第三期《信息安全常见攻击技术介绍》1

第三期《信息安全常见攻击技术介绍》

一、什么是恶意程序？

恶意程序是未经授权运行的、怀有恶意目的、具有攻击意图或者实现恶意功能的所有软件的统称，其表现形式有很多：计算机病毒、特洛伊木马程序、蠕虫、僵尸程序、黑客工具、漏洞利用程序、逻辑炸弹、间谍软件等。大多数恶意程序具有一定程度的破坏性、隐蔽性和传播性，难以被用户发现，但会造成信息系统运行不畅、用户隐私泄露等后果，严重时甚至导致重大安全事故和巨额财产损失等。恶意程序可能会带来不同程度的影响与破坏。轻则影响系统正常运行、消耗主机CPU、硬盘等资源，重则可能导致传播违法图像和信息、窃取或破坏用户数据、造成信息系统服务中断等严重安全事件，有些恶意程序可以穿透和破坏反病毒软件和防火墙软件，甚至对受感染计算机进行远程控制以进行危害更严重的攻击和破坏。可以说，日益泛滥的恶意程序已经成为了当前信息安全工作中最为突出的问题之一。

恶意程序存在和产生的原因很多，除了其背后巨大的商业利益驱动以外，仅从技术角度而言，其主要根源是当前信息系统普遍存在设计与实现方面的缺陷。有的是系统整体设计有缺陷，有的是对新技术新发展而带来的安全威胁估计不足，有的是研发过程中存在的疏忽与遗漏，甚至还有一些情况是，软件研发单位为方便运维管理而故意留下的后门程序被恶意利用。由于以上各种技术或非技术原因，近年来，恶意程序的数量规模飞速增长，危害程度与破坏性也日趋加剧。2012年初，信息安全厂商卡巴斯基公司公开透露，平均每天检测到的感染网银木马的计算机数量为2000台，平均每天新添加到卡巴斯基实验室反病毒数据库的针对敏感金融信息的恶意程序特征高达780个，占卡巴斯基产品每天检测到的恶意软件总数的1.1％。

虽然恶意程序的传播目的、表现形式、各不相同，但其传播途径往往具有较大相似性。各种系统与网络协议漏洞、移动存储介质、论坛附件、电子邮件附件以及多媒体播放等，是恶意程序进行传播的主要途径。最近几年，恶意程序普遍采用伪装欺骗技术（如伪装成IE快捷方式、文件夹、图片、系统文件等），用以躲避反病毒、木马等软硬件设备的查杀。

二、什么是木马？

特洛伊木马的概念源自于《荷马史诗》：古希腊大军围攻特洛伊城，长年围攻不下。后来希腊人仿作神祗于城外建造了一只巨型木马，其实在马腹中藏匿了众多希腊战士。

当希腊人假装撤退时，特洛伊人将木马作为战利品拖入城中。于是，藏匿在木马中的希腊人与城外部队里应外合，一举攻下了特洛伊城。

该故事在信息安全领域也得到了广泛应用，在目标计算机上植入程序，通过“里应外合”来实现对目标计算机的完全控制。该程序即被称为特洛伊木马程序，俗称木马。木马程序往往由服务端和客户端两部分组成，具有较强的通信能力、交互能力和远程控制能力。木马一般可以分为良性和恶性两种，良性木马可被网络管理员用作远程管理工具，而恶性木马则被用窃取私密信息、来破坏信息系统资源、甚至利用受害计算机作为跳板以攻击其他计算机等。与计算机病毒类似，木马程序一般也采用隐藏技术避免被反木马软件查杀。一般来说，木马程序不能自行传播，但是可以借助于计算机病毒进行木马的传播，或者伪装成合法软件程序欺骗用户下载和使用。

应该说，木马程序是良性还是恶性，并不取决于程序本身，而是取决于如何使用。例如“冰河”、“灰鸽子”、“黑洞”等木马，如果进行合理使用，管理员可以很方便地实现对目标计算机的远程管理，但如果被黑客或者恶意用户掌握，将对用户隐私和网络安全造成严重威胁。

