一般来讲,黑客执行下一步的网络攻击都需要非静态数据,而进攻取证是一种捕获这种非静态数据的黑客攻击技术”,计算机取证和电子搜索公司LLC伯克利分校研究小组的首席研究员Joe Sremack表示。
在进攻取证过程中,黑客捕捉内存中的非静态数据用以获取密码、加密密钥以及活跃网络会话数据,这些都可以帮助他们不受任何限制地访问宝贵数据资源。
为了说明这一点,举一个进攻取证攻击的简单例子。进攻取证攻击过成功中黑客会捕捉Windows剪贴板,这是一个不够精明的企业网络用户经常复制和粘贴安全密码的地方。黑客通常利用Flash的漏洞来展开这种类型的攻击。
“黑客往往利用浏览器中的Flash插件结合较弱的甚至错误的配置来读取浏览器的完整信息,包括内存中的密码,”Sremack说。
安全意识是击败进攻取证的第一步技巧和战术,及时的行动是第二步。
目的和手段
黑客使用进攻取证获取凭证,如用户名和密码。这些都允许他们访问敏感数据同时能够隐瞒自己的身份,以拖延攻击时被发现的时间并避免暴露自己的行踪。
“他们还想延长时间,以便于其在被发现之前有充足的时间去访问系统和目标数据,从而增加其犯罪所得,” 安全和风险管理公司Neohapsis的首席安全顾问Scott Hazdra说。
黑客寻找这种以半永久记忆的形式存在如RAM内存或交换文件中的动态/非静态数据。
“Windows临时文件、Windows或Mac的剪贴板、从一个Telnet或FTP应用程序中未加密的登录数据,和web浏览器缓存等都是非静态数据目标,”Sremack说。
一旦黑客获得暂时存储在明文中的用户ID和密码,他们就可以进入下一个等级的访问,进一步获取资源,如内部网站、文档管理系统和SharePoint站点,Sremack解释道。
“这基本上是一个黑客必须使用键盘记录器才能够检索到的信息的途径,但没有键盘记录器,”Sremack说。
这对于黑客来说极为重要,因为反病毒和反恶意软件工具可以检测并移除键盘记录。黑客们则运行其他的各种工具,比如查看剪贴板、注册表或者电脑用明文存储这些数据的任何工具。
这些工具,为黑客实时进行这些进攻时成为一件免费的福利,并且极容易接入互联网。虽然Linux上有工具,但是通常犯这种典型错误(以明文将密码储存在剪贴板)的人使在工作站的终端使用者进行攻击取证成为可能,而这些使用者通常运行Windows和Mac操作系统。
一些黑客使用特定的工具包括脚本工具作为取证的利器。
“还有大范围用于此用途的各样其他工具,包括免费的和高价的,比如FTK成像仪、RedLine、Volatility, CAINE, 和HELIX3 ”,Hazdra说。
企业响应
“进攻取证很难计数,因为攻击目标机器中的文件可能是安全的,而且传统标准也将宣布系统是安全的,但是入侵者却能够访问机器并能捕捉内存,”Sremack说。
对付进攻取证的方法包括运行能够掩藏和保护内存数据的安全功能。这些类型的应用程序包括KeePass和KeeScrambler。KeePass是一个加密的剪贴板工具,能够自动清除剪贴板历史;KeeScrambler则加密浏览历史。
“每当用户将字母键入浏览器,系统就会加密以防止黑客读取储存在内存中的数据,”Sremack解释道。目前有免费版的KeeScrambler;同样能对付键盘记录程序的还有付费版本。
最佳实践要求一个企业网络用户必须在一个特定的机器上登陆进行系统活动,这样一来,黑客就更难以消除自己的行踪。此外,企业应该使用文件系统可仅标记文件为“附录”的特性(不会删除或覆盖现有的数据),这样即使是那台特定机器的系统管理员都无权删除所写,除非机器进入离线维护模式,Lancope的首席技术官TK Keanini这样解释道。
放眼大局来看,企业必须做足充分准备,以针对进攻取证袭击作出有效的事件响应。一个企业应该从三个等级做好救援事件响应准备,Keanini说,每一个等级需要添加一个维度来补充上一个等级力所不及的。
“即使攻击者可以规避其中的一个等级,他们还是终将暴露在其他等级中,“Keanini说。
第一个等级是端点遥测。每个端点应该有一些负责操作整个设备的系统级程序。
“虽然你永远不能做到100%的准确率,然而百分之零的准确率是绝对不可接受的,”Keanini说。
第二个等级是网关和接入点遥测。在网络的入口和出口上,一些技术应该记录入站和出站连接。这将为网络互联提供检测和网络取证的依据。
第三个等级是基础设施遥测。
“所有的网络基础设施应该展示未取样的Netflow/IPFIX(流量分析 /互联网协议流信息输出),”Keanini认为,IT安全利用跟踪所有元数据水平下网络流量的工具来收集这些数据集。
“这个数据集作为网络的总帐目,能够提供给你网络中最完整的活动列表,”Keanini说。
如果一个企业用三个等级的遥测技术来武装其自身安全,几乎没有任何攻击或者攻击者可以找到藏身之处。
Keanini认为,“更重要的是,当黑客进行某种形式的数据挖掘时,在执行其他阶段的攻击时其仍然要想方设法地去掩藏自己。”
在运营阶段,企业可以发现具备这些遥测水平的攻击者,并在黑客完成进攻目标之前做出相应部署。
企业需要时刻留意进攻取证,它像其他攻击技术一样将持续发展进化。进行网络犯罪的黑客将使用一切可能的工具来完成网络进攻,即使该工具本身是良性的,网络黑客也会背离其设计者的初衷而在犯罪过程中歪曲地使用它。
首席安全官和首席信息安全官们需要不断对其IT团队和安全团队进行技术培训,来让他们知晓当前的最新威胁及破解途径。大多数IT安全团队最终还是需要最新的工具来检测进攻取证攻击的,Hazdra说。
高价值资产需要最先进的保护模式,以便安全团队能够检测威胁并防止黑客利用取证工具窃取企业数据,Hazdra认为。
“未经授权使用这些工具的情况很可能发生于大多数企业和组织网络管理的盲区。因为管理员会监控包括网络流量、文件完整性、入侵检测和未经授权的访问尝试等在内的行为,却没有适当的工具来检测系统上执行内存转储的人或者其安全团队是否在使用进攻取证工具,”Hazdra解释道。
sniffer是什么来的?
