨著金錢利益的驅動,行行色色的各類人進入了互聯網。其中有一群被金錢利益驅動著的人,他們也有著不錯的技術,卻被金錢物欲所俘獲,將自己的技術和靈魂出賣給金錢——只要爲了經濟利益,可以不擇手段地進行破壞。他們對沒利益的終端個人用戶也沒有什麽興趣,相比之下服務器更令他們青睐。把攻擊得逞的服務器做成肉雞以備後用是他們的習慣之一。這類人,我們稱他們爲「駭客」,俗稱「灰帽」。   就如有影就有光一樣,網絡上也有跟「駭客」相反的一類人,他們以研究系統漏洞、幫助企業實施安全方案爲職,我們稱他們爲「安全顧問」。他們具有足以和「駭客」匹敵的能力,網絡上的商業服務器攻防之戰大多是在他們與「駭客」之間展開,,俗稱「白帽」。   最後一類,可說是墮落的平庸者。使用著前幾類人所開發者的工具,對網絡上的機器——不管是終端用戶還是服務器進行掃描;看到有漏洞的系統就又使用他人的教程、工具嘗試進入,並在進入之後大肆進行破壞;在無法進入的時候,甚至就直接用DDOS攻擊了事。他們破壞的理由大多是爲了逞一時之愉快或爲了炫耀自己而已,這類人沒有什麽技術可言,行爲也無道德可言。他們不具備紮實地技術功底,大多是使用前三類高手所開發的工具,這樣的一類人,一般被稱爲「腳本小子」。值得附帶一提的是,國內不少所謂「安全站點」上馳騁風雲、威風八面的「高手」也不過就屬于這類檔次的混混而已——不知天高地厚的自吹自擂也是這類家夥常見的特性之一呢。   對個人用戶而言,由于不具備較大的經濟利益,因此前三類人一般不會染指用戶的計算機。讓用戶深受其害的,常常是腳本小子的所爲。   攻擊的六大步驟   首先,讓我們看看這類家夥是怎麽樣一步步發起攻擊的,一次典型的正面攻擊大概分這麽幾步來進行,值得一提目前的網絡病毒傳染方式從實質上來講也是一種自動攻擊,因此下面的步驟對待病毒也是同樣適用;   1.利用掃描工具批量ping一個段的地址,判斷存活主機;   爲了加快感染的速度,常常是ping不通的主機就放棄後續的操作,相當多的病毒均是屬于先ping目標主機,再進行感染操作的;   2.掃描所開放端口;   針對常見的默認端口來猜測服務器的性質,如80是web服務器;21是ftp,22是 ssh,25是smtp等等;   3.根據獲得的情報,判斷主機的操作系統和決定攻擊方式;   如果操作系統開了80的,就看看web服務器的信息;如果開了21,就看看ftp服務器的信息——從這些蛛絲馬迹中獲得資料,如從iis的版本號、ftp服務的歡迎信息來判斷所用的程序,以及操作系統可能使用的版本;   4.嘗試攻擊——在這一步,分爲漏洞攻擊、溢出攻擊、密碼破解攻擊;   對待網絡共享,一般采用利用弱密碼漏洞方式進入;對待公共服務,如web、ftp則通過查找該版本的軟件漏洞(這個在google上搜索到很容易,甚至有示範代碼的)進行溢出攻擊;枚舉用戶帳號,通過挂載密碼字典,進行弱密碼窮盡猜測攻擊等等;   5.進入系統,想辦法提升權限;   如果是通過服務漏洞進入,則不少情況下默認就是最高權限了(windows的服務大多默認以administrator權限運行),如果通過其他方式獲得帳號密碼的,那麽還要想辦法提升權限,常見的做法有利用重定向方式寫系統設置文件、運行有權限執行的高權限程序並造成溢出獲得;   6.獲得最高權限後進行破壞行爲實施;   常見的就是安裝木馬、設置後門、修改配置、刪除文件、複制重要文件等; ||||||應對攻擊行爲   讓我們分析一下以上6步,看看該怎麽應對攻擊行爲。   