qq3250845

安全技术详解 跳板攻击与防御

qq3250845

互联网已经日益普及了，大多数的互联网用户也意识到了网络安全问题的重要，如今网友们的警惕性都很高，想要直接让他们执行木马程序可谓是比登蜀道还难了。木马程序由来已久，可能即便是平常不上网的朋友都有所听闻，更何况是互联网的老手了。但是如同高手寂寞，黑客们可是不甘寂寞的，挑战才是他们所要的生活，所以越来越多的伪装星木马程序开始出现了。

　　1、冒充为图像文件

　　首先，黑客最常使用骗别人执行木马程序的方法，就是将特木马程序说成为图像文件，比如说是照片等，应该说这是一个最不合逻辑的方法，但却是最多人中招的方法，有效而又实用 。

　　只要入侵者扮成美眉及更改服务器程序的文件名(例如 sam.exe )为“类似”图像文件的名称，再假装传送照片给受害者，受害者就会立刻执行它。为甚么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是 exe，而木马程序的扩展名基本上又必定是 exe ，明眼人一看就会知道有问题，多数人在接收时一看见是exe文件，便不会接收了，那有什么方法呢? 其实方法很简单，他只要把文件名改变，例如把“sam.exe” 更改为“sam.jpg” ，那么在传送时，对方只会看见sam.jpg 了，而到达对方电脑时，因为windows 默认值是不显示扩展名的，所以很多人都不会注意到扩展名这个问题，而恰好你的计算机又是设定为隐藏扩展名的话，那么你看到的只是sam.jpg 了，受骗也就在所难免了!

　　还有一个问题就是，木马程序本身是没有图标的，而在电脑中它会显示一个windows 预设的图标，别人一看便会知道了!但入侵者还是有办法的，这就是给文件换个“马甲”，即修改文件图标。

　　修改文件图标的方法如下:

　　(1)比如下载一个名为IconForge 的软件，再进行安装。 下载地址：

　　(2)执行程序，按下File > Open

　　(3)在File Type 选择exe 类

　　(4)在File > Open 中载入预先制作好的图标( 可以用绘图软件或专门制作icon 的软件制作，也可以在网上找找) 。

　　(5)然后按下File > Save 便可以了。

　　如此这般最后得出的，便是看似jpg 或其他图片格式的木马程序了，很多人就会不经意间执行了它。

　　2、合并程序欺骗

　　通常有经验的用户，是不会将图像文件和可执行文件混淆的，所以很多入侵者一不做二不休，干脆将木马程序说成是应用程序：反正都是以 exe 作为扩展名的。然后再变着花样欺骗受害者，例如说成是新出炉的游戏，无所不能的黑客程序等等，目地是让受害者立刻执行它。而木马程序执行后一般是没有任何反应的，于是在悄无声息中，很多受害者便以为是传送时文件损坏了而不再理会它。

　　如果有更小心的用户，上面的方法有可能会使他们的产生坏疑，所以就衍生了一些合拼程序。合拼程序是可以将两个或以上的可执行文件(exe文件) 结合为一个文件，以后 o需执行这个合拼文件，两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如 wrap.exe) 和一个木马程序合拼，由于执行合拼文件时 wrap.exe会正常执行，受害者在不知情中，背地里木马程序也同时执行了。而这其中最常用到的软件就是joiner，由于它具有更大的欺骗性，使得安装特洛伊木马的一举一动了无痕迹，是一件相当危险的黑客工具。让我们来看一下它是如何运作的：

　　以往有不少可以把两个程序合拼的软件为黑客所使用，但其中大多都已被各大防毒软件列作病毒了，而且它们有两个突出的问题存在，这问题就是：

　　(1)合拼后的文件体积过大

　　(2)只能合拼两个执行文件

　　正因为如此，黑客们纷纷弃之转而使用一个更简单而功能更强的软件，那就是Joiner 了。此软件不但把软件合拼后的体积减少，而且可以待使用者执行后立马就能收到一个icq 的信息，告诉你对方已中招及对方的IP ，更重要的是这个软件可以把图像文件、音频文件与可执行文件合拼，用起来相当方便。

