【正文】 emp目錄，用它來(lái)做ftp的根目錄。其中，用戶名是用administrator，密碼空。 測(cè)試運(yùn)行流光主程序，按“Ctrl+R”鍵彈出掃描框，在掃描范圍欄里輸入你要掃描的I P 地址范圍，在掃描主機(jī)類型里選擇NT/98 ，然后具體掃描，根據(jù)具掃描信息“探測(cè)所IPC$ 用戶列表”，并沒(méi)有存在空連接漏洞。具體的防護(hù)方案在第三章中已經(jīng)做詳細(xì)的解答所以在此沒(méi)有在此提出第六章 總結(jié) 總結(jié)通過(guò)這兩個(gè)月的努力，終于完成了APT攻擊的發(fā)現(xiàn)與防護(hù)方案的設(shè)計(jì)。在設(shè)計(jì)的過(guò)程中，出現(xiàn)了很多錯(cuò)誤，可是老師都會(huì)細(xì)心地為我的設(shè)計(jì)糾正錯(cuò)誤，避免我將該方案設(shè)計(jì)偏離主題，這次設(shè)計(jì)的完成，很大一部分功勞是老師的，因?yàn)樽龅倪^(guò)程中都是他一步一步的指導(dǎo)，這次設(shè)計(jì)，讓我看到了老師治學(xué)嚴(yán)謹(jǐn)和認(rèn)真負(fù)責(zé)的工作態(tài)度，這樣的態(tài)度將積極影響我今后的學(xué)習(xí)和工作。使我自身的修養(yǎng)有了一定的提高。所以剛開(kāi)始設(shè)計(jì)的時(shí)候基本不知道該怎樣著手，可是經(jīng)過(guò)利用兩個(gè)禮拜的時(shí)間查詢了大量的資料文獻(xiàn)，對(duì)APT攻擊的定義及特征有了一個(gè)初步的認(rèn)識(shí)，并了解了檢測(cè)APT攻擊的一些方法，異常檢測(cè)，威脅檢測(cè)，記憶檢測(cè)，在這些檢測(cè)方法的基礎(chǔ)上，提出自己的一些改進(jìn)。運(yùn)行后顯示“找不到網(wǎng)絡(luò)路徑”。這樣通過(guò)IPC$ 的遠(yuǎn)程登錄就成功了。 建立成功界面下載一個(gè)ftp客戶端，Cute FTP ，新建一個(gè)鏈接，點(diǎn)擊鏈接后，如果連接成功，就可以實(shí)現(xiàn)文件的上傳和下載了。(FTP)輸入網(wǎng)站系統(tǒng)的描述，在這里輸入“myweb”。直到IIS安裝完成。為服務(wù)器部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)。將用戶名和密碼輸入框中輸入的信息進(jìn)行一個(gè)驗(yàn)證處理，例如只能輸入數(shù)值或字符，那么要登陸后臺(tái)，則必須滿足通過(guò)驗(yàn)證的條件后，才來(lái)也正該用戶名和密碼是否正確，確保用戶輸入的都是數(shù)字。： 匹配流圖當(dāng)攔截到Http請(qǐng)求后首先對(duì)請(qǐng)求內(nèi)容進(jìn)行URL解碼，其主要目的是防止攻擊者以URL編碼方式構(gòu)造SQL注入語(yǔ)句。攻擊語(yǔ)句正則表示說(shuō)明。Password=39。139。139。password’可能會(huì)帶來(lái)SQL注入攻擊，因?yàn)楫?dāng)我們?cè)谟脩裘兔艽a地址欄中輸入username*絕大部分社工攻擊是通過(guò)電子郵件或即時(shí)消息進(jìn)行的。