禁用Scripting Host 防范網頁的黑手
[ 2007-03-25 03:36:09 | 作者: sun ]
來自網絡的攻擊手段越來越多了,一些惡意網頁會利用軟件或系統操作平臺等的安全漏洞,通過執行嵌入在網頁HTML超文本標記語言內的Java Applet小應用程序、javaScript腳本語言程序、ActiveX軟件部件交互技術支持可自動執行的代碼程序,
強行修改用戶操作系統的注冊表及系統實用配置程序,從而達到非法控制系統資源、破壞數據、格式化硬盤、感染木馬程序的目的。
目前來自網頁黑手的攻擊分為兩種:一種是通過編輯的腳本程序修改IE瀏覽器;另外一種是直接破壞Windows系統。前者一般會修改IE瀏覽器的標題欄、默認主頁等,關于此方面的文章比較多。下面就來介紹一些針對破壞Windows系統的網頁黑手的防范方法。
黑手之一 格式化硬盤
這是一種非常危險的網頁黑手,它會通過IE執行ActiveX部件并調用Format.com或Deltree.exe將硬盤格式化或者刪除文件夾。在感染此類破壞程序后,會出現一個信息提示框,提示:“當前的頁面含有不完全的ActiveX,可能會對你造成危害,是否執行?yes,no”,如果單擊“是”,那么硬盤就會被迅速格式化,而這一切都是在后臺運行的,不易被察覺。
防范的方法是:將本機的Format.com或Deltree.exe命令改名字。另外,對于莫名出現的提示問題,不要輕易回答“是”。可以按下[Ctrl+Alt+Del]組合鍵在彈出的“關閉程序”窗口中,將不能確認的進程中止執行。
黑手之二 耗盡系統資源
這種網頁黑手會執行一段Java Script代碼并產生一個死循環,以至不斷消耗本機系統資源,最后導致系統死機。它們會出現在一些惡意網站或者郵件的附件中,只要打開附件程序后,屏幕上就會出現無數個IE窗口,最后只有重新啟動計算機。
防范的方法是:不要輕易進入不了解的網站,也不要隨便打開陌生人發來的E-mail中的附件,比如擴展名是VBS、HTML、HTM、DOC、EXE的文件。
黑手之三 非法讀取文件
此類黑手會通過對ActiveX、JavaScript和WebBrowser control的調用來達到對本地文件進行讀取。它還可以利用瀏覽器漏洞實現對本地文件的讀取,避免此類攻擊可以關閉禁用瀏覽器的JavaScript功能。
黑手之四 獲取控制權限
此類黑手會利用IE執行Actives時候發生,雖然說IE提供對于“下載已簽名的ActiveX控件”進行提示的功能,但是惡意攻擊代碼會繞過IE,在無需提示的情況下下載和執行ActiveX控件程序,而這時惡意攻擊者就會取得對系統的控制權限。如果要屏蔽此類黑手,可以打開注冊表編輯器,然后展開如下分支:
解決方法是在注冊表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下為Active Setup controls創建一個基于CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新鍵值下創建一個REG_DWORD 類型的鍵Compatibility,并設定鍵值為0x00000400即可。
對于來自網上的種種攻擊,在提高防范意識的同時,還需做好預防工作。
1.設定安全級別
鑒于很多攻擊是通過包含有惡意腳本實現攻擊,可以提高IE的級別。在IE中執行“工具/Internet選項”命令,然后選擇“安全”選項卡,選擇“Internet”后單擊[自定義級別]按鈕,在“安全設置”對話框中,將“ActiveX控件和插件”、“腳本”中的相關選項全部選擇“禁用”,另外設定安全級別為“高”。需要注意的是,如果選擇了“禁用”,一些需要使用ActiveX和腳本的網站可能無法正常顯示。
2.過濾指定網頁
對于一些包含有惡意代碼的網頁,可以將其屏蔽,執行“工具/Internet選項”命令,選擇內容選項卡,在“分級審查”中單擊[啟用]按鈕,打開“分級審查”對話框,選擇“許可站點”選項卡,輸入需要屏蔽網址,然后單擊[從不]按鈕,再單擊[確定]按鈕。 3.卸載或升級WSH
有些利用VBScript編制的病毒、蠕蟲病毒,比如 “I LOVE YOU”和“Newlove”,它們都包含了一個以 VBS為后綴名的附件,打開附件后,用戶就會被感染。這些病毒會利用Windows內嵌的 Windows Scripting Host 即WSH進行啟動和運行。也就是說,如果將WSH禁用,隱藏在VB腳本中的病毒就無法被激活了。
在Windows 98中禁用WSH,打開“添加/刪除”程序,選擇“Windows 設置/附件”,并單擊“詳細資料”,取消“Windows Scripting Host”選項,完成后單擊[確定]按鈕即可。
在Windows 2000中禁用WSH的方法是,雙擊“我的電腦”圖標,然后執行“工具/文件夾選項”命令,選擇“文件類型”選項卡,找到“VBS VBScript Script File”選項,并單擊[刪除]按鈕,最后單擊[確定]即可。
另外,還可以升級WSH 5.6,IE瀏覽器可以被惡意腳本修改,就是因為IE 5.5以前版本中的WSH允許攻擊者利用JavaScript中的Getobject函數以及htmlfilr ActiveX對象讀取瀏覽者的注冊表,可以在http://www.microsoft.com/下載最新版本的WSH。
4.禁用遠程注冊表服務
在Windows 2000/XP中,可以點擊“控制面板/管理工具/服務”,用鼠標右鍵單擊“Remote Registry”,然后在彈出的快捷方式中選擇“屬性”命令,在“常規”選項卡中單擊[停止]按鈕,這樣可以攔截部分惡意腳本代碼。
5.安裝防火墻和殺毒軟件
安裝防火墻和殺毒軟件可以攔截部分惡意代碼程序,比如可以安裝瑞星殺毒軟件。
種植木馬的方法及防范策略
[ 2007-03-25 03:35:57 | 作者: sun ]
相信很多朋友都聽說過木馬程序,總覺得它很神秘、很高難,但事實上隨著木馬軟件的智能化,很多駭客都能輕松達到攻擊的目的。今天,筆者就以最新的一款木馬程序——黑洞2004,從種植、使用、隱藏、防范四個方面來為網絡愛好者介紹一下木馬的特性。需要提醒大家的是,在使用木馬程序的時候,請先關閉系統中的病毒防火墻,因為殺毒軟件會把木馬作為病毒的一種進行查殺。
操作步驟:
一、種植木馬
現在網絡上流行的木馬基本上都采用的是C/S 結構(客戶端/服務端)。你要使用木馬控制對方的電腦,首先需要在對方的的電腦中種植并運行服務端程序,然后運行本地電腦中的客戶端程序對對方電腦進行連接進而控制對方電腦。
為了避免不熟悉木馬的用戶誤運行服務端,現在流行的木馬都沒有提供單獨的服務端程序,而是通過用戶自己設置來生成服務端,黑洞2004也是這樣。首先運行黑洞2004,點擊“功能/生成服務端”命令,彈出“服務端配置”界面。由于黑洞2004采用了反彈技術(請參加小知識),首先單擊旁邊的“查看”按鈕,在彈出的窗口中設置新的域名,輸入你事先申請空間的域名和密碼,單擊“域名注冊”,在下面的窗口中會反映出注冊的情況。域名注冊成功以后,返回“服務端配置”界面,填入剛剛申請的域名,以及“上線顯示名稱”、“注冊表啟動名稱”等項目。為了迷惑他人,可以點“更改服務端圖標”按鈕為服務端選擇一個圖標。所有的設置都完成后,點擊“生成EXE型服務端”就生成了一個服務端。在生成服務端的同時,軟件會自動使用UPX為服務端進行壓縮,對服務端起到隱藏保護的作用。
服務端生成以后,下一步要做的是將服務端植入別人的電腦?常見的方法有,通過系統或者軟件的漏洞入侵別人的電腦把木馬的服務端植入其的電腦;或者通過Email夾帶,把服務端作為附件寄給對方;以及把服務端進行偽裝后放到自己的共享文件夾,通過P2P軟件(比如PP點點通、百寶等),讓網友在毫無防范中下載并運行服務端程序。
由于本文主要面對普通的網絡愛好者,所以就使用較為簡單的Email夾帶,為大家進行講解。我們使用大家經常會看到的Flash動畫為例,建立一個文件夾命名為“好看的動畫”,在該文件夾里邊再建立文件夾“動畫.files”,將木馬服務端軟件放到該文件夾中假設名稱為“abc.exe”,再在該文件夾內建立flash文件,在flash文件的第1幀輸入文字“您的播放插件不全,單擊下邊的按鈕,再單擊打開按鈕安裝插件”,新建一個按鈕組件,將其拖到舞臺中,打開動作面板,在里邊輸入“on (press) { getURL("動畫.files/abc.exe"); }”,表示當單擊該按鈕時執行abc這個文件。在文件夾“好看的動畫”中新建一個網頁文件命名為“動畫.htm”,將剛才制作的動畫放到該網頁中。看出門道了嗎?平常你下載的網站通常就是一個.html文件和一個結尾為.files的文件夾,我們這么構造的原因也是用來迷惑打開者,畢竟沒有幾個人會去翻.files文件夾。現在我們就可以撰寫一封新郵件了,將文件夾“好看的動畫”壓縮成一個文件,放到郵件的附件中,再編寫一個誘人的主題。只要對方深信不疑的運行它,并重新啟動系統,服務端就種植成功了。
二、使用木馬
成功的給別人植入木馬服務端后,就需要耐心等待服務端上線。由于黑洞2004采用了反連接技術,所以服務端上線后會自動和客戶端進行連接,這時,我們就可以操控客戶端對服務端進行遠程控制。在黑洞2004下面的列表中,隨便選擇一臺已經上線的電腦,然后通過上面的命令按鈕就可以對這臺電腦進行控制。下面就簡單的介紹一下這些命令的意義。
文件管理:服務端上線以后,你可以通過“文件管理”命令對服務端電腦中的文件進行下載、新建、重命名、刪除等操作。可以通過鼠標直接把文件或文件夾拖放到目標文件夾,并且支持斷點傳輸。簡單吧?
