网络安全-黑客
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
频发。
3.APT攻击分析
• APT攻击一般过程:
• 1。信息侦查:在入侵之前,攻击者首先会 使用技术和社会工程学手段对特定目标进行 侦查。
1 信息侦查
• 侦查内容主要包括两个方面,
一是对目标网络用户的信息收集。
二是对目标网络脆弱点的信息收集。
一般用户 1 信息侦查
特权用户
关键信 息资产
3.APT攻击分析
2.网络攻击的一般步骤
• 为什么隐藏攻击源
在因特网上的主机都有自己的网 络地址,因此攻击者首要步骤就 是隐藏自己所在的网络位置,使 调查者难以发现真正的攻击源. • 做法:
1.利用被侵入的的主机作为跳板 进行攻击
2.使用多级代理 3.伪造IP地址 4.假冒用户账号
隐藏攻击源
2.网络攻击的一般步骤
• 超级工厂病毒攻击(震网攻击):著名的超级工厂病毒攻击为人所知主 要源于2010年伊朗布什尔核电站遭到Stuxnet蠕虫的攻击的事件曝光。
• 夜龙攻击:夜龙攻击是McAfee在2011年2月份发现并命名的针对全球 主要能源公司的攻击行为。
3.APT攻击分析
• APT攻击案例
• RSA SecurID窃取攻击:2011年3月,EMC公司下属的RSA公司遭受入侵, 部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为 认证凭据建立VPN网络的公司——包括洛克希德马丁公司、诺斯罗普 公司等美国国防外包商——受到攻击,重要资料被窃取。在RSA SecurID攻击事件中,攻击方没有使用大规模SQL注入,也没有使用网 站挂马或钓鱼网站,而是以最原始的网路通讯方式,直接寄送电子邮 件给特定人士,并附带防毒软体无法识别的恶意文件附件。
一是组织目标,如针对某个特定行业或某国政府的重要基础设施;
二是行动目标,例如窃取机密信息或是破坏关键系统。
• 2)手段多样:
• 攻击者在信息侦查阶段主要采用社会工程学方法,会花较长时间深 入调查公司员工、业务流程、网络拓扑等基本信息,通过社交网络 收集目标或目标好友的联系方式、行为习惯、业余爱好、计算机配 置等基本信息,以及分析目标系统的漏洞;
2.网络攻击的一般步骤
• 一次成功的入侵要耗费攻击者的大量时 间与精力,所以精于算计的攻击者在退 出系统之前会在系统中安装后门,以保 持对已经入侵主机的长期控制。
• 做法:
隐藏攻击源 信息搜集
1.放宽系统许可权。
掌控系统控制权
2.重新开放不安全的服务。
3.修改系统的配置,如系统启动文件、 网络服务配置文件等。
• 暗鼠攻击:2011年8月份,McAfee/Symantec发现并报告了该攻击。该 攻击在长达数年的持续攻击过程中,渗透并攻击了全球多达70个公司 和组织的网络,包括美国政府、联合国、红十字会、武器制造商、能 源公司、金融公司,等等
3.APT攻击分析
• APT攻击与传统攻击比较:
• 1)目标明确:
• 做法: 系统口令猜测。
种植木马。
会话劫持等。
隐藏攻击源 信息搜集 掌控系统控制权
2.网络攻击的一般步骤
• 不同的攻击者有不同的目的,无外乎 氏破坏机密性、完整性和可用性等。
• 做法: 下载、修改或删除敏感信息。 攻击其他被信任的主机和网络。 瘫痪网络或服务。 其他违法活动。
隐藏攻击源 信息搜集 掌控系统控制权 实施攻击
世界上“头号电脑黑客”:凯文·米特尼克
他在15岁时就破解北美空中防护指挥系统成功,在他16岁时就被逮捕,他也因此而成为了 全球第一名网络少年犯。1994年向圣迭戈超级计算机中心进行入侵与攻击,并戏弄了在此 工作的日裔美籍计算机安全专家下村努,后来下村努使用蜜罐技术设立了“蜜罐”让米特 尼克中计引诱他上钩,结果1995年再次被逮捕。2000年1月21日入狱时间满被释放,但禁止 其在以后3年内再接触计算机以及手机等数码产品,以戒其网瘾并防止其利用技术再搞破坏。
