《2019计算机病毒事故紧急救援系统.ppt》由会员分享,可在线阅读,更多相关《2019计算机病毒事故紧急救援系统.ppt(72页珍藏版)》请在三一文库上搜索。
1、计算机病毒事故 紧急救援系统,韩涌,议程安排,电脑部风险因素及通常的管理措施 网络病毒将导致新的安全问题 混合攻击威胁到金融交易系统 具有混合攻击能力的病毒 趋势科技EPS II 解决方案 建立计算机病毒应急救援中心,内容介绍,电脑部风险因素及通常的管理措施,电脑部风险因素及通常的管理措施,电脑系统风险因素 系统风险 硬件部分 电力供给设备系统保障风险 电脑、网络及周边设备 安防系统风险 通讯线路,电脑部风险因素及通常的管理措施,电脑系统风险因素 系统风险 软件部分 操作系统、数据库、应用软件的安全等级 网络入侵及恶意操作 计算机病毒 数据完整性、机密性及可恢复性 灾难备份及恢复,电脑部风险因
2、素及通常的管理措施,电脑系统风险因素 管理风险 日常差错 业务、资金权限 违规操作 系统升级及参数设置修改 泄密,计算机病毒风险及通常的防护手段,计算机病毒风险及通常的防护手段 柜台交易系统死机 ATM网络中断 办公系统运行缓慢 办公网阻塞 财务及其他业务数据丢失(多数EXCEL表) 莫名其妙的电子邮件 网络打印失灵 后台系统数据被监听、窜改,计算机病毒风险及通常的防护手段,各金融机构目前已经采用的防范措施 1 安装经公安部认证检测过的计算机防病毒软件 单机(95/98/ME) 网关(SMTP/POP3/HTTP/FTP) 服务器(NT/2000/NETWARE/UNIX) 邮件(NOTES,
3、EXCHANGE) 中央管控系统(Management Console) 2. 设立专职人员负责全辖范围内的计算机病毒维护,升级及防范工作。 3. 杜绝使用外来软盘、光盘及游戏程序等未经检查的软件,阻断病毒传播的来源。 4. 建立计算机病毒防范管理制度,对个人的上机操作,登录密码,上网,软件使用及升级作出规范。 5. 发现病毒及时隔离,由各级人员指导查杀工作,并形成报告制度。,内容介绍,网络病毒将导致新的安全问题,确定为邮件型病毒 ,网络病毒将导致新的安全问题,资料来源:ICSA 实验室 2002年流行病毒调查报告,病毒的传染途径被分成7类: 1. 电子邮件 2. 互联网下载 3. WEB浏览
4、 4. 第三方设备 5. 软件分发 6. 磁盘 7. 未知,网络病毒将导致新的安全问题,资料来源:ICSA 实验室 2002年流行病毒调查报告,在绝大多数机构内部, 对于通过磁盘交叉使用而感染病毒的途径已经得到控制, 但对于通过网络进行传播的病毒依然束手无策,网络病毒将导致新的安全问题,网络病毒特征: 1. 网络病毒主要通过无形介质进行传播 2. 网络病毒的传播仅需要几个小时的时间,并且越来越快 3. 网络病毒多数利用系统注册表、电子邮件附件、网络攻击漏洞等 方式实现驻留并控制系统 4. 网络病毒不怕暴露特征码明文给防病毒软件,因为只要连着网, 即使被防毒软件杀灭,它们也有机会再复制回来 5.
