我們大致從八個(gè)方面闡述���,分別是:應(yīng)急響應(yīng)的整體思路�、應(yīng)急響應(yīng)的基本流程�、應(yīng)急工具集簡介、系統(tǒng)日志及日志分析�����、威脅情報(bào)的作用���、常見病毒及分類�����、理解漏洞和補(bǔ)丁����、技能提升建議�����。
一�、應(yīng)急響應(yīng)的整體思路
應(yīng)急響應(yīng)的整體思路�����,就是上層有指導(dǎo)性原則和思想����,下層有技能���、知識(shí)點(diǎn)與工具�,共同推進(jìn)和保障應(yīng)急響應(yīng)流程的全生命周期���。
原則和指導(dǎo)性思路
3W1H原則:3W即Who�����、What、Why�����,1H即How���,做應(yīng)急響應(yīng)要帶著疑問來做事�����,一定要收集清楚這些信息�����。網(wǎng)絡(luò)拓?fù)涫窃趺礃拥�����?需求是啥��?發(fā)生了什么事���?你能做什么���?用戶用了什么產(chǎn)品?產(chǎn)品版本多少�?病毒庫版本多少?多少主機(jī)中了��?主機(jī)是普通PC還是服務(wù)器�����?服務(wù)器是做什么的?……信息收集越多��,對(duì)應(yīng)急響應(yīng)越有利��。
易失性原則:做應(yīng)急響應(yīng)免不了要做信息收集和取證的��,但這里是有一定的先后順序的���,即最容易丟失的據(jù)���,應(yīng)該最先收集,其它的依次類推����。
要素原則:做應(yīng)急響應(yīng),主要是抓關(guān)鍵證據(jù)�,即要素,這些要素包括樣本�、流量����、日志、進(jìn)程及模塊���、內(nèi)存�����、啟動(dòng)項(xiàng)���。
避害原則:做應(yīng)急響應(yīng)���,要做到趨利避害,不能問題還沒有解決��,反而引入了新的問題��。譬如���,自己使用的工具被感染而不知情���;給用戶使用不恰當(dāng)?shù)墓ぞ呋蜍浖斐煽蛻糁鳈C(jī)出現(xiàn)問題;給別人發(fā)樣本���,不加密��,不壓縮�����,導(dǎo)致別人誤點(diǎn)中毒�,最極端的場景就是給別人發(fā)勒索樣本不加密壓縮,導(dǎo)致別人誤點(diǎn)中毒��。
技能�����、知識(shí)點(diǎn)與工具
應(yīng)急工具集:應(yīng)急響應(yīng)必要的一套工具集合�����,可協(xié)助應(yīng)急人員做分析��,提高效率���。
日志分析:能對(duì)日志進(jìn)行分析��,包括但不限于系統(tǒng)日志(Windows/Linux等)�、應(yīng)用日志�����、安全設(shè)備日志(防火墻��、防病毒���、態(tài)勢(shì)感知等)����。
威脅情報(bào):安全事件可能不是孤立的����,安全站點(diǎn)或搜索站點(diǎn)能找到安全事件的關(guān)聯(lián)信息。
漏洞補(bǔ)丁知識(shí):知道漏洞與補(bǔ)丁的關(guān)系��,它們?cè)趹?yīng)急響應(yīng)中的角色�����,了解常見漏洞及補(bǔ)丁����。
常見病毒及分類:知道病毒大致的分類以及常見的病毒。
樣本分析:至少能對(duì)樣本進(jìn)行一次簡單動(dòng)態(tài)的分析�。
操作系統(tǒng)知識(shí):至少對(duì)Windows系統(tǒng)和Linux系統(tǒng)的有一定的知識(shí)儲(chǔ)備,知道其基礎(chǔ)的工作原理。
二�、應(yīng)急響應(yīng)的基本流程
應(yīng)急響應(yīng)大致可以分為五個(gè)部分,其基本流程包括收集信息����、判斷類型、深入分析����、清理處置、產(chǎn)出報(bào)告���。
收集信息:收集客戶信息和中毒主機(jī)信息��,包括樣本���。
判斷類型:判斷是否是安全事件,何種安全事件���,勒索����、挖礦�����、斷網(wǎng)、DoS等等�����。
深入分析:日志分析�、進(jìn)程分析����、啟動(dòng)項(xiàng)分析、樣本分析�����。
清理處置:直接殺掉進(jìn)程�,刪除文件,打補(bǔ)丁�,抑或是修復(fù)文件。
產(chǎn)出報(bào)告:整理并輸出完整的安全事件報(bào)告���。
勒索和挖礦事件���,可以占比50%以上�,而且這兩種安全事件業(yè)務(wù)特征極其鮮明��,因此可以單獨(dú)提流程出來處置��。