网络安全
——网络攻击分析
本节要点
• 1.认识黑客 • 2.网络攻击的一般步骤 • 3.APT攻击分析
1.认识黑客
黑客( 英文:Hacker),通常是指对计算机科学、编程和设 计方面具高度理解的人。
黑客分“黑帽”和“白帽”,“白帽”从事信息安全研究, 帮助企业修复漏洞,而“黑帽”则专注于安全攻击并借此获 利。因此白帽描述的是正面的黑客,他可以识别计算机系统或 网络系统中的安全漏洞,但并不会恶意去利用,而是公布其 漏洞。这样,系统将可以在被其他人(例如黑帽子)利用之前来 修补漏洞。
• 为了获取有价值信息,攻击者一般会在目 标网络长期潜伏,有的达数年之久。
• 潜伏期间,攻击者还会在已控制的主机上 安装各种木马、后门,不断提高恶意软件 的复杂度,以增强攻击能力并避开安全检 测。
3 长期潜伏
一般用户
特权用户
2 持续渗透
1 信息侦查
1 信息侦查 2 持续渗透
关键信 息资产 3 长期潜伏
实施攻击 安装后门
4.替换系统本身的Байду номын сангаас享库文件。
5.安装各种木马,修改系统的源代码。
2.网络攻击的一般步骤
• 一次成功入侵之后,通常攻击者的活动 在被攻击主机上的一些日志文档中会有 记载,如攻击者的IP地址、入侵的时间 以及进行的操作等等,这样很容易被管 理员发现。为此,攻击者往往在入侵完 毕后清除登录日志等攻击痕迹。
1.认识黑客
• 黑客组织(Hacker Organization)被误解的意思是计算 机破坏者聚集在一起的组织,而实际是计算机爱好者, 精通者聚集在一起交流的一种团体,通常被误解为专门 利用电脑网络搞破坏或恶作剧的组织。
• 世界著名黑客(破坏)组织。 1.Anonymous(匿名者) 2.LIZARD SQUAD。 3.THE LEVEL SEVEN CREW 4.Chaos Computer Club(混沌计算机俱乐部) 5.LULZSEC
• 可以从“A”、“P”、“T”三个方面来理解APT的定义:
1)A(Advanced):技术高级。
2)P(Persistent):持续时间长。
3)T(Threat):威胁性大。
3.APT攻击分析
• APT攻击产生的背景: • 1)APT攻击成为国家层面信息对抗的需求。 • 2)社交网络的广泛应用为APT攻击提供了可能。 • 3)复杂脆弱的IT环境还没有做好应对的准备,造成APT攻击事件
3.APT攻击分析
• 4.窃取信息:
• 目前绝大部分APT攻击的目的都是为了窃 取目标组织的机密信息。
3 长期潜伏
一般用户
特权用户
2 持续渗透
1 信息侦查
1 信息侦查 2 持续渗透
关键信 息资产 3 长期潜伏
4 窃取信息
3.APT攻击分析
• APT攻击案例
• Google极光攻击:2010年的Google Aurora(极光)攻击是一个十分著名 的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,引发 了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各 种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标, 它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入 这些企业的网络并窃取数据。
• 攻击者搜集目标的信息,进行整理和分析后初 步了解一个机构的安全态势,并能够拟出一个 攻击方案。
• 做法: 1.确定攻击目标 2.踩点 3.扫描 4.嗅探
隐藏攻击源 信息搜集
2.网络攻击的一般步骤
• 一般账户对目标系统只有有限的 访问权限,要攻击某些目标,攻 击者只有得到系统的或管理员的 权限,才能控制目标主机实施进 一步攻击。