三、什么是网络攻击，常见的网络攻击主要有哪些？

网络攻击，是指根据信息系统存在的漏洞和安全缺陷，通过外部对信息系统的硬件、软件及数据进行攻击行为。当前，网络攻击是信息安全对抗的主要技术手段，严重威胁、影响着信息系统的安全、平稳运行。

网络攻击的技术与方法有很多种类型，通常从攻击对象入手，可以分为针对主机、协议、应用和信息等攻击。

针对主机的攻击

１、针对主机的攻击

大多数网络攻击的最终目的是破坏目标主机系统（包括终端PC、网络服务器等），攻击时主要是非法窃取或破坏用户文件、非法修改注册表和BIOS等关键配置信息、开启特定系统服务与端口、释放病毒、安装木马程序与后门，或者将目标主机系统作为跳板以发起更大危害的攻击。

恶意攻击者对目标主机进行初步信息收集和端口扫描后，基本可以判断攻击入口以及攻击成功的可能性。收集的信息包括目标主机是运行的操作系统类型，开放了哪些端口和服务，安装了哪些应用程序以及版本号，然后进一步判断该主机可能有哪些漏洞，然后有针对性地实施攻击。

２、针对通信协议的攻击

通信协议是网络和信息系统的运行和使用的基础，针对通信协议进行攻击，会严重影响网络与信息系统的可用性，甚至可以破坏信息系统直至瘫痪。常见的针对通信协议的攻击有拒绝服务式攻击、ARP欺骗、DNS欺骗、会话劫持、IMAP和SMTP攻击等。

３、针对应用的攻击

虽然操作系统或者网络协议的安全缺陷与漏洞的危害较大，但是操作系统和网络协议往往设计和维护的力量较强，漏洞相对较少，并且修补速度较快。与之相反，用户使用的很多应用程序和各种第三方插件种类繁多，相应的安全检测不够全面，存在的漏洞相对较多，近几年由应用程序引发的攻击越来越多。这类攻击如果被黑客充分掌握和利用，同样会对系统造成较大的破坏和危害，必须给予足够的重视。针对应用的攻击种类繁多，常见的应用型攻击，包括针对Web网站的攻击、对办公软件进行的攻击、对数据库进行的攻击以及利用媒体播放器和电子邮件进行的攻击等等。

４、针对信息的攻击

针对信息的攻击主要是指通过各种技术方法，直接破坏信息自身的保密性、完整性和不可否认性等安全属性。针对信息的攻击主要包括信息窃听、篡改、伪造、身份假冒、行为否认等。

关于信息窃听，木马程序就是其中一种技术方法。木马程序不仅可以被安装用户计算机上以实现用户隐私信息的监听和窃取，而且可以被安装在网络核心节点服务器或路由器上，而对该网络上的所有网络通信进行监听和窃取均被。虽然大多数网络应用程序对通信过程进行了加密处理，在一定程度上保护了信息的安全，但是黑客仍然可以对应用程序自身的解密功能进行提取利用，用于监听、篡改或伪造通信内容。

在现实生活中，身份假冒攻击和行为否认等行为时常发生，在网络社会中也是如此。前面介绍的ARP欺骗和会话劫持攻击等就属于典型的身份假冒攻击，即攻击者通过技术手段窃取合法用户的身份，然后以该用户的身份与服务器进行交互的攻击过程。行为否认是指对不承认自己已经进行并成为事实的操作。由于部分信息系统中的安全机制设计不合理，容易被攻击者获取用户私钥等关键信息，那么攻击者利用用户私钥进行数字签名或篡改已经签名的信息，进行身份假冒或行为否认等操作，此类攻击后果将十分严重。

四、常见的网络攻击步骤是什么？

网络攻击的一般过程如下图所示。攻击者首先是寻找到目标主机并进行分析探测，尝试发现其存在的安全漏洞；其次是采取各种技术手段对安全漏洞加以利用以获得目标主机的控制权；然后，攻击者对目标主机实施破坏操作，包括窃取隐私信息、删除并破坏用户文件以及实施其他非法行为；最后，攻击者为避免被发现和责任追究，往往采取