有针对性的恶意软件攻击-道高一尺-魔高一丈 (很有针对性)

昨天，两位研究人员在黑帽大会上拉开了有针对性的恶意软件攻击的帷幕，演示了依靠各种攻击手段实现的攻击，这些手段包括从零日PDF攻击到基于内存的rootkit攻击。在当天举行的四场演示中，每种攻击都进行了精心设计，其目的在于攻破目标公司，而且还在恶意软件中增加了新功能，以避开已经部署的检测保护系统，或者使网络安全取证调查人员无法取证。

数据安全和支付卡行业合规性管理解决方案提供商Trustwave公司的安全研究机构SpiderLabs的高级副总裁Nick Percoco指出，“定制恶意软件是攻击取得成功的关键，稳扎稳打是攻击取得成功的重要因素。攻击者既没有急于求成，也没有采用什么龌龊伎俩。攻击的持续性至关重要，攻击者必须不断发起并保持攻击。”

有针对性的、持续性的攻击一直是今年的主要攻击方式。谷歌及其他30多家技术公司、大型企业和美国国防承包商先后承认，黑客已经渗透其网络，利用先进的攻击技术秘密窃取了其敏感数据。这些攻击还创造了一个新的安全术语：高级持续性威胁（Advanced Persistent Threat，APT）。

虽然有针对性的攻击可能成为更加流行的攻击方式，但攻击者进入企业网络的手段与一年半前并没有太大区别。键盘记录器、网络嗅探器和内存转储工具仍然是主要的攻击工具，所不同的是攻击者采用了新的手段隐藏其踪迹，以便能够长期开展持续性的攻击。

Percoco与其同事、Trustwave公司资深取证调查员Jibran Ilyas同时指出，在许多情况下，攻击者可以在众目睽睽之下隐藏其踪迹。例如，他们使用可信赖的方式（例如FTP、HTTP和SMTP）将数据从企业传送出去。防火墙不会将HTTP流量标记为异常，而如果流量使用大于31337的TCP端口传送时，防火墙将会产生告警。

在其他情况下，例如在最近对一个知名人士经常光顾的、著名的迈阿密运动吧的攻击中，攻击者找到了避开数据丢失防护软件的简单方法。攻击者使用基于内存的rootkit工具安装恶意软件，该恶意软件可以捕获在该运动吧刷卡的信用卡磁条数据。该运动吧没有IT人员，其所有IT需求都是通过外包实现的。更糟糕的是，其收银系统与视频安全系统的DVR（数码录像机） 服务器 是同一套系统。

攻击者设法在该系统中安装了一个rootkit工具，该rootkit工具只提取包含信用卡号码的磁条数据。在每张信用卡的磁条数据中，信用卡号码与信用卡帐户持有人姓名之间有一个“carrot”字符（“^”）。数据丢失防护软件将这个“^”字符看作是信用卡号码的一部分。该恶意软件的目的就是使用百分号替代这个“^”字符。当包含信用卡号码的数据被传送出去时，数据丢失防护软件永远也查找不到这个“^”字符。

在针对West Coast网上成人书店的攻击中，攻击者设法劫持了一个Web应用程序（该网站所有Web应用程序的开发都是外包的）并安装了一个键盘记录器，以窃取管理页面上的身份验证凭据。令人难以置信的是，该管理页面居然允许文件上传，从而使这样的攻击能够得逞。

为了防止警惕的管理员可能会注意到Windows文件夹中多出来一个新的日志文件，该恶意软件中还包含了一个工具，可以修改新日志文件的时间戳数据，以使其看起来好像是自操作系统安装时就已经存在了。

Percoco指出，“太多的第三方应用程序存在漏洞”。

第三方应用程序还导致国际VoIP服务供应商被攻击者攻破。国际VoIP服务供应商为客户提供了两种付款方式：在线支付或通过销售终端支付。攻击者可以在Ngrep中加入一个网络嗅探器，Ngrep是一款允许用户在网络数据包中搜索正则表达式的工具。该恶意软件将会查找包含信用卡数据的数据包，并在每天固定的时间将其通过FTP发送给攻击者。