• 做法:
清除或篡改日志文件。
改变系统时间造成日志文件数据紊乱以 迷惑系统管理员。
隐藏攻击源 信息搜集 掌控系统控制权 实施攻击 安装后门 隐藏攻击痕迹
利用前面介绍的代理跳板隐藏真实的攻 击者和攻击路径。
3.APT攻击分析
• 定义
攻击者掌握先进的专业知识和有效的资源,通过多种攻击途径(如网 络、物理设施和欺骗等),在特定组织的信息技术基础设施建立并转 移立足点,以窃取机密信息,破坏或阻碍任务、程序或组织的关键系 统,或者驻留在组织的内部网络,进行后续攻击。
红客,维护国家利益代表中国人民意志的红客,他们热爱自己 的祖国,民族,和平,极力的维护国家安全与尊严。
蓝客,信仰自由,提倡爱国主义的黑客们,用自己的力量来维 护网络的和平。
1.认识黑客
骇客,有时被称为黑客,英文名称为Hacker,骇客是台湾地区的习惯用法,大陆地区一般 叫黑客,即是闯入计算机系统或者网络系统者。人们会对骇客的类别进行分类,其中包括 如极客(Geek)、术士(Wizard)、破坏者(Cracker)等例子。而称为Cracker的一类人是从事恶意 破解商业软件、恶意入侵别人的网站等事务。
• 2.持续渗透:
• 利用目标人员的疏忽、不执行安全规范, 以及利用系统应用程序、网络服务或主机 的漏洞,攻击者使用定制木马等手段不断 渗透以潜伏在目标系统,进一步地在避免 用户觉察的条件下取得网络核心设备的控 制权。
一般用户
2 持续渗透
1 信息侦查
1 信息侦查 2 持续渗透
3.APT攻击分析
• 3.长期潜伏:
谢谢观看
By:尤嘉鹏
• 在持续渗透阶段,攻击者会开发相应的漏洞利用工具,尤其是针对0 day安全漏洞的利用工具,而针对0 day漏洞的攻击是很难防范的;
• 在窃取信息阶段,攻击者会运用先进的隐藏和加密技术,在被控制 的主机长期潜伏,并通过隐秘信道向外传输数据,从而不易被管理 员和安全软件发现。
3.APT攻击分析
• APT攻击与传统攻击比较:
3.APT攻击分析
• APT攻击一般过程:
• 1。信息侦查:在入侵之前,攻击者首先会 使用技术和社会工程学手段对特定目标进行 侦查。
1 信息侦查
• 侦查内容主要包括两个方面,
一是对目标网络用户的信息收集。
二是对目标网络脆弱点的信息收集。
一般用户 1 信息侦查
特权用户
关键信 息资产
3.APT攻击分析
2.网络攻击的一般步骤
• 为什么隐藏攻击源
在因特网上的主机都有自己的网 络地址,因此攻击者首要步骤就 是隐藏自己所在的网络位置,使 调查者难以发现真正的攻击源. • 做法:
1.利用被侵入的的主机作为跳板 进行攻击
2.使用多级代理 3.伪造IP地址 4.假冒用户账号
隐藏攻击源
2.网络攻击的一般步骤
• 超级工厂病毒攻击(震网攻击):著名的超级工厂病毒攻击为人所知主 要源于2010年伊朗布什尔核电站遭到Stuxnet蠕虫的攻击的事件曝光。
• 夜龙攻击:夜龙攻击是McAfee在2011年2月份发现并命名的针对全球 主要能源公司的攻击行为。
3.APT攻击分析
• APT攻击案例
• RSA SecurID窃取攻击:2011年3月,EMC公司下属的RSA公司遭受入侵, 部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为 认证凭据建立VPN网络的公司——包括洛克希德马丁公司、诺斯罗普 公司等美国国防外包商——受到攻击,重要资料被窃取。在RSA SecurID攻击事件中,攻击方没有使用大规模SQL注入,也没有使用网 站挂马或钓鱼网站,而是以最原始的网路通讯方式,直接寄送电子邮 件给特定人士,并附带防毒软体无法识别的恶意文件附件。
一是组织目标,如针对某个特定行业或某国政府的重要基础设施;
二是行动目标,例如窃取机密信息或是破坏关键系统。
• 2)手段多样:
