《网络安全黑客.pptx》由会员分享,可在线阅读,更多相关《网络安全黑客.pptx(22页珍藏版)》请在课桌文档上搜索。
1、网络安全,网络攻击分析,本节要点,1.认识黑客2.网络攻击的一般步骤3.APT攻击分析,1.认识黑客,黑客(英文:Hacker),通常是指对计算机科学、编程和设计方面具高度理解的人。黑客分“黑帽”和“白帽”,“白帽”从事信息安全研究,帮助企业修复漏洞,而“黑帽”则专注于安全攻击并借此获利。因此白帽描述的是正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。这样,系统将可以在被其他人(例如黑帽子)利用之前来修补漏洞。红客,维护国家利益代表中国人民意志的红客,他们热爱自己的祖国,民族,和平,极力的维护国家安全与尊严。蓝客,信仰自由,提倡爱国主义的黑客们,用自
2、己的力量来维护网络的和平。,1.认识黑客,1.认识黑客,黑客组织(Hacker Organization)被误解的意思是计算机破坏者聚集在一起的组织,而实际是计算机爱好者,精通者聚集在一起交流的一种团体,通常被误解为专门利用电脑网络搞破坏或恶作剧的组织。世界著名黑客(破坏)组织。1.Anonymous(匿名者)2.LIZARD SQUAD。3.THE LEVEL SEVEN CREW4.Chaos Computer Club(混沌计算机俱乐部)5.LULZSEC,2.网络攻击的一般步骤,为什么隐藏攻击源在因特网上的主机都有自己的网络地址,因此攻击者首要步骤就是隐藏自己所在的网络位置,使调查者难
3、以发现真正的攻击源.做法:1.利用被侵入的的主机作为跳板进行攻击2.使用多级代理3.伪造IP地址4.假冒用户账号,隐藏攻击源,2.网络攻击的一般步骤,攻击者搜集目标的信息,进行整理和分析后初步了解一个机构的安全态势,并能够拟出一个攻击方案。做法:1.确定攻击目标2.踩点3.扫描4.嗅探,隐藏攻击源,田氏语录:要想死的快,就连免费WIFI!,2.网络攻击的一般步骤,一般账户对目标系统只有有限的访问权限,要攻击某些目标,攻击者只有得到系统的或管理员的权限,才能控制目标主机实施进一步攻击。做法:系统口令猜测。种植木马。会话劫持等。,隐藏攻击源,2.网络攻击的一般步骤,不同的攻击者有不同的目的,无外乎
4、氏破坏机密性、完整性和可用性等。做法:下载、修改或删除敏感信息。攻击其他被信任的主机和网络。瘫痪网络或服务。其他违法活动。,隐藏攻击源,2.网络攻击的一般步骤,一次成功的入侵要耗费攻击者的大量时间与精力,所以精于算计的攻击者在退出系统之前会在系统中安装后门,以保持对已经入侵主机的长期控制。做法:1.放宽系统许可权。2.重新开放不安全的服务。3.修改系统的配置,如系统启动文件、网络服务配置文件等。4.替换系统本身的共享库文件。5.安装各种木马,修改系统的源代码。,隐藏攻击源,2.网络攻击的一般步骤,一次成功入侵之后,通常攻击者的活动在被攻击主机上的一些日志文档中会有记载,如攻击者的IP地址、入侵
5、的时间以及进行的操作等等,这样很容易被管理员发现。为此,攻击者往往在入侵完毕后清除登录日志等攻击痕迹。做法:清除或篡改日志文件。改变系统时间造成日志文件数据紊乱以迷惑系统管理员。利用前面介绍的代理跳板隐藏真实的攻击者和攻击路径。,隐藏攻击源,3.APT攻击分析,定义攻击者掌握先进的专业知识和有效的资源,通过多种攻击途径(如网络、物理设施和欺骗等),在特定组织的信息技术基础设施建立并转移立足点,以窃取机密信息,破坏或阻碍任务、程序或组织的关键系统,或者驻留在组织的内部网络,进行后续攻击。可以从“A”、“P”、“T”三个方面来理解APT的定义:1)A(Advanced):技术高级。2)P(Pers