在由两名研究人员共同完成的最后一个攻击演示中，一家为美国军方进行数据分析的国防承包商的网络也被一个Adobe PDF零日攻击攻破。攻击者发送一封精心设计的、看起来像是来自行政部门的电子邮件，其内容和签名也与该行政部门日常发送的电子邮件相同。实际上，该邮件的附件是一个被感染的PDF文件。一旦该PDF文件被打开，恶意软件就会窃取受害者计算机中的“我的文档”文件夹内的所有文档，并通过FTP将这些内容上传到攻击者的服务器。

Percoco表示，“这些攻击防不胜防。我们看到，新的攻击层出不穷，攻击者不断开发新的攻击工具，并为这些攻击工具增加新的高级功能和自动化功能。利用这些自动化功能，攻击者甚至不需要接触要攻击的系统就可以发起攻击。”

【编辑推荐】

蠕虫病毒怎么杀？

自1988年莫氏放出第一个蠕虫病毒以来，计算机蠕虫病毒以其快速、多样化的传播方式不断给网络世界带来灾害。 特别是网络的迅速发展令蠕虫造成的危害日益严重，造成一个谈毒色变的的网络世界。 不同于一般的病毒，蠕虫病毒以计算机为载体，复制自身在互联网环境下进行传播，蠕虫病毒的传染目标是网络上所有计算机——局域网条件下的共享文件夹、电子邮件email、网络中的恶意网页、大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。 蠕虫的工作原理一般是这样的：　首先，扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。 随机选取某一段IP地址，然后对这一地址段上的主机扫描。 笨点的扫描程序可能会不断重复上面这一过程。 这样，随着蠕虫的传播，新感染的主机也开始进行这种扫描，这些扫描程序不知道哪些地址已经被扫描过，它只是简单的随机扫描互联网。 于是蠕虫传播的越广，网络上的扫描包就越多。 即使扫描程序发出的探测包很小，积少成多，大量蠕虫程序的扫描引起的网络拥塞就非常严重了。 其次，攻击：当蠕虫扫描到网络中存在的主机后，就开始利用自身的破坏功能获取主机的管理员权限。 最后，利用原主机和新主机的交互将蠕虫程序复制到新主机并启动。 扫毒网　由此可见，蠕虫的危害有两个方面：一．蠕虫大量而快速的复制使得网络上的扫描包迅速增多，造成网络拥塞，占用大量带宽，从而使得网络瘫痪。 二．网络上存在漏洞的主机被扫描到以后，会被迅速感染，使得管理员权限被窃取。 方便黑客的攻击。 魔高一尺，道高一丈，随着蠕虫的快速演变，解毒的的高手也不断涌现。 艾泰科技宽带安全网关系列就采用了“检测——屏避”的简单防毒方法。 首先，检测：这一步骤需要手工来操作，但极为简单，由于网络中的蠕虫病毒不断向外界计算机发出扫描包，这些扫描包是有显而易见的特点的。 例如，被感染的计算机中的蠕虫病毒会向网络中的某段IP地址发送扫描包。 由于网络所来往发送接收的包都要经过路由器，而通过路由器的WEB管理界面就可以轻松看到。 所以，蠕虫病毒攻击的特点反映在上网监控页面上就是：感染的主机发出大量的NAT会话，会话中只有上传包，下载包很小或者为零。 如果存在这样的主机，说明该主机已经被蠕虫病毒感染。 这种情况下，就要进入第二步，对网络中的主机实施屏蔽。 屏蔽的方法是：利用路由器的管理功能建立相应的策略，关闭病毒向外发包的端口。 采取杀毒措施或者安装相应的补丁程序。 这样，就可以轻松搞定蠕虫病毒。

怎样可以防木马详细说说！

安装好杀毒软件，防火墙等。定期杀毒。

安装360，专门针对各种恶意程序进行查杀和删除，与杀毒软件比在对付恶意程序方面作用更为明显，检测并修复各种漏洞也显得更为有效，在联网状态下，启动后就可更新升级。

同时最大限度的避免光顾那些不明网站。

当然道高一尺时，魔高一丈，高额利润的驱动下，黑色程序始终会想出各种办法通过“口”进入电脑从而控制电脑，斗争还在继续。
（一）杜绝传染渠道

病毒的传染无非是两种方式：一是网络，二是软盘与光盘。如今由于电子邮件的盛行，通过互联网传递的病毒要远远高于后者。为此，我们要特别注意在网上的行为，不要轻易下载小网站的软件与程序。 不要光顾那些很诱惑人的小网站，因为这些网站很有可能就是网络陷阱。另外还要：

1、 不使用盗版或来历不明的软件，特别不能使用盗版的杀毒软件。

2、 写保护所有系统盘，绝不把用户数据写到系统盘上。

3、 安装真正有效的防毒软件，并经常进行升级。

4、 对外来程序要使用尽可能多的查毒软件进行检查（包括从硬盘、软盘、局域网、Internet、Email中获得的程序），未经检查的可执行文件不能拷入硬盘，更不能使用。

5、 尽量不要使用软盘启动计算机。

6、 一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份，防患于未然。

10、随时注意计算机的各种异常现象（如速度变慢、出现奇怪的文件、文件尺寸发生变化、内存减少等），一旦发现，应立即用杀毒软件仔细检查。

11、对于软盘，光盘传染的病毒，预防的方法就是不要随便打开程序或安装软件。可以先复制到硬盘上，接着用杀毒软件检查一遍，再执行安装或打开命令。

（二）平时的积极预防，定期的查毒，杀毒。

在病毒和反病毒技术的较量过程中，病毒总是领先一步，先有病毒，然后有反病毒。新的病毒层出不穷，而老的，旧的杀毒软件在新的病毒面前可能束手无策。好在目前大多杀毒软件都提供了让用户自己升级的能力，这样就要多多的留心收集报刊，杂志中的反病毒公告，。如果有条件，最好多准备几种杀毒软件，进行交叉杀毒。还有就是平时留心病毒的发展动态，譬如目前流行的CIH 病毒，知道了它的发作条件是每月的二十六日，那么在不能确定自己的电脑是否被CIH病毒感染的时候，最简单的做法就是每月的二十六日不用机器，或通过更改电脑的日期跳过二十六日这一天。

想要知道自己的计算机中是否染有病毒，最简单的方法是实用较新的反病毒软件对磁盘进行全面的检测。

四、 病毒之后的解决办法

① 在解毒之前，要先备份重要的数据文件。

② 启动反病毒软件，并对整个硬盘进行扫描。

③ 发现病毒后，我们一般应利用反病毒软件清除文件中的病毒，如果可执行文件中的病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序。

④ 某些病毒在Windows 98状态下无法完全清除（如CIH病毒就是如此），此时我们应采用事先准备的干净的系统引导盘引导系统，然后在DOS下运行相关杀毒软件进行清除。

可以随时随地防护任何病毒反病毒软件是不存在的。随着各种新病毒的不断出现，反病毒软件必须快速升级才能达到杀除病毒的目的。具体来说，我们在对抗病毒时需要的是一种安全策略和一个完善的反病毒系统，用备份作为防病毒的第一道防线，将反病毒软件作为第二道防线。而及时升级反病毒软件的病毒代码则是加固第二道防线的唯一方法。