5、 网络病毒的破坏性变得相对隐蔽,网络病毒将导致新的安全问题,资料来源:ISS Reponse Strategies For Hybrid Threats,在10年的时间里,计算机病毒向全球扩散的速度居然提高了5000多倍,网络病毒将导致新的安全问题,网络病毒的潜在性破坏,a) 监听密码 b) 运行外来应用程序 c) 替换系统密钥 d) 截获屏幕显示信息 e) 远程控制键盘、鼠标 f) 启动/中止系统进程 g) 关闭系统 h) 阻塞网络,网络病毒将导致新的安全问题,由于这些差别非常之大,以至于有时候很难戒定是网络入侵还是病毒, 这些差别在挑战着安全管理人员的同时也挑战着厂商的安全防范系统, 它是
6、否还能够抵御网络病毒的入侵?,内容介绍,混合攻击威胁到金融交易系统,混合攻击威胁到金融交易系统,新一代的网络病毒会带来新一代的网络攻击方式,混合攻击(Hybrid Attack),1.攻击可以不是人为的,而是由计算机病毒或更复杂的攻击系统(攻击树)自动发出的 2.来自外部的入侵感染模型在爆发时多数呈现不均匀分布 3.现有的攻击技术可以自动生成更复杂、更为系统化的攻击工具,混合攻击威胁到金融交易系统,资料来源:Cert -02tr039,来自外部的入侵感染模型显示,在爆发时多数呈现不均匀分布,混合攻击威胁到金融交易系统,来自外部的入侵感染模型显示,在爆发时多数呈现不均匀分布,混合攻击威胁到金融交
7、易系统,现有的攻击技术可以自动生成更复杂、更为系统化的攻击工具,1、组合攻击因子。通常包括启动因子(最为核心部分,负责通讯),传播因子(可组合),入侵因子,控制指令解码(被加密),监听因子,自毁因子等。 2、生成攻击树。向攻击目标释放含有不同因子的攻击树,并监控其渗透过程。 3、建立指令通道。启动因子利用控制引擎建立指令通道,负责攻击树内部及攻击树之间互相通讯 4、建立攻击通道。启动因子利用入侵因子建立攻击通道,在攻击树之间进行路由运算。 5、获取合法身份。启动因子利用监听因子实现获取包括证书备份,截获屏幕(如果网上银行系统不用键盘输入口令),监听口令等动作 5、内部、外部攻击。注意防火墙这时
8、候不起作用,证书和口令也许均被截获,攻击完全从内部合法发出。 6、自我销毁。,混合攻击威胁到金融交易系统,现有的攻击技术可以自动生成更复杂、更为系统化的攻击工具,攻击树及攻击子集资料来源:CERTAttack Modeling for information Security and Survivability,混合攻击威胁到金融交易系统,缓存溢出(buffer overflow)入侵因子,目的:利用缓存溢出漏洞向目标系统释放恶意代吗 条件:攻击者能够在目标系统运行特定程序 攻击: AND 1.识别目标系统可疑的缓存溢出漏洞 2.确定在当前权限下可以运行的攻击程序 3.制作参数及SHELL C
9、ODE 4.运行程序以覆盖返回地址并跳转执行SHELL CODE 事后处理:确保程序正常返回并清理记录,混合攻击威胁到金融交易系统,一个形象的混合攻击过程,l 防火墙:请出示工作证 l 电子邮件混合攻击:我是正常的电子邮件 l 防火墙:可以,校验通过 l 电子邮件混合攻击:启动进入邮件服务器及办公系统,并截获其他人的邮件地址 l 电子邮件混合攻击:现已进入邮件系统,处于防火墙之内,可以在网络内部发起攻击了 l 电子邮件混合攻击:感染通讯因子并生成监听因子,生成攻击通道 l 电子邮件混合攻击:发现与预先设定的触发模式吻合,应该是生产交易系统,开始下载攻击工具 l 电子邮件混合攻击:攻击开始,并从
10、系统内部发出,身份获得伪装 l 生产交易系统:请出示身份证 l 电子邮件混合攻击:给出伪装身份证 l 生产交易系统:可以,校验通过 l 电子邮件混合攻击:利用攻击通道通知远端控制台攻击过程 l 电子邮件混合攻击:攻击成功。传出加密数据,自毁。 电子邮件混合攻击:攻击失败。清理现场,下载新的攻击因子,尝试继续攻击。,内容介绍,具有混合攻击能力的病毒,具有混合攻击能力的计算机病毒,SQL蠕虫 病毒体376字节 生存方式驻留内存感染 受攻击系统 Microsoft SQL Server 2000 SP2 Microsoft SQL Server 2000 SP1 Microsoft SQL Serv
11、er 2000 Desktop Engine Microsoft SQL Server 2000 - Microsoft Windows NT 4.0 SP6a - Microsoft Windows NT 4.0 SP6 - Microsoft Windows NT 4.0 SP5 - Microsoft Windows NT 4.0 - Microsoft Windows 2000 Server SP3 - Microsoft Windows 2000 Server SP2 - Microsoft Windows 2000 Server SP1 - Microsoft Windows 20
12、00,具有混合攻击能力的计算机病毒,SQL蠕虫 传播方式 SQL Resolution Service Buffer Overflow (UDP/1434)* 攻击方式DoS (UDP Flood)* HKLMSoftwareMicrosoftMicrosoft SQL Server %s%sMSSQLServerCurrentVersion *Microsoft 2002/07/25发布 *CERT Advisory 1996/02/08发布,具有混合攻击能力的计算机病毒,该恶意病毒采用了结合蠕虫和后门程序等多种特性的方式。在传播中,它会向网络中的共享文件夹中散布自身。而同时作为后门攻击程序
13、,它会打开一个网络端口(默认情况为”10168”),从而允许远端访问者控制和操作整个受感染的系统;同时还向2个邮箱通知受感染系统的情况: ,,Worm_LoveGate.C 爱虫,具有混合攻击能力的计算机病毒,将文件放置在系统目录下。通常为: C:WindowsSystem,Windows 9x 系统中 C:WinNTSystem32 in Windows NT/2K 系统中 文件名称(都是79KB大小): WinRpcsrv.e syshelp.exe winrpc.exe WinGate.exe rpcsrv.exe,具有混合攻击能力的计算机病毒,自动运行 添加注册表键值 HKEY_LO