• 攻击者在信息侦查阶段主要采用社会工程学方法,会花较长时间深 入调查公司员工、业务流程、网络拓扑等基本信息,通过社交网络 收集目标或目标好友的联系方式、行为习惯、业余爱好、计算机配 置等基本信息,以及分析目标系统的漏洞;
2.网络攻击的一般步骤
• 一次成功的入侵要耗费攻击者的大量时 间与精力,所以精于算计的攻击者在退 出系统之前会在系统中安装后门,以保 持对已经入侵主机的长期控制。
• 做法:
隐藏攻击源 信息搜集
1.放宽系统许可权。
掌控系统控制权
2.重新开放不安全的服务。
3.修改系统的配置,如系统启动文件、 网络服务配置文件等。
• 暗鼠攻击:2011年8月份,McAfee/Symantec发现并报告了该攻击。该 攻击在长达数年的持续攻击过程中,渗透并攻击了全球多达70个公司 和组织的网络,包括美国政府、联合国、红十字会、武器制造商、能 源公司、金融公司,等等
3.APT攻击分析
• APT攻击与传统攻击比较:
• 1)目标明确:
• 做法: 系统口令猜测。
种植木马。
会话劫持等。
隐藏攻击源 信息搜集 掌控系统控制权
2.网络攻击的一般步骤
• 不同的攻击者有不同的目的,无外乎 氏破坏机密性、完整性和可用性等。
• 做法: 下载、修改或删除敏感信息。 攻击其他被信任的主机和网络。 瘫痪网络或服务。 其他违法活动。
隐藏攻击源 信息搜集 掌控系统控制权 实施攻击
世界上“头号电脑黑客”:凯文·米特尼克
他在15岁时就破解北美空中防护指挥系统成功,在他16岁时就被逮捕,他也因此而成为了 全球第一名网络少年犯。1994年向圣迭戈超级计算机中心进行入侵与攻击,并戏弄了在此 工作的日裔美籍计算机安全专家下村努,后来下村努使用蜜罐技术设立了“蜜罐”让米特 尼克中计引诱他上钩,结果1995年再次被逮捕。2000年1月21日入狱时间满被释放,但禁止 其在以后3年内再接触计算机以及手机等数码产品,以戒其网瘾并防止其利用技术再搞破坏。
网络安全
——网络攻击分析
本节要点
• 1.认识黑客 • 2.网络攻击的一般步骤 • 3.APT攻击分析
1.认识黑客
黑客( 英文:Hacker),通常是指对计算机科学、编程和设 计方面具高度理解的人。
黑客分“黑帽”和“白帽”,“白帽”从事信息安全研究, 帮助企业修复漏洞,而“黑帽”则专注于安全攻击并借此获 利。因此白帽描述的是正面的黑客,他可以识别计算机系统或 网络系统中的安全漏洞,但并不会恶意去利用,而是公布其 漏洞。这样,系统将可以在被其他人(例如黑帽子)利用之前来 修补漏洞。
• 为了获取有价值信息,攻击者一般会在目 标网络长期潜伏,有的达数年之久。
• 潜伏期间,攻击者还会在已控制的主机上 安装各种木马、后门,不断提高恶意软件 的复杂度,以增强攻击能力并避开安全检 测。
3 长期潜伏
一般用户
特权用户
2 持续渗透
1 信息侦查
1 信息侦查 2 持续渗透
关键信 息资产 3 长期潜伏
实施攻击 安装后门
4.替换系统本身的Байду номын сангаас享库文件。
5.安装各种木马,修改系统的源代码。
2.网络攻击的一般步骤
• 一次成功入侵之后,通常攻击者的活动 在被攻击主机上的一些日志文档中会有 记载,如攻击者的IP地址、入侵的时间 以及进行的操作等等,这样很容易被管 理员发现。为此,攻击者往往在入侵完 毕后清除登录日志等攻击痕迹。
1.认识黑客
• 黑客组织(Hacker Organization)被误解的意思是计算 机破坏者聚集在一起的组织,而实际是计算机爱好者, 精通者聚集在一起交流的一种团体,通常被误解为专门 利用电脑网络搞破坏或恶作剧的组织。
• 世界著名黑客(破坏)组织。 1.Anonymous(匿名者) 2.LIZARD SQUAD。 3.THE LEVEL SEVEN CREW 4.Chaos Computer Club(混沌计算机俱乐部) 5.LULZSEC