因?yàn)?Adminstrator賬戶擁有最高的系統(tǒng)權(quán)限，一旦攻擊者獲得Adminstrator賬戶權(quán)限，就可以對(duì)系統(tǒng)進(jìn)行任何操作，后果不堪設(shè)想， 安裝必要的安全軟件 為內(nèi)網(wǎng)中的各個(gè)主機(jī)安裝必要的防黑軟件、殺毒軟件和防火墻，在一定的程度上保證計(jì)算機(jī)安全。 禁止建立空連接 將內(nèi)網(wǎng)的所有計(jì)算機(jī)上禁止建立空連接。定期對(duì)服務(wù)器的賬戶、密碼進(jìn)行檢查，看看是否存在異常情況。所以在開(kāi)發(fā)WEB應(yīng)用程序時(shí)，應(yīng)該要有嚴(yán)格的安全編碼規(guī)范標(biāo)準(zhǔn)，避免注入、上傳、文件包含、遠(yuǎn)程、本地代碼執(zhí)行、XSS等漏洞安全問(wèn)題的產(chǎn)生。同時(shí)制定一些制度，規(guī)定員工發(fā)郵件時(shí)不帶鏈接、附件等。蠕蟲(chóng)、病毒，往往會(huì)掃描服務(wù)器，從而造成信息泄漏，低權(quán)限管理員有可能利用此權(quán)限，進(jìn)行越權(quán)、高危操作。最常見(jiàn)的還有遠(yuǎn)程辦公帶來(lái)的安全威脅。從而識(shí)別出攻擊者將攻擊行為包裝成成正常行為的行為。 全流量審計(jì)組要是對(duì)全過(guò)程流量施以應(yīng)用上的識(shí)別與還原， 從而檢測(cè)出異常的可能會(huì)對(duì)系統(tǒng)造成危害的行為。所以該方案是將文件放在沙盒中執(zhí)行，檢測(cè)該文件對(duì)系統(tǒng)的所有更改是否是有害的，如果對(duì)該系統(tǒng)沒(méi)有造成影響，就允許通過(guò)，如果有影響，或則會(huì)危害到系統(tǒng)的秘密信息，就該文件攔截。對(duì)于員工賬號(hào)訪問(wèn)審計(jì)，并進(jìn)一步用于員工賬號(hào)訪問(wèn)異常檢測(cè)。 并且沙箱檢測(cè)與整個(gè)網(wǎng)絡(luò)運(yùn)行環(huán)境相關(guān)， 操作系統(tǒng)的類型、 瀏覽器的版本、 安裝的插件版本等都對(duì)沙箱檢測(cè)的結(jié)果起著影響。因?yàn)锳PT是在很長(zhǎng)時(shí)間內(nèi)才發(fā)生，也許一年，兩年，甚至五年，才可能發(fā)生，所以我們要在一段時(shí)間內(nèi)發(fā)現(xiàn)APT，還是很有難度的，需要對(duì)長(zhǎng)時(shí)間、全流量數(shù)據(jù)進(jìn)行深度分析，針對(duì)APT攻擊行為的檢測(cè)，需要構(gòu)建一個(gè)多維度的安全模型，還可以通過(guò)手動(dòng)檢查文件來(lái)識(shí)別一些微小的不易發(fā)現(xiàn)的標(biāo)記，并將這些標(biāo)記作為潛在惡意活動(dòng)的指示。傳統(tǒng)基于攻擊特征的入侵檢測(cè)和防御方法在檢測(cè)和防御apt方面效果已經(jīng)變得很不理想了。第五階段：資料發(fā)掘。攻擊者成功入侵目標(biāo)網(wǎng)絡(luò)后，通常并不急于獲取敏感信息和數(shù)據(jù)，而是在隱藏自身的前提下找出放有敏感信息的重要計(jì)算機(jī)。攻擊者對(duì)鎖定的目標(biāo)和資源采用針對(duì)性APT攻擊，使用技術(shù)和社會(huì)工程學(xué)手段針對(duì)性地進(jìn)行信息收集，目標(biāo)網(wǎng)絡(luò)環(huán)境探測(cè)，線上服務(wù)器分布情況，應(yīng)用程序的弱點(diǎn)分析，了解業(yè)務(wù)狀況，員工信息，收集大量關(guān)于系統(tǒng)業(yè)務(wù)流程和使用情況等關(guān)鍵信息，通過(guò)網(wǎng)絡(luò)流量、軟件版本、開(kāi)放端口、員工資料、管理策略等因素的整理和分析[7]，得出系統(tǒng)可能存在的安全弱點(diǎn)。