計(jì)算機(jī)病毒事故緊急救援系統(tǒng)

計(jì)算機(jī)病毒事故

緊急救援系統(tǒng)

韓涌精選課件議程安排電腦部風(fēng)險(xiǎn)因素及通常的管理措施網(wǎng)絡(luò)病毒將導(dǎo)致新的安全問題混合攻擊威脅到金融交易系統(tǒng)具有混合攻擊能力的病毒趨勢(shì)科技EPSII解決方案建立計(jì)算機(jī)病毒應(yīng)急救援中心內(nèi)容介紹電腦部風(fēng)險(xiǎn)因素及通常的管理措施電腦部風(fēng)險(xiǎn)因素及通常的管理措施

電腦系統(tǒng)風(fēng)險(xiǎn)因素系統(tǒng)風(fēng)險(xiǎn)硬件部分 －電力供給設(shè)備系統(tǒng)保障風(fēng)險(xiǎn) －電腦、網(wǎng)絡(luò)及周邊設(shè)備 －安防系統(tǒng)風(fēng)險(xiǎn) －通訊線路電腦部風(fēng)險(xiǎn)因素及通常的管理措施

電腦系統(tǒng)風(fēng)險(xiǎn)因素系統(tǒng)風(fēng)險(xiǎn)軟件部分 －操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用軟件的安全等級(jí) －網(wǎng)絡(luò)入侵及惡意操作 －計(jì)算機(jī)病毒 －數(shù)據(jù)完整性、機(jī)密性及可恢復(fù)性 －災(zāi)難備份及恢復(fù)電腦部風(fēng)險(xiǎn)因素及通常的管理措施

電腦系統(tǒng)風(fēng)險(xiǎn)因素管理風(fēng)險(xiǎn)日常差錯(cuò)業(yè)務(wù)、資金權(quán)限違規(guī)操作系統(tǒng)升級(jí)及參數(shù)設(shè)置修改泄密計(jì)算機(jī)病毒風(fēng)險(xiǎn)及通常的防護(hù)手段計(jì)算機(jī)病毒風(fēng)險(xiǎn)及通常的防護(hù)手段

－柜臺(tái)交易系統(tǒng)死機(jī)¨

－ATM網(wǎng)絡(luò)中斷¨

－辦公系統(tǒng)運(yùn)行緩慢¨

－辦公網(wǎng)阻塞¨

－財(cái)務(wù)及其他業(yè)務(wù)數(shù)據(jù)丟失（多數(shù)EXCEL表）¨

－莫名其妙的電子郵件¨

－網(wǎng)絡(luò)打印失靈¨

－后臺(tái)系統(tǒng)數(shù)據(jù)被監(jiān)聽、竄改計(jì)算機(jī)病毒風(fēng)險(xiǎn)及通常的防護(hù)手段各金融機(jī)構(gòu)目前已經(jīng)采用的防范措施 1．

安裝經(jīng)公安部認(rèn)證檢測(cè)過的計(jì)算機(jī)防病毒軟件 單機(jī)（95/98/ME）

網(wǎng)關(guān)（SMTP/POP3/HTTP/FTP）

服務(wù)器（NT/2000/NETWARE/UNIX）

郵件(NOTES,EXCHANGE)

中央管控系統(tǒng)(ManagementConsole)

2.設(shè)立專職人員負(fù)責(zé)全轄范圍內(nèi)的計(jì)算機(jī)病毒維護(hù)，升級(jí)及防范工作。

3.杜絕使用外來軟盤、光盤及游戲程序等未經(jīng)檢查的軟件，阻斷病毒傳播的來源。

4.建立《計(jì)算機(jī)病毒防范管理制度》，對(duì)個(gè)人的上機(jī)操作，登錄密碼，上網(wǎng)，軟件使用及升級(jí)作出規(guī)范。

5.發(fā)現(xiàn)病毒及時(shí)隔離，由各級(jí)人員指導(dǎo)查殺工作，并形成報(bào)告制度。內(nèi)容介紹網(wǎng)絡(luò)病毒將導(dǎo)致新的安全問題確定為郵件型病毒…..網(wǎng)絡(luò)病毒將導(dǎo)致新的安全問題資料來源：ICSA實(shí)驗(yàn)室

《2002年流行病毒調(diào)查報(bào)告》

病毒的傳染途徑被分成7類：1.

