
网站:http://www.cyberwarface.com/博客:http://www.cyberwarface.com/index.php/2017/10/611微信:cyberwarface
Oct 29, 2017
14 min

网站:http://www.cyberwarface.com/博客:http://www.cyberwarface.com/index.php/2017/07/592音频:http://m.ximalaya.com/22885296/sound/44346516微信号:cyberwarface本期内容: 大家好,本期节目为将大家继续介绍DDOS。在DDOS系列节目第一期中,我们介绍了DDOS攻击的基本概念,并大致聊了下当今DDOS攻击的特点及主要防御手段。从当今DDoS攻击的特点来看,其攻击形式在飞速进化。它们更加难以应对,攻击手法也在经常出现一些让人意外的方式;其攻击规模与破坏能力飞快增长, DDOS的危害越来越大。未来,DDOS将何去何从呢?我们需要从历史中需求答案。 本期节目,我将沿着历史的轨迹,为大家详细介绍一下DDOS攻击的发展过程,讲述几个主要的历史事件及背后的技术原理。1、早期的DDOS攻击 大家经常会听到“黑客”、“骇客”、“红客”、“极客”、“白帽子”、“黑帽子”,这些词其实都是特指了这样一群人,他们酷爱钻研技术,具备聪明的头脑及敏锐的直觉。他们充满好奇心,而又执着坚韧,为追求事情背后的真相而不惜一切。他们洞悉系统的本质,找到了系统的缺陷与不足,具备了常人难以企及的技术能力。在这个阵营里,无论男女,不分老幼,坚信达者为先。他们是世界的破坏者,也是技术的推动者,他们可能是可怕的敌人,也可能是强大的保护神。想给这群人做个准确的定义真的很难,勉强统称他们为“黑客”,而根据其行为方式、危害程度,用不同的名字加以区分。 而早期的互联网,不想现在这样深入我们的生活。网络攻击的经济利益远远没有达到让人疯狂的地步。这个时期的“黑客”活动主要以炫耀技术为主要目的。这个时期的DDOS攻击往往没有特定的目标,攻击与被攻击的随机性很强,很有可能只是黑客为了验证某种新发明的攻击方法而随意挑选的受害者。而那时的网络又是那么的脆弱,一种新型的攻击方法,往往能引发轰动性的效果,虽然对受害者来讲往往不会造成实质性的损失,但却可以极大的满足“黑客”们的虚荣心,成为“黑客”证明自身能力的途径,也是向朋友炫耀的主要方式。1.1、1988年Morris(莫里斯)蠕虫 早在当今的互联网还没有正式诞生的ARPANET时代,造成了人类网络史上第一次DDoS攻击事件。罗伯特·莫里斯(Robert Tappan Morris)还在康乃尔大学读研究生一年级的时候,单纯的为了“想测量互联网的大小”,在当时的ARPANET网上发布了一个小程序,但代码出现了很明显的错误,导致这个程序无法独立确定系统是’干净’还是受感染。原本是针对远程计算机的一次性攻击,变成了蠕虫不断在相同的系统内自我复制,一旦开始就没办法停下来。结果造成整个网络所有6万个网络节点无一幸免,全部陷入瘫痪。这个事件,造就了人类第一个病毒,也造就了第一次大规模的DDoS攻击!1990 年,法官 Howard Munson 判处 Morris 三年监外缓刑,400 小时社区服务,以及 1 万美元的罚款。Robert Tappan Morris–互联网首个计算机蠕虫病毒的作者被保存在计算机历史博物馆的Morris蠕虫源代码1.2、1996年第一次DoS攻击 1996年9月6日下午5点半左右,纽约历史最悠久、规模最大的互联网服务提供商Panix遭受了人类史上第一次的DoS定点攻击。整个公司的邮件、新闻、WEB及域名服务同时被攻击,导致至少6000名用户无法收邮件。 攻击者采用的方法非常简单,不断向服务器发送连接请求(TCPSYN请求),速度高达每秒150次。而服务器忙于应对这些请求,从而无法回应正常的用户。这种方法被称为“SYNFlood”(SYN洪水)攻击。 要明白这种攻击的基本原理,还是要从TCP连接建立的过程开始说起: 大家都知道,TCP与UDP不同,它是基于连接的,也就是说:为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟链路,也就是TCP连接,建立TCP连接的标准过程是这样的: 首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号; 第二步,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgment)。 第三步,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。 以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。 问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYNTimeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYNFlood攻击(SYN洪水攻击)。1.4、1999年Melissa(梅丽莎)病毒David Smith(大卫·L·史密斯),Melissa病毒的作者,大量发送邮件致使微软和互联网邮件服务系统瘫痪 1999年3月,一款名为“梅丽莎”的病毒在全球爆发,是一个影响了MS Office文档的简单电邮宏病毒。它伪装成一封来自朋友或同事的“重要信息”电子邮件,一旦用户打开后,病毒会让受感染的电脑向外发送50封携毒邮件。这里你可能会问,这和DDoS攻击又有什么关系呢…? 尽管这种病毒不会删除电脑系统文件,但它引发的大量电子邮件会阻塞电子邮件服务器,使之瘫痪。这发自各个受害人的50封邮件,完全不亚于一场大规模的传染病,然后雪球越滚越大到了难以控制的地步:这一分布式攻击迅速在全球范围传播。某种程度而言,该攻击本来并没有什么特定的目标,但最终却将全球邮件系统作为了攻击目标!该宏病毒让全球邮件流量短时间内疯狂激增,也让许多公司被迫关闭了自己的邮件服务器。 1999年4月1日,在MG在线的协助下,MG政府将史密斯捉拿归案。在2002年5月1日的联邦法庭上,控辩双方均认定“梅丽莎”病毒造成的损失超过8000万美元,编制这个病毒史密斯也承认,设计电脑病毒是一个“巨大的错误”,自己的行为“不道德 ”。2002年5月7日美国联邦法院日前判决这个病毒的制造者入狱20个月和附加处罚,这是美国第一次对重要的电脑病毒制造者进行严厉惩罚。时年34岁的史密斯原本有可能在狱中待5年,但因为他帮助政府发现其它病毒制造者,从而得以从轻发落。对他的惩罚措施包括5000美元罚款、参加社区服务、禁止使用电脑和互联网等。网络安全专家认为,对史密斯的处罚向潜在的病毒制造者敲了警钟,让他们明白,在互联网网上制造散布病毒是要付出代价的。1.3、1999年第一次分布式拒绝服务(DDoS)攻击——Trinoo 真正意义上的第一次分布式拒绝服务攻击应该是在1999年8月17日,美国明尼苏达大学的一台服务器遭到攻击,造成了连续两天的服务终止。在接下来的几天中,又至少有16台主机遭到同样的攻击,其中有一些主机并不在美国境内。 Trinoo也因此成为了已知最早的DDoS攻击工具,它主要攻击Solaris2.X系统,通过远程调用服务(RPC)中存在的一个缓冲区溢出漏洞进行传播。它和之前说到的Panix攻击最大不同在于,它采用了“分布式”的攻击方式。攻击者至少采用了227台主机 ,而他们的所有者并不知道,他们的设备居然成为了黑客手中的工具。攻击的数据包都是UDP格式的,并未隐藏源地址。所以,根据这些IP地址,明尼苏达大学联系了这些主机的所有者,停止了攻击进程。但这样的方法,显然不能奏效,攻击者只需加入更多的被控制主机就可以了。 攻击者先入侵一些主机,并在其上安装扫描工具、攻击工具以及Trinoo控制程序,形成了初期的僵尸网络。在僵尸网络中,通常会将黑客发布命令的主机称作控制主机(Master),被安装受控软件的主机称为受控主机或攻击主机(Slave)。“黑客”只需通过控制主机发布命令,攻击主机即可自动发动攻击。Trinoo也成为了第一个使用控制网络进行攻击的DDoS工具。 关于僵尸网络的话题,在第四期暗云来袭的节目中已经做过详尽介绍,在这里就不再重复了。4、总结 DDOS系列节目的第二期就到这里了,本期节目为大家介绍了DDOS的早期发展,并为大家介绍了Morris蠕虫、SYN洪水攻击、Melissa病毒及Trinoo分布式拒绝服务攻击。在这个时期,攻击方式相对简单,但大大开拓了“黑客”们的思路,在2000年之后,更大规模的DDoS攻击陆续登上历史舞台,下期我将继续为大家介绍。
Jul 18, 2017
24 min

网站:http://www.cyberwarface.com/博客:http://www.cyberwarface.com/index.php/2017/07/445音频:http://m.ximalaya.com/22885296/sound/42990624微信:cyberwarface本期内容: 上一期,我为大家介绍了“必加”的主要特点及传播方式,也提到了一个“自杀开关”,虽然不能保证完全能够防住所有变种,但也不妨应急使用一下。本期将为大家介绍一下“必加”与WannaCry“想哭”的区别,以及防御手段。最后,为大家介绍一下安全专家是如何定位“必加”的。 我们先看下“必加”和WannaCry“想哭”有哪些区别3、与WannaCry“想哭”的区别 Petya更加的小巧精悍,WanaCry是一个3.4MB左右的.exe文件,而Petya为一个354KB的.dll文件。但在攻击能力上,Petya的渗透方式更多,从WanaCry渗透模块CFG结构图和Petya渗透模块CFG结构图的对比来看。WanaCry和Petya两者都采集到445端口的数据包,都用到了『永恒之蓝』漏洞进行渗透。但是Petya还具有了某些APT的横向移动属性,利用管理共享在局域网内传播,而后通过wmic来实现远程命令执行。这个比WanaCry的渗透能力要高一截。 Petya和传统的勒索软件不同,不会对电脑中的每个文件都进行加密,而是通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名,大小和位置的信息来限制对完整系统的访问,从而让电脑无法启动。这种方式和加密文件是完全不同的,如果加密文件是将书柜里的每本书加把锁的话,加密磁盘相当与将整个书柜都加了锁。而MFT、MBR则是描述这个书柜如何分配空间的,一本书的每一页都存在什么位置的,如果这个信息被加密了,文件内容还原的难度就很大了。4、手工阻断方式a、关闭主机共享端口,或通过防火墙阻断,端口为TCP 135、137、139、445等。另外3389端口也建议关闭。b、停止WMI服务: WMI(Windows Management Instrumentation,Windows 管理规范)是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本地和远程计算机,Windows 2K/XP和Windows 98 都支持WMI;如果为NT 4.0和Windows 95加上了 Service Pack 4或更高版本,NT 4.0和Win95也支持WMI。需要停止此服务,具体方法为: 在控制面板中,选择管理工具,在管理工具中点击服务,或者在开始-运行(WIN+R),输入services.msc运行,进入服务管理页。 按字母排序,找到WMI(显示名称为:WindowsManagement Instrumentation)服务,点右键进入属性页面,停止服务,并将“启动类型”改为“禁用”,如下图所示:5、防护建议 a、养成良好的安全习惯,不要点击不明邮件附件,不通过聊天软件接收不明文件,尤其是rtf、doc、lnk等格式; b、安装杀毒软件,及时更新病毒代码; c、及时更新windows系统补丁,具体修复方案可参考“永恒之蓝”。补丁及说明地址如下:MS17-010:https://technet.microsoft.com/en-us/library/security/ms17-010.aspxCVE-2017-0199:https://technet.microsoft.com/zh-cn/office/mt465751.aspx旧平台指导:https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms d、加强密码策略,不使用更改空口令和弱口令,并做到不同主机不使用相同的账号密码,及时修改密码 e、在内部网络中,先断开网络并更新补丁。6、总结 “必加”(Petya)的一种说法是东欧女性的名字,来自斯拉夫语系,另一种说法为一款前苏联的轻型护卫舰的名字。整个攻击过程也体现了明显的地缘特点,并且也发现了“自杀开关”,病毒很容易就被抑制住了。如果是一个纯粹的勒索软件,应该追求的是大规模的传播,而不应该出现这些明显不合理的特征。该勒索软件的支付和付款确认操作特别“繁琐”,用户必须手动键入一个非常长的installationkey” + “wallet”,而这十分难以完成(相对其他勒索软件来讲),破坏数据似乎才是其真正目的。其不仅仅是加密文件,而是利用社会工程学手段传播,并在加密扇区过程中,伪装成了磁盘检查过程,以保证其完成加密顺利完成。而破坏掉系统引导过程其实对勒索过程并没有实质性好处,反而可以理解为类似乌克兰停电、索尼攻击事件等类似的破坏效果。具体是何种情况还要各大完全研究机构进一步挖掘。 勒索软件在过去两年来变得非常的普遍,而且这样的态势未来还将持续。这其中有三个理由。首先,获得漏洞并利用起来将变得越来越容易。由于一些漏洞的泄露再加上有活跃的地下市场,攻击者可以购买一些攻击工具并得以利用进行攻击。第二个理由是,这样的攻击行为“投资回报率”是比较好的,因为使用勒索软件大规模发送垃圾信息是非常廉价的,而且能够尽可能多地收集到赎金。第三点是一些数字货币(例如比特币)的使用让赎金的支付变得难以追踪,这也让攻击者认为他们更加安全和受到保护。 好消息是:Petya的原作者Janus在 twitter 上称要帮助受害者解锁他们的加密文件,他可能拥有一个主解密密钥。 经过这几次对勒索病毒的介绍,相信大家已经比较熟悉了。未来很可能还会发生更多的类似事件,但防护方式却是相近的。我们只要打好补丁、关闭不必要的服务、做好数据备份,相信可以以不变应万变,任病毒肆虐,我自平安无事。
Jul 6, 2017
23 min

网站:http://www.cyberwarface.com/博客:http://www.cyberwarface.com/index.php/2017/07/445音频:http://m.ximalaya.com/22885296/sound/42902190微信:cyberwarface本期内容: 距上次的节目已经过去十多天了,最近工作实在太忙,耽误了节目更新。本以为这段时间网络安全事件应该稍微平息一段时间,但事实恰恰相反,新的勒索病毒变种再次席卷全球。这次要为大家介绍的是“必加”(Petya),最早于2016年3月首次出现,也被成为Petya.A, Petrwrap,NotPetya, exPetr, 或GoldenEye。这款病毒和之前介绍的“永恒之蓝”(WannaCry“想哭”)有很多相似之处,都利用了MS17-010漏洞,相信大家听了这期节目后都打好了补丁,应该不会收到此次病毒的影响。1、事件回顾 2017年6月27日晚间7点左右,欧洲大概是在下午的时候,一种新的勒索病毒变种悄然在全球开始爆发,这就是“必加”(Petya)。受影响最严重的国家是乌克兰,据称四分之三 (75%) 的受害者在乌克兰,包括其副总理Pavlo Rozenko、乌克兰切尔诺贝利核设施辐射监测系统、国家储蓄银行(Oschadbank)、Privatbank等银行、国家邮政(UkrPoshta)、国家电信、市政地铁、乌克兰首都基辅的鲍里斯波尔机场、电力公司(KyivEnergo)等均收到了严重影响。 乌克兰内政部部长顾问安东-格拉斯申科(Anton Gerashchenko)通过Facebook称,此次病毒入侵堪称“乌克兰史 上最大规模的病毒攻击”。他还称,黑客此次攻击目的就是“要扰乱乌克兰的经济形势和公民意识,尽管此攻击伪 装成敲诈阴谋”。 除了乌克兰,俄罗斯也是主要的受害者,俄罗斯最大的石油公司(Rosneft俄罗斯石油公司)、俄罗斯最大的钢铁公司(Evraz耶弗拉兹)也受到了较严重的影响,据该公司的声明称,由于顺利转换到“管理生产流程的备份系统”而避免了此次黑客攻击所带来的“严重后果”。 