　　首先把Joiner 解压，然后执行Joiner ，在程序的画面里，有“First executable : ”及“ Second File : ”两项，这两行的右方都有一个文件夹图标，分别各自选择想合拼的文件。

　　下面还有一个Enable ICQ notification 的空格，如果选取后，当对方执行了文件时，便会收到对方的一个ICQ Web Messgaer ，里面会有对方的ip ，当然要在下面的ICQ number 填上欲收取信息的icq 号码。但开启这个功能后，合拼后的文件会比较大。

　　最后便按下“Join” ，在Joiner 的文件夹里，便会出现一个Result.exe 的文件，文件可更改名称，因而这种“混合体”的木马程序隐蔽性是不言而喻的。

　　3、以Z-file 伪装加密程序

　　Z-file 伪装加密软件是台湾华顺科技的产品，其经过将文件压缩加密之后，再以 bmp图像文件格式显示出来(扩展名是 bmp，执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据，用以就算计算机被入侵或被非法使使用时，也不容易泄漏你的机密数据所在。不过如果到了黑客手中，却可以变成一个入侵他人的帮凶。 使用者会将木马程序和小游戏合拼，再用 Z-file 加密及将此“混合体”发给受害者，由于看上去是图像文件，受害者往往都不以为然，打开后又只是一般的图片，最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马，甚至病毒!当打消了受害者警惕性后，再让他用WinZip 解压缩及执行 “伪装体 (比方说还有一份小礼物要送给他)，这样就可以成功地安装了木马程序。如果入侵者有机会能使用受害者的电脑(比如上门维修电脑)，只要事先已经发出了“混合体，则可以直接用 Winzip 对其进行解压及安装。由于上门维修是赤着手使用其电脑，受害者根本不会怀疑有什么植入他的计算机中，而且时间并不长，30秒时间已经足够。就算是“明晃晃 ”地在受害者面前操作，他也不见得会看出这一双黑手正在干什么。特别值得一提的是，由于 “混合体” 可以躲过反病毒程序的检测，如果其中内含的是一触即发的病毒，那么一经结开压缩，后果将是不堪设想。

　　4、伪装成应用程序扩展组件

　　此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例如 dll、ocx等) 然后挂在一个十分出名的软件中，例如 OICQ 。由于OICQ本身已有一定的知名度，没有人会怀疑它的安全性，更不会有人检查它的文件多是否多了。而当受害者打开OICQ时，这个有问题的文件即会同时执行。 此种方式相比起用合拼程序有一个更大的好处，那就是不用更改被入侵者的登录文件，以后每当其打开OICQ时木马程序就会同步运行，相较一般特洛伊木马可说是“踏雪无痕”。更要命的是，此类入侵者大多也是特洛伊木马编写者，只要稍加改动，就会派生出一支新木马来，所以即使杀是毒软件也拿它没有丝毫办法。

qq3250845

DDos攻击攻易防难

　　如今，DDoS攻击已经不需要高超的计算机技术，也不需要严密的组织，越来越多的普通人加入攻击者队伍中来。业内人士透露，现在，只要具备两个条件，就能进行DDoS攻击：第一，有用来攻击的工具;第二，有足够多的“肉鸡”，也就是僵尸机器，而“肉鸡”在黑市上已经随处可见，甚至形成了完整的地下产业链。DDoS攻击变得越来越容易，而防御却变得更难。

　　同时，跟过去相比，DDoS攻击又出现了一些新的技术趋势。黑客从传统的高带宽/大流量攻击演化为隐蔽性更强的应用层攻击，有时甚至将这两种手段组合运用。那些针对应用层的“低带宽慢速”攻击在影响正常服务前，是极难被检测到的。而传统的大流量攻击也日益壮大，他们使用数据更加庞大的受感染机器来发起攻击。在2010年，Arbor调查发现，当年已经出现了100Gbps级攻击，超过2009年发生的最大攻击规模的两倍。