五、 恶意网站的处理

我们经常会遇到IE被修改了，或注册表不能打开了，开机后IE疯狂地打开窗口等等。看来恶意网站流毒不浅。下面我们就来看看如何与“恶意网站”斗争到底吧！

（一）防御

★知己知彼

如何判断自己是遇到了恶意网站的攻击，症状多种多样：

1. 开机自动登录网站。

2. 启动IE，自动登录网站，无法修复主页设置。

3. IE不断打开窗口。

4. 修改[主页]按钮和[搜索]按钮。

5. 修改右键菜单，甚至屏蔽右键菜单。

6. 更改收藏夹的内容。

7. 安装自动拨号程序。

8. 自动安装木马程序。

9. 自动格式化硬盘或删除某个文件夹中的所有文件。

10. 更新文件关联和锁死EXE程序。

11. 锁死注册表。

DOS攻击的具体是怎么样的？怎样预防？

DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务，而DDoS就是Distributed Denial of Service的简写就是分布式拒绝服务,而DRDoS就是Distributed Reflection Denial of Service的简写,这是分布反射式拒绝服务的意思。 不过这3中攻击方法最厉害的还是DDoS，那个DRDoS攻击虽然是新近出的一种攻击方法，但它只是DDoS攻击的变形，它的唯一不同就是不用占领大量的“肉鸡”。 这三种方法都是利用TCP三次握手的漏洞进行攻击的，所以对它们的防御办法都是差不多的。 DoS攻击是最早出现的，它的攻击方法说白了就是单挑，是比谁的机器性能好、速度快。 但是现在的科技飞速发展，一般的网站主机都有十几台主机，而且各个主机的处理能力、内存大小和网络速度都有飞速的发展，有的网络带宽甚至超过了千兆级别。 这样我们的一对一单挑式攻击就没有什么作用了，搞不好自己的机子就会死掉。 举个这样的攻击例子，假如你的机器每秒能够发送10个攻击用的数据包，而被你攻击的机器(性能、网络带宽都是顶尖的)每秒能够接受并处理100攻击数据包，那样的话，你的攻击就什么用处都没有了，而且非常有死机的可能。 要知道，你若是发送这种1Vs1的攻击，你的机器的CPU占用率是90%以上的，你的机器要是配置不够高的话，那你就死定了。 不过，科技在发展，黑客的技术也在发展。 正所谓道高一尺，魔高一仗。 经过无数次当机，黑客们终于又找到一种新的DoS攻击方法，这就是DDoS攻击。 它的原理说白了就是群殴，用好多的机器对目标机器一起发动DoS攻击，但这不是很多黑客一起参与的，这种攻击只是由一名黑客来操作的。 这名黑客不是拥有很多机器，他是通过他的机器在网络上占领很多的“肉鸡”，并且控制这些“肉鸡”来发动DDoS攻击，要不然怎么叫做分布式呢。 还是刚才的那个例子，你的机器每秒能发送10攻击数据包，而被攻击的机器每秒能够接受100的数据包，这样你的攻击肯定不会起作用，而你再用10台或更多的机器来对被攻击目标的机器进行攻击的话，嘿嘿!结果我就不说了。 DDoS究竟如何攻击?目前最流行也是最好用的攻击方法就是使用SYN-Flood进行攻击，SYN-Flood也就是SYN洪水攻击。 SYN-Flood不会完成TCP三次握手的第三步，也就是不发送确认连接的信息给服务器。 这样，服务器无法完成第三次握手，但服务器不会立即放弃，服务器会不停的重试并等待一定的时间后放弃这个未完成的连接，这段时间叫做SYN timeout，这段时间大约30秒-2分钟左右。 若是一个用户在连接时出现问题导致服务器的一个线程等待1分钟并不是什么大不了的问题，但是若有人用特殊的软件大量模拟这种情况，那后果就可想而知了。 一个服务器若是处理这些大量的半连接信息而消耗大量的系统资源和网络带宽，这样服务器就不会再有空余去处理普通用户的正常请求(因为客户的正常请求比率很小)。 这样这个服务器就无法工作了，这种攻击就叫做:SYN-Flood攻击。 到目前为止，进行DDoS攻击的防御还是比较困难的。 首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击。 不过这不等于我们就没有办法阻挡DDoS攻击，我们可以尽力来减少DDoS的攻击。 下面就是一些防御方法:1。 确保服务器的系统文件是最新的版本，并及时更新系统补丁。 2。 关闭不必要的服务。 3。 限制同时打开的SYN半连接数目。 4。 缩短SYN半连接的time out 时间。 5。 正确设置防火墙禁止对主机的非开放服务的访问限制特定IP地址的访问启用防火墙的防DDoS的属性严格限制对外开放的服务器的向外访问运行端口映射程序祸端口扫描程序，要认真检查特权端口和非特权端口。 6。 认真检查网络设备和主机/服务器系统的日志。 只要日志出现漏洞或是时间变更，那这台机器就可 能遭到了攻击。 7。 限制在防火墙外与网络文件共享。 这样会给黑客截取系统文件的机会，主机的信息暴露给黑客， 无疑是给了对方入侵的机会。 8。 路由器以Cisco路由器为例Cisco Express Forwarding(CEF)使用 unicast reverse-path访问控制列表(ACL)过滤设置SYN数据包流量速率升级版本过低的ISO为路由器建立log server能够了解DDoS攻击的原理，对我们防御的措施在加以改进，我们就可以挡住一部分的DDoS攻击，知己知彼，百战不殆嘛。