网络攻击1——网络安全基本概念与终端安全介绍（僵尸网路、勒索病毒、木马植入、0day漏洞）

网络安全的基本术语

黑客攻击路径

终端安全

僵尸网络

勒索病毒

挖矿病毒

宏病毒

木马的植入

0day漏洞

流氓/间谍软件

网络安全的基本术语

网络安全的定义（CIA原则）

数据的保密性Confidentiality（对称/非对称秘钥）

完整性Integrity（数字证书—证明发送方可信、数字签名—验证数据完整性，是否被篡改）、

可用性Availability（能够正常工作/使用—DdoS会影响服务的可用性）

网络安全术语

漏洞（脆弱性）：漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，攻击者利用这些缺陷能够在未授权的情况下访问或破坏系统

0day漏洞：指的是漏洞还没有公开或出现，厂商无法做详细防御规则；如果黑客发现0day漏洞将会造成很大的危害（漏洞被发现到厂商发布补丁程序用于修补之前的这段时间就是0day漏洞）

攻击入侵：对网络或信息系统的未授权访问（可以利用漏洞进行攻击入侵）

后门：绕过安全控制而获取程序或系统访问权的方法（一般在攻击入侵之后黑客会留一个后门为后续入侵做准备—当漏洞被修复之后，还可以通过后门入侵该系统）

WebShell：网页后门（以asp、php、jsp、cgi等网页文件形式存在的一种命令执行环境）

社会工程学：针对人本身的攻击（通过受害者的心理弱点、本能反应、好奇心、信任等进行欺骗、伤害等危害手段以此来取得自身利益的收发）

Exploit：简称EXP，漏洞利用，有的漏洞不一定能够被利用（即有漏洞不一定有EXP，但是有EXP一定有漏洞）

POC：通过代码程序验证漏洞是否存在

APT攻击：高级持续性威胁，也称为定向威胁攻击（指某组织对特定对象开展的持续有效的攻击活动，这些攻击活动具有极强的隐蔽性和针对性）

黑客攻击路径

踩点

确定攻击目标，进行目标情报的收集，根据收集的情报选择攻击手段

扫描/查点

一般手段有：端口扫描、网站扫描、漏洞扫描、社会工程学等

如果扫描到漏洞，还需要黑客人为的验证一下该漏洞是否真实存在

通过扫描找到目标的边界防御设备（防火墙等），根据其产品的工作原理来制定方法绕开边界防御设备（让防火墙看不出我们是病毒）

获取访问权限（进行网络攻击）--边界突破+持续渗透

黑客可以使用匿名化软件（也就是VPN软件、翻墙软件）连接地下网络论坛-暗网（这些论坛专门提供攻击套件、情报等）

1、黑客可以打包和编码各种不同恶意程序的样本（伪装的病毒—让伪装的病毒能够通过本地的安全设备进行测试，确保伪装病毒能够顺序通过一般安全软件的侦测）

2、将病毒放进钓鱼网站，并将钓鱼网站发送到员工邮箱（再发给邮件服务器的过程中，就被邮件安全软件识别出邮件中携带的恶意网站网址，将邮件删除）

权限提升—安装工具+横向渗透

该被入侵设备作为跳板机，进行横向渗透

查询高权限人信息，然后暴力破解等方式控制高权限人的电脑

创建后门

然后在内部设立后门，之后就可以通过后门进入电脑

窃取—窃取/破坏

将要获取的资料压缩并分卷（一下上传很大的数据包容易被网络出口检测到流量异常）

将这些分卷分批次上传（窃取），但是有些安全软件能够查看文件内是否隐藏着敏感信息，因此关于上传通道一般都是黑客搭建的VPN（加密隧道），此时安全产品（数据防护类产品）就无法查看文件内容信息

掩盖踪迹

并在传输文件之后删除系统相关日志

创建后门

然后在内部设立后门，之后就可以通过后门进入电脑

终端安全

电脑病毒（都是恶意程序或代码）的分类

病毒

通过电脑之间的文件共享来传播（通常在附件、U盘、可执行文件中出现）。需要人为点击文件才会中毒，能够自我复制

病毒是恶意的，会破坏文件系统和数据，造成数据损坏、系统崩溃等问题

通过安装杀毒软件来进行排查

蠕虫

利用系统或软件漏洞通过网络进行自我传播的恶意程序，独立存在；不需要人为干预就能够感染计算机系统；会利用系统资源进行自我复制并传播到其它系统

蠕虫会极大消耗网络、设备资源；通过更新系统、修复漏洞来解决

木马

木马会伪装成正常的软件，诱骗用户下载并给予其系统权限；没有广泛的传播性，不会进行自我复制

木马没有巨大的恶意，主要是利用这些权限运行一些程序等占用计算机资源帮忙做点事情（刷流量、挖矿等）；有些木马还可以创建后门，供其它黑客入侵

僵尸网络

什么是僵尸网络

僵尸网络Botnet是指采用一种或多种传播手段，将大量主机感染僵尸程序病毒（一般是木马），而被感染的主机将通过一个控制信道接收攻击者的指令，从而在控制者和被感染主机之间形成一个可一对多控制的网络，组成一个僵尸网络