　　而随着企业对数据中心和云服务依赖性的增强，DDoS攻击带来的影响正变得更大，后果变得更为严重。以上述14家被攻击的金融公司为例，如果没有一家报案，最坏的情况是：14家公司被攻击后，攻击目标一旦全部达成，每天440亿港币的交易就要停滞，这对整个香港金融市场将会产生巨大冲击，甚至将影响到香港社会的稳定。而在私车牌照拍卖系统遭攻击的案例中，攻击者攻陷该系统仅仅动用了手中1/20的“肉鸡”，如果他将所掌握的10万个“肉鸡”全部用上，一起发动攻击，就可能达到100Gbps级攻击，这是目前世界上任何一个特大型数据中心都难以经受得起的超带宽、超流量攻击。

　　防范DDos攻击需产业链的通力协作

　　面对如此严峻的DDoS攻击形势，我们需要更多的主动合作精神，来共同防御。

　　在今年8月，中央电视台报道，香港多达14家金融机构均遭到DDoS攻击。这14家金融公司每天在香港股市的交易额为440亿港币，而攻击者只是长沙的4个普通年轻人，他们要求每家被攻击者提供30万元，并在规定时间内到账，否则就继续攻击。有4家被攻击公司给指定账户汇了钱，第5家公司选择了报案。由此，大陆和香港警方联手破获此案，将犯罪分子绳之以法。

　　4个普通的年轻人，胆敢跟交易额以亿计的金融公司叫板，听上去确实令人匪夷所思。但这真的发生了，而且犯罪分子险些得手。这到底是为什么呢？防DDoS厂商Arbor公司中国区域经理蔡志刚道出了其中玄机：通常情况下，金融类公司(银行、证券、保险等)在遭到攻击时都会选择私了，因为一旦将案件对外披露或向公安局报案，给他们带来的名誉损失和经济损失会比被勒索几十万元人民币要大得多。而在上述案件中，选择报案的攻击者很可能碰巧是过去未被攻击过的新手。

　　从被攻击者的角度看，以被攻击的金融机构为例，正是在“两害相权选其轻”的思路下，他们选择了向犯罪分子屈服(哪怕这些犯罪分子的技术和实力如此低端)，但这恰恰会纵容攻击者肆无忌惮地发起攻击行动。这个受攻击的群体需要以更多的“侠客”精神来发起反抗，联合起来对付攻击者。被攻击的企业也需要与上游ISP(运营商)和MSSP(安全托管服务商)合作，共同防御大型洪水式攻击。而从安全从业者角度看，需要更加主动智能的防御措施来应对DDoS攻击在技术上的新变化。为便于产业链各环节更好地合作，Arbor发起了“云信令”联盟，该联盟由ISP(运营商)和MSSP(安全托管服务商)组成。目前，全球已有很多一类、二类运营商成为云信令联盟成员。该公司还相应推出以“云信令”为特色的防DDoS攻击解决方案。当企业受到DDOS攻击、带宽被占满时，部署在企业数据中心外缘的可用性保护系统Pravail APS会发出云信令到上游运营商端云端清洗中心，自动启动上游云端的清洗，将恶意流量排除在外。

　　在主动防御方面，Arbor的ATLAS全球安全威胁分析系统也十分重要，该系统每天7X24进行实时收集、分析新的攻击特征，并基于这些特征提供新的解决方案。当然，只有基于足够多的运营商用户，尤其是一类、二类运营商用户，所收集到的攻击特征才足够充分全面。

qq3250845

HTML5安全风险详析之四：Web Worker攻击

qq3250845

一、采用两种界面来满足不同需求

　　Vista防火墙有两种独立的图形配置界面： 一是基本的配置界面，可以通过“安全中心”和“控制面板”来访问; 二是高级配置界面，用户在创建自定义的MMC后，可作为插件来访问。

　　这可以防止新手用户无意中的改变而导致连接中断，又为高级用户对防火墙设置进行更细化地定制以及控制出站和入站流量提供了一种方法。用户还可以在netsh advfirewall上下文中使用命令，从命令行对Vista防火墙进行配置; 也可以编写脚本，针对一组计算机自动对防火墙进行配置; 还可以通过组策略来控制Vista防火墙的设置。