利用掃描工具批量ping一個段的地址,判斷存活主機;   由于無謂的攻擊一個不能確定是否開機的ip地址從效率上來說比較低下,在要求快速攻擊/感染的情況下,常常會對目標地址進行ping檢測——如著名的沖擊波病毒等;換句話說,如果能讓我們的主機不回應icmp包,則對方無法確定我們的存活,很可能就此放棄攻擊。目前不少免費/商業的個人網絡防火牆都帶了這一功能;   判斷主機的操作系統和掃描所開放端口;   個人用戶所開主機的服務類端口不多,但由于windows自身的設置問題,例如win98共享漏洞、win2k默認開著telnet服務等原因,讓攻擊者有多個攻擊選擇。在這一步,同樣可以用防火牆把必要的端口禁止掉——我常用的做法是把135、137、138、139、445端口禁止掉,這能避免很多麻煩,windows的網絡共享安全性實在不怎麽好,個人推薦用戶考慮放棄網絡共享,采用ftp等方式進行必要的文件傳輸;   根據獲得的情報,決定攻擊方式;   在這一步,攻擊者將上一步掃描的資料進行彙總,然後確定攻擊方式——因此上一步中,我們如果能將對外的端口開得盡量少,那麽攻擊者能利用的資源也就越少,出現漏洞攻擊的可能行就越小;   嘗試攻擊——在這一步,分爲漏洞攻擊、溢出攻擊、密碼破解攻擊;   由于攻擊個人用戶的家夥大多是屬于腳本小子一級的,只會用別人現成工具的居多,因此有了上面的防禦後,能讓他們利用的漏洞也不是太多了。只要密切注意自己所用操作系統的動態,隨時給系統升級補丁,一般來說攻擊者已經沒折了。   進入系統,想辦法提升權限;   進入到系統之後,對其他平台而言,攻擊者獲得的大多不是root權限,還要進行權限提升的步驟,利用重定向寫配置文件、信任欺騙等手段來提升權限;而在windows下,個人用戶大多直接以administrator的身份登陸並進行日常使用(值得一提的是天緣看到不少win2k/nt服務器的管理員在進行日常操作的時候也使用administrator帳號,甚至在服務器上浏覽不可信任的web頁),且windows的後台服務大多直接以administrator身份運行,因此一旦被入侵,直接獲得administrator的幾率相當高,客觀上降低了攻擊難度。漏洞多,補丁慢,服務權限設置設置不嚴格——這就是攻擊者更喜歡攻擊windows系列操作系統的原因了。   獲得最高權限後進行破壞行爲實施;   到這一步,基本上用戶已經無力阻擋了——最好的做法是立即拔掉網線再謀對策了。   對待上面這樣典型的正面攻擊行爲,有一個好的個人用戶防火牆是不錯的選擇,天網/金山的的偶比較好用,目前我個人的桌面系統使用的是費爾防火牆,它操作上不如天網/金山方便,但可定制性更好一些。普通用戶可以下一個天網的防火牆來用,默認的規則已經可以對付上面提到的大部分攻擊行爲了。   正因爲隨著個人防火牆的使用,腳本小子進行正面攻擊不容易得逞,因此采用欺騙的手段進行攻擊成爲了更爲可取的方式。   常見欺騙手法   1.im軟件中的一個網站地址——該網站地址其實是一個利用了activex漏洞或mime漏洞的頁面,當用戶采用啓用activex的浏覽器或mime解析不嚴格的web浏覽器訪問該頁面時,會導致腳本病毒自動執行,修改用戶的本機設置,並將遠程木馬木馬下載到本地,在沒有提示的情形下運行起來,之後又挂接到im軟件,在用戶知情/不知情的情形下,將該網站地址發送到用戶im軟件裏的好友中,以次延續感染;對付activex漏洞的方式是使用能准確控制是否啓用頁面中activex的浏覽器,如myie2;對付mime頭的方法是及時打上系統補丁——「美女圖片」病毒就是典型的一個利用浏覽器沒檢查jpg的mime的漏洞,而這個漏洞微軟在很早前就發布了patch,結果沒想到還是很多人中招了。   