21.1 惡意代碼
- 惡意代碼對象包括廣泛的代碼形式的計算機安全威脅跺撼,威脅利用各種網(wǎng)絡歉井、操作系統(tǒng)哩至、軟件和物理安全漏洞對計算機系統(tǒng)散播惡意載荷
21.1.1 惡意代碼的來源
- 惡意代碼來自相當有經(jīng)驗的軟件開發(fā)人員以及一些腳本小子菩貌,目前大量病毒被反病毒機構(gòu)證明準許任何具有極少技術(shù)知識的人制造病毒并在互聯(lián)網(wǎng)上傳播
21.1.1 病毒
- 病毒具有兩個主要功能箭阶,傳播和破壞仇参,這都能產(chǎn)生任何針對系統(tǒng)或數(shù)據(jù)機密性诈乒、完整性和可用性的負面影響
1抓谴、 病毒傳播技術(shù)- 病毒必須包括能夠在系統(tǒng)之間進行傳播的技術(shù),4中常見的傳播技術(shù):
- 主引導記錄病毒:系統(tǒng)讀取受到感染的MBR,病毒會引導系統(tǒng)讀取并執(zhí)行在另一個地方的代碼仰泻,從而將病毒加載到內(nèi)存中集侯,并可能觸發(fā)病毒有效載荷的傳播
- 文件程序感染病毒:感染不同類型的可執(zhí)行文件棠枉,并且在操作系統(tǒng)師徒執(zhí)行這些文件時觸發(fā)辈讶,文件程序感染病毒的變種是同班病毒贱除,利用與合法操作系統(tǒng)文件類似但又稍有不同的文件名來躲避檢查
- 宏病毒:應用程序為了協(xié)助重復任務的自動執(zhí)行而實現(xiàn)某些功能
- 服務器注入病毒:通過成功破壞受信進程月幌,能夠繞過主機上運行的任何防病毒軟件的檢測
2扯躺、容易受到病毒攻擊的平臺
- 大多數(shù)計算機病毒被設計成破壞windos上運運行的活動
3录语、反病毒機制 - 使用特征型反病毒時钦无,軟件包的有效性只依賴于基礎性的病毒定義文件的有效性
- 許多反病毒人廉使用基于啟發(fā)式的機制來檢測潛在的惡意軟件感染
- 大多數(shù)現(xiàn)代反病毒軟件產(chǎn)品能夠檢測、刪除和清除系統(tǒng)上的大量不同類型的惡意代碼
- 其他的軟件包也提供了輔助反病毒功能
4鳄虱、病毒技術(shù): - 復合病毒:使用多種傳播技術(shù)師徒滲透只防御其中一種方法的系統(tǒng)
- 隱形病毒:通過對操作系統(tǒng)的實際篡改來欺騙反病毒軟件包認為所有的事情都工作正常拙已,從而將自己隱藏起來
- 多態(tài)病毒:在系統(tǒng)間傳輸時倍踪,多態(tài)病毒實際上會修改自己的代碼建车,這種病毒的傳播和破壞技術(shù)保持相同缤至,但每次感染新的系統(tǒng)時病毒的特征略有不同
- 加密病毒:使用密碼輸來躲避檢測,通過修改在磁盤上的存儲方式來躲避檢測
5嫉到、騙局 - 病毒騙局如收到攜帶病毒的電子郵件
- 病毒必須包括能夠在系統(tǒng)之間進行傳播的技術(shù),4中常見的傳播技術(shù):
21.1.3 邏輯炸彈
- 邏輯炸彈是感染系統(tǒng)并且在達到一個或多個滿足的邏輯條件前保持休眠狀態(tài)的惡意代碼
21.1.4 特邏輯木馬
- 特洛伊木馬是一種軟件程序嚼黔,表面上友善今艺,實質(zhì)上承載惡意的有效載荷虚缎,具有對網(wǎng)絡和系統(tǒng)的潛在破壞能力实牡,另一變種-勒索軟件,勒索軟件感染目標計算機题涨,然后使用加密技術(shù)來對加密存儲在系統(tǒng)上的文檔、電子表格和其他文件
21.1.5 蠕蟲
- 蠕蟲包含的破壞潛力與其他惡意代碼對象相同席函,還具有額外的手段茂附,不需要任何人干預就可以傳播自己
1乒验、Code Red蠕蟲- 系統(tǒng)管理員必須確保他們?yōu)檫B接Internet的系統(tǒng)使用了軟件供應商所發(fā)布的適當?shù)陌踩a丁
2、震網(wǎng)病毒
- 系統(tǒng)管理員必須確保他們?yōu)檫B接Internet的系統(tǒng)使用了軟件供應商所發(fā)布的適當?shù)陌踩a丁
- 高度復雜的蠕蟲使用各種高級技術(shù)來傳播,似乎從中東開始傳播
21.1.6 間諜軟件與廣告軟件
- 間諜軟件會監(jiān)控你的動作,并向暗中監(jiān)視你活動的遠程系統(tǒng)傳送重要的細節(jié)
- 廣告軟件使用多種技術(shù)在被感染的計算機上現(xiàn)時廣告
21.1.7 對策
- 針對惡意代碼的主要防護手段就是使用反病毒過濾軟件赘风,至少在三個關(guān)鍵區(qū)域考慮反病毒軟件過濾