電子郵件2.

互聯(lián)網(wǎng)下載3.

WEB瀏覽4.

第三方設(shè)備5.

軟件分發(fā)6.

磁盤7.

未知網(wǎng)絡(luò)病毒將導(dǎo)致新的安全問題資料來源：ICSA實(shí)驗(yàn)室

《2002年流行病毒調(diào)查報(bào)告》

在絕大多數(shù)機(jī)構(gòu)內(nèi)部，對(duì)于通過磁盤交叉使用而感染病毒的途徑已經(jīng)得到控制，但對(duì)于通過網(wǎng)絡(luò)進(jìn)行傳播的病毒依然束手無策

網(wǎng)絡(luò)病毒將導(dǎo)致新的安全問題網(wǎng)絡(luò)病毒特征：1.

網(wǎng)絡(luò)病毒主要通過無形介質(zhì)進(jìn)行傳播

2.

網(wǎng)絡(luò)病毒的傳播僅需要幾個(gè)小時(shí)的時(shí)間，并且越來越快

3.

網(wǎng)絡(luò)病毒多數(shù)利用系統(tǒng)注冊(cè)表、電子郵件附件、網(wǎng)絡(luò)攻擊漏洞等 方式實(shí)現(xiàn)駐留并控制系統(tǒng)

4.

網(wǎng)絡(luò)病毒不怕暴露特征碼明文給防病毒軟件，因?yàn)橹灰B著網(wǎng)， 即使被防毒軟件殺滅，它們也有機(jī)會(huì)再?gòu)?fù)制回來

5.

網(wǎng)絡(luò)病毒的破壞性變得相對(duì)隱蔽

網(wǎng)絡(luò)病毒將導(dǎo)致新的安全問題資料來源：ISS《ReponseStrategiesForHybridThreats》

在10年的時(shí)間里，計(jì)算機(jī)病毒向全球擴(kuò)散的速度居然提高了5000多倍

網(wǎng)絡(luò)病毒將導(dǎo)致新的安全問題網(wǎng)絡(luò)病毒的潛在性破壞a)

監(jiān)聽密碼b)

運(yùn)行外來應(yīng)用程序c)

替換系統(tǒng)密鑰d)

截獲屏幕顯示信息e)

遠(yuǎn)程控制鍵盤、鼠標(biāo)f)

啟動(dòng)/中止系統(tǒng)進(jìn)程g)

關(guān)閉系統(tǒng)h)

阻塞網(wǎng)絡(luò)網(wǎng)絡(luò)病毒將導(dǎo)致新的安全問題由于這些差別非常之大，以至于有時(shí)候很難戒定是網(wǎng)絡(luò)入侵還是病毒，這些差別在挑戰(zhàn)著安全管理人員的同時(shí)也挑戰(zhàn)著廠商的安全防范系統(tǒng)，它是否還能夠抵御網(wǎng)絡(luò)病毒的入侵？

內(nèi)容介紹混合攻擊威脅到金融交易系統(tǒng)混合攻擊威脅到金融交易系統(tǒng)新一代的網(wǎng)絡(luò)病毒會(huì)帶來新一代的網(wǎng)絡(luò)攻擊方式

混合攻擊（HybridAttack）1.攻擊可以不是人為的，而是由計(jì)算機(jī)病毒或更復(fù)雜的攻擊系統(tǒng)（攻擊樹）自動(dòng)發(fā)出的