2.主動在im軟件中發送木馬——這類方法比較拙劣,攻擊者以「這是我的照片」,「新發現一個好用的軟件」等借口,將一個文件發過來——並要求你執行,由于可執行文件的後綴是以.exe .bat .pif . scr .cmd 爲主,所以用戶看到這幾類後綴就要小心了。如果的確想看對方的照片怎麽辦?讓對方把圖片轉成jpg文件發過來,記住是放到你本地來,而不是給你一個url,否則上面提到的mime頭檢查漏洞正等著你呢!   3.利用郵件方式傳播病毒。對利用outlook等客戶端工具的朋友來說,自動在郵件裏顯示出html是一項很貼心的設計——可惜是有漏洞的設計——這樣在ie存在漏洞的時候,讀取html格式的郵件同樣會中毒;預防方式要麽是禁用html方式解析,要麽是及時升級windows補丁,要麽是不采用outlook本地方式收信,而是先利用webmail方式以文本格式讀信,然後將有必要的信保留,沒必要的刪除,再行下載。   本來利用imap遠程管理信箱是個好主意——可以將名字/來源email看著不對勁的信直接刪除掉;但由于smtp協議本身的不完善和不少郵件病毒采用獲取用戶outlook地址本的特性,使得信件來源常常來自一個可信任的朋友地址,令遠程管理無從僅僅根據信件來源email地址和信件標題判斷是否爲病毒。對待這類病毒,除了依仗郵件系統自身的殺毒功能外,用戶在自己機器上裝一個帶郵件監控功能的殺毒系統也是非常有益的。當然,最好的方法就是用純文本方式閱讀信件——舍棄一點華麗,換來更多安全是值得的,至少在有重要資料的機器上是如此。   4.程序捆綁欺騙。目前有一種程序,專門將2個文件捆綁到一起,稱爲捆綁機。具體來說——打個比方,我把a.exe文件和b.exe文件捆綁到一起的話,會生成一個c.exe文件——那麽如果我運行c.exe,則等于同時執行了a.exe和b.exe文件。如果正好a.exe或b.exe文件是一個木馬的話……常見的做法就是不少所謂的「安全站點」告訴好奇的學習者——這是xx強大的安全工具、掃描工具。結果是捆綁著木馬的,下載下來一運行,自己先中招了。不少腳本小子自己的機器上都被人種了木馬還茫然不知,真是報應啊,哈哈哈。不過對普通用戶來說,對待不信任的人發給的這類文件還是不運行比較好;當然自己去一些不是太正規的站主動下載文件就更是腦袋裏進水了。 ||||||著名病毒的攻擊原理   當然,攻擊的方式從來不是被單獨利用的 ,讓我們分析一下幾個著名病毒的攻擊原理看看就知道了;   沖擊波病毒(蠕蟲類病毒):通過ping命令探測主機——檢查是否爲win2k/xp系統——利用rpc漏洞獲取權限——通過tftp上載必要文件——修改注冊表,添加服務——感染其他機器;   這類病毒的預防手段:   禁止ping的icmp回應封包發出;   打patch將漏洞補上;   在管理工具 ——服務 中 ,將「允許遠程編輯注冊表」功能禁用;   網絡天空病毒(郵件類病毒):廣發病毒郵件——用戶收到郵件後打開運行——利用漏洞/欺騙執行郵件中的帶毒程序 ——修改系統注冊表設置——複制自身到系統目錄——搜索本地htm,eml等文件中的郵件地址——利用自帶smtp將病毒以多種標題連帶欺騙文字向各個地址發出——某些病毒會ddos攻擊某些站點;   這類病毒的預防手段:   不閱讀來曆不明和沒理由收到的信件;     使用web方式在線閱讀、管理信件;     打上最新的浏覽器、outlook補丁;     禁止信件以html格式顯示信件;     