6、istent):持续时间长。3)T(Threat):威胁性大。,3.APT攻击分析,APT攻击产生的背景:1)APT攻击成为国家层面信息对抗的需求。2)社交网络的广泛应用为APT攻击提供了可能。3)复杂脆弱的IT环境还没有做好应对的准备,造成APT攻击事件频发。,3.APT攻击分析,APT攻击一般过程:1。信息侦查:在入侵之前,攻击者首先会使用技术和社会工程学手段对特定目标进行侦查。侦查内容主要包括两个方面,一是对目标网络用户的信息收集。二是对目标网络脆弱点的信息收集。,一般用户,特权用户,关键信息资产,1 信息侦查,1 信息侦查,3.APT攻击分析,2.持续渗透:利用目标人员的疏忽、不执行安
7、全规范,以及利用系统应用程序、网络服务或主机的漏洞,攻击者使用定制木马等手段不断渗透以潜伏在目标系统,进一步地在避免用户觉察的条件下取得网络核心设备的控制权。,一般用户,1 信息侦查,1 信息侦查,2 持续渗透,2 持续渗透,3.APT攻击分析,3.长期潜伏:为了获取有价值信息,攻击者一般会在目标网络长期潜伏,有的达数年之久。潜伏期间,攻击者还会在已控制的主机上安装各种木马、后门,不断提高恶意软件的复杂度,以增强攻击能力并避开安全检测。,一般用户,特权用户,关键信息资产,1 信息侦查,1 信息侦查,2 持续渗透,2 持续渗透,3 长期潜伏,3 长期潜伏,3.APT攻击分析,4.窃取信息:目前绝
8、大部分APT攻击的目的都是为了窃取目标组织的机密信息。,一般用户,特权用户,关键信息资产,1 信息侦查,1 信息侦查,2 持续渗透,2 持续渗透,3 长期潜伏,3 长期潜伏,4 窃取信息,3.APT攻击分析,APT攻击案例Google极光攻击:2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标,它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。超级工
9、厂病毒攻击(震网攻击):著名的超级工厂病毒攻击为人所知主要源于2010年伊朗布什尔核电站遭到Stuxnet蠕虫的攻击的事件曝光。夜龙攻击:夜龙攻击是McAfee在2011年2月份发现并命名的针对全球主要能源公司的攻击行为。,3.APT攻击分析,APT攻击案例RSA SecurID窃取攻击:2011年3月,EMC公司下属的RSA公司遭受入侵,部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商受到攻击,重要资料被窃取。在RSA SecurID攻击事件中,攻击方没有使用大规模SQL注入,也没有使用
10、网站挂马或钓鱼网站,而是以最原始的网路通讯方式,直接寄送电子邮件给特定人士,并附带防毒软体无法识别的恶意文件附件。暗鼠攻击:2011年8月份,McAfee/Symantec发现并报告了该攻击。该攻击在长达数年的持续攻击过程中,渗透并攻击了全球多达70个公司和组织的网络,包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司,等等,3.APT攻击分析,APT攻击与传统攻击比较:1)目标明确:一是组织目标,如针对某个特定行业或某国政府的重要基础设施;二是行动目标,例如窃取机密信息或是破坏关键系统。2)手段多样:攻击者在信息侦查阶段主要采用社会工程学方法,会花较长时间深入调查公司员工、业务流程、网络拓扑等基本信息,通过社交网络收集目标或目标好友的联系方式、行为习惯、业余爱好、计算机配置等基本信息,以及分析目标系统的漏洞;在持续渗透阶段,攻击者会开发相应的漏洞利用工具,尤其是针对0 day安全漏洞的利用工具,而针对0 day漏洞的攻击是很难防范的;在窃取信息阶段,攻击者会运用先进的隐藏和加密技术,在被控制的主机长期潜伏,并通过隐秘信道向外传输数据,从而不易被管理员和安全软件发现。,3.APT攻击分析,APT攻击与传统攻击比较:,谢谢观看,