(2)社交工程的惡意郵件是許多APT攻擊成功的關(guān)鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。應(yīng)對(duì)新的威脅，需要有新的思路。但是到了以后，我們將需要綜合社會(huì)、政治、經(jīng)濟(jì)、技術(shù)等多重指標(biāo)進(jìn)行判斷，以充分評(píng)估和分析目標(biāo)攻擊。APT攻擊時(shí)代的來(lái)臨預(yù)示著定向攻擊將成為惡意軟件發(fā)展的新趨勢(shì)[4]。所以關(guān)注點(diǎn)較為分散，不成體系，無(wú)法對(duì) APT 攻擊形成較為全面的認(rèn)知和理解。近年來(lái)，APT高級(jí)持續(xù)性威脅便成為信息安全圈子人人皆知的時(shí)髦名詞[1]。設(shè)計(jì)的目的主要是從APT的規(guī)范定義及特征入手,對(duì)攻擊發(fā)起的背景、步驟等進(jìn)行較詳盡的描述, 在分析APT攻擊的一般過(guò)程基礎(chǔ)上,針對(duì)攻擊不同階段,從技術(shù)措施和防護(hù)方法等方面給出具體的建議，并給出具體、完善的檢測(cè)、響應(yīng)和防范APT攻擊的可行性方案。大致主要分為兩種方式:靜態(tài)檢測(cè)方式和動(dòng)態(tài)檢測(cè)方式[3]。（1）攻擊將會(huì)更有針對(duì)性：越來(lái)越多的APT攻擊將會(huì)針對(duì)特定的地區(qū)、特定的用戶群體進(jìn)行攻擊。Persistent與傳統(tǒng)攻擊手段和入侵方式相比，APT 攻擊體現(xiàn)的技術(shù)性更強(qiáng)，過(guò)程也更為復(fù)雜，他的攻擊行為沒(méi)有采取任何可能觸發(fā)警報(bào)或者引起懷疑的行動(dòng)，所以更接近于融入被攻擊者的系統(tǒng)或程序。(3)利用防火墻、服務(wù)器等系統(tǒng)漏洞繼而獲取訪問(wèn)企業(yè)網(wǎng)絡(luò)的有效憑證信息(4)很多企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范。采用誘騙手段將正常網(wǎng)址請(qǐng)求重定向至惡意站點(diǎn)，發(fā)送垃圾電子郵件并捆綁染毒附件，以遠(yuǎn)程協(xié)助為名在后臺(tái)運(yùn)行惡意程序，或者直接向目標(biāo)網(wǎng)站進(jìn)行 SQL 注入攻擊等。C服務(wù)器間保持通信[]。第六階段：資料竊取。并且該方案能夠識(shí)別和分析服務(wù)器和客戶端的微妙變化和異常。根據(jù)整個(gè)apt攻擊過(guò)程，圍繞APT的攻擊步驟提出具體的檢測(cè)方案。該方案提出了在多種查詢條件下對(duì)流量數(shù)據(jù)進(jìn)行可視化分析，例如目的 IP 地址流量統(tǒng)計(jì)排序、目的端口流量統(tǒng)計(jì)排序等；并對(duì)對(duì)重要文件的操作及對(duì)應(yīng)的發(fā)生時(shí)間進(jìn)行審計(jì)。在該模塊產(chǎn)生日志分析的基礎(chǔ)上，根據(jù)一些經(jīng)驗(yàn)規(guī)則或者自定義的規(guī)則，主動(dòng)的發(fā)現(xiàn)可能發(fā)生的安全威脅虛擬分析技術(shù)。