進程管理:查看、刷新、關閉對方的進程,如果發現有殺毒軟件或者防火墻,就可以關閉相應的進程,達到保護服務器端程序的目的。
窗口管理:管理服務端電腦的程序窗口,你可以使對方窗口中的程序最大化、最小化、正常關閉等操作,這樣就比進程管理更靈活。你可以搞很多惡作劇,比如讓對方的某個窗口不停的最大化和最小化。
視頻監控和語音監聽:如果遠程服務端電腦安裝有USB攝像頭,那么可以通過它來獲取圖像,并可直接保存為Media Play可以直接播放的Mpeg文件;需要對方有麥克風的話,還可以聽到他們的談話,恐怖吧?
除了上面介紹的這些功能以外,還包括鍵盤記錄、重啟關機、遠程卸載、抓屏查看密碼等功能,操作都非常簡單,明白了吧?做駭客其實很容易。
三、隱藏
隨著殺毒軟件病毒庫的升級,木馬會很快被殺毒軟件查殺,所以為了使木馬服務端辟開殺毒軟件的查殺,長時間的隱藏在別人的電腦中,在木馬為黑客提供幾種可行的辦法。
1.木馬的自身保護
就像前面提到的,黑洞2004在生成服務端的時候,用戶可以更換圖標,并使用軟件UPX對服務端自動進行壓縮隱藏。
2.捆綁服務端
用戶通過使用文件捆綁器把木馬服務端和正常的文件捆綁在一起,達到欺騙對方的目的。文件捆綁器有廣外文件捆綁器2002、萬能文件捆綁器、exeBinder、Exe Bundle等。
3.制做自己的服務端
上面提到的這些方法雖然能一時瞞過殺毒軟件,但最終還是不能逃脫殺毒軟件的查殺,所以若能對現有的木馬進行偽裝,讓殺毒軟件無法辨別,則是個治本的方法。可以通過使用壓縮EXE和DLL文件的壓縮軟件對服務端進行加殼保護。例如Step1中的UPX就是這樣一款壓縮軟件,但默認該軟件是按照自身的設置對服務端壓縮的,因此得出的結果都相同,很難長時間躲過殺毒軟件;而自己對服務端進行壓縮,就可以選擇不同的選項,壓縮出與眾不同的服務端來,使殺毒軟件很難判斷。下面我就以冰河為例,為大家簡單的講解一下脫殼(解壓)、加殼(壓縮)的過程。
如果我們用殺毒軟件對冰河進行查殺,一定會發現2個病毒,一個是冰河的客戶端,另一個是服務端。使用軟件“PEiD”查看軟件的服務端是否已經被作者加殼。
現在,我們就需要對軟件進行脫殼,也就是一種解壓的過程。這里我使用了“UPXUnpack”,選擇需要的文件后,點擊“解壓縮”就開始執行脫殼。
脫殼完成后,我們需要為服務端加一個新殼,加殼的軟件很多,比如:ASPack、ASProtect、UPXShell、Petite等。這里以“ASPack”為例,點擊“打開”按鈕,選擇剛剛脫殼的服務端程序,選擇完成后ASPack會自動為服務端進行加殼。再次用殺毒軟件對這個服務端進行查殺,發現其已經不能識別判斷了。如果你的殺毒軟件依舊可以查殺,你還可以使用多個軟件對服務端進行多次加殼。筆者在使用Petite和ASPack對服務端進行2次加殼后,試用了多種殺毒軟件都沒有掃描出來。現在網絡中流行的很多XX版冰河,就是網友通過對服務端進行修改并重新加殼后制做出來的。
四、防范
防范重于治療,在我們的電腦還沒有中木馬前,我們需要做很多必要的工作,比如:安裝殺毒軟件和網絡防火墻;及時更新病毒庫以及系統的安全補丁;定時備份硬盤上的文件;不要運行來路不明的軟件和打開來路不明的郵件。
最后筆者要特別提醒大家,木馬除了擁有強大的遠程控制功能外,還包括極強的破壞性。我們學習它,只是為了了解它的技術與方法,而不是用于盜竊密碼等破壞行為,希望大家好自為之。
小知識:反彈技術,該技術解決了傳統的遠程控制軟件不能訪問裝有防火墻和控制局域網內部的遠程計算機的難題。反彈端口型軟件的原理是,客戶端首先登錄到FTP服務器,編輯在木馬軟件中預先設置的主頁空間上面的一個文件,并打開端口監聽,等待服務端的連接,服務端定期用HTTP協議讀取這個文件的內容,當發現是客戶端讓自己開始連接時,就主動連接,如此就可完成連接工作。因此在互聯網上可以訪問到局域網里通過 NAT (透明代理)代理上網的電腦,并且可以穿過防火墻。與傳統的遠程控制軟件相反,反彈端口型軟件的服務端會主動連接客戶端,客戶端的監聽端口一般開為80(即用于網頁瀏覽的端口),這樣,即使用戶在命令提示符下使用“netstat -a”命令檢查自己的端口,發現的也是類似“TCPUserIP:3015ControllerIP:httpESTABLISHED”的情況,稍微疏忽一點你就會以為是自己在瀏覽網頁,而防火墻也會同樣這么認為的。于是,與一般的軟件相反,反彈端口型軟件的服務端主動連接客戶端,這樣就可以輕易的突破防火墻的限制
操作步驟:
一、種植木馬
現在網絡上流行的木馬基本上都采用的是C/S 結構(客戶端/服務端)。你要使用木馬控制對方的電腦,首先需要在對方的的電腦中種植并運行服務端程序,然后運行本地電腦中的客戶端程序對對方電腦進行連接進而控制對方電腦。
為了避免不熟悉木馬的用戶誤運行服務端,現在流行的木馬都沒有提供單獨的服務端程序,而是通過用戶自己設置來生成服務端,黑洞2004也是這樣。首先運行黑洞2004,點擊“功能/生成服務端”命令,彈出“服務端配置”界面。由于黑洞2004采用了反彈技術(請參加小知識),首先單擊旁邊的“查看”按鈕,在彈出的窗口中設置新的域名,輸入你事先申請空間的域名和密碼,單擊“域名注冊”,在下面的窗口中會反映出注冊的情況。域名注冊成功以后,返回“服務端配置”界面,填入剛剛申請的域名,以及“上線顯示名稱”、“注冊表啟動名稱”等項目。為了迷惑他人,可以點“更改服務端圖標”按鈕為服務端選擇一個圖標。所有的設置都完成后,點擊“生成EXE型服務端”就生成了一個服務端。在生成服務端的同時,軟件會自動使用UPX為服務端進行壓縮,對服務端起到隱藏保護的作用。
服務端生成以后,下一步要做的是將服務端植入別人的電腦?常見的方法有,通過系統或者軟件的漏洞入侵別人的電腦把木馬的服務端植入其的電腦;或者通過Email夾帶,把服務端作為附件寄給對方;以及把服務端進行偽裝后放到自己的共享文件夾,通過P2P軟件(比如PP點點通、百寶等),讓網友在毫無防范中下載并運行服務端程序。
由于本文主要面對普通的網絡愛好者,所以就使用較為簡單的Email夾帶,為大家進行講解。我們使用大家經常會看到的Flash動畫為例,建立一個文件夾命名為“好看的動畫”,在該文件夾里邊再建立文件夾“動畫.files”,將木馬服務端軟件放到該文件夾中假設名稱為“abc.exe”,再在該文件夾內建立flash文件,在flash文件的第1幀輸入文字“您的播放插件不全,單擊下邊的按鈕,再單擊打開按鈕安裝插件”,新建一個按鈕組件,將其拖到舞臺中,打開動作面板,在里邊輸入“on (press) { getURL("動畫.files/abc.exe"); }”,表示當單擊該按鈕時執行abc這個文件。在文件夾“好看的動畫”中新建一個網頁文件命名為“動畫.htm”,將剛才制作的動畫放到該網頁中。看出門道了嗎?平常你下載的網站通常就是一個.html文件和一個結尾為.files的文件夾,我們這么構造的原因也是用來迷惑打開者,畢竟沒有幾個人會去翻.files文件夾。現在我們就可以撰寫一封新郵件了,將文件夾“好看的動畫”壓縮成一個文件,放到郵件的附件中,再編寫一個誘人的主題。只要對方深信不疑的運行它,并重新啟動系統,服務端就種植成功了。
二、使用木馬
成功的給別人植入木馬服務端后,就需要耐心等待服務端上線。由于黑洞2004采用了反連接技術,所以服務端上線后會自動和客戶端進行連接,這時,我們就可以操控客戶端對服務端進行遠程控制。在黑洞2004下面的列表中,隨便選擇一臺已經上線的電腦,然后通過上面的命令按鈕就可以對這臺電腦進行控制。下面就簡單的介紹一下這些命令的意義。
文件管理:服務端上線以后,你可以通過“文件管理”命令對服務端電腦中的文件進行下載、新建、重命名、刪除等操作。可以通過鼠標直接把文件或文件夾拖放到目標文件夾,并且支持斷點傳輸。簡單吧?