- 客戶端系統(tǒng)
- 服務器系統(tǒng)
- 內(nèi)容過濾系統(tǒng): 對入站和出站電子郵件以及Web流量進行內(nèi)容過濾荸哟,是非常明智的
- 零日漏洞的存在肪虎,使得必須在組織中擁有強大的補丁管理城西刑枝,確保應用及時更新
21.2 密碼攻擊
- 攻擊者獲得對系統(tǒng)非法訪問的最簡單技術(shù)之一就是獲悉已授權(quán)系統(tǒng)用戶的用戶名和密碼
21.2.1 密碼猜測攻擊
- 攻擊者只師徒猜測用戶的密碼
21.2.2 字典攻擊
- 密碼攻擊者使用自動化工具運行自動的字典攻擊
21.2.3 社會工程學攻擊
- 社會工程學是攻擊者用于獲得系統(tǒng)訪問權(quán)限的最有效工具之一
21.2.4 對策
- 安全人員應該經(jīng)常提醒用戶選擇安全密碼進行保密的重要性
- 為用戶提供安全密碼所需的知識钾挟,告訴他們攻擊者在猜測密碼時所使用的技術(shù),并且為用戶提供一些有關(guān)如何建立強密碼的建議
21.3 應用程序攻擊
21.3.1 緩沖區(qū)溢出
- 緩沖區(qū)溢出漏洞存在于開發(fā)人員不正確的驗證用戶的輸入双抽,輸入太大柬泽,影響存儲在計算機內(nèi)存中的其他數(shù)據(jù)
21.3.2 檢驗時間到使用時間
- 時間型漏洞露该,當程序檢查訪問許可權(quán)限的時間大大遭遇資源請求的時間時包警,就會出現(xiàn)這種問題
21.3.3 后門
- 沒有記錄到文檔中的命令序列特铝,允許軟件開發(fā)人員繞過正常的訪問限制
21.3.4 權(quán)限提升和rookit
- 攻擊者權(quán)限提升攻擊的最常見方法之一就是通過rookit
- 系統(tǒng)管理員必須關(guān)注針對其環(huán)境所使用操作系統(tǒng)而發(fā)布的最新補丁牵素,并且始終堅持應用這些修正措施
21.4 Web應用的安全性
21.4.1 跨站腳本(XSS)攻擊
- 當web應用程序包含反射式輸入類型時,就容易出現(xiàn)跨站腳本攻擊
- 防御跨站攻擊的方法:確定許可的輸入類型,然后通過驗證實際輸入來確保其與制定模式匹配
21.4.2 SQL注入攻擊
- SQL注入使用Web程序不期望的書
1、動態(tài)Web應用程序- 如果web應用程序存在缺陷圾旨,可能導致某寫使用SQL主攻擊的用戶能以不期望和未授權(quán)的方式篡改數(shù)據(jù)庫
1莺治、 SQL注入攻擊
- 如果web應用程序存在缺陷圾旨,可能導致某寫使用SQL主攻擊的用戶能以不期望和未授權(quán)的方式篡改數(shù)據(jù)庫
- 違反隔離性床佳,直接完成攻擊內(nèi)在數(shù)據(jù)庫的SQL事務
2瘟判、 防御SQL注入- 執(zhí)行輸入驗證:輸入驗證操作能夠限制用戶在表單中輸入的數(shù)據(jù)類型
- 限制用戶特權(quán):web服務器使用的數(shù)據(jù)庫賬號應當具有盡可能最小特權(quán)集
- 使用存儲過程:利用數(shù)據(jù)庫存儲過程來限制應用程序執(zhí)行任意代碼的能力
21.5 偵查攻擊
- 偵查可以讓攻擊者找到弱點篮撑,利用他們的攻擊代碼直接攻擊
21.5.1
- IP探測:針對目標網(wǎng)絡而實施的一種網(wǎng)絡偵察類型
21.5.2
- 端口掃描:
21.5.3
- 漏洞掃描:利用已知漏洞數(shù)據(jù)庫茧妒,通過探測目標來定位安全缺陷
- 只有操作系統(tǒng)升級到最新的安全補丁級別,才有可能幾乎完全修復漏洞掃描程序中的所有漏洞
21.5.4 垃圾搜尋
- 垃圾搜尋的防護方法:
- 使攻擊者的行動變得困難
- 垃圾保存在一個安全的地方
21.6 偽裝攻擊
- 為了獲得對沒有訪問資格的資源的訪問權(quán)限,最簡單的方法就是假冒具有適當系訪問許可權(quán)限的人
21.6.1 IP欺騙
- 懷有惡意的人重新配置他們的系統(tǒng),使其具有可信系統(tǒng)的IP地址,然后視圖訪問其他外部資源的權(quán)限
- 防止IP欺騙的措施
- 具有內(nèi)部源IP的地址包不能從外部進入網(wǎng)絡
- 具有外部源IP地址的包么不能從內(nèi)部離開網(wǎng)絡
- 具有私有IP地址的包不能從任何一個方向通過路由器
21.6.2 會話劫持
- 會話劫持攻擊指的是懷有惡意的人中途攔截已授權(quán)用戶與資源之間通信數(shù)據(jù)的一部分