另外,澳大利亚(巧克力工厂)、新西兰、印度(最大集装箱港口)、南韩、巴西、智利、阿根廷、土耳其、以色列、白俄罗斯、立陶宛、挪威、荷兰、罗马尼亚、西班牙、法国(建筑材料公司圣戈班)、丹麦(海运公司穆勒-马士基)、德国、英国(广告巨头 wpp、吉百利)、美国(医药企业)以及欧洲多国均纷纷中招。我国已经发现了此病毒的传播情况,部分主机已经中招。但由于我国在“永恒之蓝”(WannaCry“想哭”)事件中进行了有效的应急处置,此次事件对我国影响较小。 袭击者关注并攻击公司主要是出于: 一是公司有足够的资金,而且为了修复关键的数据,能够为此支付赎金。 第二个原因是公司与公司间内部可能有成百上千台电脑都是互相连接的,如果感染了一家公司,那么所有的公司可能会被立即感染。 此次“必加”(Petya)勒索病毒攻击仍然是以加密电脑数据并勒索赎金为主要目的,受害者若想解锁需以比特币形式支付约合300美元赎金。 在这里要提醒大家,千万不要交赎金,我们要一致对抗黑客的勒索行为,不与恶势力妥协。当然,这是次要原因。主要原因是,黑客的邮箱已经被关闭,即便交了赎金肯定也收不到解密密钥了。获得解密被加密的机器的代码一般遵循以下几个步骤:以匿名的方式向“比特币钱包”支付比特币。这一步仍然奏效。第二步就是向攻击者提供的电子邮箱发送邮件,他们会提供解密代码。但是,为了阻止受害者继续以徒劳的努力恢复他们丢失的数据,德国的电子邮箱供应商hostPosteo关闭了攻击者的电子邮件帐户,[email protected]。也就是说,你仍然可以支付比特币,但是攻击者不会获得你的电子邮箱,你也就永远获得不了你所需要的代码。 这次“必加”(Petya)虽然形式上和WannaCry“想哭”有很多类似之处,但实际上还是有很大差别的。下面我简要的给各位听众介绍一下。2、传播方式 这一病毒的代码相比于“想哭”勒索病毒更加专业也更加先进。虽然这一勒索病毒用的是相同的感染方法,但是它们在网络内的“传播方法”或是说蔓延方法相比于“想哭”勒索病毒更加复杂。除了用到永恒之蓝漏洞,还利用了EternalRomance 漏洞、Mimikatz 凭证收集、 wmic (windows 管理工具命令) 和 psexec,只要网络中的一台计算机被破坏, 恶意软件就会扩散到其余的电脑。 Petya釆用(CVE-2017-0199) RTF漏洞进行钓鱼攻击,通过EternalBlue(永恒之蓝)和EternalRomance(永恒浪漫)漏洞横向传播,用户一旦感染,病毒会修改系统的MBR引导扇区。期间,还利用了法国大神BenjaminDelpy开发的minikatz工具直接从内存中抓取Windows密码,并利用此密码攻击其他主机。 首先,黑客会通过发送病毒邮件的方式,诱导用户点击里面的附件,利用rtf、lnk格式文件的漏洞。利用了OFFICE OLE2LINK(CVE-2017-0199)远程命令执行漏洞。用户只要通过WORD打开了恶意附件,就会被感染,而和其他漏洞不同的是,感染过程不需要任何交互,这使其传播隐蔽性更强。当恶意代码被执行后,会从“http://french-cooking.com/myguy.exe”下载恶意程序执行。此时,会将硬盘MBR篡改为恶意代码,此过程并未备份原有MBR,导致磁盘分区恢复困难。并利用计划任务在固定时间间隔以后强制重启计算机,进而实现最终的加密。 之后,在重启之前,它会利用微软DHCP接口枚举内网中的主机,并尝试使用SOCKET确认IP地址是否可连接。如果得到响应, 恶意软件会尝试使用带有窃取凭据的常规文件传输功能在远程计算机上复制二进制内容。然后, 尝试使用 psexec 或 wmic 工具远程执行恶意软件。 再利用 “永恒之蓝”漏洞扫描网络中开放的SMB文件共享服务(135、137、139、445等端口)进行内网的横向扩散。在此期间,会针对每个固定磁盘,创建一个加密进程,使用硬编码的AES-128加密key加密本地文件。然后, 它使用攻击者的公共 RSA-2048 密钥对 AES-128 进行加密, 并将其保存到文件中。采用两个密钥的加密方案阻止了研究人员为恶意软件创建解密工具。具体文件类型比永恒之蓝要少,具体为: 最后,通过计划任务重启,之前植入MBR的恶意程序会被执行,并破坏硬盘的前25扇区块、加密MTF,提示勒索信息。 加密过程会伪装成磁盘修复界面。 当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。当加密完成后,病毒要求受害者支付价值300美元的比特币之后,才会回复解密密钥。 实际上,在28日就已经发现了一个“自杀开关”。这一自杀开关是在计算机上运行的,它需要每一个电脑上都安装这样一个“自杀开关”。 这一开关的制造其实比较容易:就是在C:\Windows下创建一个名为 perfc (没有扩展名) 的文件,如果这一文件存在,那么加密程序实际上就不会启动。但不同版本的Petya检测的文件名是否相同就不好说了。它不会帮助修复已经加密的计算机,但是在加密程序开启前,能够避免被感染的计算机被加密。同时也能够帮助遏制病毒的蔓延。本期小节 由于时间关系,本机就为大家介绍到这里。欢迎继续关注赛博战线。
Jul 5, 2017
25 min

本期博客URL:http://www.cyberwarface.com/index.php/2017/06/330本期节目URL:http://m.ximalaya.com/22885296/sound/41504277本期内容: 在第四期的《“暗云”来袭》的节目中,我着重介绍了僵尸网络的危害,其中就讲到了DDOS(分布式拒绝服务)攻击的事情。在接下来的几期节目中,我将针对DDOS做一个系列节目,从多个方面为大家分享DDOS相关的故事以及背后的知识点。1. 618与DDOS 今年的618网购狂欢节刚刚过去,各个电商平台各个大显身手,赚了个盆满钵满。相信听众朋友们也抢到了很多宝贝。可是大家是否知道,每年的双11、618,包括各大产品的发布会都成了网络攻击的重灾区。据统计,618前一周,攻击环比就增长了340%,其中薅羊毛和DDoS占比最大,在我们疯狂抢购的同时,一场悄无声息的“DDoS攻坚战”正在进行着。 一直关注罗永浩与锤子手机的人一定记得,锤子科技2015年的最新产品坚果手机发布会,开场时间足足晚了半个多小时,发布会上老罗用的PPT也是状况百出,不是翻页混乱就是排版错误。更糟糕的是,在发布会进行的同时,用户无法登录购买。这次的发布会向众多不懂技术的消费者科普了一个互联网术语,那就是“DDoS攻击”。 从1996年拒绝服务攻击诞生以来,DDoS攻击越来越呈现出大流量、多手段、IOT化的趋势。据某安全机构发布的DDoS攻击报告指出,仅在去年,拦截的最大攻击流量接近400G,时间最长的攻击超过43天。 数据监控机构Neustar发布的2017年第一季全球DDoS攻击研究报告指出,通过对1010个组织调查发现,有84%的组织在今年一季度遭受过DDoS攻击,而其中又有85%遭受到多次攻击;而人口密度大、商业利润高、恶意竞争多发的金融、游戏、电商行业成DDoS攻击的重灾区。2. 什么是DDOS攻击 正是由于网购、网游、网络媒体、互联网金融的高速发展,各大网站对“流量”的竞争越来越激烈,如何在重大活动中保障良好的响应能力成为竞争的主要焦点。那么DDOS攻击时如何进行破坏的呢?什么是DDOS攻击呢?首先,从一个比方来深入理解什么是DDOS: 一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业,他们会采取什么手段呢?恶霸们扮作普通客户一直拥挤在对手的商铺,赖着不走,真正的购物者却无法进入;或者总是和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户;也可以为商铺的经营者提供虚假信息,商铺的上上下下忙成一团之后却发现都是一场空,最终跑了真正的大客户,损失惨重。此外恶霸们完成这些坏事有时凭单干难以完成,需要叫上很多人一起。嗯,网络安全领域中DoS和DDoS攻击就遵循着这些思路。 在信息安全的三要素——“保密性”、“完整性”和“可用性”中,DoS(Denial of Service),即拒绝服务攻击,针对的目标正是“可用性”。