平時不用administrator身份登陸,而以普通用戶登錄,讓病毒修改注冊表和系統文件的權限受到抑止;     使用帶郵件即時監控的殺毒程序;   新歡樂時光病毒(腳本類病毒):outlook傳播——浏覽染毒郵件時利用outlook漏洞運行vb代碼——各個目錄下生成大量folder.htt和desktop.ini文件,由于資源浏覽器的腳本檢查漏洞,浏覽該目錄即感染——搜索網絡內其他機器共享——對有可寫權限的(新變種能自動枚舉嘗試123,111,用戶名123這樣的簡單密碼)其他機器共享目錄上載folder.htt和desktip.ini文件——其他機器使用資源浏覽器浏覽該文件夾時被感染    此類病毒的預防手段:     最好不使用網絡鄰居,必要使用的時候請只開放讀取權限;       打上outlook補丁和浏覽器補丁;       禁止采用html格式查看信件;       采用帶即時文件監控的殺毒程序:     采用第三方資源浏覽器浏覽網絡鄰居資源,如total command等等;   由此可見,目前的主流病毒/攻擊,都是將上面介紹的病毒方式/攻擊方式進行複核後,以多種方式傳播,力爭在最短時間內感染數量盡量多的機器。行文到這裏,基本上主要的攻擊方式都介紹完了,在下面,我例出一張表,各位可以大致地看看應對方法。   病毒/攻擊防禦 ——對應主動攻擊:   <掃描存活主機>( 防禦方法:禁止icmp反饋,用防火牆實現);   <掃描端口、漏洞> (防禦方法:1,禁用不必要的服務;2.禁止一些不對外的敏感端口; 3打系統補丁)   <攻擊> (防禦方法:1.用戶密碼設置得複雜一些;有特定服務的一定留意該服務的權限設置和打上針對該服務的最新補丁)   病毒/攻擊防禦2——對應欺騙攻擊:   <發起欺騙> (防禦方法:檢查對方可信任度,這裏的對方,不光是指操作計算機的人,而是指對方的機器是否可靠——如果對方是可信任的人,給你發了個url,你可以詢問是不是對方發給你,因爲病毒是不會自動應答你的詢問的,由此你可以判斷出是對方給你發的,還是對方機器已經中毒後自動發的)         |   <訪問潛在欺騙源> (防禦方法:每一個web頁,每一封信件——不管是不是來自朋友,也不管是不是門戶站點,都有可能存在木馬或腳本病毒,最好的辦法就是禁用activex,必要的時候才打開,及時升級浏覽器/郵件工具補丁,防止浏覽器漏洞被利用;)   病毒不斷演化,隨著編程技術的進步,目前的病毒具備越來越多的欺騙特征——可以說目前病毒傳播的2條主要途徑就是漏洞和欺騙;對待漏洞沒說的,第一時間打上補丁是最好的解決辦法,對待欺騙則就要依靠用戶主觀的判斷了。雖然很難量化標准,但天緣還是盡力把防止病毒/攻擊的辦法大致例舉一下,下面的有些條件比較苟苛,但還是希望能盡力做到——雖然麻煩一點,但總比中毒/攻擊後受到損失強。   1.用戶密碼足夠複雜,推薦8~16位數字+大小寫字符+特殊符號 ;win2k/xp可考慮把administrator用戶改名;   2.盡量使用網絡共享,采用ftp等更安全的方式代替(默認共享目錄,例舉用戶名,空密碼漏洞是著名的容易被利用);如果必要情況下需要使用,請一定設置上8位以上的複雜密碼,並制定文件目錄的確實需要的最小權限(例如提供資料讓人下載的,就只需要設置成只讀權限就行了)   3.及時升級系統和工具補丁;(這點我在此文中一直在強調,但事實上是——不少用戶甯可每天花10個小時的時間玩遊戲,也不願意花10分鍾去訪問一下windows的update站點,安裝殺毒軟件/防火牆是治標,打patch才是治本,隨時打好patch是每日必修功課);   4.