2.來自外部的入侵感染模型在爆發(fā)時(shí)多數(shù)呈現(xiàn)不均勻分布

3.現(xiàn)有的攻擊技術(shù)可以自動(dòng)生成更復(fù)雜、更為系統(tǒng)化的攻擊工具

混合攻擊威脅到金融交易系統(tǒng)資料來源：Cert<SumlatingVirus>-02tr039來自外部的入侵感染模型顯示，在爆發(fā)時(shí)多數(shù)呈現(xiàn)不均勻分布

混合攻擊威脅到金融交易系統(tǒng)來自外部的入侵感染模型顯示，在爆發(fā)時(shí)多數(shù)呈現(xiàn)不均勻分布

混合攻擊威脅到金融交易系統(tǒng)現(xiàn)有的攻擊技術(shù)可以自動(dòng)生成更復(fù)雜、更為系統(tǒng)化的攻擊工具1、組合攻擊因子。通常包括啟動(dòng)因子（最為核心部分，負(fù)責(zé)通訊），傳播因子（可組合），入侵因子，控制指令解碼（被加密），監(jiān)聽因子，自毀因子等。2、生成攻擊樹。向攻擊目標(biāo)釋放含有不同因子的攻擊樹，并監(jiān)控其滲透過程。3、建立指令通道。啟動(dòng)因子利用控制引擎建立指令通道，負(fù)責(zé)攻擊樹內(nèi)部及攻擊樹之間互相通訊4、建立攻擊通道。啟動(dòng)因子利用入侵因子建立攻擊通道，在攻擊樹之間進(jìn)行路由運(yùn)算。5、獲取合法身份。啟動(dòng)因子利用監(jiān)聽因子實(shí)現(xiàn)獲取包括證書備份，截獲屏幕（如果網(wǎng)上銀行系統(tǒng)不用鍵盤輸入口令），監(jiān)聽口令等動(dòng)作5、內(nèi)部、外部攻擊。注意防火墻這時(shí)候不起作用，證書和口令也許均被截獲，攻擊完全從內(nèi)部‘合法’發(fā)出。6、自我銷毀?；旌瞎敉{到金融交易系統(tǒng)現(xiàn)有的攻擊技術(shù)可以自動(dòng)生成更復(fù)雜、更為系統(tǒng)化的攻擊工具攻擊樹及攻擊子集――資料來源：CERT《AttackModelingforinformationSecurityandSurvivability》混合攻擊威脅到金融交易系統(tǒng)緩存溢出（bufferoverflow）入侵因子目的：利用緩存溢出漏洞向目標(biāo)系統(tǒng)釋放惡意代嗎條件：攻擊者能夠在目標(biāo)系統(tǒng)運(yùn)行特定程序攻擊：

AND1.識(shí)別目標(biāo)系統(tǒng)可疑的緩存溢出漏洞 2.確定在當(dāng)前權(quán)限下可以運(yùn)行的攻擊程序 3.制作參數(shù)及SHELLCODE 4.運(yùn)行程序以覆蓋返回地址并跳轉(zhuǎn)執(zhí)行SHELLCODE事后處理：確保程序正常返回并清理記錄混合攻擊威脅到金融交易系統(tǒng)一個(gè)形象的混合攻擊過程l

防火墻：請(qǐng)出示工作證l

電子郵件混合攻擊：我是正常的電子郵件l

防火墻：可以，校驗(yàn)通過l

電子郵件混合攻擊：?jiǎn)?dòng)進(jìn)入郵件服務(wù)器及辦公系統(tǒng)，并截獲其他人的郵件地址l

電子郵件混合攻擊：現(xiàn)已進(jìn)入郵件系統(tǒng)，處于防火墻之內(nèi)，可以在網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊了l

電子郵件混合攻擊：感染通訊因子并生成監(jiān)聽因子，生成攻擊通道l

電子郵件混合攻擊：發(fā)現(xiàn)與預(yù)先設(shè)定的觸發(fā)模式吻合，應(yīng)該是生產(chǎn)交易系統(tǒng)，開始下載攻擊工具l