進程管理:查看、刷新、關閉對方的進程,如果發現有殺毒軟件或者防火墻,就可以關閉相應的進程,達到保護服務器端程序的目的。
窗口管理:管理服務端電腦的程序窗口,你可以使對方窗口中的程序最大化、最小化、正常關閉等操作,這樣就比進程管理更靈活。你可以搞很多惡作劇,比如讓對方的某個窗口不停的最大化和最小化。
視頻監控和語音監聽:如果遠程服務端電腦安裝有USB攝像頭,那么可以通過它來獲取圖像,并可直接保存為Media Play可以直接播放的Mpeg文件;需要對方有麥克風的話,還可以聽到他們的談話,恐怖吧?
除了上面介紹的這些功能以外,還包括鍵盤記錄、重啟關機、遠程卸載、抓屏查看密碼等功能,操作都非常簡單,明白了吧?做駭客其實很容易。
三、隱藏
隨著殺毒軟件病毒庫的升級,木馬會很快被殺毒軟件查殺,所以為了使木馬服務端辟開殺毒軟件的查殺,長時間的隱藏在別人的電腦中,在木馬為黑客提供幾種可行的辦法。
1.木馬的自身保護
就像前面提到的,黑洞2004在生成服務端的時候,用戶可以更換圖標,并使用軟件UPX對服務端自動進行壓縮隱藏。
2.捆綁服務端
用戶通過使用文件捆綁器把木馬服務端和正常的文件捆綁在一起,達到欺騙對方的目的。文件捆綁器有廣外文件捆綁器2002、萬能文件捆綁器、exeBinder、Exe Bundle等。
3.制做自己的服務端
上面提到的這些方法雖然能一時瞞過殺毒軟件,但最終還是不能逃脫殺毒軟件的查殺,所以若能對現有的木馬進行偽裝,讓殺毒軟件無法辨別,則是個治本的方法。可以通過使用壓縮EXE和DLL文件的壓縮軟件對服務端進行加殼保護。例如Step1中的UPX就是這樣一款壓縮軟件,但默認該軟件是按照自身的設置對服務端壓縮的,因此得出的結果都相同,很難長時間躲過殺毒軟件;而自己對服務端進行壓縮,就可以選擇不同的選項,壓縮出與眾不同的服務端來,使殺毒軟件很難判斷。下面我就以冰河為例,為大家簡單的講解一下脫殼(解壓)、加殼(壓縮)的過程。
如果我們用殺毒軟件對冰河進行查殺,一定會發現2個病毒,一個是冰河的客戶端,另一個是服務端。使用軟件“PEiD”查看軟件的服務端是否已經被作者加殼。
現在,我們就需要對軟件進行脫殼,也就是一種解壓的過程。這里我使用了“UPXUnpack”,選擇需要的文件后,點擊“解壓縮”就開始執行脫殼。
脫殼完成后,我們需要為服務端加一個新殼,加殼的軟件很多,比如:ASPack、ASProtect、UPXShell、Petite等。這里以“ASPack”為例,點擊“打開”按鈕,選擇剛剛脫殼的服務端程序,選擇完成后ASPack會自動為服務端進行加殼。再次用殺毒軟件對這個服務端進行查殺,發現其已經不能識別判斷了。如果你的殺毒軟件依舊可以查殺,你還可以使用多個軟件對服務端進行多次加殼。筆者在使用Petite和ASPack對服務端進行2次加殼后,試用了多種殺毒軟件都沒有掃描出來。現在網絡中流行的很多XX版冰河,就是網友通過對服務端進行修改并重新加殼后制做出來的。
四、防范
防范重于治療,在我們的電腦還沒有中木馬前,我們需要做很多必要的工作,比如:安裝殺毒軟件和網絡防火墻;及時更新病毒庫以及系統的安全補丁;定時備份硬盤上的文件;不要運行來路不明的軟件和打開來路不明的郵件。
最后筆者要特別提醒大家,木馬除了擁有強大的遠程控制功能外,還包括極強的破壞性。我們學習它,只是為了了解它的技術與方法,而不是用于盜竊密碼等破壞行為,希望大家好自為之。
小知識:反彈技術,該技術解決了傳統的遠程控制軟件不能訪問裝有防火墻和控制局域網內部的遠程計算機的難題。反彈端口型軟件的原理是,客戶端首先登錄到FTP服務器,編輯在木馬軟件中預先設置的主頁空間上面的一個文件,并打開端口監聽,等待服務端的連接,服務端定期用HTTP協議讀取這個文件的內容,當發現是客戶端讓自己開始連接時,就主動連接,如此就可完成連接工作。因此在互聯網上可以訪問到局域網里通過 NAT (透明代理)代理上網的電腦,并且可以穿過防火墻。與傳統的遠程控制軟件相反,反彈端口型軟件的服務端會主動連接客戶端,客戶端的監聽端口一般開為80(即用于網頁瀏覽的端口),這樣,即使用戶在命令提示符下使用“netstat -a”命令檢查自己的端口,發現的也是類似“TCPUserIP:3015ControllerIP:httpESTABLISHED”的情況,稍微疏忽一點你就會以為是自己在瀏覽網頁,而防火墻也會同樣這么認為的。于是,與一般的軟件相反,反彈端口型軟件的服務端主動連接客戶端,這樣就可以輕易的突破防火墻的限制
社會工程學:一個行騙游戲的新玩法
[ 2007-03-25 03:35:43 | 作者: sun ]
在今天的計算機犯罪領域中,罪犯不需要借助英特網進入,他們只要通過簡單的詢問就能獲得信息。當心友好的內部人員或是職務上看起來是外部的人員,他們可能會利用你的好心或天真來獲得他們要的東西。舉幾個例子來說明吧…
一位部門秘書接到一個電話,"我是Josie Bass,有什么能幫您的嗎?"
“你好,我是計算機中心的Martin White,我們認為可能有人入侵了文件服務器,我能和你們技術主管談談嗎?”
“現在是周五下午,這里只有我一個人 。”Josie說。
“你的工作怎么樣,Josie?”
“還好,你呢?”
深呼一口氣,“不算太壞,除了現在是周五的下午而且我們要處理堆積如山的文件。總之,如我所說的,我們認為你的文件服務器受到了威脅。”
“你為什么這么認為呢?”
“你的帳號是jbass,是嗎?”
“是。”
“我們在你的文件服務器上檢測到了異常的通信。”
“好,你能不能具體點告訴我這是怎么回事?”