僵尸网络感染过程

病毒植入：攻击者将僵尸病毒植入到被感染主机，在主机上运行并获取访问权限（一般由用户点击恶意链接或下载恶意软件导致）

控制信道建立：终端受到感染后，连接C&C服务器（该服务器是被黑客控制的，终端与该服务器建立控制连接）

接收指令：C&C服务器下发指令给受感染主机，让受感染的主机扫描本地网络，感染更多的主机

僵尸网络：与终端同一网段（同一局域网）的更多主机感染木马，然后攻击者通过技术手段将大量的被感染主机汇聚在一起组成僵尸网络，并通过C&C服务器下发指令实现一些自动化攻击

僵尸网络的检测和防御

针对可能导致威胁的URL等连接进行拦截检测（向网站挂马、病毒下载链接等）

针对主机连接C&C服务器的行为进行拦截（不让主机接收黑客下发指令）

防护区域发出的数据以及收到的请求数据都进行木马远程控制安全检测

检测被感染的主机

对非标准端口运行对应的协议检测、反弹检测、异常流量、启发式的Dos攻击等进行检测

勒索病毒

什么是勒索病毒

勒索病毒是一种恶意程序，可以感染设备、网络与数据中心并使其瘫痪；并且勒索病毒会将计算机中的各类文档加密让用户无法打开，直至用户支付赎金使系统解锁

勒索病毒的传播方式

钓鱼软件（外到内）

恶意代码伪装在邮件附件，诱使用户打开附件

蠕虫式传播（横向）

通过漏洞进行网络空间中的蠕虫式传播（一般用于勒索病毒横向活塞）

恶意软件捆绑（外到内）

通过捆绑软件来分发勒索软件

暴力破解（横向、外到内）

暴力破解账号密码

通过Exploit Kit分发勒索软件（外到内）

Exploit Kit可以将前面的攻击手段打包成一个软件包

黑客通过这个软件包中的各种攻击进行攻击

勒索病毒一般的攻击步骤

突破边界设备——病毒投放——加密勒索——横向传播

黑客如何突破边界设备进入到内网

如果公司内网有对外远程登录端口，黑客就可以通过暴力破解登陆到内网主机，以此来进行病毒投放

黑客也可通过发送邮件携带附件将其发送到内网主机，实现病毒投放

黑客也可以通过诱使用户下载恶意软件，内网主机下载恶意软件后就实现了病毒投放

黑客的勒索软件是如何绕过边界设备的检查来实现病毒投放的？（以邮件举例，其它类似））

黑客将邮件发布到受害者主机，其中这个邮件中携带的附件中是没有携带任何病毒的，但是把附件下载到本地并打开之后，黑客在附件中的隐藏的代码就会自动执行（一般代码都是下载器，从某个服务器来下载软件---该下载器没有病毒，不会被安全设备查杀）

代码通过与黑客的C&C服务器建立一个C&C加密隧道，然后将勒索病毒通过加密通道下载到了用户本地—中途的防火墙是无法进行解密并查杀的

总的来说就是使得内网主机与C&C服务器建立加密通信，通过加密隧道来传输勒索病毒

如何进行加密

此时勒索软件就对用户文件进行加密（加密的密钥是使用勒索软件携带的公钥加密的，需要使用私钥解密）

横向传播

此时勒索病毒在局域网内自动横向扩散攻击（勒索病毒自带了攻击程序，会使用攻击程序自动攻击局域网内的其它主机，导致其它主机也植入了勒索病毒；或者通过蠕虫式传播利用系统或软件漏洞进通过网络进行横向传播）

勒索病毒的特点

传播的入口多（通过公网服务器暴露端口、钓鱼邮件、恶意链接、访问网页挂马等）

传播技术隐蔽（传输通道隐蔽难以被发现、自动化的慢速暴力破解潜伏时间长难以发现、病毒样本变种频繁无法及时发现）

勒索产业化发展（通过勒索软件包进行攻击小白也可以实现攻击）

勒索病毒加密后难以回溯

勒索病毒事件复盘

远控服务器就是C&C服务器

如何构建高效的勒索病毒协同防护体系

针对勒索病毒更新快

很多静态病毒库是滞后的，很多都是用户感染之后安全厂商才拿来分析

通过加入全球威胁情报中心，共享病毒特征

并且有自己云端的大数据中心，进行威胁情报实时同步，快速应对新型攻击

阻断受感染主机与黑客的C&C服务器建立连接

1、一般黑客会在公网部署好自己的C&C服务器，而全球威胁情报共享中心中有收集到的黑客的C&C服务器的地址，因此我们就可以通过建立连接的目的IP地址来将连接中断

2、一般这种隐蔽的通信会在晚上建立连接，所以可以根据时间段来限制通信

当用户从C&C服务器将连接下载到本地后

一般勒索软件会先扫描本地硬盘的资料，然后再根据文件重要性对文件加密

此时就可以通过在用户电脑本地创建一些迷惑的文件名来诱捕勒索病毒对其加密，然后杀毒软件对这些文件进行监控，如果发现文件被扫描或加密时就知道有勒索病毒进来了，就开始抓到程序背后的勒索病毒本体，然后将其揪出来进行隔离