该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源,使得该目标系统无法提供正常的服务。 DdoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少。这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。DDoS就是利用更多的傀儡机(肉鸡)来发起进攻,以比从前更大的规模来进攻受害者3. 当今DDOS攻击的特点 近日,信息安全公司Verisign(威瑞信)发布了2017年第一季度的分布式拒绝攻击(DDos)趋势报告。此份报告介绍了该公司在2017年1月1日—2017年3月31日这一阶段观察到的DDoS攻击频率,大小和类型的变化。3.1. 不可预测和持久性 今年第一季度的DDoS攻击次数比上个季度下降了23%。但是,每次攻击的平均峰值规模却增加了近26%。此外,攻击者还对目标进行了持续和反复的攻击。事实上,Verisign发现,在本季度中,几乎50%经历过DDoS攻击的客户都遭遇过多次有针对性的攻击。并且,从2016年第一季度以来每季度的平均攻击峰值都超过了10Gbps。【图1:攻击规模及2015年Q2—2017年Q1的攻击峰值】 【图2:2015年Q2—2017年Q1的平均攻击峰值规模】3.2. 多向量DDoS攻击成常态 该报告还显示,在第一季度中,57%的DDoS攻击使用了多个攻击向量,范围从两个到五个以上不等。其中,43%的攻击者只使用一个攻击载体;25%的攻击者使用两个;17%的攻击者使用了三个;8%的攻击者使用了四个;6%的攻击者使用了五个及以上攻击向量。这意味着,攻击本质上变得更为复杂了,他们试图使用几种不同的攻击类型来占用网站资源。【图3: 2017年第一季度DDoS攻击使用的攻击向量分布】3.3. DDoS攻击类型 UDP洪水攻击在2017年第一季度中继续保持领先,占本季度总攻击的46%。最常见的UDP洪水攻击是域名系统(DNS)反射攻击,其次是网络时间协议(NTP)和简单服务发现协议(SSDP)反射攻击。 虽然基于UDP的攻击类型继续占据主导地位,但是基于TCP的攻击数量却呈增加趋势,占据总攻击的33%。TCP攻击主要由TCP SYN和不同数据包大小的TCP RST组成。【图4: DDoS攻击类型分布】3.4. 最大容量的攻击和最高强度的洪水 Verisign的报告还谈到公司在第一季度发现的最大规模DDoS攻击。这是一个峰值达到120Gbps的多向量攻击,吞吐量约为90 Mpps,其目标受到60 Gbps攻击的时间超过15个小时。 此外,攻击者非常坚持试图通过在超过两个星期的时间内,每天发送攻击流量来破坏受害者的网络。攻击主要由TCPSYN和不同数据包大小的TCP RST组成,并采用与未来IoT僵尸网络相关的攻击。该次攻击还包括UDP洪水和IP片段,增加了攻击的数量。3.5. 不同行业的DDoS攻击现状和平均攻击规模 报告指出,遭遇DDoS攻击最频繁的是IT/云/SaaS行业,占据所有恶意活动的58%,平均攻击规模为22.5Gbps;金融部门排在第二,占据28%(比上一季度增加了7%),平均攻击规模为1.7Gbps。具体分布如下所示:【图5:不同行业攻击现状】【图6:2016年Q2—2017年Q1不同行业DDoS峰值攻击规模】 大规模的DDoS攻击越来越司空见惯,虽然如今网络技术发展迅速,但是面对日益复杂多变的DDoS攻击,企业往往还是不堪一击,目前针对金融行业的DDoS攻击正呈不断上升趋势,相关行业还需提早做好准备,迎接更为严峻的挑战。4. 近期事件 从2017年6月15日起,“无敌舰队”组织向国内多家证券金融公司、互联网金融公司发起DDoS比特币勒索,现已有超过6家金融证券类企业遭受DDoS攻击勒索,且其中4家已经遭受了大规模的DDoS攻击,攻击流量从2G到20G不等,对企业网络产生了非常严重的影响。而“无敌舰队”组织声称如果企业不按邮件要求按时支付比特币,将进行持续的大规模流量攻击(该组织声称攻击流量可超过1T),并逐步提高勒索比特币数额。5. 如何防范DDOS攻击 常规的DDoS防护应急方式因其选择的技术不同,而在实现上有不同的差异性,主要分成以下三种:【图7:三种主要的抗DDoS攻击手段】5.1. 本地DDoS防护设备 通过采购抗DDOS攻击设备,串行或旁路引流的方式进行流量清洗。本地化防护设备,可以让用户监控DDoS攻击的发生情况,并可通过定制化的策略和服务为业务提供保障。通过分析攻击报文而定制的策略,可以应对多样化的、针对性的DDoS攻击类型。但当流量型攻击的攻击流量超出互联网链路带宽时,就没有办法了。这种方式一般适用于性能消耗型的DDOS攻击。5.2. 运营商清洗服务 运营商也会采购安全厂家的DDoS防护设备并部署在IDC机房、城域网等环境。通过路由方式引流,帮助用户解决带宽消耗性的拒绝服务攻击;但是运营商清洗服务多是基于Flow方式检测DDoS攻击,且策略的颗粒度较粗,因此针对低流量特征的DDoS攻击类型检测效果往往不够理想。此外部分攻击类型受限于防护算法往往会有透传的攻击报文,此时对于用户还需要借助本地DDoS防护设备,实现二级清洗。5.3. 云清洗服务 也有一些厂商提供了云清洗的服务,其主要方式是将用户的访问流量引流到其云清洗机房,清洗后再将数据发回给用户的网络。但云清洗的使用场景较窄,当使用云清洗服务做DDoS应急时,为了解决攻击者直接向站点真实IP地址发起攻击而绕过了云清洗中心的问题,通常情况下还需要企业用户配合做业务地址更换、Cname引流等操作配置,尤其是业务地址更换导致的实际变更过程可能会出现不能落地的情况。另一方面对于HTTPSFlood防御,当前云清洗服务需要用户上传HTTPS业务私钥证书,可操作性不强。此外业务流量导入到云平台,对业务数据安全性也提出了挑战。5.4. 对比 对比了三种方式的不同和适用场景,我们会发现单一解决方案不能完成所有DDoS攻击清洗,用户在实际情况下需要组合本地DDoS防护设备+运营商清洗服务或者本地DDoS防护设备+云清洗服务,实现分层清洗的效果。 针对金融行业,更推荐的组合方案是本地DDoS防护设备+运营商清洗服务。对于选择云清洗服务的用户,如果只是在DDoS攻击发生时才选择将流量导入到云清洗平台,需要做好备用业务地址的更换预配置(新业务地址不可泄露,否则一旦被攻击者获悉将会失去其意义)。6. 总结 DDOS系列节目的第一期就到这里了,本期节目为大家介绍了DDOS的现状,发展特点,也简要介绍了常见的DDOS防御措施,希望对大家有所帮助。 由于前几期经验不足,节目时间都将近40-50分钟,大家收听比较耗时间,内容太多也不容易消化。从本期节目开始,我将每期的节目时间尽量压缩在20分钟左右,每期节目尽量以一个话题、一个知识点为主。这样也方便我组织材料,节目的更新也有保障。节目初期、经验不足,希望各位听众多多评论,多提宝贵意见。
Jun 21, 2017
34 min

0x005_又见“震网”201706141.事件简介 昨日,我刚刚做完上期的《“暗云”来袭》的节目,本以为可以休息几天,再组织些“震网”病毒的内容做为下一期的选题。不料,就在今天(2017年6月14日)各大安全机构再次发布了漏洞安全通告,其中一个内容就是“震网三代”。看来,我的下一期节目只能提前了。 先说一下此次“安全通告”的情况: 本次通告主要针对Windows Search远程代码执行漏洞(cve-2017-8543)及LNK文件快捷方式代码执行漏洞(cve-2017-8464)。 微软 14 日凌晨发布的安全公告,称 CVE-2017-8464 被国家背景的网 络攻击所使用,实施攻击。 该漏洞的原理同 2010 年破坏伊朗核设施的震网行动中所使用的、用于穿透 核设施中隔离网络的 Windows 安全漏洞 CVE-2010-2568 非常相似。它可以很容易 地被黑客利用并组装成用于攻击基础设施、存放关键资料的核心隔离系统等的网 络武器。 微软在同一天发布了 Windows XP 和 Windows Server 2003 等 Windows 不继续 支持的版本的补丁,这个修改是为了避免上月发生的 WannaCry 蠕虫勒索事件的 重现。 Window XP 的补丁更新可以在微软下载中心找到,但不会自动通过 Windows 推送。