“當然,我正在搜索,但有太多文件了。”翻頁的聲音。“我真正擔心的是,當我這樣搜索時,壞人可以從你們的服務器下載并修改資料,也許你應該把你的服務器與網絡斷開或者修改你的系統密碼。”
“Jeez,我不知道該怎么做。”
Martin嘆息,“這真糟糕,入侵者可能沒有完全地破壞你的系統。”手指翻動書,發出翻頁的聲音。“我剛才想到一件事,我正好在線,如果我有你的密碼的話,只要幾分鐘就可查出來了。”沉重的嘆息,“為什么我之前沒有想到呢?持續一個星期了—看了很多小時的數字。”一番停頓后,“Ok,你的密碼多少?”
“我…er….”Josie猶豫了。
“哦,好的,你不會把它拿出來,我明白了。”翻頁的聲音。“這也是個好辦法。”停頓了一下,“這些家伙會嘗試不同的方法入侵…”翻頁。
“嘿,”Josie說,“我們會整晚都在這里,忘了告訴你:我的密碼是jb2cats。”
“謝謝,好的,稍等。”密碼輸入的聲音。“好了,讓我仔細檢查一下。”更多的輸入。“找到了,好消息,他們沒能進入你的系統。”停頓,“非常感謝,Josie,我們一起為這件無效的事上折騰了半夜,順便說一聲,一旦他們跳過了你的服務器,再回來就是很罕見的事了,你的系統現在狀況良好。”
“謝謝,祝你有一個愉快的周末。”Josie放心地回答。
“你也是。”
“Martin White”和他的同伙將會有一個愉快的周末,從這個部門修改他們選修課程的學生等級——為了學費,當然。(譯者注:這里的意思應該是Martin的課程沒及格,需要重修,把成績修改了,自然就不需要交納學費了。)
這是一個被稱為“社會工程學”的例子,一個信息技術犯罪的非技術表象描述。用其它方法表達就是“欺騙藝術家”Martin玩的一個“行騙游戲”。意思很簡單:欺騙受害人,獲得有用的機密信息,或采取不正當行動為攻擊者獲得利益。
大部分人對我們都是有益并且值得信賴的—許多人這樣認為。我們想要做好鄰居并有許多好鄰居,社會工程師利用了人類這一合作傾向。他們經常使用脅迫和扮演角色手段,也使用老式但清晰的攝像頭進行偷窺和偷聽。
當被偷竊的信息增加時,我們需要知道更多信息盜竊使用的迂回方法。
例如:
一個糊涂的醉鬼會打電話給辦事員請求更改他的密碼。
一個似乎很重要的人扮成主管人員打電話給新來的網絡管理員要求馬上開通他的賬戶!
在機場當你輸入你的電訊信用卡或ATM號碼時有人會往你肩膀上看(肩窺),他們甚至使用雙筒望遠鏡和攝象機。
一個訪客會偷看你在鍵盤上輸入的注冊ID和密碼。
一個自信的人打電話給電腦工作人員并要他或她在控制臺輸入幾行指令。
一個攻擊者搜集你的廢紙(垃圾數據探究),尋找線索解開你的保密信息。
不同于技術的目標,社會工程學是一個古老行當的新名字,它常常成功,因為我們的文化沒有趕上我們擁有的技術。一個社會工程師從一個保險箱里獲得東西比獲得密碼要更困難,即使這個東西就在健康俱樂部的帶鎖儲物柜里。最好的防御很簡單:教育,訓練和意識。
記住:密碼就像一把牙刷一樣,每三個月更換一次,并不讓其他人使用它。(即使有人聲稱自己來自處理Internet上各項安全問題的專責機構)。
一位部門秘書接到一個電話,"我是Josie Bass,有什么能幫您的嗎?"
“你好,我是計算機中心的Martin White,我們認為可能有人入侵了文件服務器,我能和你們技術主管談談嗎?”
“現在是周五下午,這里只有我一個人 。”Josie說。
“你的工作怎么樣,Josie?”
“還好,你呢?”
深呼一口氣,“不算太壞,除了現在是周五的下午而且我們要處理堆積如山的文件。總之,如我所說的,我們認為你的文件服務器受到了威脅。”
“你為什么這么認為呢?”
“你的帳號是jbass,是嗎?”
“是。”
“我們在你的文件服務器上檢測到了異常的通信。”
“好,你能不能具體點告訴我這是怎么回事?”
“當然,我正在搜索,但有太多文件了。”翻頁的聲音。“我真正擔心的是,當我這樣搜索時,壞人可以從你們的服務器下載并修改資料,也許你應該把你的服務器與網絡斷開或者修改你的系統密碼。”
“Jeez,我不知道該怎么做。”
Martin嘆息,“這真糟糕,入侵者可能沒有完全地破壞你的系統。”手指翻動書,發出翻頁的聲音。“我剛才想到一件事,我正好在線,如果我有你的密碼的話,只要幾分鐘就可查出來了。”沉重的嘆息,“為什么我之前沒有想到呢?持續一個星期了—看了很多小時的數字。”一番停頓后,“Ok,你的密碼多少?”
“我…er….”Josie猶豫了。
“哦,好的,你不會把它拿出來,我明白了。”翻頁的聲音。“這也是個好辦法。”停頓了一下,“這些家伙會嘗試不同的方法入侵…”翻頁。
“嘿,”Josie說,“我們會整晚都在這里,忘了告訴你:我的密碼是jb2cats。”
“謝謝,好的,稍等。”密碼輸入的聲音。“好了,讓我仔細檢查一下。”更多的輸入。“找到了,好消息,他們沒能進入你的系統。”停頓,“非常感謝,Josie,我們一起為這件無效的事上折騰了半夜,順便說一聲,一旦他們跳過了你的服務器,再回來就是很罕見的事了,你的系統現在狀況良好。”
“謝謝,祝你有一個愉快的周末。”Josie放心地回答。
“你也是。”
“Martin White”和他的同伙將會有一個愉快的周末,從這個部門修改他們選修課程的學生等級——為了學費,當然。(譯者注:這里的意思應該是Martin的課程沒及格,需要重修,把成績修改了,自然就不需要交納學費了。)
這是一個被稱為“社會工程學”的例子,一個信息技術犯罪的非技術表象描述。用其它方法表達就是“欺騙藝術家”Martin玩的一個“行騙游戲”。意思很簡單:欺騙受害人,獲得有用的機密信息,或采取不正當行動為攻擊者獲得利益。
大部分人對我們都是有益并且值得信賴的—許多人這樣認為。我們想要做好鄰居并有許多好鄰居,社會工程師利用了人類這一合作傾向。他們經常使用脅迫和扮演角色手段,也使用老式但清晰的攝像頭進行偷窺和偷聽。
當被偷竊的信息增加時,我們需要知道更多信息盜竊使用的迂回方法。
例如:
一個糊涂的醉鬼會打電話給辦事員請求更改他的密碼。
一個似乎很重要的人扮成主管人員打電話給新來的網絡管理員要求馬上開通他的賬戶!