通過(guò)進(jìn)行人工整合的工作，對(duì)不同的情況采取不同的措施。還可以在發(fā)現(xiàn)異常情況后，利用原先的全流量的存儲(chǔ)， 將異常行為返回到與之相關(guān)的時(shí)間點(diǎn)。其中內(nèi)網(wǎng)包括PC機(jī)和服務(wù)器，外網(wǎng)就只有PC機(jī)。員工的U盤、移動(dòng)硬盤、光盤也有可能在外部感染木馬，從而攻擊內(nèi)網(wǎng)中的主機(jī)、服務(wù)器，然后將數(shù)據(jù)傳到外部。（3）PC補(bǔ)丁管理服務(wù)器WSUS支持微軟的全部產(chǎn)品的更新，以及補(bǔ)丁程序。確保每個(gè)員工的主機(jī)都能安全地運(yùn)行（8）培養(yǎng)員工的安全意管理員應(yīng)該定期對(duì)員工進(jìn)行網(wǎng)絡(luò)安全方面知識(shí)的普及和培訓(xùn)，規(guī)范員工的上網(wǎng)，引導(dǎo)員工去安全地上網(wǎng)，從而確保內(nèi)網(wǎng)環(huán)境安全和穩(wěn)定。（2）安裝WEB應(yīng)用防火墻安裝防火墻，一定程度上也可以提高WEB的安全系數(shù)。發(fā)現(xiàn)異常，應(yīng)及時(shí)的做相應(yīng)的處理，為服務(wù)器進(jìn)行定期的漏洞掃描安全人員也應(yīng)該進(jìn)行相應(yīng)的手工漏洞挖掘工作。使用代理服務(wù)器后，攻擊者只能探測(cè)到道理服務(wù)器的IP地址而不是內(nèi)網(wǎng)中主機(jī)的IP地址，這就實(shí)現(xiàn)了隱藏用戶IP地址的目的，從而保障了內(nèi)網(wǎng)的安全。社會(huì)工程學(xué)的攻擊主要是從“人”開(kāi)始的。DNS服務(wù)器，可能是內(nèi)部的緩存服務(wù)器,也可能是外部的DNS服務(wù)器,由于只能對(duì)內(nèi)部DNS服務(wù)器監(jiān)控而無(wú)法監(jiān)控外部DNS服務(wù)器的情況，因此不能完全避免這種類型的攻擊[13]。WHEREor39。*39。39。\s*drop\s+table\s+|_az09]+()?刪除數(shù)據(jù)’or 1=1 (’\s+)?or\s+[[。對(duì)于包含注入關(guān)鍵字的Web請(qǐng)求，可以遍歷規(guī)則庫(kù)對(duì)請(qǐng)求內(nèi)容進(jìn)行詳細(xì)的正則匹配。使用正則表達(dá)式來(lái)進(jìn)行復(fù)雜的模式匹配，限制用戶輸入的字符的長(zhǎng)度[21]。第五章 ATP攻防實(shí)驗(yàn) 實(shí)驗(yàn)平臺(tái)的搭建 平臺(tái)拓?fù)鋱D： 環(huán)境網(wǎng)絡(luò)拓?fù)鋱D，主要?jiǎng)澐謨蓚€(gè)網(wǎng)段，是主要的攻擊目標(biāo)。： 完成界面。在彈出的提示中單擊“是”即可。出現(xiàn)提示時(shí)，如需要文件i386，則定位到剛才拷貝的i386文件，一直點(diǎn)下一步，最后點(diǎn)完成（1）配置ftp站點(diǎn)點(diǎn)擊“開(kāi)始”—“管理工具”—“Internet 操作系統(tǒng)IPC$ 漏洞攻擊 攻擊： 攻擊流程圖運(yùn)行流光主程序，按“Ctrl + R ”鍵彈出掃描框，在掃描范圍欄里輸入你要掃描的I P 地址范圍，在掃描主機(jī)類型里選擇NT/98 ，確定后進(jìn)行掃描。