后门
也叫陷门
进入程序的秘密入口
允许绕过一般的安全过程而访问系统
已被开发人员广泛使用
当留在产品中后,若被攻击者发现则成为一个威胁。
在OS中很难避免
需要良好的软件开发和升级
逻辑炸弹
最古老的恶意软件之一
在合法程序中嵌入逻辑炸弹代码
当指定的条件满足时,激活发作:如一些文件的出现或消失,特殊的日期或时间,特定的用户.
当发作时,一般都会毁坏系统,修改/删除文件或磁盘, 宕机等
特洛伊木马
具有副作用的程序
表面上很有用很诱人,如游戏, 软件升级等
运行时,完成一些附加的任务,允许攻击者间接地获得他们直接无法获得的访问
常用于病毒、蠕虫的扩散或后门的安装
或者就直接破坏数据
Zombie(肉机)
被其它网络计算机所秘密控制的程序或计算机
使用他们以完成间接攻击
常用于发起分布式拒绝服务攻击 (DDoS)
利用网络系统中的已知漏洞
ddos三条防御路线:
- 攻击的预防和先发制人 (事前)
- 攻击的检测和过滤 (事中)
- 攻击源的追溯和确定 (事后)
病 毒
能够自身复制且能附着在其它代码上的一段代码
既要能复制自己也要有载体
承载代码用以进行自身复制;代码同时也可完成某些转换任务
病毒状态:
- 潜伏阶段
- 传染阶段
- 触发阶段
- 发作阶段
与特定OS相关,利用某些功能或弱点
分类
按照攻击方法分类:
- 寄生性病毒:寄生性病毒将自身附着在可执行文件上并对自身进行复制。当受染文件被执行后,它又会继续寻找其他的可执行文件并对其进行感染。
- 常驻存储器病毒:这种病毒以常驻系统的程序的形式寄居在主存储器上,这类病毒会感染所有类型的文件。
- 引导扇区病毒: 感染主引导记录或引导记录,在系统从含有病毒的磁盘上引导装入程序时进行传播。
-
- 隐蔽性病毒: 设计这种病毒的目的就是为了躲避反病毒软件的检测。
- 多态性病毒: 这种病毒在每次感染时,放入宿主程序的代码互不相同,不断变化,因此采用特征代码法的检测工具是不能识别它们的。
- 变异病毒(改变行为或外观)
宏病毒
宏病毒依附于某些数据文件,通过使用数据文件而得到解释运行,如Word/Excel宏。
尤其,用自动命令或命令宏,现在,病毒代码与平台独立:任何一种支持Word的硬件平台或操作系统都可能被感染。是一种主要的新病毒传染方式
模糊了数据和程序的区别
“易于使用” vs “安全性”
Word对其安全性进行了改进,不再是主要的病毒威胁
Email病毒
通过邮件的使用进行扩散,邮件的附件包含宏病毒,如Melissa病毒,当用户打开附件时发作,或者在邮件程序打开邮件阅读时发作,因此传播非常快,常以Microsoft Outlook mail 和Word/Excel 文档为目标,需要更加安全的OS和应用程序。
蠕 虫
复制但不感染程序,典型地通过网络进行扩散,如 1988年的Morris 蠕虫
利用用户分散的特权或系统弱点,广泛地被黑客用于产生肉机, 接着再进行进一步的攻击,例如DoS 。
主要问题是持久在线的系统缺乏安全性,尤其是PC。
蠕虫的状态如同病毒:
- 潜伏阶段
- 传染阶段
-
- 查找下一个感染目标
-
- 建立与远程目标的连接
-
- 复制自己到远程系统
- 触发阶段
- 发作阶段
蠕虫技术
- 跨平台
- 多途径 (Multiexploit) :以各种方法利用系统漏洞
- 传播迅猛
- 变形:改变外形以逃避检查
- 变异:改变外观和行为
- 传播工具:不断制作新肉机
- 零日利用:利用系统未知的风险
最好的对策就是预防,但一般不太可能。因此需要:检测、鉴别(种类)、删除。
防病毒软件
第一代
扫描器用病毒的标识鉴定病毒,或通过文件长度的改变
第二代
启发式规则来发现病毒,或采用程序的密码哈希来发现改变
第三代
通过驻留内存的程序,主动设置陷阱来发现病毒。
第四代
防病毒技术的综合,如扫描和行为陷阱,访问控制等
高级防病毒技术
通用解密技术,在运行前,采用CPU仿真来检测程序的特征和行为
数字免疫系统 (IBM)
通用的仿真和病毒检测,任何病毒进入到组织都会被捕获,分析,检测屏蔽,删除。