Sniffer,中文可以翻译为嗅探器,是一种威胁性极大的被动攻击工具。 使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。 当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。 将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。 黑客们常常用它来截获用户的口令。 据说某个骨干网络的路由器曾经被黑客攻人,并嗅探到大量的用户口令。 本文将详细介绍Sniffer的原理和应用。 一、Sniffer 原理 1.网络技术与设备简介 在讲述Sni计er的概念之前,首先需要讲述局域网设备的一些基本概念。 数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。 帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。 接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。 就是在这个传输和接收的过程中,嗅探器会带来安全方面的问题。 每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器(这一点与Internet地址系统比较相似)。 当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器。 在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应(换句话说,工作站A不会捕获属于工作站B的数据,而是简单地忽略这些数据)。 如果某个工作站的网络接口处于混杂模式(关于混杂模式的概念会在后面解释),那么它就可以捕获网络上所有的数据包和帧。 2.网络监听原理 Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太网卡)置为杂乱(promiscuous)模式状态的工具,一旦网卡设置为这种模式,它就能接收传输在网络上的每一个信息包。 普通的情况下,网卡只接收和自己的地址有关的信息包,即传输到本地主机的信息包。 要使Sniffer能接收并处理这种方式的信息,系统需要支持BPF,Linux下需要支持SOCKET一PACKET。 但一般情况下,网络硬件和TCP/IP堆栈不支持接收或者发送与本地计算机无关的数据包,所以,为了绕过标准的TCP/IP堆栈,网卡就必须设置为我们刚开始讲的混杂模式。 一般情况下,要激活这种方式,内核必须支持这种伪设备Bpfilter,而且需要Root权限来运行这种程序,所以sniffer需要root身份安装,如果只是以本地用户的身份进人了系统,那么不可能唤探到root的密码,因为不能运行Sniffer。 基于Sniffer这样的模式,可以分析各种信息包并描述出网络的结构和使用的机器,由于它接收任何一个在同一网段上传输的数据包,所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。 这成为黑客们常用的扩大战果的方法,用来夺取其他主机的控制权 3 Snifffer的分类 Sniffer分为软件和硬件两种,软件的Sniffer有 NetXray、Packetboy、Net monitor等,其优点是物美价廉,易于学习使用,同时也易于交流;缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的故障和运行情况。 硬件的Sniffer通常称为协议分析仪,一般都是商业性的,价格也比较贵。 实际上本文中所讲的Sniffer指的是软件。 它把包抓取下来,然后打开并查看其中的内容,可以得到密码等。 Sniffer只能抓取一个物理网段内的包,就是说,你和监听的目标中间不能有路由或其他屏蔽广播包的设备,这一点很重要。 所以,对一般拨号上网的用户来说,是不可能利用Sniffer来窃听到其他人的通信内容的。 4.网络监听的目的 当一个黑客成功地攻陷了一台主机,并拿到了root权限,而且还想利用这台主机去攻击同一网段上的其他主机时,他就会在这台主机上安装Sniffer软件,对以太网设备上传送的数据包进行侦听,从而发现感兴趣的包。 如果发现符合条件的包,就把它存到一个LOg文件中去。 通常设置的这些条件是包含字“username”或“password”的包,这样的包里面通常有黑客感兴趣的密码之类的东西。 一旦黑客截获得了某台主机的密码,他就会立刻进人这台主机。 如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。 Sniffer属于第M层次的攻击。 就是说,只有在攻击者已经进入了目标系统的情况下,才能使用Sniffer这种攻击手段,以便得到更多的信息。 Sniffer除了能得到口令或用户名外,还能得到更多的其他信息,比如一个重要的信息、在网上传送的金融信息等等。 Sniffer几乎能得到任何在以太网上传送的数据包。 Sniffer是一种比较复杂的攻击手段,一般只有黑客老手才有能力使用它,而对于一个网络新手来说,即使在一台主机上成功地编译并运行了Sniffer,一般也不会得到什么有用的信息,因为通常网络上的信息流量是相当大的,如果不加选择地接收所有的包,然后从中找到所需要的信息非常困难;而且,如果长时间进行监听,还有可能把放置Sniffer的机器的硬盘撑爆。
ARP欺骗的种类是什么
ARP攻击时的主要现象:1、网上银行、游戏及QQ账号的频繁丢失一些人为了获取非法利益,利用ARP欺骗程序在网内进行非法活动,此类程序的主要目的在于破解账号登陆时的加密解密算法,通 过截取局域网中的数据包,然后以分析数据通讯协议的方法截获用户的信息。 运行这类木马病毒,就可以获得整个局域网中上网用 户账号的详细信息并盗取。 2、网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常当局域内的某台计算机被ARP的欺骗程序非法侵入后,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包, 阻塞网络通道,造成网络设备的承载过重,导致网络的通讯质量不稳定。 3、局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常当带有ARP欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线,出现此类问题后重启计算机或禁用网卡会暂时解决问题,但掉 线情况还会发生。
木马的最大用途是什么???
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。 它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段。 最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。 而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。 所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言
发表评论