14、CAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,具有混合攻击能力的计算机病毒,如图所示:,具有混合攻击能力的计算机病毒,其它注册表键值 该键值由病毒添加,目的是通过修改注册表使得每次用户打开TXT文件时,病毒即可自动运行 注册表键值如下: HKEY_CLASSES_ROOTtxtfileshellopencommand “C:WINDOWSNOTEPAD.EXE %1“ “winrpc.exe %1“ HKEY_LOCAL_MACHINESoftwareCLASSEStxtfileshellopencommand “C:WINDOWSN
15、OTEPAD.EXE %1“ “winrpc.exe %1“,具有混合攻击能力的计算机病毒,INI 文件 病毒会通过修改Win.ini文件的方式,使得自己可以自动运行,具有混合攻击能力的计算机病毒,网络传播. 病毒会通过网络共享将自身复制到具有读写权限的网络共享文件夹中,具有混合攻击能力的计算机病毒,感染后的其它特征: 在命令行模式下,运行NETSTAT A,可观察到10168端口已经被打开,MSBlaster.A - Details,病毒详细描述 自启动技术以及常驻内存检验 在运行时,该蠕虫会在注册表中建立如下自启动项目以使得系统启动时自身能得到执行: HKEY_LOCAL_MACHINES
16、OFTWAREMicrosoftWindows CurrentVersionRun, Windows auto update“ = MSBLAST.EXE 然后检查自身是否已常驻内存,如果已在内存中运行,则停止继续运行。 如果继续运行,则检查当前计算机是否有可用的网络连接。如果没有连接,则休眠10秒然后再次检查Internet连接。该过程一直持续到一个 Internet 连接被建立。,MSBlaster.A - Details,病毒详细描述 分布式拒绝服务攻击 在Internet连接建立的情况下,蠕虫开始检查系统日期,在满足下列日期的情况下蠕虫发送对的分布式拒绝服务攻击: 以下月份的16日至3
17、1日: 一月 二月 三月 4月 五月 六月 七月 八月 或是九月至十二月的任意一天 然后,蠕虫开始尝试连接至其他目标系统的135端口。,MSBlaster.A - Details,病毒详细描述 A 变种 - 经UPX压缩 - 使用MSBLAST.EXE作为生成的文件名称 - 使用“windows auto update“作为注册表自启动项目名称 - 包含下列字符串 I just want to say LOVE YOU SAN! billy gates why do you make this possible ? Stop making money and fix your software
18、! 2. .B 变种 - .A变种的解压缩版本 - 使用PENIS32.EXE作为生成的文件名称 3. .C 变种 经 FSG压缩 使用 teekids.exe作为文件名称 使用“Microsoft Inet Xp“作为注册表自启动项目名称 包含下列字符串 Microsoft can suck my left testi! Bill Gates can suck my right testi! And All Antivirus Makers Can Suck My Big Fat Cock,MSBlaster.A - Details,病毒详细描述 分布式拒绝服务攻击 在Internet连接建
19、立的情况下,蠕虫开始检查系统日期,在满足下列日期的情况下蠕虫发送对的分布式拒绝服务攻击: 以下月份的16日至31日: 一月 二月 三月 4月 五月 六月 七月 八月 或是九月至十二月的任意一天 然后,蠕虫开始尝试连接至其他目标系统的135端口。,内容介绍,趋势科技EPS II 解决方案,利用趋势科技EPS II 解决方案建立计算机病毒应急救援中心,EPSII 解决方案,Outbreak Lifecycle Timeline,Declared Yellow/Red Alert August 11, 2003, 8:55 PM (GMT) Network worm First Spotted: U
20、S, August 11, 2003 (GMT),Outbreak Policies Deployed TMCM 43 Prevents the spread of the malware,+ 0:48 min,+0:51 min,Pattern File Deployed Pattern File - OPR 604,+ 1:45 min,Cleaning Template Deployed DCT 153,+ 0:00 min.,MSBLaster.A Attack,TCP PORT 135 Closed,TCP PORT 135 Closed,TCP PORT 135 Closed,IN
21、FECTED SYSTEM ATTEMPTS TO INFECT OTHER CLIENTS,A. Worm uses infected computer to search for other computers without the Microsoft patch,B. Worm forces un-patched computer to receive a program. Then it takes control of the computer. The worm, MSBlaster begins spreading when the computer is restarted.