在機場當你輸入你的電訊信用卡或ATM號碼時有人會往你肩膀上看(肩窺),他們甚至使用雙筒望遠鏡和攝象機。
一個訪客會偷看你在鍵盤上輸入的注冊ID和密碼。
一個自信的人打電話給電腦工作人員并要他或她在控制臺輸入幾行指令。
一個攻擊者搜集你的廢紙(垃圾數據探究),尋找線索解開你的保密信息。
不同于技術的目標,社會工程學是一個古老行當的新名字,它常常成功,因為我們的文化沒有趕上我們擁有的技術。一個社會工程師從一個保險箱里獲得東西比獲得密碼要更困難,即使這個東西就在健康俱樂部的帶鎖儲物柜里。最好的防御很簡單:教育,訓練和意識。
記住:密碼就像一把牙刷一樣,每三個月更換一次,并不讓其他人使用它。(即使有人聲稱自己來自處理Internet上各項安全問題的專責機構)。
入侵檢測(IDS)應該與操作系統綁定
[ 2007-03-25 03:35:20 | 作者: sun ]
黑客攻擊的目標主要是用戶終端,如果入侵檢測系統不能和操作系統內核很好地配合,那么產品再多,做得再好,也是治標不治本。
主流的入侵檢測方法有三種
通常,入侵檢測系統按照其工作原理主要分為三種類型:基于網絡的入侵檢測系統、基于主機的入侵檢測系統和分布式入侵檢測系統。其中前兩種應用得最廣泛,國內大多數的產品都是基于這樣的工作原理。基于網絡的入侵檢測系統檢測的數據來源于網絡中的數據包,與受保護網段內的主機無關,適用范圍比較廣,并且一般不影響網絡流量和受保護主機的性能;基于主機的入侵檢測系統檢測的數據來源于系統日志、審計記錄,與受保護主機的操作系統等有關,因此一般只適用保護特定的計算機。
分布式入侵檢測系統這種工作方式比較新,目前這種技術在例如ISS的RealSecure等產品中已經有了應用。它檢測的數據也是來源于網絡中的數據包,不同的是,它采用分布式檢測、集中管理的方法。即在每個網段安裝一個黑匣子,該黑匣子相當于基于網絡的入侵檢測系統,只是沒有用戶操作界面。黑匣子用來監測其所在網段上的數據流,它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網絡數據,同時向集中安全管理中心發回安全事件信息。集中安全管理中心是整個分布式入侵檢測系統面向用戶的界面。它的特點是對數據保護的范圍比較大,但對網絡流量有一定的影響。
在漏報率方面國內產品有待提高
現在國際上比較有名的入侵檢測系統有ISS公司的RealSecure、Enterasys公司的 Dragon等。他們將基于主機和基于網絡的入侵檢測技術基礎集成在一起,擴大了檢測的數據源,降低了漏報率,并且對于檢測針對主機的攻擊效果比較好。但是這種方法的實施難度特別大,還要考慮到網絡中不同計算機操作系統的差異,需要將數據格式進行轉換,以達到統一。這些產品系統性能相對比較穩定,特征知識庫更新速度比較快。
國內公司生產的入侵檢測系統也比較多,如上海復旦光華信息股份有限公司的光華S-Audit網絡入侵檢測與安全審計系統V3.0、常州遠東科技有限公司的“黑客煞星”、長沙天一銀河信息產業有限公司的“天一獵鷹入侵檢測系統(V1.0)、上海三零衛士信息安全有限公司的鷹眼網絡安全監測儀、上海金諾網安的KIDS Ver3.0等。它們的體系結構大同小異,性能相差不大,都能檢測到以下一些攻擊事件,如多數的掃描、嗅探、后門、病毒、拒絕服務、分布式拒絕服務、非授權訪問、欺騙等。由于它們大多是以誤用檢測的分析方法為主,因此有的漏報率相對高一些,特征知識庫更新速度相對也要慢一些。
入侵檢測應該與操作系統綁定
目前的入侵檢測產品的固有缺陷是,與操作系統結合程度不緊,這樣對于新出現的、比較隱秘的攻擊手法和技術,一般很難檢測出來,即使對于同一種攻擊手法和技術,如果變化復雜些,也很難發現。它們也不能確定黑客攻擊系統到了什么程度,如黑客現在的攻擊對系統是否造成了威脅,黑客現在擁有了系統哪個級別的權限,黑客是否控制了一個系統等。由于一般情況下,只要有攻擊,入侵檢測系統就會發出警報,這樣就可能被黑客利用,不停地發送具有攻擊特征的數據包,雖然這對被攻擊對象沒有什么危險,但能使入侵檢測系統淹沒在一片報警聲中,從而使入侵檢測系統失效。此外,它們還會對數據包的內容進行檢查,因此對于加密了的數據包,這部分功能就失效了。
由于計算機網絡出現的初衷是為了方便通信和交流,充分利用資源,在其發展之初沒考慮到安全方面的問題,因此在到了出現網絡安全事故時候,才開始采取補救措施,而這種補救是外加的,如現在流行的防火墻、入侵檢測系統等,很少涉及到通信協議的修改。操作系統出現之初,也很少考慮到安全,如操作系統的核心是內存管理、進程管理、文件管理,只是考慮如何有效地去管理資源,沒有加入被黑客攻擊時如何去應對這一部分功能。這就造成了在傳輸部分、終端部分存在很多安全隱患,由于整個系統龐大,不可避免地存在大量漏洞。由于黑客攻擊的目標主要是終端部分,因此入侵檢測系統最好能與操作系統內核結合起來,現在的lids在這方面進行了比較深入的研究,否則無論做得怎樣好,也是治標不治本。
數據分析的兩類常用方法
入侵檢測系統進行數據分析有兩種常用方法:誤用檢測、異常檢測。誤用檢測是將收集到的數據與預先確定的特征知識庫里的各種攻擊模式進行比較,如果發現有攻擊特征,則判斷有攻擊。特征知識庫是將已知的攻擊方法和技術的特征提取出來,來建立的一個知識庫。
異常檢測則是對收集到的數據進行統計分析。它首先假定所有的攻擊行為與正常行為不同,這樣發現與正常行為有不同時,則判斷存在攻擊。這需要建立正常行為的標準,如登錄時錯誤次數為多少時視為正常。
相比而言,誤用檢測的原理簡單,很容易配置,特征知識庫也容易擴充,但它存在一個致命的弱點——只能檢測到已知的攻擊方法和技術。異常檢測可以檢測出已知的和未知的攻擊方法和技術,問題是正常行為標準只能采用人工智能、機器學習算法等來生成,并且需要大量的數據和時間,同時,現在人工智能和機器學習算法仍處于研究階段。所以現在的入侵檢測系統大多采用誤用檢測的分析方法。
主流的入侵檢測方法有三種
通常,入侵檢測系統按照其工作原理主要分為三種類型:基于網絡的入侵檢測系統、基于主機的入侵檢測系統和分布式入侵檢測系統。其中前兩種應用得最廣泛,國內大多數的產品都是基于這樣的工作原理。基于網絡的入侵檢測系統檢測的數據來源于網絡中的數據包,與受保護網段內的主機無關,適用范圍比較廣,并且一般不影響網絡流量和受保護主機的性能;基于主機的入侵檢測系統檢測的數據來源于系統日志、審計記錄,與受保護主機的操作系統等有關,因此一般只適用保護特定的計算機。
分布式入侵檢測系統這種工作方式比較新,目前這種技術在例如ISS的RealSecure等產品中已經有了應用。它檢測的數據也是來源于網絡中的數據包,不同的是,它采用分布式檢測、集中管理的方法。即在每個網段安裝一個黑匣子,該黑匣子相當于基于網絡的入侵檢測系統,只是沒有用戶操作界面。黑匣子用來監測其所在網段上的數據流,它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網絡數據,同時向集中安全管理中心發回安全事件信息。集中安全管理中心是整個分布式入侵檢測系統面向用戶的界面。它的特點是對數據保護的范圍比較大,但對網絡流量有一定的影響。
在漏報率方面國內產品有待提高
現在國際上比較有名的入侵檢測系統有ISS公司的RealSecure、Enterasys公司的 Dragon等。他們將基于主機和基于網絡的入侵檢測技術基礎集成在一起,擴大了檢測的數據源,降低了漏報率,并且對于檢測針對主機的攻擊效果比較好。但是這種方法的實施難度特別大,還要考慮到網絡中不同計算機操作系統的差異,需要將數據格式進行轉換,以達到統一。這些產品系統性能相對比較穩定,特征知識庫更新速度比較快。
國內公司生產的入侵檢測系統也比較多,如上海復旦光華信息股份有限公司的光華S-Audit網絡入侵檢測與安全審計系統V3.0、常州遠東科技有限公司的“黑客煞星”、長沙天一銀河信息產業有限公司的“天一獵鷹入侵檢測系統(V1.0)、上海三零衛士信息安全有限公司的鷹眼網絡安全監測儀、上海金諾網安的KIDS Ver3.0等。它們的體系結構大同小異,性能相差不大,都能檢測到以下一些攻擊事件,如多數的掃描、嗅探、后門、病毒、拒絕服務、分布式拒絕服務、非授權訪問、欺騙等。由于它們大多是以誤用檢測的分析方法為主,因此有的漏報率相對高一些,特征知識庫更新速度相對也要慢一些。