信息收集表
客戶名稱什么區(qū)域的什么客戶 感染主機(jī)數(shù) 感染了多數(shù)臺(tái)主機(jī) 補(bǔ)丁情況 打了哪些補(bǔ)丁�,是否存在補(bǔ)丁漏打 中毒現(xiàn)象 勒索/挖礦/DoS/僵尸網(wǎng)絡(luò)/后門/木馬 帳號(hào)密碼 確認(rèn)是否有弱密碼 對(duì)外開發(fā)端口 對(duì)外開發(fā)了哪些端口 開啟的服務(wù) 開啟了哪些服務(wù) 操作系統(tǒng)版本 操作系統(tǒng)版本信息 客戶需求 確認(rèn)客戶具體需求
取證要素:取證并非毫無頭緒的,病毒本身必然有網(wǎng)絡(luò)行為����,內(nèi)存必然有其二進(jìn)制代碼,它要么是單獨(dú)的進(jìn)程模塊�,要么是進(jìn)程的dll/so模塊,通常�,為了保活��,它極可能還有自己的啟動(dòng)項(xiàng)���、網(wǎng)絡(luò)心跳包�。
總之����,可以歸結(jié)為如下4點(diǎn)要素:流量、內(nèi)存��、模塊、啟動(dòng)項(xiàng)���。
流量分析可以使用Wireshark���,主要分析下當(dāng)前主機(jī)訪問了哪些域名、URL�、服務(wù)����,或者有哪些外網(wǎng)IP在訪問本地主機(jī)的哪些端口、服務(wù)和目錄��,又使用了何種協(xié)議等等��。
例如�,使用Wireshark觀察到,主機(jī)訪問了sjb555.3322.org這種動(dòng)態(tài)域名�,即可粗略猜測這是一個(gè)C&C服務(wù)器(如何判斷一個(gè)域名是可疑域名,可以參考后文)�����。
有時(shí)候����,可以根據(jù)網(wǎng)絡(luò)協(xié)議來直接過濾分析流量��。譬如��,目前IRC協(xié)議已經(jīng)很少被使用了���,但利用IRC建立僵尸網(wǎng)絡(luò)通道的現(xiàn)象仍比較普遍。使用Wireshark����,直接在過濾條件里輸入“irc”,回車看是否有相關(guān)流量����。
如下圖,剛好看到有相關(guān)的IRC協(xié)議流量���,這便是可疑的�。
Wireshark執(zhí)行下“Follow TCP Stream”操作��,查看到當(dāng)前Botnet主機(jī)正在加入一個(gè)IRC頻道����。另外���,也可以從目的IP下手,可查到這是一個(gè)惡意IRC僵尸網(wǎng)絡(luò)服務(wù)器�����。
網(wǎng)絡(luò)流量這塊��,如果具體到對(duì)應(yīng)建立的連接�,也可使用TCPView工具進(jìn)行查看。如下����,我們使用TCPView查到了2條連接:
chenyu-57068a53.localdomain.2671-> 170.178.191.191:6667
chenyu-57068a53.localdomain.2674-> amsterdam.nl.eu.undernet.org.6667
當(dāng)我們分析病毒進(jìn)程遇到困難的時(shí)候���,其內(nèi)存便是我們查找問題的最后一道防線��。
以某Linux服務(wù)器應(yīng)急事件為例子���,如下圖,我們找到三個(gè)病毒進(jìn)程[ksoftirqd/7]的父子關(guān)系��,可以看到�,11275拉起了11276和11277�,但11275是1號(hào)進(jìn)程拉起來的���,即init是其父進(jìn)程��。
這意味著�,實(shí)際的父進(jìn)程(原始病毒文件)在當(dāng)前狀態(tài)下是追查不到的了����。
進(jìn)程樹已經(jīng)追蹤不到父進(jìn)程了,能下手的地方不多���。如反匯編[ksoftirqd/7]對(duì)應(yīng)的病毒文件����,則對(duì)于一次應(yīng)急響應(yīng)事件來說�����,時(shí)間是倉促的(不夠)���。但簡單這樣想�����,即不管病毒文件做了何種混淆���、何種加殼���,在最終運(yùn)行于內(nèi)存之上的代碼上,終歸是原始代碼���,至少堆棧就有不少信息����。
Linux環(huán)境下dump內(nèi)存����,可以使用系統(tǒng)自帶的gdb�����,鍵入命令 gdb attach 11275��,attach到病毒進(jìn)程11275����,在gdb環(huán)境下�����,使用dump binary memory file start_addr end_addr將11275有效內(nèi)存空間dump下來���。