安裝帶有病毒即時監控/郵件監控的殺毒程序,並及時升級病毒庫;(很多朋友強調自己用的是正版殺毒軟件,但一直忽略了購買正版殺毒軟件的最必要因素——獲得良好的升級支持服務,不升級病毒庫的殺毒軟件是無法捕捉到新病毒的。因此天緣個人建議每天2次升級最新病毒庫是比較適合的,一次在早上開機時,一次在下午開機時);   5.使用更優秀的軟件代替産品;(例如用myie2代替ie,用total command 代替資源浏覽器。不是說微軟自身的産品不能用——有時候就是因爲微軟的産品功能太多,衆多的功能中有可能有存在漏洞的,就會危機到系統安全了,所以推薦使用代替産品。而事實上不少第三方軟件的確相當好用的)   6.使用個人版網絡防火牆,將icmp反饋禁止,再根據自己需要把敏感端口全部禁止掉;(在金山、瑞星、kv、天網的防火牆設置中,很容易找到「禁止icmp回應」,「禁止ping響應」這樣的規則,勾選上就行了)win2k/xp自帶的ipsec也能實現,不過比較繁複一些,個人感覺適合系統管理員而不是普通用戶,另外winxp自帶的防火牆也能作到禁止ping回應,各位可以試著開啓它)   7.修改xp/win2000的默認設置,在服務中禁止掉自己不需要的一些服務。如messager和遠程操作注冊表都是常常被利用的服務程序;(在中文版本中,都有詳細的中文提示,yesky網站上的介紹文章也相當多,各位可以搜索一下)   8.養成安全意識。網絡前輩說過一句名言「安全,從來都不是技術問題,而是一個意識。」前面幾條都是在第8條的基礎上得到體現的,如果沒有了安全意識,即使用再昂貴的殺毒軟件也懶于升級、用再優秀的操作系統也懶于打patch,那麽一切都是白費了。特別是對待目前逐漸成爲主流的病毒/攻擊欺騙而言,如果用戶不在主觀上保持「存疑」的態度,那麽隨意接受/打開外來的文件,中毒的可能性是相當大的。另外補充一句,網絡上只有「本地」和「遠程」2個概念,不管是不是朋友的計算機,是不是同一個工作組內的機器,它始終是台遠程機器發送過來的數據——保持必要的懷疑,不管該計算機是誰擁有。   9.在金山,瑞星和kv3000的主頁,對待流行病毒,都有專殺工具和注冊表修複工具免費下載,如果用戶能確認自己所中的是何種病毒時,使用專殺工具能獲得更高的殺毒效率;而且在這些站點上,還有最新的病毒預報可以看到,方便用戶提前作好准備以及了解攻擊細節。   後記   目前對待聯網的桌面操作系統而言,安全主要在于對網絡上病毒/攻擊的防禦,事前充分地做好准備工作,遠比病毒、攻擊入侵後再進行補救更好。病毒、攻擊除了依賴于技術實現,更重要的是依賴于用戶自身的安全意識——天緣接觸的不少用戶都知道要升級操作系統、要買正版殺毒軟件、不在網絡上隨便下載東西,但真到實施的時候卻常常因爲貪圖便利和抱有僥幸心理,最後到病毒、攻擊入侵機器後才悔之晚矣。現在的windows系統的升級做的相當方便、殺毒軟件更是做得相當貼心,升級不是多麻煩的事情,貴在持之以恒。   安全在各個行業都是一個永恒的話題,桌面操作系統從單機時代走向網絡時代是一次計算機業的重大進步,隨著互聯網絡的資訊增多、娛樂豐富、商機漸顯,它在我們的生活中變得越來越重要,而隨之而來的病毒和攻擊也越來越猖獗。希望此文能對飽受病毒/攻擊之苦的朋友一點點啓示。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 
 熱帖排行
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有