网络安全黑客.pptx

网络安全,网络攻击分析,本节要点,1.认识黑客2.网络攻击的一般步骤3.APT攻击分析,1.认识黑客,黑客（英文：Hacker），通常是指对计算机科学、编程和设计方面具高度理解的人。黑客分“黑帽”和“白帽”，“白帽”从事信息安全研究，帮助企业修复漏洞，而“黑帽”则专注于安全攻击并借此获利。因此白帽描述的是正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是公布其漏洞。这样，系统将可以在被其他人(例如黑帽子)利用之前来修补漏洞。红客，维护国家利益代表中国人民意志的红客，他们热爱自己的祖国，民族，和平，极力的维护国家安全与尊严。蓝客，信仰自由，提倡爱国主义的黑客们，用自己的力量来维护网络的和平。,1.认识黑客,1.认识黑客,黑客组织（Hacker Organization）被误解的意思是计算机破坏者聚集在一起的组织，而实际是计算机爱好者，精通者聚集在一起交流的一种团体，通常被误解为专门利用电脑网络搞破坏或恶作剧的组织。世界著名黑客（破坏）组织。1.Anonymous（匿名者）2.LIZARD SQUAD。3.THE LEVEL SEVEN CREW4.Chaos Computer Club(混沌计算机俱乐部)5.LULZSEC,2.网络攻击的一般步骤,为什么隐藏攻击源在因特网上的主机都有自己的网络地址，因此攻击者首要步骤就是隐藏自己所在的网络位置，使调查者难以发现真正的攻击源.做法：1.利用被侵入的的主机作为跳板进行攻击2.使用多级代理3.伪造IP地址4.假冒用户账号,隐藏攻击源,2.网络攻击的一般步骤,攻击者搜集目标的信息，进行整理和分析后初步了解一个机构的安全态势，并能够拟出一个攻击方案。做法：1.确定攻击目标2.踩点3.扫描4.嗅探,隐藏攻击源,田氏语录：要想死的快，就连免费WIFI！,2.网络攻击的一般步骤,一般账户对目标系统只有有限的访问权限，要攻击某些目标，攻击者只有得到系统的或管理员的权限，才能控制目标主机实施进一步攻击。做法：系统口令猜测。种植木马。会话劫持等。,隐藏攻击源,2.网络攻击的一般步骤,不同的攻击者有不同的目的，无外乎氏破坏机密性、完整性和可用性等。做法：下载、修改或删除敏感信息。攻击其他被信任的主机和网络。瘫痪网络或服务。其他违法活动。,隐藏攻击源,2.网络攻击的一般步骤,一次成功的入侵要耗费攻击者的大量时间与精力，所以精于算计的攻击者在退出系统之前会在系统中安装后门，以保持对已经入侵主机的长期控制。做法：1.放宽系统许可权。2.重新开放不安全的服务。3.修改系统的配置，如系统启动文件、网络服务配置文件等。4.替换系统本身的共享库文件。5.安装各种木马，修改系统的源代码。,隐藏攻击源,2.网络攻击的一般步骤,一次成功入侵之后，通常攻击者的活动在被攻击主机上的一些日志文档中会有记载，如攻击者的IP地址、入侵的时间以及进行的操作等等，这样很容易被管理员发现。为此，攻击者往往在入侵完毕后清除登录日志等攻击痕迹。做法：清除或篡改日志文件。改变系统时间造成日志文件数据紊乱以迷惑系统管理员。利用前面介绍的代理跳板隐藏真实的攻击者和攻击路径。,隐藏攻击源,3.APT攻击分析,定义攻击者掌握先进的专业知识和有效的资源，通过多种攻击途径（如网络、物理设施和欺骗等），在特定组织的信息技术基础设施建立并转移立足点，以窃取机密信息，破坏或阻碍任务、程序或组织的关键系统，或者驻留在组织的内部网络，进行后续攻击。可以从“A”、“P”、“T”三个方面来理解APT的定义:1）A（Advanced）：技术高级。2）P（Persistent）：持续时间长。3）T（Threat）：威胁性大。,3.APT攻击分析,APT攻击产生的背景：1）APT攻击成为国家层面信息对抗的需求。2）社交网络的广泛应用为APT攻击提供了可能。3）复杂脆弱的IT环境还没有做好应对的准备，造成APT攻击事件频发。