譬如:file為輸出文件,可以指定為 11275.dump�,start_addr是起始地址,end_addr是終止地址���,例 dump binary memory /tmp/11275.dump 0x13838000 0x13839000 (這里僅僅只是舉例���,實(shí)際地址在gdb中獲取)
對(duì)于內(nèi)存文件11275.dump�����,采用命令 strings -n8 11275.dump�����,獲取長度8及以上的字符串內(nèi)容���,我們發(fā)現(xiàn)有如下一行:
/etc/security/ntps.conf
這是在病毒運(yùn)行內(nèi)存里面發(fā)現(xiàn)的��,要么是病毒配置文件�,要么是原始病毒文件。
我們 cd /etc/security 并使用 ls -al查看內(nèi)容如下:
可以看到��,ntps.conf并非一個(gè)配置文件���,它是可執(zhí)行的(使用file命令可以知道這是個(gè)ELF可執(zhí)行文件)��,文件修改時(shí)間應(yīng)該是偽造的����。
三����、應(yīng)急工具集簡介
工欲善其事,必先利其器����,所謂巧婦難為無米之炊�����,其實(shí)應(yīng)急響應(yīng)亦是如此。應(yīng)急響應(yīng)和安全研究人員��,必須事先就備好完整一套的工具集��,隨時(shí)可以取用�。
應(yīng)急工具類型
流量分析工具:常用的流量分析工具是Wireshark、TCPView��,也可以使用科來網(wǎng)絡(luò)分析工具����,Linux下對(duì)tcpdump比較熟悉的,也可以使用tcpdump�。
進(jìn)程分析工具:能對(duì)進(jìn)程相關(guān)聯(lián)信息進(jìn)行分析的工具,主要是ProcessHacker和PC Hunter等����。
啟動(dòng)項(xiàng)分析工具:主要是AutoRuns工具,便于定位病毒啟動(dòng)項(xiàng)����。
專殺工具:有些流行病毒家族,通常對(duì)殺軟有抑制性�����,或者本身有感染性,需要專殺工具去查殺和修復(fù)正常文件��。
輔助工具:WinHex�、文件Hash工具、Everything搜索工具�、Unlocker文件解鎖工具等。
內(nèi)存掃描工具:主要是MemScanner�����。
四�、系統(tǒng)日志及日志分析
日志類型
Windows系統(tǒng)日志:Windows系統(tǒng)自帶的審計(jì)日志、操作日志�����、故障日志����。
Linux系統(tǒng)日志:Linux系統(tǒng)自帶的審計(jì)日志、操作日志�、故障日志。
應(yīng)用日志:包括但不限于Web應(yīng)用等眾多繁雜的日志����。
Windows系統(tǒng)日志
日志路徑:C:WindowsSystem32winevtLogs
必看日志:Security.evtx、System.evtx�、Application.evtx
Linux系統(tǒng)日志
日志路徑:/var/log
必看日志:secure、history
多數(shù)日志都是可讀易懂的�,譬如很容易就能看出來,下面這個(gè)日志記錄了ssh爆破過程�。
五、威脅情報(bào)的作用
在安全事件中���,威脅情報(bào)有時(shí)候會(huì)給我們提供大量有用的信息���,甚至直接推動(dòng)了安全事件的快速響應(yīng)。
威脅情報(bào)的元素���,包括但不限于域名��、URL�、IP�、文件Hash、文件路徑��、文件名�、數(shù)字簽名、備案信息��、排名信息。
威脅情報(bào)的獲取源
谷歌:www.google.com
百度:www.baidu.com
Virustotal:www.virustotal.com
微步在線:x.threatbook.cn
騰訊哈勃:habo.qq.com
Virscan:virusscan.jotti.org
Freebuf:www.freebuf.com
Jotti:virusscan.jotti.org
Scandir:www.scandir.com
Alexa排名:www.alexa.com
備案查詢:beian.cndns.com
深信服安全中心:sec.sangfor.com.cn
深信服威脅分析平臺(tái):wiki.sec.sangfor.com.cn
深信服EDR安全軟件中心:edr.sangfor.com.cn
