僵木蠕
以“僵木蠕”(僵尸网络、木马、蠕虫)为代表的网络威胁
僵尸网络是攻击者出于恶意目的,传播僵尸程序bot以控制大量计算机,并通过一对多的命令与控制信道所组成的网络,我们将之称之为僵尸网络,botnet。
据控制方式和通信协议的不同而有所不同。在基于IRC协议的Botnet中,感染bot程序的主机会登录到指定的服务器和频道中去,在登录成功后,在频道中等待控制者发来的恶意指令。
=====
蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VBScript等技术,可以潜伏在HTML页面里,在上网浏览时触发。
变种介绍
该蠕虫及其变种一旦感染操作系统,会进行如下的恶意行为:
1、在所有可移动设备上释放自身副本。这些副本名字会使用受感染操作系统上的文件夹和文件,其扩展名分别:avi、bmp、doc、gif、txt、exe等等;
2、隐藏上面列举类型的原始文件和文件夹,致使计算机用户将病毒文件误认为正常文件而点击;
3、释放一个自启动配置文件,文件名:autorun.inf,当可移动设备安装成功后,自动运行恶意文件;
4、部分变种会利用快捷方式漏洞MS10-046自动运行恶意文件,其扩展名分别是.lnk和.dll ;
5、蠕虫变种会连接恶意Web站点,下载并执行恶意软件;
6、某些变种会连接互联网络中指定的服务器,从而与一个远程恶意攻击者进行互联通讯。
防范措施
=====
木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。
它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。
“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
===
分布式拒绝服务(DDos)
DDoS攻击是利用服务请求来耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。 DDoS 攻击有多种形式,但是能看到的最典型的就是流量溢出,它可以消耗大量的带宽,却不消耗应用程序资源。
一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业,他们会采取什么手段呢?(只为举例,切勿模仿)恶霸们扮作普通客户一直拥挤在对手的商铺,赖着不走,真正的购物者却无法进入;或者总是和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户;也可以为商铺的经营者提供虚假信息,商铺的上上下下忙成一团之后却发现都是一场空,最终跑了真正的大客户,损失惨重。此外恶霸们完成这些坏事有时凭单干难以完成,需要叫上很多人一起。嗯,网络安全领域中DoS和DDoS攻击就遵循着这些思路。
=======
.pcap 数据包 文件
利用libpcap抓取数据包
libpcap是一个网络数据包捕获函数库
pcap文件解析--pcap文件头与包文件头(一)
pcap文件格式是常用的数据报存储格式,包括wireshark在内的主流抓包软件都可以生成这种格式的数据包
======
文件哈希
“远控”木马
=====
APT攻击
APT(Advanced Persistent Threat)是指高级持续性威胁
APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。
APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
2. 攻击者会感染一个组织中用户经常通过DNS访问的网站。著名的端到端战网Gameover Zeus就是一个例子,一旦进入网络,它就能使用P2P通信去控制受感染的设备。
3. 攻击者会通过一个直连物理连接感染网络,如感染病毒的U盘。
下载真实的APT:一旦进入组织内部,几乎在所有的攻击案例中,恶意软件执行的第一个重要操作就是使用DNS从一个远程服务器上下载真实的APT。在成功实现恶意目标方面,真实的APT比初始感染要强大许多。
传播和连回攻击源:一旦下载和安装之后,APT会禁用运行在已感染计算机上的反病毒软件或类似软件。不幸的是,这个操作并不难。然后,APT通常会收集一些基础数据,然后使用DNS连接一个命令与控制服务器,接收下一步的指令。
数据盗取:攻击者可能在一次成功的APT中发现数量达到TB级的数据。在一些案例中,APT会通过接收指令的相同命令与控制服务器接收数据。然而,通常这些中介服务器的带宽和存储容量不足以在有限的时间范围内传输完数据。此外,传统数据还需要更多的步骤,而步骤越多就越容易被人发现。因此,APT通常会直接连接另一个服务器,将它作为数据存储服务器,将所有盗取的数据上传到这个服务器中。最后这个阶段一样会使用DNS