1.1.Microsoft Windows Search 远程命令执行漏洞1.1.1.漏洞背景 Windows 搜索服务(Windows Search Service)漏洞是一个远程代码执行漏洞(WSS:Windows 中允许用户跨多个 Windows 服务和客户机搜索的 功能)。 Windows Search的功能是为我们电脑中的文件、电子邮件和其他内容提供内容索引、属性缓存和搜索结果。Windows Search默认是开机启动的,它会利用计算机的空闲时间来建立索引,加大对计算机硬盘的使用率。攻击者通过精心构造”搜索”的Server MessageBlock (SMB)消息来攻击windows search组件,从而实现远程命令执行,同时获取到所有管理权限。1.1.2.漏洞影响 危害级别: 严重 发现日期: 2017年6月13号1.1.3.漏洞编号 CVE-2017-85431.1.4.影响版本 ◆Microsoft Windows 10 Version 1607 for32-bit Systems ◆Microsoft Windows 10 Version 1607 forx64-based Systems ◆Microsoft Windows 10 for 32-bit Systems ◆Microsoft Windows 10 for x64-based Systems ◆Microsoft Windows 10 version 1511 for32-bit Systems ◆Microsoft Windows 10 version 1511 forx64-based Systems ◆Microsoft Windows 10 version 1703 for32-bit Systems ◆Microsoft Windows 10 version 1703 forx64-based Systems ◆Microsoft Windows 7 for 32-bit Systems SP1 ◆Microsoft Windows 7 for x64-based SystemsSP1 ◆Microsoft Windows 8.1 for 32-bit Systems ◆Microsoft Windows 8.1 for x64-based Systems ◆Microsoft Windows RT 8.1 ◆Microsoft Windows Server 2008 R2 forItanium-based Systems SP1 ◆Microsoft Windows Server 2008 R2 forx64-based Systems SP1 ◆Microsoft Windows Server 2008 for 32-bitSystems SP2 ◆Microsoft Windows Server 2008 for x64-basedSystems SP2 ◆Microsoft Windows Server 2012 ◆Microsoft Windows Server 2012 R2 ◆Microsoft Windows Server 2016 1.2.Microsoft Windows LNK 快捷方式远程命令执行漏洞1.2.1.漏洞背景 该漏洞是一个微软 Windows 系统处理 LNK 文件过程中发生的远程代码执行 漏洞。在windows中快捷方式LNK文件小巧,打开程序方便。但是也会因为漏洞造成很大影响,比如远程命令执行。攻击者可以通过(u)盘等设备包含恶意LNK文件进行传播,当存在漏洞的电脑被插上存在漏洞文件的 U 盘时,不需要任何额外操作, 漏洞攻击程序就可以借此完全控制用户的电脑系统。如果用户通过Windows资源管理器或者远程共享打开了恶意LNK文件,或者从互联网下载、拷贝文件等操作就会被感染。曾经的震网病毒又名Stuxnet病毒就是利用此类漏洞进行传播,对工控设备造成了巨大灾害,比如2010年6月攻击伊朗核设备。这个漏洞不具备提权问题,用户是什么权限获取的就是什么权限,所以把用户权限降到最低能降低危害。1.2.2.漏洞影响 危害级别:严重 发现日期:2017年6月13号1.2.3.漏洞编号 CVE-2017-84641.2.4.影响版本 ◆Microsoft Windows 10 Version 1607 for32-bit Systems ◆Microsoft Windows 10 Version 1607 forx64-based Systems ◆Microsoft Windows 10 for 32-bit Systems ◆Microsoft Windows 10 for x64-based Systems ◆Microsoft Windows 10 version 1511 for32-bit Systems ◆Microsoft Windows 10 version 1511 forx64-based Systems ◆Microsoft Windows 10 version 1703 for32-bit Systems ◆Microsoft Windows 10 version 1703 forx64-based Systems ◆Microsoft Windows 7 for 32-bit Systems SP1 ◆Microsoft Windows 7 for x64-based SystemsSP1 ◆Microsoft Windows 8.1 for 32-bit Systems ◆Microsoft Windows 8.1 for x64-based Systems ◆Microsoft Windows RT 8.1 ◆Microsoft Windows Server 2008 R2 forItanium-based Systems SP1 ◆Microsoft Windows Server 2008 R2 forx64-based Systems SP1 ◆Microsoft Windows Server 2008 for 32-bitSystems SP2 ◆Microsoft Windows Server 2008 for x64-basedSystems SP2 ◆Microsoft Windows Server 2012 ◆Microsoft Windows Server 2012 R2 ◆Microsoft Windows Server 2016 2.“震网”病毒的故事2.1.故事背景 有一本书《零日漏洞:震网病毒全揭秘》是目前关于震网病毒入侵伊朗核设施事件最为全面和权威的读物,由美国自由撰稿人Kim Zetter以在《连线》杂志期间的工作为基础,广泛采访事件相关人物,多方收集一手信息,精心梳理而成的一本非小说类著作,出版于2014年10月。2010年1月,联合国负责核查伊朗核设施的国际原子能机构(IAEA)开始注意到,纳坦兹铀浓缩工厂出现了问题。 核设施埋在沙漠之下50英尺的深处,那里有一个巨大的离心机车间。过去2年间,这里的铀浓缩离心机正常运转着,从六氟化铀中提炼高纯度铀。在过去数周,工人们大批量的拆掉离心机,并换成新的。故障比例高得令人吃惊。 在纳坦兹,离心机型号为IR-1,预期使用寿命10年。但似乎它们很脆弱、很容易损坏。即使是正常情况下,伊朗都会由于原料不达标、维护问题和工人操作错误等原因,每年更换10%的离心机。2009年11月,纳坦兹大概有8700台离心机,也就是说正常情况下一年替换800台。但IAEA的官员发现,在2009年12月到2010年1月期间,离心机的替换率高得不正常。 IAEA核查人员大约每2个月去一次,有时提前通知,有时临时行动。每次工人们都会把坏的离心机换下来,堆放在一个房间里,等待检查。核查人员用手持伽马射线探测仪对其检查,看是否有放射性物质溢出,然后再批准其报废,把每次报废数量记录下来、报给维也纳总部。 IAEA在每一间离心机堆放库外面都设立了摄像头,监督技术人员和工人的一举一动。每次核查人员去了之后,要看摄像头有没有被人动过,并检查视频录像,看纳坦兹的人有没有偷做手脚。几周后,总部负责详查视频的人发现,报废的离心机数量严重超出正常水平。 IAEA官方并未公布报废离心机的具体数量。但新闻报道中引述一名欧洲外交人士的说法是900至1000台。2010年10月退休的前IAEA官员、监察部门副主管海诺宁说,“凭我的经验推测,大约有2000台。” 不管具体数量是多少,很明显,设备的确出问题了。可是,伊朗人无需向IAEA解释到底发生了什么,IAEA检察人员也无权过问。监察部门的任务是检查铀浓缩工厂的铀,而不是跟踪坏了多少设备。 检察人员并不知道,问题的答案就在他们眼皮底下,在工业控制室的计算机中。几个月前,2009年6月,有人在其中悄悄地释放了一个破坏性的数字弹头,随后这个弹头一步一步攻入纳坦兹的核心系统,带着明确的目标——破坏伊朗铀浓缩项目、阻止伊朗总统内贾德制造核武器。 答案就在那里,但核查人员用了一年的时间才明白。而这还是在一大群计算机安全专家耗时几个月、对病毒进行解构的基础上才达成的。这段程序是如此特殊,以至于它创造了历史——它是世界上第一个数字武器。它的到来,宣告了数字战争时代的开启。2.2.发现过程 在2010年6月白俄罗斯一家小型反病毒公司VirusBlockAda反病毒部门负责人舍基·乌尔森,系统地梳理近期在伊朗计算机上发现的恶意文件,发现了它。它绝非一种温和而有趣的普通病毒,而是一部如恶魔般可怕又冷静的顶级作品。 Stuxnet蠕虫(俗称“震网”、“双子”、“超级病毒”、“超级工厂病毒”)是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。互联网安全专家对此表示担心。 作为世界上首个网络“超级破坏性武器”,Stuxnet的计算机病毒已经感染了全球超过 45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。计算机安防专家认为,该病毒是有史以来最高端的“蠕虫”病毒。蠕虫是一种典型的计算机病毒,它能自我复制,并将副本通过网络传输,任何一台个人电脑只要和染毒电脑相连,就会被感染。 “震网”病毒利用了微软Windows操作系统的4个漏洞,其中有3个全新的零日漏洞;伪造驱动程序的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其开展破坏性攻击。 虽然每年有超过1200万种恶意代码出现,但“零日漏洞”大概只有10来个。因此,“零日漏洞”利用程序(zero-day exploits),是黑客世界中最牛的东西。因为它利用的漏洞是软件开发者和反病毒公司尚未发现的——这意味着根本没有补丁。 通常意义上的犯罪性黑客会利用这些漏洞盗取银行和信用卡信息来获取非法收入。而“震网”病毒不像一些恶意软件那样可以赚钱,它需要花钱研制。这次的攻击者使用的正是这种价值很高的“零日漏洞”利用程序和高超的攻击技术。伊朗设备上的这些病毒在漏洞利用(exploit)技术和后门(rootkit)运用技术方面的表现,是空前的。简直不能再牛了。安全专家在对软件进行反编译后发现,它不可能是黑客所为,应该是一个“受国家资助的高级团队研发的结晶”,因此专家们相信“震网”病毒出自情报部门之手。美国《纽约时报》也称,美国和以色列情报机构合作制造出“震网”病毒。2.3.带来的影响 赛门铁克(Symantec)和微软(Microsoft)公司的研究,近60%的感染发生在伊朗,其次为印尼(约20%)和印度(约10%), 阿塞拜疆、美国与巴基斯坦等地亦有小量个案。由于“震网”感染的重灾区集中在伊朗境内。美国和以色列因此被怀疑是“震网”的发明人。 这种新病毒采取了多种先进技术,因此具有极强的隐身和破坏力。只要电脑操作员将被病毒感染的U盘插入USB接口,这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得一些工业用电脑系统的控制权。 利用漏洞通过U盘传播病毒,不像通过互联网上的网站和邮件传播那样普遍,但也非闻所未闻。库普瑞和乌尔森之前所见过的所有U盘传播病毒,都是利用了Windows系统的自动运行功能,这样当U盘插入计算机时,U盘上的恶意代码就会立刻执行。但这个家伙更加聪明。 在Windows系统中,.lnk文件负责渲染U盘或其他移动存储介质中的文件图标。当我们插入U盘时,资源管理器或类似工具就会自动扫描其中的.lnk文件,来显示各种格式的文件,如音乐文件、Word文档、其他程序等。在这个病毒中,攻击者精心设计了一个漏洞利用程序,并将其插入其中.lnk文件中。当Windows扫描时,它能执行这个漏洞利用程序,秘密地将U盘上的恶意文件“货物”运送到计算机上,就像军用运输机将伪装的伞兵投放到敌方领土上一样。 与传统的电脑病毒相比,“震网”病毒不会通过窃取个人隐私信息牟利。由于它的打击对象是全球各地的重要目标,是全球首个投入实战舞台的“网络武器”。他可以破坏世界各国的化工、发电和电力传输企业所使用的核心生产控制电脑软件,并且代替其对工厂其他电脑“发号施令”。极具毒性和破坏力。 “震网”代码非常精密、复杂,采取了多种先进技术,具有极强的隐身性。主要有两个功能,一是使伊朗的离心机运行失控,二是掩盖发生故障的情况,“谎报军情”,以“正常运转”记录回传给管理部门,造成决策的误判。在2011年2月的攻击中,伊朗纳坦兹铀浓缩基地至少有1/5的离心机因感染该病毒而被迫关闭。 “震网”定向明确,具有精确制导的“网络导弹”能力。它是专门针对工业控制系统编写的恶意病毒,能够利用Windows系统和西门子SIMATICWinCC系统的多个漏洞进行攻击,“震网”病毒打击的西门子公司的SIMATICWinCC监控与数据采集 (SCADA)系统一般都是独立于网络而自成体系运行,也即“离线”操作的。但只要操作员将被病毒感染的U盘插入该系统USB接口,这种病毒就会在神不知鬼不觉的情况下 (不会有任何其他操作要求或者提示出现)取得该系统的控制权。它不再以刺探情报为己任,而是能根据指令,定向破坏伊朗离心机等要害目标。2.4.详细传播过程 时间关系震网病毒的具体工作原理就不展开讲了,大家可以看我整理的文字内容。 样本典型行为分析:2.4.1.运行环境 Stuxnet蠕虫在以下操作系统中可以激活运行: ◆Windows 2000、Windows Server 2000 ◆Windows XP、Windows Server 2003 ◆Windows Vista ◆Windows 7、Windows Server 2008 当它发现自己运行在非Windows NT系列操作系统中,即刻退出。 被攻击的软件系统包括: ◆SIMATIC WinCC 7.0 ◆SIMATIC WinCC 6.2 但不排除其他版本存在这一问题的可能。2.4.2.本地行为 样本被激活后,典型的运行流程如图1 所示。 样本首先判断当前操作系统类型,如果是Windows 9X/ME,就直接退出。 接下来加载一个主要的DLL模块,后续的行为都将在这个DLL中进行。为了躲避查杀,样本并不将DLL模块释放为磁盘文件然后加载,而是直接拷贝到内存中,然后模拟DLL的加载过程。 具体而言,样本先申请足够的内存空间,然后Hookntdll.dll导出的6个系统函数: ◆ZwMapViewOfSection ◆ZwCreateSection ◆ZwOpenFile ◆ZwClose ◆ZwQueryAttributesFile ◆ZwQuerySection 为此,样本先修改ntdll.dll文件内存映像中PE头的保护属性,然后将偏移0x40处的无用数据改写为跳转代码,用以实现hook。 进而,样本就可以使用ZwCreateSection在内存空间中创建一个新的PE节,并将要加载的DLL模块拷贝到其中,最后使用LoadLibraryW来获取模块句柄。 图1 样本的典型运行流程 此后,样本跳转到被加载的DLL中执行,衍生下列文件: %System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF 其中有两个驱动程序mrxcls.sys和mrxnet.sys,分别被注册成名为MRXCLS和MRXNET的系统服务,实现开机自启动。这两个驱动程序都使用了Rootkit技术,并有数字签名。 mrxcls.sys负责查找主机中安装的WinCC系统,并进行攻击。具体地说,它监控系统进程的镜像加载操作,将存储在%Windir%\inf\oem7A.PNF中的一个模块注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三个进程中,后两者是WinCC系统运行时的进程。 mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件(图2 )。 图2驱动程序隐藏某些lnk文件 图3 样本的多种传播方式2.4.3.传播方式 Stuxnet蠕虫的攻击目标是SIMATIC WinCC软件。后者主要用于工业控制系统的数据采集与监控,一般部署在专用的内部局域网中,并与外部互联网实行物理上的隔离。为了实现攻击,Stuxnet蠕虫采取多种手段进行渗透和传播,如图3所示。 整体的传播思路是:首先感染外部主机;然后感染U盘,利用快捷方式文件解析漏洞,传播到内部网络;在内网中,通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞,实现联网主机之间的传播;最后抵达安装了WinCC软件的主机,展开攻击。2.4.3.1.快捷方式文件解析漏洞(MS10-046) 这个漏洞利用Windows在解析快捷方式文件(例如.lnk文件)时的系统机制缺陷,使系统加载攻击者指定的DLL文件,从而触发攻击行为。具体而言,Windows在显示快捷方式文件时,会根据文件中的信息寻找它所需的图标资源,并将其作为文件的图标展现给用户。如果图标资源在一个DLL文件中,系统就会加载这个DLL文件。攻击者可以构造这样一个快捷方式文件,使系统加载指定的DLL文件,从而执行其中的恶意代码。快捷方式文件的显示是系统自动执行,无需用户交互,因此漏洞的利用效果很好。 Stuxnet蠕虫搜索计算机中的可移动存储设备(图4)。一旦发现,就将快捷方式文件和DLL文件拷贝到其中(图5)。如果用户将这个设备再插入到内部网络中的计算机上使用,就会触发漏洞,从而实现所谓的“摆渡”攻击,即利用移动存储设备对物理隔离网络的渗入。 图4 查找U盘 拷贝到U盘的DLL文件有两个:~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列导出函数: FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 实现对U盘中lnk文件和DLL文件的隐藏。因此,Stuxnet一共使用了两种措施(内核态驱动程序、用户态Hook API)来实现对U盘文件的隐藏,使攻击过程很难被用户发觉,也能一定程度上躲避杀毒软件的扫描。 图5 拷贝文件到U盘2.4.3.2.RPC远程执行漏洞(MS08-067)与提升权限漏洞 这是2008年爆发的最严重的一个微软操作系统漏洞,具有利用简单、波及范围广、危害程度高等特点。 图6 发动RPC攻击 具体而言,存在此漏洞的系统收到精心构造的RPC请求时,可能允许远程执行代码。在Windows 2000、Windows XP和Windows Server 2003系统中,利用这一漏洞,攻击者可以通过恶意构造的网络包直接发起攻击,无需通过认证地运行任意代码,并且获取完整的权限。因此该漏洞常被蠕虫用于大规模的传播和攻击。 Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播(图6)。利用这一漏洞时,如果权限不够导致失败,还会使用一个尚未公开的漏洞来提升自身权限(图1),然后再次尝试攻击。截止本报告发布,微软尚未给出该提权漏洞的解决方案。2.4.3.3.打印机后台程序服务漏洞(MS10-061) 这是一个零日漏洞,首先发现于Stuxnet蠕虫中。 Windows打印后台程序没有合理地设置用户权限。攻击者可以通过提交精心构造的打印请求,将文件发送到暴露了打印后台程序接口的主机的%System32%目录中。成功利用这个漏洞可以以系统权限执行任意代码,从而实现传播和攻击。 图7 利用打印服务漏洞 Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。如图7所示,它向目标主机发送两个文件:winsta.exe、sysnullevnt.mof。后者是微软的一种托管对象格式(MOF)文件,在一些特定事件驱动下,它将驱使winsta.exe被执行。2.4.3.4.内核模式驱动程序(MS10-073)2.4.3.5.任务计划程序漏洞(MS10-092)2.4.4.攻击行为 Stuxnet蠕虫查询两个注册表键来判断主机中是否安装WinCC系统(图8): HKLM\SOFTWARE\SIEMENS\WinCC\Setup HKLM\SOFTWARE\SIEMENS\STEP7 图8 查询注册表,判断是否安装WinCC 一旦发现WinCC系统,就利用其中的两个漏洞展开攻击: 一是WinCC系统中存在一个硬编码漏洞,保存了访问数据库的默认账户名和密码,Stuxnet利用这一漏洞尝试访问该系统的SQL数据库(图9)。 二是在WinCC需要使用的Step7工程中,在打开工程文件时,存在DLL加载策略上的缺陷,从而导致一种类似于“DLL预加载攻击”的利用方式。最终,Stuxnet通过替换Step7软件中的s7otbxdx.dll,实现对一些查询、读取函数的Hook。 图9 查询WinCC的数据库2.4.5.样本文件的衍生关系 本节综合介绍样本在上述复制、传播、攻击过程中,各文件的衍生关系。 如图10所示。样本的来源有多种可能。 对原始样本、通过RPC漏洞或打印服务漏洞传播的样本,都是exe文件,它在自己的.stud节中隐形加载模块,名为“kernel32.dll.aslr..dll”。 对U盘传播的样本,当系统显示快捷方式文件时触发漏洞,加载~wtr4141.tmp文件,后者加载一个名为“shell32.dll.aslr..dll”的模块,这个模块将另一个文件~wtr4132.tmp加载为“kernel32.dll.aslr..dll”。 图10 样本文件衍生的关系 模块“kernel32.dll.aslr..dll”将启动后续的大部分操作,它导出了22个函数来完成恶意代码的主要功能;在其资源节中,包含了一些要衍生的文件,它们以加密的形式被保存。 其中,第16号导出函数用于衍生本地文件,包括资源编号201的mrxcls.sys和编号242的mrxnet.sys两个驱动程序,以及4个.pnf文件。 第17号导出函数用于攻击WinCC系统的第二个漏洞,它释放一个s7otbxdx.dll,而将WinCC系统中的同名文件修改为s7otbxsx.dll,并对这个文件的导出函数进行一次封装,从而实现Hook。 第19号导出函数负责利用快捷方式解析漏洞进行传播。它释放多个lnk文件和两个扩展名为tmp的文件。 第22号导出函数负责利用RPC漏洞和打印服务漏洞进行传播。它释放的文件中,资源编号221的文件用于RPC攻击、编号222的文件用于打印服务攻击、编号250的文件用于提权。3.震网二代 在2011年,一种基于Stuxnet代码的新型的蠕虫Duqu又出现在欧洲,号称“震网二代”。 Duqu主要收集工业控制系统的情报数据和资产信息,为攻击者提供下一步攻击的必要信息。攻击者通过僵尸网络对其内置的RAT进行远程控制,并且采用私有协议与CC端进行通讯,传出的数据被包装成jpg文件和加密文件。4.如何防范“震网III”4.1.Microsoft Windows Search 远程命令执行漏洞 补丁地址 https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms 手工修复 https://portal.msrc.microsoft.com/en-us/security-guidance 其它建议 手工关闭windows search 服务。 系统中所有运行的及没有运行的系统服务都显示在“服务”窗口了,找到我们需要的“WindowsSearch”服务项。并禁用它。4.2.Microsoft Windows LNK 快捷方式远程命令执行漏洞 补丁地址 https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms 手工修复 https://portal.msrc.microsoft.com/en-us/security-guidance 其它建议 做好系统移动设备的安全防护工作,确认安全文件才进行打开操作。
Jun 14, 2017
42 min