入侵檢測應該與操作系統綁定
目前的入侵檢測產品的固有缺陷是,與操作系統結合程度不緊,這樣對于新出現的、比較隱秘的攻擊手法和技術,一般很難檢測出來,即使對于同一種攻擊手法和技術,如果變化復雜些,也很難發現。它們也不能確定黑客攻擊系統到了什么程度,如黑客現在的攻擊對系統是否造成了威脅,黑客現在擁有了系統哪個級別的權限,黑客是否控制了一個系統等。由于一般情況下,只要有攻擊,入侵檢測系統就會發出警報,這樣就可能被黑客利用,不停地發送具有攻擊特征的數據包,雖然這對被攻擊對象沒有什么危險,但能使入侵檢測系統淹沒在一片報警聲中,從而使入侵檢測系統失效。此外,它們還會對數據包的內容進行檢查,因此對于加密了的數據包,這部分功能就失效了。
由于計算機網絡出現的初衷是為了方便通信和交流,充分利用資源,在其發展之初沒考慮到安全方面的問題,因此在到了出現網絡安全事故時候,才開始采取補救措施,而這種補救是外加的,如現在流行的防火墻、入侵檢測系統等,很少涉及到通信協議的修改。操作系統出現之初,也很少考慮到安全,如操作系統的核心是內存管理、進程管理、文件管理,只是考慮如何有效地去管理資源,沒有加入被黑客攻擊時如何去應對這一部分功能。這就造成了在傳輸部分、終端部分存在很多安全隱患,由于整個系統龐大,不可避免地存在大量漏洞。由于黑客攻擊的目標主要是終端部分,因此入侵檢測系統最好能與操作系統內核結合起來,現在的lids在這方面進行了比較深入的研究,否則無論做得怎樣好,也是治標不治本。
數據分析的兩類常用方法
入侵檢測系統進行數據分析有兩種常用方法:誤用檢測、異常檢測。誤用檢測是將收集到的數據與預先確定的特征知識庫里的各種攻擊模式進行比較,如果發現有攻擊特征,則判斷有攻擊。特征知識庫是將已知的攻擊方法和技術的特征提取出來,來建立的一個知識庫。
異常檢測則是對收集到的數據進行統計分析。它首先假定所有的攻擊行為與正常行為不同,這樣發現與正常行為有不同時,則判斷存在攻擊。這需要建立正常行為的標準,如登錄時錯誤次數為多少時視為正常。
相比而言,誤用檢測的原理簡單,很容易配置,特征知識庫也容易擴充,但它存在一個致命的弱點——只能檢測到已知的攻擊方法和技術。異常檢測可以檢測出已知的和未知的攻擊方法和技術,問題是正常行為標準只能采用人工智能、機器學習算法等來生成,并且需要大量的數據和時間,同時,現在人工智能和機器學習算法仍處于研究階段。所以現在的入侵檢測系統大多采用誤用檢測的分析方法。
休閑聊天輕輕松松避開網絡木馬的攻擊
[ 2007-03-25 03:34:56 | 作者: sun ]
QQ的密碼、個人資料和聊天記錄能否安全成為至關重要的問題,為了有效地防止聊天記錄等本地信息的丟失和被竊,可以采取以下措施:
1.設置本地消息口令
首先按下鼠標右鍵,從QQ圖標上選擇“系統參數”,在“系統參數”中選擇“安全設置”標簽。接著選擇“啟用本地消息加密”,再依次輸入口令并確認口令即可。
同時為了保險一定要勾選“啟用本地消息加密口令提示”,設定提示問題和問題答案,按下“確定”使設定生效。在啟動QQ輸入賬號和密碼后,軟件還會要求輸入本地消息口令,否則不能進入。
2.避開木馬軟件的攻擊
當前網絡上可以找到很多盜取QQ密碼的木馬軟件,但這些木馬軟件一般只記錄號碼位數不超過9位數的QQ登錄密碼,可以針對這個特點,在登錄QQ的時候選擇“注冊向導”,在“使用已有的QQ號碼”中輸入的QQ號碼前加入一長串0,其位數與原有的QQ號位數相加超過9位數就可以,這樣的結果是既不影響正常的QQ登錄,又可以避開木馬軟件對QQ密碼的秘密監視了。
3.隱身登錄
首先找到以前成功登錄過的QQ,在“QQ用戶登錄”框中找到自己的號碼,選中下面“隱身登錄”前面的方框,你就可以隱身登錄了。
假如你是第一次在這臺電腦上登錄QQ,登錄成功后別人很容易獲取你的地址,最好馬上選擇“離線”,過一會兒你再選擇“隱身登錄”,這樣別人就找不到你的地址了。
4.設置“拒絕陌生人消息”
在“系統設置”的“基本設置”標簽里選擇“拒絕陌生人消息”。
5.使用“選擇代理服務器”
找一個代理服務器,然后在QQ中設置好,別人就只能看到這個代理服務器的IP地址了。
6.知己知彼,減少風險
黑客入侵要經過一套入侵的流程,包括查找IP、掃描通訊錄、作業系統分析、弱點分析、密碼破解等,總要花費一些時間。所以,滯留在網上的時間越長,黑客完成入侵程序植入的幾率就越大。所以沒有事情的時候不要掛網,以減少被黑的風險。
1.設置本地消息口令
首先按下鼠標右鍵,從QQ圖標上選擇“系統參數”,在“系統參數”中選擇“安全設置”標簽。接著選擇“啟用本地消息加密”,再依次輸入口令并確認口令即可。
同時為了保險一定要勾選“啟用本地消息加密口令提示”,設定提示問題和問題答案,按下“確定”使設定生效。在啟動QQ輸入賬號和密碼后,軟件還會要求輸入本地消息口令,否則不能進入。
2.避開木馬軟件的攻擊
當前網絡上可以找到很多盜取QQ密碼的木馬軟件,但這些木馬軟件一般只記錄號碼位數不超過9位數的QQ登錄密碼,可以針對這個特點,在登錄QQ的時候選擇“注冊向導”,在“使用已有的QQ號碼”中輸入的QQ號碼前加入一長串0,其位數與原有的QQ號位數相加超過9位數就可以,這樣的結果是既不影響正常的QQ登錄,又可以避開木馬軟件對QQ密碼的秘密監視了。
3.隱身登錄
首先找到以前成功登錄過的QQ,在“QQ用戶登錄”框中找到自己的號碼,選中下面“隱身登錄”前面的方框,你就可以隱身登錄了。
假如你是第一次在這臺電腦上登錄QQ,登錄成功后別人很容易獲取你的地址,最好馬上選擇“離線”,過一會兒你再選擇“隱身登錄”,這樣別人就找不到你的地址了。
4.設置“拒絕陌生人消息”
在“系統設置”的“基本設置”標簽里選擇“拒絕陌生人消息”。
5.使用“選擇代理服務器”
找一個代理服務器,然后在QQ中設置好,別人就只能看到這個代理服務器的IP地址了。
6.知己知彼,減少風險
黑客入侵要經過一套入侵的流程,包括查找IP、掃描通訊錄、作業系統分析、弱點分析、密碼破解等,總要花費一些時間。所以,滯留在網上的時間越長,黑客完成入侵程序植入的幾率就越大。所以沒有事情的時候不要掛網,以減少被黑的風險。
跨站點腳本XSS漏洞危害性
[ 2007-03-25 03:34:43 | 作者: sun ]
安全專家,開發人員或者商業從業人員都明白像SQL注入這樣高風險的漏洞的危害。例如,需要注入到存在SQL注入漏洞的應用程序中的xp_cmdshell,它就可以被用來示范攻擊者如何用SQL注入的方法,從運行微軟SQL Server的主機上獲得command prompt。此類范例的影響是看得見的,并且這些漏洞的危害也很明顯。
而跨站點腳本(XSS)就會麻煩的多,安全分析師很難給出看得見的范例來清楚說明該漏洞可能造成的后果。通常安全分析師通過注入像alert('xss')的JAVAScript代碼來說明XSS的危害,該代碼能夠導致應用程序顯示帶有“xss”字樣的彈出窗口。從技術角度來說,這種范例確實證明XSS漏洞的存在性,但是它沒有真實地反映XSS漏洞的危害性。為了找到自動給出XSS范例的工具或方法,我訪問了BeEF。它的站點聲稱:BeEF是瀏覽器發掘平臺。它的目的就是提供簡單的可集成的結構來實時示范瀏覽器以及XSS的危害。 這種模塊結構主要是用BeEF中現存的智能使模塊開發成為一個很簡單的過程。一些基本的功能有Keylogging以及Clipboard Theft。
BeEF是個基于PHP的網絡應用,它捕捉那些有XSS應用漏洞的用戶瀏覽器的請求。在你的機器上運行BeEF,然后用它發現受XSS影響,而通過XSS請求你的主機(有BeEF)上的資源的應用程序。一旦受害者的瀏覽器請求BeEF資源,BeEF將發出警告并允許你注入JavaScript代碼,執行JavaScript端口掃描(例如受害瀏覽器將發起掃描:在受害瀏覽器可能訪問的內網環境中進行的端口掃描酒有可能被攻擊者利用)等等。這個Flash指南很好地示范了BeEF。
同時,我的一個好朋友也在從事跟BeEF類似的工程。如果他決定對外公開一個可用的版本,我將在此發布。
=============================================