： 設(shè)置步驟（4）刪除默認(rèn)共享用記事本自建一個(gè)刪除所有默認(rèn)共享的批處理文件，放在啟動(dòng)欄里，每次啟動(dòng)機(jī)器時(shí)都自動(dòng)運(yùn)行，以刪除所有的默認(rèn)共享。 映射C盤打開(kāi)“我的電腦”，并沒(méi)有看到目標(biāo)主機(jī)的C盤，： 攻擊機(jī)中的計(jì)算機(jī)空連接漏洞攻擊失敗，說(shuō)明該防護(hù)方案是可行的 SQL注入攻擊：該攻擊的過(guò)程是利用自己搭建的“家庭理財(cái)管理系統(tǒng)”網(wǎng)站進(jìn)行的SQL注入攻擊，正常情況下只要用戶或者管理員輸入自己的用戶名和密碼，如果正確則會(huì)跳轉(zhuǎn)到后臺(tái)的登陸界面，如果失敗則會(huì)提示錯(cuò)誤信息，： 登陸界面我們是在知道用戶名可是不知道密碼的情況下對(duì)該網(wǎng)站進(jìn)行登陸，我們可以通過(guò)社會(huì)工程學(xué)的方法獲取用戶名，利用用戶名，然后密碼處輸入框中構(gòu)造查詢語(yǔ)句，密碼的結(jié)構(gòu)為：“隨機(jī)密碼’or 1=1 ”，由于密碼的驗(yàn)證是字符串，所以單引號(hào)不可以丟，or 1=1是一個(gè)永遠(yuǎn)為真的語(yǔ)句 ，再用 注釋掉原有語(yǔ)句后面還有的內(nèi)容，所以不管輸入什么隨機(jī)密碼，所以當(dāng)表中有用戶記錄時(shí)，那么查詢的結(jié)果就一定會(huì)為真，也就是說(shuō)當(dāng)我們指導(dǎo)用戶名，而不知道密碼的情況下，通過(guò)構(gòu)建該語(yǔ)句，一定能登陸成功，現(xiàn)在構(gòu)造用戶名為：小明，密碼為1314’or 1=1 ，： 輸入界面點(diǎn)擊登錄就進(jìn)去了，： 后臺(tái)界面通過(guò)手工注入猜的方法對(duì)該網(wǎng)站進(jìn)行SQL攻擊，判斷該網(wǎng)站是否存在注入點(diǎn)：通過(guò)構(gòu)造URL：:8080/?id=2,對(duì)數(shù)據(jù)庫(kù)進(jìn)行動(dòng)態(tài)的查詢業(yè)務(wù),在瀏覽器的地址欄中輸入U(xiǎn)RL,然后按回車，： 網(wǎng)站界面對(duì):8080/ ?id=2進(jìn)行驗(yàn)證，在IE地址欄中輸入:8080/ ?id=2 and 1=1，: and 1=1的界面在IE地址欄中輸入:8080/ ?id=2 and 1=4，: 異常界面出現(xiàn)異常，所以該網(wǎng)站存在注入點(diǎn)，我們從id=2中。 展望該防護(hù)方案針對(duì)的是APT攻擊的手段進(jìn)行防護(hù)的，可是前期信息收集階段，并沒(méi)有進(jìn)行相應(yīng)的防護(hù)，由于APT攻擊周密完善且攻擊目標(biāo)明確的信息收集，所以一旦確定攻擊目標(biāo)后，就會(huì)不計(jì)成本的挖掘或者購(gòu)買Odays漏洞，想辦法滲透到目標(biāo)的內(nèi)部,利用社會(huì)工程學(xué)的方法，成功攻擊，APT攻擊總是會(huì)尋找一種有效的途徑進(jìn)入企業(yè)的內(nèi)部，所以僅依靠網(wǎng)上的一些掃描工具是很難發(fā)現(xiàn)APT攻擊的，大多數(shù)情況下都是利用社會(huì)工程學(xué)的方法，這是這種方法很難方法，他的利用因