,3.APT攻击分析,APT攻击一般过程：1。信息侦查：在入侵之前，攻击者首先会使用技术和社会工程学手段对特定目标进行侦查。侦查内容主要包括两个方面，一是对目标网络用户的信息收集。二是对目标网络脆弱点的信息收集。,一般用户,特权用户,关键信息资产,1 信息侦查,1 信息侦查,3.APT攻击分析,2.持续渗透：利用目标人员的疏忽、不执行安全规范，以及利用系统应用程序、网络服务或主机的漏洞，攻击者使用定制木马等手段不断渗透以潜伏在目标系统，进一步地在避免用户觉察的条件下取得网络核心设备的控制权。,一般用户,1 信息侦查,1 信息侦查,2 持续渗透,2 持续渗透,3.APT攻击分析,3.长期潜伏：为了获取有价值信息，攻击者一般会在目标网络长期潜伏，有的达数年之久。潜伏期间，攻击者还会在已控制的主机上安装各种木马、后门，不断提高恶意软件的复杂度，以增强攻击能力并避开安全检测。,一般用户,特权用户,关键信息资产,1 信息侦查,1 信息侦查,2 持续渗透,2 持续渗透,3 长期潜伏,3 长期潜伏,3.APT攻击分析,4.窃取信息：目前绝大部分APT攻击的目的都是为了窃取目标组织的机密信息。,一般用户,特权用户,关键信息资产,1 信息侦查,1 信息侦查,2 持续渗透,2 持续渗透,3 长期潜伏,3 长期潜伏,4 窃取信息,3.APT攻击分析,APT攻击案例Google极光攻击：2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接，引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月，并且造成各种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标，它是由一个有组织的网络犯罪团体精心策划的，目的是长时间地渗入这些企业的网络并窃取数据。超级工厂病毒攻击(震网攻击)：著名的超级工厂病毒攻击为人所知主要源于2010年伊朗布什尔核电站遭到Stuxnet蠕虫的攻击的事件曝光。夜龙攻击：夜龙攻击是McAfee在2011年2月份发现并命名的针对全球主要能源公司的攻击行为。,3.APT攻击分析,APT攻击案例RSA SecurID窃取攻击：2011年3月，EMC公司下属的RSA公司遭受入侵，部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商受到攻击，重要资料被窃取。在RSA SecurID攻击事件中，攻击方没有使用大规模SQL注入，也没有使用网站挂马或钓鱼网站，而是以最原始的网路通讯方式，直接寄送电子邮件给特定人士，并附带防毒软体无法识别的恶意文件附件。暗鼠攻击：2011年8月份，McAfee/Symantec发现并报告了该攻击。该攻击在长达数年的持续攻击过程中，渗透并攻击了全球多达70个公司和组织的网络，包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司，等等,3.APT攻击分析,APT攻击与传统攻击比较：1）目标明确：一是组织目标，如针对某个特定行业或某国政府的重要基础设施；二是行动目标，例如窃取机密信息或是破坏关键系统。2）手段多样：攻击者在信息侦查阶段主要采用社会工程学方法，会花较长时间深入调查公司员工、业务流程、网络拓扑等基本信息，通过社交网络收集目标或目标好友的联系方式、行为习惯、业余爱好、计算机配置等基本信息，以及分析目标系统的漏洞；在持续渗透阶段，攻击者会开发相应的漏洞利用工具，尤其是针对0 day安全漏洞的利用工具，而针对0 day漏洞的攻击是很难防范的；在窃取信息阶段，攻击者会运用先进的隐藏和加密技术，在被控制的主机长期潜伏，并通过隐秘信道向外传输数据，从而不易被管理员和安全软件发现。,3.APT攻击分析,APT攻击与传统攻击比较：,谢谢观看,