而跨站點腳本(XSS)就會麻煩的多,安全分析師很難給出看得見的范例來清楚說明該漏洞可能造成的后果。通常安全分析師通過注入像alert('xss')的JAVAScript代碼來說明XSS的危害,該代碼能夠導致應用程序顯示帶有“xss”字樣的彈出窗口。從技術角度來說,這種范例確實證明XSS漏洞的存在性,但是它沒有真實地反映XSS漏洞的危害性。為了找到自動給出XSS范例的工具或方法,我訪問了BeEF。它的站點聲稱:BeEF是瀏覽器發掘平臺。它的目的就是提供簡單的可集成的結構來實時示范瀏覽器以及XSS的危害。 這種模塊結構主要是用BeEF中現存的智能使模塊開發成為一個很簡單的過程。一些基本的功能有Keylogging以及Clipboard Theft。
BeEF是個基于PHP的網絡應用,它捕捉那些有XSS應用漏洞的用戶瀏覽器的請求。在你的機器上運行BeEF,然后用它發現受XSS影響,而通過XSS請求你的主機(有BeEF)上的資源的應用程序。一旦受害者的瀏覽器請求BeEF資源,BeEF將發出警告并允許你注入JavaScript代碼,執行JavaScript端口掃描(例如受害瀏覽器將發起掃描:在受害瀏覽器可能訪問的內網環境中進行的端口掃描酒有可能被攻擊者利用)等等。這個Flash指南很好地示范了BeEF。
同時,我的一個好朋友也在從事跟BeEF類似的工程。如果他決定對外公開一個可用的版本,我將在此發布。
=============================================
元旦期間,受銀行網點休假影響,許多市民可能選擇網上銀行辦理轉賬、付款等業務。不法分子乘機設套詐騙市民的私人信息。為此,滬上銀行提醒,元旦假期市民更要提防假網銀。
第一、在任何情況下,銀行是不會主動向用戶索取網上銀行賬戶、密碼的;
第二、對那些要求提供密碼、卡號或賬戶等信息的不明短信、電子郵件都要格外提防,切莫輕信;
第三、遇到可疑狀況,應及時打電話與銀行進行核實,不要輕易打開不認識的郵件,尤其是一些可執行文件等;
第四、每次登錄網銀,盡量選擇直接輸入網址登錄,不要從非銀行網站的鏈接間接訪問;最好選用數字證書(U盾等)登錄作為安全手段。
第一、在任何情況下,銀行是不會主動向用戶索取網上銀行賬戶、密碼的;
第二、對那些要求提供密碼、卡號或賬戶等信息的不明短信、電子郵件都要格外提防,切莫輕信;
第三、遇到可疑狀況,應及時打電話與銀行進行核實,不要輕易打開不認識的郵件,尤其是一些可執行文件等;
第四、每次登錄網銀,盡量選擇直接輸入網址登錄,不要從非銀行網站的鏈接間接訪問;最好選用數字證書(U盾等)登錄作為安全手段。
電腦反復中病毒的防范
[ 2007-03-25 03:34:19 | 作者: sun ]
在很多情況下,同一臺電腦經常會發生反復中同一種病毒的事件。比如,中了小郵差后剛殺完毒暫時沒事兒了,可過一段時間,病毒又不請自來。這就是所謂的“同一病毒的再感染”。 其實,如何防止病毒再感染是有一些小竅門的。
病毒再感染一般有兩個原因:一是病毒有了新的變種,二是沒有封堵住病毒的傳播途徑。對第一種原因,我們采用對殺毒軟件在線升級到最新版后,就可以完全解決;第二種原因常會在使用電腦的過程中引發以下多種情況。我們只要認真區別對待,就能解決病毒再感染的相關問題。
1. 系統、工具軟件的漏洞
很多病毒利用操作系統和網絡工具的漏洞進行傳播,比如求職信、小郵差、Bugbear等,它會利用微軟瀏覽器軟件的“Iframe”漏洞,即使用戶沒有打開郵件的附件,僅僅是點擊了郵件,病毒就會自動運行了。
2. 病毒偽裝,引誘用戶上當
這是大多數蠕蟲、木馬類病毒的常用手段。信件標題或是內容有引誘用戶打開附件的文字,利用聊天工具傳播藏有惡意代碼的網址等等。
3. 用戶安全意識不夠高
一些用戶為圖使用方便,對于密碼的管理過于簡單、過于松懈。比如將密碼保存到電腦里,使用一些有規律而且很簡單的密碼,如1234、abcd等,甚至空密碼,這樣就會給一些有猜密碼功能的病毒創造傳播的途徑。
4. 局域網管理的松懈
局域網里的所有電腦都可以互聯,非常隨意地使用共享資源,對共享資源的使用沒有設置相應的權限等。
5. 沒有共同防毒
朋友、家人、聯系人之間,如果只有少部分用戶在防毒,同樣會造成病毒的泛濫。
以上所有的這些因素都會造成病毒的再感染,在現實使用過程中我們經常只是在中毒后簡單地進行殺毒,而沒有阻斷病毒入侵的通道,這就會使我們經常遭受病毒的騷擾,還抱怨殺毒軟件不中用,嚴重影響正常工作。
現今的病毒可謂是“面面俱到”,部分惡性病毒,例如“Bugbear”,把能用上的傳播方法都捆綁于一身,極大增強了病毒傳染的效率。為了防止這類病毒的感染,不僅僅需要殺毒軟件廠商的高效工作,還需要互聯網用戶提高自身的防范意識。同樣防病毒只有部分人在做,或只是防住了病毒傳播的某一途徑,也達不到全面防毒的真正目的。所以,只有廣大用戶都提高了防毒的安全意識,堵住病毒傳染的所有途徑,才能真正的讓病毒無機可乘,無孔而入。
網絡安全趣談:七類黑客各有“黑招”
[ 2007-03-25 03:34:08 | 作者: sun ]
黑客原來也有分別,崆峒,峨嵋,少林,武當,七種黑客,你是哪一種?
惡作劇型:喜歡進入他人網站,以刪除某些文字或圖像、篡改網址、主頁信息來顯示自己的厲害,此做法多為增添笑話自娛或娛人。或者進入他人網站內,將其主頁內商品資料內容、價格作降價等大幅度修改,使消費者誤以為該公司的商品便宜廉價而大量訂購,從而產生Internet訂貨糾紛。
隱蔽攻擊型:躲在暗處以匿名身份對網絡發動攻擊,往往不易被人識破;或者干脆冒充網絡合法用戶,侵入網絡“行黑"。這種行為由于是在暗處實施的主動攻擊行為,因此對社會危害極大。
定時炸彈型:在實施時故意在網絡上布下陷阱,或故意在網絡維護軟件內安插邏輯炸彈或后門程序,在特定的時間或特定條件下,引發一系列具有連鎖反應性質的破壞行動,或干擾網絡正常運行或致使網絡完全癱瘓。此種黑客在原公司離職后,通過連線,在得知原公司Internet地址密碼的情形下,可從網上再次了解到原公司網絡密址及電子郵件中各項文件資料,進而大量截取原公司最新資料,作為不正當競爭之用。這類黑客是企業內部蛀蟲,其危害和影響巨大,有時幾乎導致企業的破產倒閉。而混在政府內的這類黑客,破壞性更大。
矛盾制造型:非法進入他人網絡,修改其電子郵件的內容或廠商簽約日期,進而破壞甲乙雙方交易,并借此方式了解雙方商談的報價價格,乘機介入其商品競爭。有些黑客還利用政府上網的機會,修改公眾信息,挑起社會矛盾。
職業殺手型:此種黑客以職業殺手著稱,經常以監控方式將他人網站內由國外傳來的資料迅速清除,使得原網站使用公司無法得知國外最新資料或訂單;或者將電腦病毒植入他人網絡內,使其網絡無法正常運行。更有甚者,進入軍事情報機關的內部網絡,干擾軍事指揮系統的正常工作,任意修改軍方首腦的指示和下級通過網絡傳遞到首腦機關的情報,篡改軍事戰略部署,導致部隊調防和軍事運輸上的障礙,達到干擾和摧毀國防軍事系統的目的。
竊密高手型:出于某些集團利益的需要或者個人的私利,利用高技術手段竊取網絡上的加密信息,使高度敏感信息泄密。或者竊取情報用于威脅利誘政府公職人員,導致內外勾結進一步干擾破壞內部網的運行。有關商業秘密的情報,一旦被黑客截獲,還可能引發局部地區或全球的經濟危機或政治動蕩。
業余愛好型:計算機愛好者受到好奇心驅使,往往在技術上追求精益求精,絲毫未感到自己的行為對他人造成的影響,屬于無意識攻擊行為。這種人可以幫助某些內部網堵塞漏洞和防止損失擴大。有些愛好者還能夠幫助政府部門修正網絡錯誤。
惡作劇型:喜歡進入他人網站,以刪除某些文字或圖像、篡改網址、主頁信息來顯示自己的厲害,此做法多為增添笑話自娛或娛人。或者進入他人網站內,將其主頁內商品資料內容、價格作降價等大幅度修改,使消費者誤以為該公司的商品便宜廉價而大量訂購,從而產生Internet訂貨糾紛。
隱蔽攻擊型:躲在暗處以匿名身份對網絡發動攻擊,往往不易被人識破;或者干脆冒充網絡合法用戶,侵入網絡“行黑"。這種行為由于是在暗處實施的主動攻擊行為,因此對社會危害極大。
定時炸彈型:在實施時故意在網絡上布下陷阱,或故意在網絡維護軟件內安插邏輯炸彈或后門程序,在特定的時間或特定條件下,引發一系列具有連鎖反應性質的破壞行動,或干擾網絡正常運行或致使網絡完全癱瘓。此種黑客在原公司離職后,通過連線,在得知原公司Internet地址密碼的情形下,可從網上再次了解到原公司網絡密址及電子郵件中各項文件資料,進而大量截取原公司最新資料,作為不正當競爭之用。這類黑客是企業內部蛀蟲,其危害和影響巨大,有時幾乎導致企業的破產倒閉。而混在政府內的這類黑客,破壞性更大。