昨日(2017-06-12)国家互联网应急中心发布了《关于“暗云”木马程序有关情况通报》。可访问:http://d.cert.org.cn检测你所在IP是否感染过此木马。1. 先说说“暗云”是什么: a) “暗云Ⅲ”是一款木马程序,近期正在互联网上大量传播。根据CNCERT监测发现,我国境内已有大量用户感染,对我国互联网安全构成一定的威胁。 b) “暗云”系列木马程序通过一系列复杂技术潜伏于用户电脑中,具有隐蔽性较高、软硬件全面兼容、传播性较强、难以清除等特点,且最新的变种“暗云Ⅲ”木马程序可在每次用户开机时从云端服务器下载并更新起功能模块,可灵活变换攻击行为。 c) 另外分析发现,“暗云”系列木马程序已具备了流量牟利、发动分布式拒绝服务攻击(以下简称“DDoS攻击”)等能力,具有互联网黑产盈利特性。2. 什么是僵尸网络 僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。3. 僵尸网络的一般传播过程 僵尸网络的工作过程包括传播、加入和控制三个阶段。 一个僵尸网络首先需要的是具有一定规模的被控计算机,而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的,在这个传播过程中有如下几种手段: (1)主动攻击漏洞。其原理是通过攻击系统所存在的漏洞获得访问权,并在Shellcode 执行bot程序注入代码,将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击,获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合,从而使bot程序能够进行自动传播,著名的bot样本AgoBot,就是实现了将bot程序的自动传播。 (2)邮件病毒。bot程序还会通过发送大量的邮件病毒传播自身,通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接,并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接,或是通过利用邮件客户端的漏洞自动执行,从而使得接收者主机被感染成为僵尸主机。 (3)即时通信软件。利用即时通信软件向好友列表中的好友发送执行僵尸程序的链接,并通过社会工程学技巧诱骗其点击,从而进行感染,如2005年年初爆发的MSN性感鸡(Worm.MSNLoveme)采用的就是这种方式。 (4)恶意网站脚本。攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本,当访问者访问这些网站时就会执行恶意脚本,使得bot程序下载到主机上,并被自动执行。 (5)特洛伊木马。伪装成有用的软件,在网站、FTP服务器、P2P 网络中提供,诱骗用户下载并执行。4. 僵尸网络带来的带来危害 僵尸网络构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。下面是已经发现的利用僵尸网络发动的攻击行为。随着将来出现各种新的攻击类型,僵尸网络还可能被用来发起新的未知攻击。a)拒绝服务攻击 使用僵尸网络发动DDos攻击是当前最主要的威胁之一,攻击者可以向自己控制的所有僵尸主机发送指令,让它们在特定的时间同时开始连续访问特定的网络目标,从而达到DDos的目的。由于僵尸网络可以形成庞大规模,而且利用其进行DDos攻击可以做到更好地同步,所以在发布控制指令时,能够使得DDos的危害更大,防范更难。b)发送垃圾邮件 一些僵尸主机会设立sockv4、v5 代理,这样就可以利用僵尸网络发送大量的垃圾邮件,而且发送者可以很好地隐藏自身的IP信息。c)窃取秘密 僵尸网络的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密,例如个人帐号、机密数据等。同时bot程序能够使用sniffer(嗅探工具)观测感兴趣的网络数据,从而获得网络流量中的秘密。d)滥用资源 攻击者利用僵尸网络从事各种需要耗费网络资源的活动,从而使用户的网络性能受到影响,甚至带来经济损失。例如:种植广告软件,点击指定的网站;利用僵尸主机的资源存储大型数据和违法数据等,利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。 可以看出,僵尸网络无论是对整个网络还是对用户自身,都造成了比较严重的危害,我们要采取有效的方法减少僵尸网络的危害。e)僵尸网络挖矿 网络安全商fortiguard labs的网络安全研究报告指出,虚拟货币的僵尸挖矿ZeroAccess已经成为全球网络当下主要威胁。ZeroAccess的主要攻击手段是click fraud和virtual mining,通过控制大量僵尸主机进行挖矿活动,近期由于比特币等虚拟货币的价值飙升,ZeroAccess的获利可能出乎想象。5. “暗云Ⅲ”木马程序感染情况 a)于2015年爆发的第一代“暗云”木马就“来势汹汹”,用户感染后即使重装、格式化硬盘也无法清除;并且此病毒还兼容X86、X64两种版本的XP、Win7等操作系统,影响范围十分广泛,曾有数以百万的计算机遭受感染。 b)自2015年初被捕获后,在过去两年间里该木马不断更新迭代,持续对抗杀毒软件的查杀,变种接连而至。今年4月再次发现了暗云系列木马。但这次它发生了较大改变,在隐蔽性、兼容性以及对抗安全软件的能力上相比“暗云Ⅱ”均进一步提升,被命名为“暗云Ⅲ”。 c)CNCERT持续对“暗云Ⅲ”木马程序进行监测,截止6月12日,累计发现全球感染该木马程序的主机超过162万台,其中我国境内主机占比高达99.9%,广东、河南、山东等省感染主机数量较多。同时,CNCERT对木马程序控制端IP地址进行分析发现,“暗云Ⅲ”木马程序控制端IP地址10个,控制端IP地址均位于境外,且单个IP地址控制境内主机数量规模均超过60万台。 d)根据监测结果可知,目前“暗云Ⅲ”木马程序控制的主机已经组成了一个超大规模的跨境僵尸网络,黑客不仅可以窃取我国百万计网民的个人隐私信息,而且一旦利用该僵尸网络发起DDoS攻击将对我国互联网稳定运行造成严重影响。6. 防范措施建议 根据“暗云”木马程序的传播特性,CNCERT建议用户近期采取积极的安全防范措施: 1、不要选择安装捆绑在下载器中的软件,不要运行来源不明或被安全软件报警的程序,不要下载运行游戏外挂、私服登录器等软件; 2、定期在不同的存储介质上备份信息系统业务和个人数据。 3、下载安全腾讯、360、安天等厂商发布的腾讯电脑管家、360系统急救箱、安天智甲等工具进行“暗云”木马程序检测和查杀;
Jun 13, 2017
37 min

网站:http://www.cyberwarface.com/博客: http://www.cyberwarface.com/index.php/2017/06/387音频: http://m.ximalaya.com/22885296/sound/40736611微信号:cyberwarface本期内容: 今天,与大家分享一下《网络安全法》的话题。
Jun 13, 2017
33 min

2017年5月12日,互联网爆发 WannaCry 蠕虫病毒,造成多个国家和地区计算机系统受到感染和勒索,重要文件被加密。我国部分高校、公安系统、机场系统受到攻击,造成较大的数据损失。该病毒的爆发,反映出美国国家安全局(NSA)和美军网络部队在网络安全领域的强大技术实力,为我国军用和民用网络安全再次敲响警钟,值得关注。
Jun 5, 2017
41 min

博客:http://www.cyberwarface.com/index.php/2017/06/347音频:http://m.ximalaya.com/22885296/sound/39508354本期内容: 1、节目名称:《赛博战线-网络安全专业频道》 2、节目方向:“关注网络空间安全” 3、有声节目:http://m.ximalaya.com/22885296/album/8404182 4、Podcast RSS:http://www.ximalaya.com/album/8404182.xml 5、博客网址:www.cyberwarface.com 6、节目宗旨及主要内容: 普及网络安全知识 分享网络安全话题 介绍行业发展动态
Jun 1, 2017
3 min