　　二、默认设置下的安全

　　Vista中的 Windows防火墙在默认状态下采用安全配置，同时仍支持最佳易用性。默认状态下，大多数入站流量被阻挡，出站连接被允许。Vista防火墙可与 Vista的Windows服务加固这项新功能协同工作，所以如果防火墙检测到被Windows服务加固网络规则禁止的行为，它就会阻挡该行为。防火墙还完全支持纯IPv6的网络环境。

　　三、基本配置选项

　　利用基本配置界面，用户可以启动或者关闭防火墙，或者设置防火墙完全阻挡所有程序; 还可以允许有例外情况存在(可以指定不阻挡哪些程序、服务或者端口)，并且指定每种例外情况的范围(是否适用于来自所有计算机的流量，包括互联网上的计算机、局域网/子网上的计算机，或者是你指定了IP地址或者子网的计算机); 还可以指定希望防火墙保护哪些连接，并且配置安全日志和ICMP设置。

　　四、ICMP消息阻挡

　　默认状态下，入站ICMP回应请求可以通过防火墙，而其他所有ICMP信息被阻挡在外。这是因为，Ping工具定期用来发送回应请求消息，用于故障诊断。不过，黑客也可以发送回应请求消息来锁定目标主机。用户可以通过基本配置界面上的“高级”选项卡，阻挡回应请求消息。

　　五、多个防火墙配置文件

　　附带高级安全MMC插件的Vista防火墙可以让用户在计算机上创建多个防火墙配置文件，那样就可以针对不同环境使用不同的防火墙配置。这对便携式计算机来说特别有用。譬如说，当用户连接到公共无线热点时，可能需要比连接到家庭网络时更安全的配置。用户最多可以创建三个防火墙配置文件： 一个用于连接到Windows域、一个用于连接到专用网络，另一个用于连接到公共网络。

　　六、IPSec功能

　　通过高级配置界面，用户可以定制IPSec设置，指定用于加密和完整性的安全方法、确定密钥的生命周期按时间计算还是按会话计算，并且选择所需的Diffie-Hellman密钥交换算法。默认状态下，IPSec连接的数据加密功能是禁用的，但可以启用它，并且选择哪些算法用于数据加密和完整性。

　　七、安全规则

　　通过向导程序，用户可以逐步创建安全规则，从而控制单台计算机或者一组计算机之间如何及何时建立安全连接; 也可以根据域成员或者安全状况等标准来限制连接，但允许指定的计算机可以不符合连接验证要求; 还可以创建规则，要求两台特定的计算机(服务器到服务器)连接时需要验证，或者使用隧道规则对网关之间的连接进行验证。

　　八、自定义的验证规则

　　在创建自定义的验证规则时，要指定单台计算机或者一组计算机(通过IP地址或者地址范围)成为连接端点。用户可以请求或者要求对入站连接、出站连接或者两者进行验证。

　　九、入站和出站规则

　　用户可以创建入站和出站规则，从而阻挡或者允许特定程序或者端口进行连接; 可以使用预先设置的规则，也可以创建自定义规则，“新建规则向导”可以帮用户逐步完成创建规则的步骤；用户可以将规则应用于一组程序、端口或者服务，也可将规则应用于所有程序或者某个特定程序；可以阻挡某个软件进行所有连接、允许所有连接，或者只允许安全连接，并要求使用加密来保护通过该连接发送的数据的安全性; 可以为入站和出站流量配置源IP地址及目的地IP地址，同样还可以为源TCP和UDP端口及目的地TCP和UPD端口配置规则。

　　十、基于活动目录的规则

　　用户可以创建规则来阻挡或者允许基于活动目录用户、计算机或者组账户的连接，只要连接通过带有Kerberos v5(包含活动目录账户信息)的IPSec来保护安全。用户还可以使用具有高级安全功能的Windows防火墙，执行网络访问保护(NAP)策略。

　　Windows Meeting Space(WMS)是Windows Vista内置的一个新程序，它便于最多10个协作者共享桌面、文件和演示文档，并通过网络传送个人消息给对方。

qq3250845

解析跨站攻击CSRF蠕虫的攻击原理

qq3250845

黑客攻防之全程追踪入侵JSP网站服务器

qq3250845

多手段分析清理DDOS

qq3250845

实例解析跳板入侵技术

qq3250845

RedHat Linux 启动修复及密码恢复