建立强大的出口规则。除网络流量(必须通过代理服务器)外,阻止企业的所有出站流量,阻止所有数据共享、诶网站和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道,阻止未经授权的数据渗出网络。
收集强大的日志分析。企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。
聘请安全分析师。安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。这个职位的关键是经验。
====
DGA技术生成的恶意域名
使用深度学习检测DGA(域名生成算法)
DGA(域名生成算法)是一种利用随机字符来生成C&C域名,从而逃避域名黑名单检测的技术手段。例如,一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com,如果我们的进程尝试其它建立连接,那么我们的机器就可能感染Cryptolocker勒索病毒。域名黑名单通常用于检测和阻断这些域的连接,但对于不断更新的DGA算法并不奏效。我们的团队也一直在对DGA进行广泛的研究,
======
ffsn
Fast-Flux网络访问
浅谈僵尸网络利器:Fast-flux技术
Fast-Flux网络检测与分析技术研究
FFSN(Fast-Flux Service Network)是Internet上新近出现的尚未广为人知的一种威胁,在网络欺骗中占有很大比例,常见的恶意应用有Phishing、Malware、Spam等。
======
暗网
Tor网络流量
====
iaas
paas
====
网际
网际网络_百度百科
网际网络是指在广域网与广域网之间互相连接的网络,包括不同类型的协议的网络的互联,比如TCp/IP网络和X.25网络的互联。
中文名网际网络 外文名Internet
现在咱们通用的因特网(INTERNET)就是很明显的网际网络,因为因特网中包含着各种不同类型的网络,从协议到路由,从软件到硬件等等的不同。实现网际网络的关键是在不同网络协议基础上实现彼此的兼容和互联,只有实现了网际互联,才形成了现在覆盖全球的互联网。
=====
本源
英文是origin,一般指源头,借指事物的根源,起源。也指根本。
===
递归域名服务器
=====
dns隐蔽隧道
利用DNS 隧道传递数据和命令来绕过防火墙
DNS隧道_百度文库
利用DNS查询过程建立起隧道,传输数据。
云风的 BLOG: DNS 隧道
======
ip隧道
ip地址段使用规则
===
逻辑拓扑
===
上行 下行
===
置信度
置信区间给出的是被测量参数的测量值的可信程度
====
元数据
元数据(Metadata),又称中介数据、中继数据,为描述数据的数据(data about data),主要是描述数据属性(property)的信息,用来支持如指示存储位置、历史数据、资源查找、文件记录等功能。
======
态势感知
态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地
===
开源情报
开源情报(open source intelligence)是指从公众媒体上收集和挖掘情报,
===
拓扑结构
把网络中的计算机和通信设备抽象为一个点,把传输介质抽象为一条线,由点和线组成的几何图形就是计算机网络的拓扑结构。
======
“爱因斯坦-3”(E3A)监控并采集的数据主要
是元数据(Metadata),并分为 5 种类型:
1) IP 地址(源和目的);
2) 域名(请求和响应);
3) 邮件头(发送和接收地址等);
4) 文件(大小、类型、哈希值等);
5) 特征(持续或唯一标识特定的恶意行为)。
=====
地理信息系统---GIS
(Geographic Information System)
是一种特定的空间信息系统。
它 是 在 计 算 机 硬 软 件 系 统
支 持 下 , 对 整 个 或 部 分 地 球
表层(包括大气层)空间中的
有关地理分布数据进行采集、
储 存 、 管 理 、 运 算 、 分 析 、
显示和描述的技术系统
======
网络空间三个维度
感知维度,信息,物理。
===
国内商用的互联网安全地图
比如 星图,天网,鹰眼。
====
网络威慑力包括:防御能力+监控能力+反制能力
====