《網(wǎng)絡(luò)攻防與協(xié)議分析》課件-3.病毒文件

關(guān)于病毒文件的

入侵檢測配置1關(guān)于惡意代碼文件惡意代碼分類-傳播方式按照傳播方式對惡意代碼進(jìn)行分類病毒：通過遍歷感染文件傳播。蠕蟲：通過遍歷網(wǎng)絡(luò)發(fā)送攻擊數(shù)據(jù)包傳播。木馬：通過欺騙和釣魚誘騙受害者訪問。惡意程序-病毒病毒定義：狹義的病毒指通過對系統(tǒng)和共享目錄中文件進(jìn)行感染，以實現(xiàn)自身復(fù)制并執(zhí)行功能的惡意代碼。主要傳播方式：感染文件傳播典型家族：CIH、熊貓燒香、震蕩波正常文件惡意代碼惡意程序-熊貓燒香病毒傳播方式：本地硬盤、網(wǎng)絡(luò)共享威脅：感染EXE、COM、PIF、SRC、HTML、ASP等多種文件類型其他功能：終止大量殺軟進(jìn)程刪除備份gho文件家族特點：被感染文件圖標(biāo)替換為“熊貓燒香”惡意程序-蠕蟲定義：蠕蟲是主要通過網(wǎng)絡(luò)使惡意代碼在不同設(shè)備中進(jìn)行復(fù)制、傳播和運行的惡意代碼。傳播方式：通過網(wǎng)絡(luò)發(fā)送攻擊數(shù)據(jù)包典型家族：愛蟲、沖擊波、永恒之藍(lán)蠕蟲主要傳播途徑聊天工具、郵件、漏洞聊天工具郵件漏洞蠕蟲惡意程序-愛蟲蠕蟲傳播方式：利用outlook郵件傳播威脅：感染VBS、HTA、JPG、MP3等多種文件類型其他功能：向通訊錄中所有地址發(fā)送病毒郵件副本家族特點：郵件標(biāo)題為：ILOVEYOU多在情人節(jié)爆發(fā)惡意程序-永恒之藍(lán)蠕蟲傳播方式：利用永恒之藍(lán)漏洞傳播威脅:遠(yuǎn)程任意代碼執(zhí)行其他功能：傳播wannacry勒索軟件家族特點：利用smb服務(wù)漏洞傳播攻擊面積大病毒木馬-木馬木馬是指在計算機系統(tǒng)中植入的人為設(shè)計的惡意程序。木馬大多由服務(wù)端和客戶端構(gòu)成，其目的包括無感知地對目標(biāo)計算機遠(yuǎn)程接管、控制資源，如復(fù)制文件、修改文件、刪除文件、查看文件內(nèi)容、上傳/下載文件等，或控制鍵盤鼠標(biāo)，隨意修改計算機的注冊表和系統(tǒng)文件，也可監(jiān)視目標(biāo)計算機任務(wù)并可隨時被終止任務(wù)，竊取計算機信息資料，或遠(yuǎn)程關(guān)閉/重啟計算機，惡意導(dǎo)致計算機系統(tǒng)癱瘓。木馬攻擊關(guān)鍵技術(shù)木馬植入技術(shù)自動加載技術(shù)隱藏技術(shù)連接技術(shù)監(jiān)控技術(shù)相傳在古希臘時期，特洛伊王子帕里斯劫走了斯巴達(dá)美麗的王后海倫和大量的財物。斯巴達(dá)國王組織了強大的希臘聯(lián)軍遠(yuǎn)征特洛伊，但久攻不下。有人獻(xiàn)計制造一只高二丈的大木馬，假裝作戰(zhàn)馬神，讓士兵藏匿于巨大的木馬中，同時命令大部隊佯裝撤退而將木馬棄于特洛伊城下。城中得知解圍的消息后，遂將“木馬”作為奇異的戰(zhàn)利品拖入城內(nèi)，全城飲酒狂歡。到午夜時分，全城軍民盡入夢鄉(xiāng)，匿于木馬中的將士出來開啟城門及四處縱火，城外伏兵涌入，部隊里應(yīng)外合，徹底攻破了特洛伊城。后世稱這只大木馬為“特洛伊木馬”。木馬舉例-捆綁類木馬傳播方式：通過被攻擊者主動下載其他功能：后臺靜默執(zhí)行惡意木馬家族特點：包含正常軟件木馬舉例-利用網(wǎng)頁木馬傳播方式：主動修改頁面內(nèi)容感染網(wǎng)頁文件其他功能：一般作為攻擊的中間環(huán)節(jié)下載/釋放其他惡意文件家族特點：一般在網(wǎng)頁文件頭部或尾部惡意程序分類-功能分類按照功能對惡意代碼進(jìn)行分類后門：具有感染設(shè)備全部操作權(quán)限的惡意代碼。勒索：通過加密文件，敲詐用戶繳納贖金。挖礦：消耗系統(tǒng)資源，挖取比特幣。廣告：消耗系統(tǒng)資源，騙取流量。惡意程序-后門病毒定義：后門指繞過系統(tǒng)安全性控制而具有操作權(quán)限的惡意代碼。典型功能：文件管理、屏幕監(jiān)控、鍵盤監(jiān)控、視頻監(jiān)控、命令執(zhí)行等。典型家族：灰鴿子、pcshare惡意程序-灰鴿子后門典型功能：視頻/鍵盤/屏幕監(jiān)控文件/命令操作家族特點：開發(fā)初衷為機房管理國產(chǎn)后門反向連接惡意程序-勒索病毒定義：通過加密用戶文件使用戶數(shù)據(jù)無法正常使用，并以此為條件向用戶勒索贖金的惡意代碼。加密特點：主要采用非對稱加密方式對文檔、郵件、數(shù)據(jù)庫、源代碼、圖片、壓縮文件等多種文件類型進(jìn)行加密其他特點：通過比特幣或其它虛擬貨幣交易利用釣魚郵件和爆破rdp口令進(jìn)行傳播典型家族：Wannacry、GandCrab、GlobeImposter惡意程序-wannacry勒索軟件典型功能：利用永恒之藍(lán)漏洞主動傳播幾乎加密所有文件類型家族特點：2017年5月12日爆發(fā)傳播存在開關(guān)域名勒索彈窗有“wanna”字樣惡意程序-挖礦病毒定義：攻擊者通過向被感染設(shè)備植入挖礦工具，消耗被感染設(shè)備的計算資源進(jìn)行挖礦，以獲取數(shù)字貨幣收益的惡意代碼。特點：不會對感染設(shè)備的數(shù)據(jù)和系統(tǒng)造成破壞。由于大量消耗設(shè)備資源，可能會對設(shè)備硬件造成損害。惡意程序-廣告軟件定義：廣告是一種附帶廣告功能，以流量作為盈利來源的惡意代碼，其往往會強制安裝并無法卸卸載。特點：在后臺收集用戶信息頻繁彈出廣告消耗系統(tǒng)資源等典型家族：PUA廣告軟件廣告軟件舉例-PUA廣告軟件

典型功能：具有正常軟件下載安裝功能包含大量附加下載復(fù)選框家族特點：常見安裝包圖標(biāo)附加下載復(fù)選框全部默認(rèn)勾選極易被忽略被安裝大量無用軟件2病毒文件傳輸

入侵檢測實驗病毒文件檢測配置實驗關(guān)于本實驗通過配置入侵檢測策略，實現(xiàn)病毒文件傳輸?shù)臋z測。實驗?zāi)康睦斫馊肭謾z測系統(tǒng)使用簽名識別病毒文件的原理，練習(xí)入侵檢測策略的配置。實驗背景Kali主機和靶機之間，通過防火墻設(shè)備進(jìn)行網(wǎng)絡(luò)連接，防火墻將連接靶機的流量，通過端口鏡像引流到入侵檢測設(shè)備。IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24異常包攻擊檢測配置實驗-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置1、防火墻接口IP地址配置#啟動“pikachu”

靶場，sudo密碼centos[centos@localhost~]#sudodockerstartpikachuIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24異常包攻擊檢測配置實驗-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置2、防火墻配置DHCPIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24異常包攻擊檢測配置實驗-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置3、防火墻ge3接口配置鏡像接口引流IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24異常包攻擊檢測配置實驗-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置4、防火墻配置一條全通策略，放通流量IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24異常包攻擊檢測配置實驗-基礎(chǔ)配置拓?fù)浯罱ɑA(chǔ)配置5、配置入侵檢測ge2接口為“旁路模式”，安全域為“untrust”。IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24網(wǎng)絡(luò)掃描檢測配置實驗-病毒文件檢測漏洞攻擊入侵檢測配置1、配置自定義病毒簽名IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24網(wǎng)絡(luò)掃描檢測配置實驗-病毒文件檢測漏洞攻擊入侵檢測配置2、配置防病毒安全配置文件，并在安全策略中引用IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主機CentOS靶機入侵檢測防火墻/24/24漏洞檢測配置實驗-實驗驗證實驗驗證1、將“re