矛盾制造型:非法進入他人網絡,修改其電子郵件的內容或廠商簽約日期,進而破壞甲乙雙方交易,并借此方式了解雙方商談的報價價格,乘機介入其商品競爭。有些黑客還利用政府上網的機會,修改公眾信息,挑起社會矛盾。
職業殺手型:此種黑客以職業殺手著稱,經常以監控方式將他人網站內由國外傳來的資料迅速清除,使得原網站使用公司無法得知國外最新資料或訂單;或者將電腦病毒植入他人網絡內,使其網絡無法正常運行。更有甚者,進入軍事情報機關的內部網絡,干擾軍事指揮系統的正常工作,任意修改軍方首腦的指示和下級通過網絡傳遞到首腦機關的情報,篡改軍事戰略部署,導致部隊調防和軍事運輸上的障礙,達到干擾和摧毀國防軍事系統的目的。
竊密高手型:出于某些集團利益的需要或者個人的私利,利用高技術手段竊取網絡上的加密信息,使高度敏感信息泄密。或者竊取情報用于威脅利誘政府公職人員,導致內外勾結進一步干擾破壞內部網的運行。有關商業秘密的情報,一旦被黑客截獲,還可能引發局部地區或全球的經濟危機或政治動蕩。
業余愛好型:計算機愛好者受到好奇心驅使,往往在技術上追求精益求精,絲毫未感到自己的行為對他人造成的影響,屬于無意識攻擊行為。這種人可以幫助某些內部網堵塞漏洞和防止損失擴大。有些愛好者還能夠幫助政府部門修正網絡錯誤。
通用排查 看清木馬藏身地
[ 2007-03-25 03:33:48 | 作者: sun ]
木馬取自古希臘神話的特洛伊木馬記,是一種基于遠程控制的黑客工具,具有很強的隱藏性和危害性。為了達到控制服務端主機的目的,木馬往往要采用各種手段達到激活自己,加載運行的目的。這里,我們簡要的介紹一下木馬通用的激活方式,它們的藏身地,并通過一些實例來讓您體會一下手動清除木馬的方法。
●在Win.ini中啟動木馬:
在Win.ini的[Windows]小節中有啟動命令“load=”和“run=”,在一般的情況下“=”后面是空的,如果后面跟有程序,比如:
run=C:\Windows ile.exe
load=C:\Windows ile.exe
則這個file.exe很有可能就是木馬程序。
●在Windows XP注冊表中修改文件關聯:
修改注冊表中的文件關聯是木馬常用的手段,如何修改的方法已在本系列的前幾文中有過闡述。舉個例子,在正常情況下txt文件的打開方式為Notepad.exe(記事本),但一旦感染了文件關聯木馬,則txt文件就變成條用木馬程序打開了。如著名的國產木馬“冰河”,就是將注冊表HKEY_CLASSES_ROOT xtfileshellopencommand子鍵分支下的鍵值項“默認”的鍵值“C:\Windows otepad.exe %1”修改為“C:\WindowsSystemSysexplr.exe”,這樣,當你雙擊一個txt文件時,原本應該用記事本打開的文件,現在就成了啟動木馬程序了。當然,不僅是txt 文件,其它類型的文件,如htm、exe、zip、com等文件也都是木馬程序的目標,要小心。
對這類木馬程序,只能檢查注冊表中的HKEY_CLASSES_ROOT中的文件類型shellopencommand子鍵分支,查看其值是否正常。
●在Windows XP系統中捆綁木馬文件:
實現這種觸發條件首先要控制端和服務端已通過木馬建立連接,控制端用戶使用工具軟件將木馬文件和某一應用程序捆綁在一起,上傳到服務端覆蓋原有文件,這樣即使木馬被刪除了,只要運行捆綁了木馬的應用程序,木馬又會被重新安裝了。如果捆綁在系統文件上,則每次Windows XP啟動都會啟動木馬。
關閉注冊表,打開C:\Autoexec.bat文件,刪除如下兩行:
@echo off copy c:\sys.lon C:\WindowsStart MenuStartup Items
Del c:\win.reg
保存并關閉Autoexec.exe文件。
●IndocTrination v0.1-v0.11注冊表清除實例:
在注冊表中打開如下子鍵:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once
將這些子鍵右邊窗口中的如下鍵值項刪除:
Msgsrv16=“Msgsrv16”,關閉注冊表后重啟Windows,刪除C:\WindowsSystemmsgserv16.exe文件。
●SubSeven-Introduction v1.8注冊表清除實例:
打開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子鍵分支,在右窗口中查找到含有“C:\WindowsSystem.ini”的鍵值項數據,將它刪除。
打開Win.ini文件,將其中的“run=kernel16.dl”改為“run=”,保存并關閉Win.ini文件。
打開System.ini文件,將其中的“shell=explorer.exe kernel32.dl”改為“shell=explorer.exe”,保存并關閉System.ini文件,重啟Windows,刪除C:\Windowskernel16.dl文件。
●廣外女生注冊表清除實例:
退到MS-DOS模式下,刪除System目錄下的diagcfg.exe。由于該病毒關聯的是exe文件,因此,現在刪除它后Windows環境下任何exe文件都將無法運行。我們先找到Windows目錄下的注冊表編輯器“Regedit.exe”,將其改名為“Regedit.com”。
回到Windows模式下,運行“Regedit.com”。打開HKEY_CLASSES_ROOTexefileshellopencommand,將其默認值改為“%1 %*”,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的鍵值項“Diagnostic Configuration”。關閉注冊表。
回到Windows目錄,將“Regedit.com”改回“Regedit.exe”。
●Netbull(網絡公牛)注冊表清除實例:
該病毒在Windows 9X下:捆綁notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆綁:notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打開:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun
在這些子鍵下刪除鍵值項“CheckDll.exe”=“C:\WindowsSystemCheckDll..exe”。
另外,要察看自己的機器是否中了該病毒,可以察看上面列出的文件,如果發現該文件長度發生變化(大約增加了40K左右),就刪除它們。然后點擊[開始]|[附件]|[系統工具]|[系統文件檢查器],在彈出的對話框中選擇“從安裝軟盤提取一個文件”,在框中填入要提取的文件(前面你刪除的),點“確定”,按屏幕提示將這些文件恢復即可。如果是開機時自動運行的第三方軟件,如realplay.exe、QQ等被捆綁上了,那就必須把這些文件刪除后重新安裝了。
●聰明基因注冊表清除實例:
刪除C:\Windows下的MBBManager.exe和Explore32.exe,再刪除C:\WindowsSystem下的editor.exe文件。如果服務端已經運行,則要先用進程管理軟件終止MBBManager.exe這個進程后才能將它刪除。
打開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,刪除鍵值項“MainBroad BackManager”。將HKEY_CLASSES_ROOT xtfileshellopencommand的默認值改為“C:\WindowsNotepad.exe %1”,恢復txt文件關聯。將HKEY_CLASSES_ROOThlpfileshellopencommand的默認值改為“C:\Windowswinhlp32.exe %1”,恢復hlp文件關聯。
以上是一些比較典型的手動清除特洛伊木馬操作步驟,希望大家能在動手的過程中得到啟發,慢慢摸索木馬的藏身和激活規律,以達到以不變應萬變的境地。