威脅情報(bào)中�,域名扮演著極為基礎(chǔ)和關(guān)鍵的角色,URL也是以域名為基礎(chǔ)的���。這里列舉若干類域名�,是屬于黑客常用(偏愛)的域名���,取證過程中需要重點(diǎn)關(guān)注這類域名的信息�����。
隨機(jī)域名(DGA):
內(nèi)網(wǎng)IP利用特定的隨機(jī)算法生成域名(DGA)����,同時(shí)黑客會(huì)利用該隨機(jī)算法注冊(cè)域名�����,這樣就可以避免因?yàn)殚L期與某個(gè)域名或者IP通信而被封堵���。
例如�����,內(nèi)網(wǎng)某個(gè)源IP短時(shí)間內(nèi)大量解析了如下域名(日志截圖)
觀察這些域名�,可以發(fā)現(xiàn),這些域名的“字符特征”看上去就是隨機(jī)的���。域名的發(fā)明(DNS)就是為了人類方便記憶而誕生的,所以����,我們往往會(huì)去注冊(cè)一些容易記憶且讀起來朗朗上口的域名,顯然例子中的域名就不具備這一特征��。DGA這種反其道而行之的行為顯然不是人訪問網(wǎng)站發(fā)出來的�,必然是病毒利用某種算法來實(shí)現(xiàn)的。
動(dòng)態(tài)域名:
動(dòng)態(tài)域名是子域名開放給其他人使用����,并且子域名綁定的IP是可以動(dòng)態(tài)獲取的,大多數(shù)是免費(fèi)的�,因此常被黑客所使用,如 abc.3322.org (3322.org就是動(dòng)態(tài)域名提供者����,子域名abc.3322.org可以被別人所使用)。
常見的動(dòng)態(tài)域名提供商:
'f3322.net','3322.org','7766.org','8866.org','9966.org','8800.org','2288.org','6600.org', 'f3322.org', 'ddns.net','xicp.net', 'vicp.net','wicp.net','oicp.net','xicp.net','vicp.cc','eicp.net','uicp.cn','51vip.biz','xicp.cn','uicp.net','vicp.hk','5166.info','coyo.eu','imblog.in','imzone.in','imshop.in','imbbs.in','imwork.net','iego.cn','vicp.co','iego.net','1366.co','1866.co','3utilities.com','bounceme.net','ddnsking.com','gotdns.ch','hopto.org','myftp.biz','myftp.org','myvnc.com','no-ip.biz','no-ip.info','no-ip.org','noip.me','redirectme.net','servebeer.com','serveblog.net','servecounterstrike.com','serveftp.com','servegame.com','servehalflife.com','servehttp.com','serveminecraft.net','servemp3.com','servepics.com','servequake.com','sytes.net','webhop.me','zapto.org','dynamic-dns.net','epac.to','longmusic.com','compress.to','wikaba.com','zzux.com','dumb1.com','1dumb.com','onedumb.com','wha.la','youdontcare.com','yourtrap.com','2waky.com','sexidude.com','mefound.com','organiccrap.com','toythieves.com','justdied.com','jungleheart.com','mrbasic.com','mrbonus.com','x24hr.com','dns04.com','dns05.com','zyns.com','my03.com','fartit.com','itemdb.com','instanthq.com','xxuz.com','jkub.com','itsaol.com','faqserv.com','jetos.com','qpoe.com','qhigh.com','vizvaz.com