防止勒索病毒横向传播

当诱捕失败后，整台电脑被加密后，此时杀毒软件也可以感知到有病毒入侵了，此时杀毒软件将该电脑进行微隔离，防止勒索病毒横向传播

对本地重要文件进行非本地备份

挖矿病毒

一种恶意程序，可以自动传播，在未授权的情况下，占用系统资源，为攻击者谋利

使得受害者机器性能明显下降，影响正常使用

造成的危害

受害者会从攻击者的Web服务器下载挖矿程序，而后会利用系统上已有的漏洞建立后门

占用CPU或GPU等系统资源，影响系统正常使用

并且会自动扫描受害者主机上的SSH文件，进行横向感染

宏病毒

宏病毒是一种寄存在文档或模板的宏中的计算机病毒

工作过程

打开了感染宏病毒的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上

从此之后，所有自动保存的文档都会感染上这种宏病毒；而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上

造成的危害

感染了宏病毒的文档不能正常打印，文件的存储路径被更改、文件名被修改、非法复制文件、封闭文件存储路径和有关菜单、文件无法正常编辑、调用系统命令破坏系统等

木马的植入

什么是木马植入

就是给目标计算机（服务器、终端等）植入木马，让对方计算机运行这个木马，帮黑客实现一些黑客想要实现的事情

木马分类

木马程序：植入时，直接将完整的木马程序（文件）植入目标计算机，然后启动这个木马程序，让木马工作（完整的木马程序一般分为服务器程序和控制器程序，木马植入的程序为服务器程序，此时拥有控制器程序的冉就可以控制装有服务器程序的电脑）

木马代码：植入时，只将一段关键的木马代码植入到目标计算机的某个已有文件中，文件被打开运行时，木马代码会被启动执行

木马植入的方式

主动植入

木马主动入侵对方计算机，给对方计算机主动植入木马

一般服务器被中木马就是主动植入（因为服务器一般不会去上网下载软件来安装）

被动植入

用户自己引导了木马的植入，并不是别人主动向你植入的

一般个人终端中木马就是被动木马（用户在来历不明的网站下载破解或免费的软件可能会携带木马）

0day漏洞

安全漏洞生命周期

安全漏洞研究与挖掘

由高水平的黑客与测试渗透师挖掘目标系统中存在的可被利用的安全漏洞）

渗透代码开发与测试

黑客会开发概念验证性的渗透攻击代码POC、EXP，验证找到的安全漏洞是否确实存在，并确认能否被利用

安全漏洞和渗透代码在封闭团队中流转

白帽子会通知厂商进行修补，而厂商给出补丁后才进行公布

黑/灰帽子会在封闭小规模的团中进行秘密分享，充分利用这些安全漏洞和渗透攻击代码带来的攻击价值

安全漏洞和渗透代码开始扩散

由于各种原因，在在封闭小规模的团中进行秘密分享的安全漏洞和渗透代码流露出来，在互联网上得以公布

恶意程序出现并开始传播

某些黑帽子根据安全漏洞和渗透代码，进一步开发出易用的、有自动化传播能力的恶意程序

并将其在互联网或社区进行公开

渗透代码/恶意程序开始大规模传播并危害互联网

此时黑帽子通过恶意程序开始大范围的进行网络攻击；并且此时厂商发布补丁程序和安全警报

这个时候恶意程序对互联网的危害达到顶峰

渗透攻击代码/攻击工具/恶意程序逐渐消亡

在厂商的补丁程序、安全公司提供的检测和移除机制得到广泛应用后，相应的渗透代码、恶意程序将被黑帽子逐渐抛弃，从而慢慢消亡

什么是0day漏洞

从安全漏洞被发现到厂商发布补丁用于修补该漏洞之前的这段时间内，被称为0day

这个时间段内的漏洞就称为0day漏洞

0day漏洞的危害

在0day期间，黑客攻攻击存在该漏洞的目标系统，成功率能达到百分之百

即便在漏洞补丁发布之后，用户下载安装也还需要时间，并且有很多用户根本不会去更新；所以这些漏洞的相关补丁即使被公布出很久，这些漏洞同样还是具有利用价值的

流氓/间谍软件

流氓/间谍软件笼统的定义

一种跟踪上网行为并将你的个人信息反馈给隐藏的市场利益集团的软件就是流氓/间谍软件，并且该软件可以向受害者弹出广告

流氓软件具体是指：未经用户允许而在用户计算机或其它终端安装运行，侵害用户合法权益的软件

间谍软件具体是指：在用户不知情的情况下在其电脑上安装后门，收集用户信息的软件

软件的特点

强制安装、难以卸载、浏览器劫持、广告弹出、恶意捆绑等

对用户的危害

用户信息泄露、影响用户体验