• 可以从“A”、“P”、“T”三个方面来理解APT的定义:
1)A(Advanced):技术高级。
2)P(Persistent):持续时间长。
3)T(Threat):威胁性大。
3.APT攻击分析
• APT攻击产生的背景: • 1)APT攻击成为国家层面信息对抗的需求。 • 2)社交网络的广泛应用为APT攻击提供了可能。 • 3)复杂脆弱的IT环境还没有做好应对的准备,造成APT攻击事件
3.APT攻击分析
• 4.窃取信息:
• 目前绝大部分APT攻击的目的都是为了窃 取目标组织的机密信息。
3 长期潜伏
一般用户
特权用户
2 持续渗透
1 信息侦查
1 信息侦查 2 持续渗透
关键信 息资产 3 长期潜伏
4 窃取信息
3.APT攻击分析
• APT攻击案例
• Google极光攻击:2010年的Google Aurora(极光)攻击是一个十分著名 的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,引发 了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各 种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标, 它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入 这些企业的网络并窃取数据。
• 攻击者搜集目标的信息,进行整理和分析后初 步了解一个机构的安全态势,并能够拟出一个 攻击方案。
• 做法: 1.确定攻击目标 2.踩点 3.扫描 4.嗅探
隐藏攻击源 信息搜集
2.网络攻击的一般步骤
• 一般账户对目标系统只有有限的 访问权限,要攻击某些目标,攻 击者只有得到系统的或管理员的 权限,才能控制目标主机实施进 一步攻击。
• 做法:
清除或篡改日志文件。
改变系统时间造成日志文件数据紊乱以 迷惑系统管理员。
隐藏攻击源 信息搜集 掌控系统控制权 实施攻击 安装后门 隐藏攻击痕迹
利用前面介绍的代理跳板隐藏真实的攻 击者和攻击路径。
3.APT攻击分析
• 定义
攻击者掌握先进的专业知识和有效的资源,通过多种攻击途径(如网 络、物理设施和欺骗等),在特定组织的信息技术基础设施建立并转 移立足点,以窃取机密信息,破坏或阻碍任务、程序或组织的关键系 统,或者驻留在组织的内部网络,进行后续攻击。
红客,维护国家利益代表中国人民意志的红客,他们热爱自己 的祖国,民族,和平,极力的维护国家安全与尊严。
蓝客,信仰自由,提倡爱国主义的黑客们,用自己的力量来维 护网络的和平。
1.认识黑客
骇客,有时被称为黑客,英文名称为Hacker,骇客是台湾地区的习惯用法,大陆地区一般 叫黑客,即是闯入计算机系统或者网络系统者。人们会对骇客的类别进行分类,其中包括 如极客(Geek)、术士(Wizard)、破坏者(Cracker)等例子。而称为Cracker的一类人是从事恶意 破解商业软件、恶意入侵别人的网站等事务。
• 2.持续渗透:
• 利用目标人员的疏忽、不执行安全规范, 以及利用系统应用程序、网络服务或主机 的漏洞,攻击者使用定制木马等手段不断 渗透以潜伏在目标系统,进一步地在避免 用户觉察的条件下取得网络核心设备的控 制权。
一般用户
2 持续渗透
1 信息侦查
1 信息侦查 2 持续渗透
3.APT攻击分析
• 3.长期潜伏:
谢谢观看
By:尤嘉鹏
• 在持续渗透阶段,攻击者会开发相应的漏洞利用工具,尤其是针对0 day安全漏洞的利用工具,而针对0 day漏洞的攻击是很难防范的;
• 在窃取信息阶段,攻击者会运用先进的隐藏和加密技术,在被控制 的主机长期潜伏,并通过隐秘信道向外传输数据,从而不易被管理 员和安全软件发现。
3.APT攻击分析
• APT攻击与传统攻击比较: