http入侵報告

1、天津電子信息職業(yè)技術學院課程設計 題目 職業(yè)資格取證 姓 名李超專業(yè)班級計算機網絡技術S14- 班學 號44完成時間2016年6月天津電子信息職業(yè)技術學院 制2016.6摘要： 隨著互聯(lián)網的快速發(fā)展、工業(yè)信息化的推進以及多種網絡的融合，網絡信息安全問題已經成為一個突出的社會性問題。近年來，受經濟利益驅動而借助僵尸網絡和木馬進行網絡攻擊和信息竊取的事件數量快速增加。網絡攻擊范圍已經由計算機互聯(lián)網擴展到工業(yè)控制系統(tǒng)、通信、能源、航空和交通等各個領域。根據國家互聯(lián)網急中心的網絡安全態(tài)勢報告針對網絡基礎設施的探測、滲透和攻擊事件時有發(fā)生，網站被植入后門等隱蔽性攻擊事件呈增長態(tài)勢，網站用 戶信息成為黑客

2、竊取重點；火焰病毒(Flame)、 高斯病毒(Gauss)和紅色十月(Red October)病毒 等實施的高級持續(xù)性威脅(Advanced Persistent Threat，APT)活動頻現，對國家和企業(yè)的信息安全造成嚴重威脅。2012 年，我國境內至少有 4.1 萬余臺主機感染了具有 APT 特征的木馬程序。 與此相呼應，2009 年以來，多起 APT 攻擊事件 接連被曝光，部分確認受到國家級的支持。最近美國“棱鏡(PRISM)”計劃告密者斯諾登于 2013 年 11 月公開的機密材料顯示，我國有大量用 戶被美國通過計算機網絡入侵(Computer Network Exploitatio

3、n)方式安裝惡意軟件操控。網絡攻擊和信息竊取行為，已經對公民個人財產及信息安全乃至國家信息安全都造成了嚴重威脅。 目 錄一、隱蔽式網絡攻擊的概念和特點 2（一）概 念3（二）特 點4二、隱蔽式網絡攻擊對當前安全體系的挑戰(zhàn) 5三、隱蔽式網絡攻擊的攻與防 7四、隱蔽式網絡攻擊檢測的未來 9五、總結 10六、參考文獻 10一 、隱蔽式網絡攻擊的概念和特點(一)概 念 隱蔽式網絡攻擊是一種對抗性網絡攻擊，采用隱蔽的入侵手段，并將自身網絡通信偽裝或隱藏于合法的正常網絡數據流中，以躲避主機和網絡安全檢測，從而長期駐留并控制受害主機，達到持續(xù)竊取信息或長期控制利用的目的。隱蔽式 網絡攻擊的概念核心點如下：

4、(1)網絡相關性。攻擊必須有網絡活動，因此單機上的惡意軟件不屬于此概念范疇。需要指出的是，本文討論的網絡一般限定為 IP 網絡，但廣義上講此處所指網絡的形式和協(xié)議是多種多樣的。 (2)隱蔽性。入侵方式和通信行為偽裝或隱藏是隱蔽式網絡攻擊的核心特征，因此，使用固定的非常用服務端口通信(加密或非加密)、網絡 通信具有明顯內容簽名特征或者攻擊過程容易被受害方感知的攻擊(比如拒絕服務類)等不屬于此 概念范疇。 (3)可控性。攻擊者可以通過網絡遠程控制受害主機執(zhí)行指定操作、記錄、上傳指定信息，因此一般意義上的蠕蟲、病毒不屬于此概念范疇。 (4)目的性。以持續(xù)竊取機密信息或長期控 制利用為目的，因此普通的

5、后門程序、盜取個人信息的常規(guī)木馬、惡意勒索軟件等都不屬于此范疇。目前流行的網絡攻擊中隱蔽型的木馬(Trojan)及后門程序(Backdoor)、新型僵尸網絡 (Botnet)和部分 APT 可歸為此類攻擊，而拒絕服務(DOS)攻擊和 Web 入侵滲透 (SQL 注入、跨站腳本攻擊)等一般不屬于此概念范疇(部分可歸結 為隱蔽式網絡攻擊采用的技術手段)。需要指 的是，早期的 IRC 僵尸網絡大都采用具有明顯特征的明文通信協(xié)議，而常規(guī)木馬采用異常端口或 明文協(xié)議，容易被發(fā)現，不具備強隱蔽性特征， 顯然不屬于隱蔽式網絡攻擊。我們定義的隱蔽式 網絡攻擊與定向網絡攻擊3、APT 有較多重疊。 拒絕服務攻擊

6、雖然不具有一般意義的隱蔽性，但 其往往是由僵尸網絡控制者(BotMaster)操縱數以萬計的僵尸(Zombie)主機(俗稱“肉雞”)來實施 的，而 Web 入侵的目的通常是竊取網站用戶信息或通過植入惡意軟件控制更多的主機，因此他們與隱蔽式攻擊經常有著密切的聯(lián)系。典型僵尸網絡的攻擊流程包括利用漏洞入侵、命令與控制通信、信息竊取或實施攻擊。典型木馬的攻擊流程包括利用漏洞、文件捆綁入侵、命令與控制通信和信息竊取。典型 APT 的攻擊流程包括情報搜集、利用漏洞入口點突破，命令與控制通信、內部橫向移動、資產/數據發(fā) 現和數據隱蔽泄露。上述三者及隱蔽式網絡攻擊 的技術特點、目的性和側重點總結?？梢钥闯?，利

7、用漏洞等隱蔽方式入侵、與命令控制服務器通信、實施信息竊取是他們的共同點。就隱蔽性而言，APT 與隱蔽式網絡攻擊最為 相近。APT 與隱蔽式網絡攻擊的最大區(qū)別在于，前者一般被理解為定向攻擊，而后者可以是非定 向的。APT 攻擊發(fā)起者在攻擊實施前首先要針對特定攻擊目標進行深入的調查，然后有針對地展開全方位的入侵突破，采用手段包括高級入侵技術(常見是零日漏洞利用)或社會工程學等手段。此外，新型威脅、下一代威脅和高級網絡攻 擊等概念實際意義與 APT 大同小異，此處不再 贅述。總之，隱蔽式網絡攻擊是對當前最具挑戰(zhàn)性的一類高隱蔽性網絡攻擊的概括，其隱蔽性充分體現了攻擊實施者與當前安全防護技術體系的對抗行

8、為與能力。由于隱蔽式網絡攻擊是一個新的概念其特 點與目前的APT、僵尸網絡和木馬存在部分重疊，因此，我們嘗試從已存在的木馬、僵尸網絡 和 APT 的典型攻擊過程和技術特點中提取隱蔽式網絡攻擊的一般攻擊流程及特點。鑒于木馬和僵尸網絡是惡意軟件和網絡攻擊領域廣泛接受的概念，我們首先從最近引起 關注的 APT 出發(fā)，分析典型的 APT 攻擊的相 關情況。根據 Chien的研究，并結合國外 Mandiant(麥迪安)、FireEye(火眼)、McAfee(麥 咖啡)和 Kaspersky(卡巴斯基)等安全公司的 APT 研究分析報告，匯總了典型 APT 案例的具體 情況。經過對表格分析并結合部分報告內

9、容，我們可以得到如下關于 APT 的初步經驗結論APT 通常利用零日或未修復漏洞進行入侵突破，通過網絡進行命令控制通信和信息竊??；被 攻陷主機通常采用常見服務尤其是加密服務的 端口通信來躲避安全檢測，最常用的端口是 443 和 80 等與 Web 相關的服務；C&C 服務器部署的 SSL/TLS 服務常采用匿名性強的自簽名證書命令控制服務器 IP 地理分布往往是相對分散的，通信內容載荷往往經過壓縮、加密變形。由此可見，采用高級隱蔽技術躲避檢測是 APT 的主要技術特點。圖1 常見網絡攻擊與隱蔽式網絡攻擊比較（二）特 點 由于隱蔽式網絡攻擊是一個新的概念，其特點與目前的APT、僵尸網絡和

10、木馬存在部分重疊，因此我們嘗試從已存在的木馬、僵尸網絡和 APT的典型攻擊過程和技術特點中提取隱蔽式網絡攻擊的一般攻擊流程及特點。鑒于木馬和僵尸網絡是惡意軟件和網絡攻擊領域廣泛接受的概念，我們首先從最近引起 關注的 APT 出發(fā)，分析典型的 APT 攻擊的相關情況。根據 Chien 等的研究，并結合國外Mandiant(麥迪安)、FireEye(火眼)、McAfee(麥咖啡)和等安全公司的 APT 研究分析報告，匯總了典APT 案例的具體情況經過對表格分析并結合部分報告內容，我們可以得到如下關于 APT 的初步經驗結論APT 通常利用零日或未修復漏洞進行入侵突破，通過網絡進行命令控制通信和信息

11、竊?。槐还ハ葜鳈C通常采用常見服務尤其是加密服務的 端口通信來躲避安全檢測，最常用的端口是 443 和 80 等與 Web 相關的服務；C&C 服務器部署的 SSL/TLS 服務常采用匿名性強的自簽名證書；命令控制服務器 IP 地理分布往往是相對分散的，通信內容載荷往往經過壓縮、加密變形。由此可見，采用高級隱蔽技術躲避檢測是 APT 的主要技術特點。僵尸網絡和木馬雖然從具體特征上未必與 APT 相同，但他們也在朝著更具隱蔽性的方向 發(fā)展。主流僵尸網絡已經逐步采用 HTTP 協(xié)議 通信，其通信協(xié)議采用 HTTP，很難做到有效檢測和通用性檢測；而木馬已經長期采用 HTTP 協(xié) 議作為突破防火

12、墻等安全設備的方法。同時，與 APT 類似，采用常見服務端口如 80、443 和 8080 等的僵尸網絡和木馬實例也被不斷發(fā)現比如 Zeus 和 Spyeye 等。因此，可以看出的一個趨勢是：網絡攻擊由于趨利性而走向隱蔽性，而為了實現隱蔽性，往往偽裝自身通信內容隱藏于海 量的合法和正常的網絡數據流中。隱蔽式網絡攻擊之所以能夠長期潛伏而不被發(fā)現，正是依賴于上述躲避當前主流安全審查策略及技術的高級手段。根據對當前曝光的隱蔽式 攻擊實例分析，總結出其主要特征如下： (1)高級入口點突破。為了保證攻擊的隱蔽性，入口點突破技術既要突破網絡防護，又要突破主機防護，經常利用零日漏洞或未修復漏洞， 或通過社會

13、工程學方式將惡意文件或軟件傳遞至特定目標。零日漏洞利用(常見是電子郵件附件 和水坑攻擊)、SQL 注入攻擊、跨站腳本攻擊和特種木馬等是常用手段。 (2)隱蔽網絡通信。用于受害者主機與外部 命令控制服務器通信，以及將竊取到的數據泄露，用于躲避防火墻訪問控制規(guī)則、IDS 內容檢測等。通常通過出站連接外部常用的合法服務端 口進行通信，包括加密服務和非加密服務端口。 最常用的端口是 80(HTTP)和 443(HTTPS)，其他常用端口包括 22(SSH)和 8080(HTTP) 等，同時也不排除采用 53(DNS)、21(FTP)、25(SMTP)110(POP3)、465(SMTPS)和 995(

14、POP3S)等常見服務端口。 (3)內部網絡入侵。當攻擊者在內部網絡找 到立足點之后，一般都需要通過內部網絡入侵控制更多有經濟情報價值的主機進而訪問到高價值的資產或信息。經常會用到的技術包括內部網 絡主機探測、漏洞掃描和口令破解等內網滲透技 術等。由于目前的網絡防護主要是邊界防護安全設備一般部署在網關位置，網絡內部缺乏有效 的攻擊檢測和防護，缺乏有效的內網絡數據流 的監(jiān)控方法，一旦攻擊者突破網絡邊界的安全壁壘，對內網的攻擊就變得相對容易。其中，隱蔽網絡通信是隱蔽式網絡攻擊的核心特點。圖2 典型 APT 案例的分析二、隱蔽式網絡攻擊對當前安全體系的挑戰(zhàn)自2010年起被曝光的隱蔽式網絡攻擊事件明顯

15、增多，尤其是美國的一些安全公司頻繁爆料此類攻擊。當然，其中存在某些安全公司為了特定目的把不具備此類攻擊明顯特征的網絡攻擊進行炒作的現象，比如對于，鐵克、卡巴斯基與麥咖啡公司就持有不同意見：鐵克認為麥咖啡過分夸大了該攻擊，卡巴斯基則認為僅僅是僵尸網絡而已。然而，國內外的這些案例警示我們，目前的網絡安全系統(tǒng)已經無法應對快速發(fā)展的網絡攻 擊技術。幾十年來，網絡安全防護缺乏前瞻性研究，核心技術思想沒有實質變化，當新型網絡攻擊突破當前防護體系的核心防護技術后，整個網絡安全行業(yè)似乎一下子被拉開差距，處于疲于應付的狀態(tài)。目前的安全防護體系的主流安全防護設備包括基于主機的反病毒(Anti-virus)軟件、主

16、機防火墻和主機入侵防護系統(tǒng)(HIPS)，基于網絡的防火墻(Firewall)、網絡入侵檢測/防護設備(IDS/ IPS)、統(tǒng)一威脅管理(UTM)和 Web 應用防火墻 (Web Application Firewall，WAF)等。這些設備 和安全防護技術尚不能滿足隱蔽式攻擊檢測的需 求。主流安全防護產品在應對隱蔽式網絡攻擊時的表現情況由可以看出隱蔽式網絡攻擊能夠有效地有針對性地突破當前的安全防護體系。目前的主機防護的異常行為檢測技術容易被隱蔽式攻擊的正常行為繞過，基于特征碼的檢測則更加容易躲避。同時，隱蔽式攻擊采用“大隱隱于市”(Hide in the Plain Sight)的方法，主要是

17、合法服務端口、合法行為和合法加密通道的方式突破 目前的網絡安全防護。需要說明的是，主機入侵防護系統(tǒng)理論上能 夠檢測主機端隱蔽式攻擊行為，然而其總體易用性較差，正常應用也可能被誤報，安全性很大程度上依賴于用戶的個人判斷能力，因此未能廣泛應用。而目前的自動化 HIPS 技術不完善，往往因 為便利性而犧牲安全性，且 HIPS 采用的防護技術也能被繞過，因此 HIPS 不能從單點解決隱蔽性網絡攻擊問題。此外，目前安全防護體系提出的云安全 (Cloud Security)和沙箱(Sandbox)技術也不能解 決隱蔽式網絡攻擊的問題。云安全的主要思想是利用知識共享和統(tǒng)計方法。共享云中的一臺主機 發(fā)現惡意攻

18、擊軟件后上報至云端，云端服務下發(fā) 至各個用戶這樣可以實現一處發(fā)現，全網受益，從而有效縮短對攻擊的響應時間。而統(tǒng)計是指對于一個樣本，如果大部分用戶都識別為安全，那么從統(tǒng)計上該樣本是安全可信的；反之，大部分人認為是攻擊程序，則其很可能是有害的。這里面可能存在很多問題，包括對安全廠商以及公共私有云的信任，用戶隱私泄露，用戶是否加入云，普通用戶對惡意攻擊的識別度及主機端檢測技術水平等。目前來看云安全并沒有在檢測技術上有根本性提升，只是通過分布式群體協(xié)作架構在一定程度上提高安全性。因此，云安全不能從根本上應對隱蔽式網絡攻擊。沙箱技術作為目前防護惡意軟件的主流技術之一試圖采用虛擬運行環(huán)境發(fā)現惡意軟件的攻擊

19、性行為，但很可能被隱蔽式網絡攻擊繞過或因系統(tǒng)、軟件、環(huán)境等不能滿足特定條件無法觸發(fā)攻擊行為?？傊[蔽式網絡攻擊的最大特點是隱蔽性，從入侵技術到持續(xù)潛伏，再到與外部通信和數據泄露，力求做到在用戶無覺察情況下突破入口點，利用內網防護弱點進行網內移動，從而使主機端安全軟件認為其是合法程序或構成部分安全防護體系認為其通信行為是合法行為。這樣就對目前的安，全檢測和應急響應帶來了巨大挑戰(zhàn)。三、隱蔽式網絡攻擊的攻與防對隱蔽式網絡攻擊的研究目前處于起步階段，主要是通過實例分析找到此類攻擊的主要技術手段，并相應采取新老交替的方法進行應對，同時借助于一些新的技術進行對抗，比如零日漏檢測技術、隱蔽網絡通信行為的檢測

20、以及多源 數據的關聯(lián)融合分析等。下面將從其相關技術和檢測兩個方面分別進行闡述隱蔽式網絡攻擊隱蔽式網絡攻擊之所以采用零日漏洞等攻擊 手段，無非是為了突破當前的網絡安全防護體系。而當今網絡安全防護系統(tǒng)中，防火墻和IDS 仍占據主要地位，但較以往的粒度更細，功能亦更多。下面就從入侵檢測系統(tǒng)逃避和新型隱蔽攻擊方法探索兩個方面進行簡單總結。在躲避入侵檢測系統(tǒng)方面，相關研究工作至少可以追溯到上個世紀末，且持續(xù)至今。Ptacek 等13指出了 IDS 系統(tǒng)被動協(xié)議分析可靠性的兩個根本問題，即信息不全和被動方式，并定義基于上述問題的針對 IDS 系統(tǒng)的三類攻擊：插入、逃避和拒絕服務，針對市場上四款 IDS 產

21、品的測試表明上述攻擊是有效的。Wagner 等14引入了模仿攻擊(Mimicry Attacks)的概念，并開發(fā)了一個評估 IDS 對抗模仿攻擊安全性的理論框架，針對一個典型主機 IDS 采用 6 種思路實施攻擊包括在避免改變應用可觀察到的行為、耐心等待適時插入攻擊序列、尋找最佳執(zhí)行路徑、替換系統(tǒng)調用參數、插入無用操作和生成等效攻擊。Kayacik 等15對模仿攻擊進行了揭秘，將緩沖區(qū)溢出攻擊分為前奏和利用兩個組成部分，通過對四個有漏洞的UNIX 應用程序進行監(jiān)控研究前奏和利用部分的異常行為，結果表明雖然利用部分可以逃避異常檢測，前奏部分卻難以完全Kolesnikov 等16探討基于正常流量變

22、異的多態(tài)蠕蟲(每個實例具有不同形態(tài))的概念，研究當蠕蟲 已經進入目標系統(tǒng)內時如何躲避本地 IDS 檢測的 問題。針對 IDS 實例的實驗表明，簡單的多態(tài)蠕蟲可以躲避基于特征簽名的 IDS而高級多態(tài)蠕蟲通過特定方法將自身混入正常 HTTP 流量中并保持流量屬性的統(tǒng)計分布基本不變，可以躲避基于異常的 IDS 的檢測。在 Rajab的研究中他們指出隨著被動網絡監(jiān)視器司空見慣，惡意軟件可以主動探測他們并躲避他們，并提出一種簡單有效的動態(tài)躲避網絡監(jiān)視器的技術。該方法采用輕量級的采樣技術探測活動網絡的 IP 前綴隔離不活動的 IP 前綴對應的網絡(可能是未被 使用或作為被動監(jiān)測)，從而避免被監(jiān)視器所捕 獲

23、。Marpaung 等對惡意軟件的逃避技術進行了總結，包括混淆(Obfuscation)、分片和會話拼 (Splicing)，應用特定的違規(guī)行為，協(xié)議違規(guī)行為，在 IDS 處插入流量，拒絕服務和代碼重用攻擊。在新型隱蔽攻擊的探索方面，最近較為火熱的是高級逃逸技術(Advanced Evasion Technique)，其技術大部分都是上述逃避 IDS 的方法中提及的技術。2010 年 10 月，芬蘭公司 STONESOFT 發(fā)現，很多高級逃逸技術可以穿透很多當時國際上著名的大公司網絡。這一方面說明當前安全設備 存在諸多不完善之處，同時也為攻擊者提供了躲避安全檢測的思路，即利用攻擊目標安全防護系

24、統(tǒng)的自身漏洞。劉超等設計實現了一種基于 TLS 加密通信協(xié)議 HTTPS 隧道木馬，可以有效繞過防火墻和入侵檢測系統(tǒng)。此外，零日漏洞的 挖掘和利用對于隱蔽攻擊往往是十分便利的，相關研究此處并未包含。需要指出的是，對于安全行業(yè)，最好的技術、最新的方法未必體現在學術研究成果上。受經濟和政治利益驅動，黑客或研究人員一旦找到 可以突破安全防護的新方法(比如可利用的系統(tǒng) 或常用軟件零日漏洞、新的攻擊技術)，往往不是將相關信息提供給安全公司并提醒用戶防護，而是用來謀取利益。比如 Vupen 公司就將其團隊發(fā)現的漏洞出售，這種情況在黑客社區(qū)并不少見。對于國家來說，新的隱蔽攻擊方法可能被作為網絡對抗中的有力武

25、器，很可能屬于國家秘密，并不輕易示人。這樣以來，學術研究往往會滯后于實踐，甚至在一定程度上缺乏實用性。因此，我們的總結必然是不全面的。但至少可以看出，安全本身就是一個蘊含著攻防雙方對抗的動態(tài)概念。攻擊方對于躲避安全防護系統(tǒng)的探索從未停止過，也不可能停止。隱蔽式網絡攻擊的凸顯是防護方的方法和技術較明顯落后于對方的表現。四、隱蔽式網絡攻擊檢測的未來當前的主流檢測技術來看，采用常見服務端口的隱蔽式網絡攻擊通信行為能容易地夠繞過安全防護。對于隱蔽式攻擊加密信道的檢測，研究者在運用多種檢測手段并進行綜合關聯(lián)分析方面達成了一致的看法，但缺乏對關鍵環(huán)節(jié)關鍵問題的深入研究，更多的是綜合性的檢測方案。反病毒軟件

26、和網絡入侵檢測設備分別作為主機和網絡層面的主要防護手段，如何在技術層面提升他們應對隱蔽式攻擊的能力是需要解決的難題。從隱蔽式攻擊的生命周期看，在命令控制通信和數 據隱蔽泄漏階段實施檢測是基于網絡檢測較為合適的選擇，而主機端檢測技術對于早期發(fā)現并阻 止隱蔽式攻擊入侵具有關鍵性意義。需要指出的是，隱蔽式網絡攻擊的檢測是整個安全行業(yè)的挑戰(zhàn)性問題，需要花費大量精力進行相關技術突破，從關鍵點出發(fā)，由點及面，構建綜合立體防御，最終實現從分散的、異構的海量數據流中發(fā)現隱藏的威脅。當前針對隱蔽式網絡攻擊的檢測方法可歸結為以下幾方面：入口點惡意代碼檢測：在互聯(lián)網入口點和主機層面對 Web、郵件、文件共享等可能攜帶的惡意代碼進行檢測，在早期及時發(fā)現 APT 攻擊的蛛絲馬跡出口點數據防泄密：APT 攻擊目標是有 價值的數據信息，在主機上部署數據泄漏防護產品，防止敏感信息的外傳也是防御 APT 攻擊的方法之一。攻擊過程中網絡通信檢測：在網絡層面對 APT 攻擊的行為進行檢測。大數據分析：全面采集網絡中的各