','mrface.com','isasecret.com','mrslove.com','otzo.com','sellclassics.com','americanunfinished.com','serveusers.com','serveuser.com','freetcp.com','ddns.info','ns01.info','ns02.info','myftp.info','mydad.info','mymom.info','mypicture.info','myz.info','squirly.info','toh.info','xxxy.info','freewww.info','freeddns.com','myddns.com','dynamicdns.biz','ns01.biz','ns02.biz','xxxy.biz','sexxxy.biz','freewww.biz','www1.biz','dhcp.biz','edns.biz','ftp1.biz','mywww.biz','gr8domain.biz','gr8name.biz','ftpserver.biz','wwwhost.biz','moneyhome.biz','port25.biz','esmtp.biz','sixth.biz','ninth.biz','got-game.org','bigmoney.biz','dns2.us','dns1.us','ns02.us','ns01.us','almostmy.com','ocry.com','ourhobby.com','pcanywhere.net','ygto.com','ddns.ms','ddns.us','gettrials.com','4mydomain.com','25u.com','4dq.com','4pu.com','3-a.net','dsmtp.com','mynumber.org','ns1.name','ns2.name','ns3.name','changeip.name','ddns.name','rebatesrule.net','ezua.com','sendsmtp.com','trickip.net','trickip.org','dnsrd.com','lflinkup.com','lflinkup.net','lflinkup.org','lflink.com','dns-dns.com','proxydns.com','myftp.name','dyndns.pro','changeip.net','mysecondarydns.com','changeip.org','dns-stuff.com','dynssl.com','mylftv.com','mynetav.net','mynetav.org','ikwb.com','acmetoy.com','ddns.mobi','dnset.com','authorizeddns.net','authorizeddns.org','authorizeddns.us','cleansite.biz'���。
f3322.net�、3322.org、7766.org等等這些就是動(dòng)態(tài)域名提供商�����。
sjb555.3322.org就是一個(gè)動(dòng)態(tài)域名�����,在VirusTotal上被標(biāo)記為惡意的�。
這類域名常常是病毒的溫床,不管是國家互聯(lián)網(wǎng)應(yīng)急中心���,還是中國反網(wǎng)絡(luò)病毒聯(lián)盟�,都是重點(diǎn)觀察對(duì)象�。企業(yè)級(jí)用戶很少會(huì)主動(dòng)去使用動(dòng)態(tài)域名。
近期域名:
域名都是有創(chuàng)建時(shí)間(注冊(cè)時(shí)間)的��,Alexa全球排名百萬之內(nèi)的域名�����,都是很早之前就注冊(cè)了的,從幾年到十幾��、二十幾年不等����。黑客攻擊要逃避防火墻的封堵,極可能在實(shí)施的時(shí)候����,再去注冊(cè)一個(gè)域名���。注冊(cè)一個(gè)字母長度大于7的域名��,費(fèi)用并不高�,甚至可以低至 8元/年(還有些是免費(fèi)的)�����。黑客之所以傾向這么做���,是因?yàn)榕f域名���,很可能已經(jīng)被安全機(jī)構(gòu)列入黑名單中(也就是說,已經(jīng)被封堵了)。
試想����,企業(yè)級(jí)用戶,無緣無故為什么要去訪問一個(gè)剛剛注冊(cè)的域名呢�����?
例如��,防火墻產(chǎn)生日志如下�����,觀察到����,日志產(chǎn)生時(shí)間為 2016年1月27日,訪問的站點(diǎn)為 cazwmwez.info�����。
接下來�����,我們來查查該域名的注冊(cè)時(shí)間。
方式:通過VirusTotal查詢即可���。在Whois lookup這一欄��,如圖���,觀察Creation Date即注冊(cè)時(shí)間為 2016年1月12日,RegistryExpiry Date即過期時(shí)間 為 1年之后�����。很明顯�,這個(gè)是一個(gè)剛剛注冊(cè)且很短命的域名(此域名來源于某一真實(shí)中毒客戶�����,當(dāng)時(shí)介入取證調(diào)查時(shí)間點(diǎn)為2016年2月初���,也就是說不到1個(gè)月)�����,域名的所有者并沒有打算長期維護(hù)����。此外,域名的所有者也不是客戶的(詢問客戶得知)�����。
暗網(wǎng)代理域名:
暗網(wǎng)��,也叫Tor網(wǎng)絡(luò)�����,此網(wǎng)絡(luò)的訪問��、傳輸流量是不可追蹤溯源的���,因此是黑色產(chǎn)業(yè)鏈的溫床���。要訪問暗網(wǎng),要么病毒自己實(shí)現(xiàn)Tor客戶端�����,要么通過Tor代理來訪問Tor網(wǎng)絡(luò)���,而通過Tor代理訪問的流量是未加密的����,其直接使用Tor代理訪問Tor站點(diǎn)服務(wù)器。
因此����,暗網(wǎng)代理域名是可以被檢測到的。
例如訪問https://abbujjh5vqtq77wg.onion.link/由于二級(jí)域名onion.link屬于Tor代理域名�,所以認(rèn)定此次訪問行為是Tor網(wǎng)絡(luò)訪問行為,且為非法訪問可能性極高�。
頂級(jí)域名:
不是所有的頂級(jí)域名都需要特別關(guān)注,要從客戶業(yè)務(wù)出發(fā)�����,去反推客戶主機(jī)為何要訪問相關(guān)的頂級(jí)域名����。也就是說�����,這里面有一批頂級(jí)域名����,實(shí)際客戶業(yè)務(wù)是不需要去訪問的���,那么剩下的就只有黑客行為了。下表給出的����,就是這樣一批頂級(jí)域名(包括但不限于以下頂級(jí)域名):
頂級(jí)域名申請(qǐng)地區(qū)或機(jī)構(gòu)為何重點(diǎn)關(guān)注 .ru 俄羅斯 俄羅斯盛產(chǎn)黑客 .ws 東薩摩亞 不知名國家,易申請(qǐng)�����,難追蹤注冊(cè)者 .cc 科科斯群島 不知名國家�,易申請(qǐng),難追蹤注冊(cè)者 .pw 帕勞 不知名國家����,易申請(qǐng),難追蹤注冊(cè)者 .bz 伯利茲 不知名國家����,易申請(qǐng),難追蹤注冊(cè)者 .su 蘇聯(lián) 前蘇聯(lián)雖然解體了��,頂級(jí)域名還在使用�����,且多與黑產(chǎn)有關(guān) .bw 伯茲瓦納 不知名國家,易申請(qǐng)�,難追蹤注冊(cè)者 .gw 幾內(nèi)亞比紹 不知名國家,易申請(qǐng)����,難追蹤注冊(cè)者 .ms 蒙塞拉特島 不知名國家,易申請(qǐng)�����,難追蹤注冊(cè)者 .mz 莫桑比克 不知名國家���,易申請(qǐng)����,難追蹤注冊(cè)者
這里舉個(gè)例子���,我們?cè)谀撑_(tái)告警主機(jī)上�,使用Wireshark抓網(wǎng)絡(luò)網(wǎng)絡(luò)�,直接過濾DNS協(xié)議如下:
可以看到����,此主機(jī)解析了大量.pw站點(diǎn)的域名����,如koqqveoukgjc.pw�,.pw是帕勞國家頂級(jí)域名,此國家是一個(gè)非常小的島國�,跟中國大陸都沒有建交,國內(nèi)企業(yè)有需要訪問他們站點(diǎn)的可能性低到零(或者有業(yè)務(wù)在帕勞的可能性)�����。
六����、常見病毒及分類
勒索病毒:能對(duì)用戶文件進(jìn)行加密的病毒。
挖礦病毒:消耗用戶CPU�、GPU資源,進(jìn)行大量運(yùn)算����,獲取加密貨幣的病毒。
蠕蟲:自動(dòng)復(fù)制自身的副本到其它主機(jī)的病毒�����。