22、 In Windows XP, worm reboots the computer to begin spreading immediately.,TCP PORT 135 OPEN,C. MSBlaster continues spreading and all infected computers begin sending repetitive messages to creating a cyber traffic jam that could crash the site.,MS PATCH,MS PATCH,MS PATCH,TMCM 2.5 Outbreak Commander
23、,Outbreak Commander OPP Deployment,1.8 Virus awareness notification,为了保险起见,对移动用户和机器异常的用户,提供在线杀毒,1.7 AV portal - Customized AV Knowledge Base and report,趋势科技可以协助 银行节省的投入,清除,感染数量,时间,EPS II 解决方案及金融业专署服务,趋势科技EPS II 解决方案及金融业专署服务,趋势科技EPS II 解决方案及金融业专署服务,趋势科技EPS II 解决方案及金融业专署服务,2.1 AV solution deployment s
24、imulation,Response Time Line,内容介绍,建立金融业计算机病毒应急救援中心,Internet,攻击模式,染毒电脑,未修补漏洞的系统,已修补漏洞的系统,被感染,不被感染,不被感染,被感染,被感染,不被感染,不被感染,金融企业计算机病毒事故应急救援模型,全行安全管理架构,集中与分布相结合 以分行作为基本管理单位 总行承担监控职责 补丁与防毒相结合 操作系统补丁安装 防病毒组件更新,全局性管理 网关防毒 总行网络防毒,自助设备 / 服务器 / 客户端 防毒管理,银行总体防毒架构,总行: 全局性管理 状态监控/更新,分行: 业务服务器管理 安全事件响应,分布式防护与集中管理相
25、结合的整体安全体系架构; 明确的、层次化的职责划分,对分行防病毒进行集中监管,工作方式: 心跳检查,61,主要功能的实现,关闭状态,被攻击状态,正常状态,用户分组,补丁检查 客户端工具,工具: Microsoft Baseline Security Analyzer 作用: 1 发现客户端操作系统确实的补丁 2 配合SUS服务器,按照管理员制定的策略部署系统补丁程序,63,总行SUS服务器: P 采取双备方式确保高可用性 各分行SUS服务器命名规则: Patch.XX.C 建议使用稳定的服务器设备 #各分行SUS指向总行SUS同步,64,操作系统漏洞扫描 SUS服务器部署,主要功能的实现 安全
26、漏洞扫描工具,可以扫描整个网段 可以报告多项信息 可以预定义多个任务 可以自动发送扫描结果到管理员信箱,主要功能的实现 病毒来源跟踪,维护过程中的注意事项,情况描述 数据列表 改进建议,病毒情况,病毒爆发应急规划,应急规划的要素 联系人名单 应急操作流程 事件处理文档化 应急规划的原则 有效的预警机制 重新获得控制权 处置后监控 系统恢复 安全修补 记录和通报情况,在应急处置过程中,预先的规划,快速的响应,以及优秀的服务品质是成功的关键,病毒爆发应急处理,病毒爆发应急处理 根据紧急病毒查杀通知,及时传达到本行(部)工作人员 监督本行(部)病毒清除情况及补丁安装情况 查找本行(部)的病毒来源,采取必要的隔离和处理措施 对本行(部)工作人员发布病毒爆发情况、处理方法、注意事项、杀毒工具 重大事件及时通知本行各部门管理负责人,金融企业计算机病毒事故应急救援模型,联系方式,张瑞飞(Roy Chang) Sales Manager Trend Micro Incorporated Tel: (010) 65978678 Cell Phone:13801368509 Email: roy_ http:/,