【正文】 人已走，就把木馬當作是獻給雅典娜的禮物搬入城中。日后，攻擊者就能夠通過運行客戶端程序，來對目標計算機進行操作 遠程控制技術的發(fā)展歷程 ? 第一代 ? 功能簡單、技術單一，如簡單的密碼竊取和發(fā)送等 ? 第二代 ? 在技術上有了很大的進步，如國外的 BO2022，國內的冰河等 ? 第三代 ? 為了躲避防火墻而在數據傳遞技術上做了不小的改進，比如利用 ICMP協議以及采用反彈端口的連接模式 ? 第四代 ? 研究操作系統(tǒng)底層，在進程隱藏方面有了很大的突破 傳統(tǒng)的遠程控制步驟 如何遠程植入程序 直接攻擊 電子郵件 文件下載 瀏覽網頁 + 合并文件 經過偽裝的木馬被植入目標機器 遠程受控端程序的自啟動 ? Windows啟動目錄 ? 注冊表啟動 ? Run(RunOnce/RunOnceEx/RunServices） ? KnownDLLs ? 修改文件關聯方式 ? 系統(tǒng)配置文件啟動 ? ? ? 服務啟動 ? 其他啟動 遠程受控端程序的隱藏 ? 在任務欄（包括任務管理器）中隱藏自己 ? 初步隱藏 ? 注冊為系統(tǒng)服務 ? 不適用于 Win2k/NT ? 啟動時會先通過窗口名來確定是否已經在運行，如果是則不再啟動 ? 防止過多的占用資源 ? 進程隱藏 ? 遠程線程插入其他進程（不適用于 Win9X） ? Hook技術 遠程控制數據傳輸方式 ? ICMP協議傳送 ? 反彈端口 + HTTP隧道技術 反彈端口連接模式 1024 反彈式的遠程 控制程序 防火墻 IP數據包過濾 目標主機 Windows 系統(tǒng) IE 進 程 木馬線程 正常線程 正常線程 … Inter Explorer 瀏覽網頁 端口 監(jiān)聽端口 傳統(tǒng)遠 程控制程序 遠程控制的防御 ? 遠程端口掃描 ? 本地進程 — 端口察看 ? Fport / Vision ? AntiyPorts ? APorts ? 本地進程察看 ? Pslist ? Listdlls ? 注冊表監(jiān)控 ? Regmon ? 文件監(jiān)控 ? Filemon ? 使用專用的查殺工具 ? 加強使用者的安全意識 Vision AntiyPorts DoS與 DDoS攻擊 ? DoS (Denial of Service)攻擊的中文含義是拒絕服務攻擊 ? DDoS (Distributed Denial of Service)攻擊的中文含義是分布式拒絕服務攻擊 拒絕服務攻擊的種類 ? 發(fā)送大量的無用請求，致使目標網絡系統(tǒng)整體的網絡性能大大降低，喪失與外界通信的能力。 ? 攻擊一般會采用 IP地址欺騙技術，隱藏自己的 IP地址，所以很難追查。 ? 口令猜測可分為 ? 遠程口令破解 ? 本地口令破解 遠程口令破解 ? 許多網絡服務，都是通過賬號 /口令來認證需要訪問該服務的用戶 ? POP3 Netbios Tel FTP HTTP等 ? 可以遠程進行窮舉字典的方式來猜解口令 ? 破解效率很低，而且容易被記錄 本地口令猜解 ? 各種操作系統(tǒng)以自己各自的方式存放密碼文件，而大多數的加密算法都比較脆弱，容易被猜解 ? 本地破解速度非?？?，具體的速度取決于系統(tǒng)的配置 ? 在協同工作越來越發(fā)達的今天，本地口令破解可以說是“百發(fā)百中” Windows口令破解技術簡介 ? 在 WinNT/2K系統(tǒng)中，使用一套較老的加密算法 — LAN Manager ? LM散列算法存在著致命缺陷 ? 用戶密碼縮短到 14個字符，若不足則用 0x00填補 ? 前 8個字節(jié)由用戶密碼的前 7個字符推導而來 ? 后續(xù) 8個字節(jié)由密碼的 814個字符得來 Windows口令破解技術簡介 ? Windows系統(tǒng)以 sam文件格式存放密碼文件，有多種方式可以獲得 ? %SystemRoot%\system32\config\sam ? %SystemRoot%\repair\ ? 使用 pwdump3遠程從注冊表中導出 ? 嗅探網絡中 SMB報文包含的口令散列值 ? 破解工具 ? stake的 L0phcrack stake L0phcrack Unix系統(tǒng)的口令破解 ? Unix系統(tǒng)的口令密文存放在 /etc/passwd或/etc/shadow文件中 ? 加密算法 ? 傳統(tǒng)加密沿用最多的是 DES算法的口令加密機制 ? 為了增強 DES的加密強度，引入了被稱作 Salt的附加手段 ? 猜測工具 ? John The Ripper 候選口令 產生器 字典 口令文件 口令 加密 口令比較 輸出匹配 的口令 口令破解防御對策 ? 制定正確的密碼策略，并貫徹實施 ? 密碼長度，強度足夠 ? 定期更換密碼 ? 禁用類似 1234567 puter…… 這樣的簡單密碼 ? 提高人的安全意識很重要 攻擊發(fā)展趨勢 個人信息安全的防范技巧 ? 不輕易運行不明真相的程序 ? 屏蔽小甜餅（ Cookie ） 信息 ? 不同的地方用不同的口令 ? 屏蔽 ActiveX控件 ? 定期清除緩存、歷史記錄以及臨時文件夾中的內容 ? 不隨意透露任何個人信息 ? 突遇莫名其妙的故障時要及時檢查系統(tǒng)信息 ? 對機密信息實施加密保護 ? 拒絕某些可能有威脅的站點對自己的訪問 ? 加密重要的郵件 ? 1在自己的計算機中安裝防火墻 ? 1為客戶 /服務器通信雙方提供身份認證，建立安全信道 ? 1盡量少在聊天室里或使用 OICQ聊天 Any Questions