木馬:隱蔽性強(qiáng),多用于監(jiān)控用戶行為或盜取用戶數(shù)據(jù)的病毒���。
感染型病毒:能將自身惡意代碼插入正常文件的病毒����。
腳本病毒:使用腳本編寫的病毒�。
宏病毒:宏是微軟公司為其Office軟件包設(shè)計(jì)的一個(gè)特殊功能��,由于其功能強(qiáng)大����,使得黑客可以通過精心構(gòu)造的宏代碼來實(shí)現(xiàn)惡意操作,這些代碼就叫做宏病毒����。宏病毒常以垃圾郵件的方式對(duì)用戶進(jìn)行攻擊,因?yàn)閭卧斓腛ffice文檔不容易引起用戶的懷疑�����,所以當(dāng)用戶毫無防備的打開Office文檔并啟用宏之后����,宏病毒便開始了運(yùn)行,對(duì)用戶主機(jī)進(jìn)行惡意操作��。
僵尸網(wǎng)絡(luò)病毒:能形成大型的一對(duì)多�,多對(duì)多控制的遠(yuǎn)程控制病毒。
后門:在主機(jī)上開放端口允許遠(yuǎn)程非授權(quán)訪問����。
以感染型病毒為例,需要知道并了解其原理:
正常PE文件的執(zhí)行流程入下:
[1] 從PE頭中提取入口點(diǎn)地址EP����。
[2] 定位到EP處的PE代碼。
[3] 開始執(zhí)行PE代碼���。
被感染的PE文件的執(zhí)行流程入下���,其中多了惡意代碼環(huán)節(jié):
[1] 從PE頭中提取入口點(diǎn)地址EP。
[2] 通過篡改EP或覆蓋原始入口點(diǎn)代碼的方式��,使EP指向惡意代碼��。
[3] 執(zhí)行惡意代碼���。
[4] 惡意代碼執(zhí)行完后�����,跳回到原PE代碼處執(zhí)行�。
雖然感染的總體思路都是讓宿主文件先執(zhí)行惡意代碼,執(zhí)行完后再跳回到原始代碼�,但每種病毒家族實(shí)現(xiàn)的方式卻不盡相同。我總結(jié)為四類���,復(fù)雜度由低到高依次為:偏移式��、覆蓋式��、加密式����、混淆式��。
專業(yè)術(shù)語:入口點(diǎn)EP(Entry Point)�,原始入口點(diǎn)OEP(Original Entry Point)。
偏移式是最多感染型病毒使用的感染方式�,病毒會(huì)將惡意代碼注入到宿主文件的一個(gè)空閑位置,然后修改PE頭中的EP地址����,使其指向惡意代碼起始處���。被感染文件運(yùn)行后就會(huì)先執(zhí)行惡意代碼,惡意代碼執(zhí)行完成后�����,會(huì)獲取OEP的偏移(每個(gè)病毒家族的OEP偏移值藏在不同的地方)�����,然后將執(zhí)行流跳回到OEP處���,執(zhí)行宿主文件原始代碼。
七�����、理解漏洞和補(bǔ)丁
漏洞和補(bǔ)丁���,在應(yīng)急響應(yīng)中是不可或缺��。如果黑客是通過某種漏洞入侵系統(tǒng)的����,而在應(yīng)急響應(yīng)中,無法找出黑客所利用的漏洞����,就會(huì)意味著,入侵行為可以反復(fù)發(fā)生�����。在終端側(cè)��,就會(huì)表現(xiàn)為病毒清理不干凈���,殺了又來�,所以一定要找出漏洞�。
找到漏洞后,就需要打上相應(yīng)的補(bǔ)丁����,這樣才是一次完整的處置。
怎么查看系統(tǒng)補(bǔ)丁情況����?以Windows為例���,直接打開cmd,輸入命令systeminfo即可獲取��。
漏洞是什么:漏洞是指一個(gè)系統(tǒng)存在的弱點(diǎn)或缺陷����。
怎么來的:系統(tǒng)設(shè)計(jì)時(shí)的缺陷或編碼時(shí)產(chǎn)生的錯(cuò)誤。
有什么后果:黑客的侵入及病毒的駐留�����,數(shù)據(jù)丟失和篡改���、隱私泄露,系統(tǒng)被控制并作為入侵其他主機(jī)系統(tǒng)的跳板�����,等等�。
解決方法:打補(bǔ)丁。
八�����、技能提升建議
多關(guān)注安全信息:多關(guān)注安全公司發(fā)布的一些安全信息,多關(guān)注�����,多學(xué)習(xí)�。
多研讀安全書籍:多研讀安全書籍,推薦《惡意代碼分析實(shí)戰(zhàn)》等�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