電子郵件混合攻擊：攻擊開始，并從系統(tǒng)內(nèi)部發(fā)出，身份獲得偽裝l

生產(chǎn)交易系統(tǒng)：請(qǐng)出示身份證l

電子郵件混合攻擊：給出偽裝身份證l

生產(chǎn)交易系統(tǒng)：可以，校驗(yàn)通過l

電子郵件混合攻擊：利用攻擊通道通知遠(yuǎn)端控制臺(tái)攻擊過程l

電子郵件混合攻擊：攻擊成功。傳出加密數(shù)據(jù)，自毀。電子郵件混合攻擊：攻擊失敗。清理現(xiàn)場(chǎng)，下載新的攻擊因子，嘗試?yán)^續(xù)攻擊。

內(nèi)容介紹具有混合攻擊能力的病毒具有混合攻擊能力的計(jì)算機(jī)病毒SQL蠕蟲

病毒體－－376字節(jié)生存方式－－駐留內(nèi)存感染受攻擊系統(tǒng)MicrosoftSQLServer2000SP2

MicrosoftSQLServer2000SP1

MicrosoftSQLServer2000DesktopEngine

MicrosoftSQLServer2000

-MicrosoftWindowsNT4.0SP6a

-MicrosoftWindowsNT4.0SP6

-MicrosoftWindowsNT4.0SP5

-MicrosoftWindowsNT4.0

-MicrosoftWindows2000ServerSP3

-MicrosoftWindows2000ServerSP2

-MicrosoftWindows2000ServerSP1

-MicrosoftWindows2000

具有混合攻擊能力的計(jì)算機(jī)病毒SQL蠕蟲

傳播方式－－SQLResolutionServiceBufferOverflow(UDP/1434)*攻擊方式－－DoS(UDPFlood)*HKLM\Software\Microsoft\MicrosoftSQLServer\%s%s\MSSQLServer\CurrentVersion

*Microsoft2002/07/25發(fā)布*CERTAdvisory1996/02/08發(fā)布具有混合攻擊能力的計(jì)算機(jī)病毒該惡意病毒采用了結(jié)合蠕蟲和后門程序等多種特性的方式。在傳播中，它會(huì)向網(wǎng)絡(luò)中的共享文件夾中散布自身。而同時(shí)作為后門攻擊程序，它會(huì)打開一個(gè)網(wǎng)絡(luò)端口(默認(rèn)情況為”10168”)，從而允許遠(yuǎn)端訪問者控制和操作整個(gè)受感染的系統(tǒng)；同時(shí)還向2個(gè)郵箱通知受感染系統(tǒng)的情況:54love@

，hacker117@163.com

Worm_LoveGate.C愛蟲具有混合攻擊能力的計(jì)算機(jī)病毒將文件放置在系統(tǒng)目錄下。通常為： C:\Windows\System，Windows9x系統(tǒng)中 C:\WinNT\System32inWindowsNT/2K系統(tǒng)中文件名稱（都是79KB大?。篧inRpcsrv.e

syshelp.exe

winrpc.exe

WinGate.exe

rpcsrv.exe

具有混合攻擊能力的計(jì)算機(jī)病毒自動(dòng)運(yùn)行添加注冊(cè)表鍵值HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run具有混合攻擊能力的計(jì)算機(jī)病毒如圖所示：具有混合攻擊能力的計(jì)算機(jī)病毒其它注冊(cè)表鍵值該鍵值由病毒添加，目的是通過修改注冊(cè)表使得每次用戶打開TXT文件時(shí)，病毒即可自動(dòng)運(yùn)行注冊(cè)表鍵值如下：HKEY_CLASSES_ROOT\txtfile\shell\open\command @ "C:\WINDOWS\NOTEPAD.EXE%1" "winrpc.exe%1"HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command @ "C:\WINDOWS\NOTEPAD.EXE%1" "winrpc.exe%1"具有混合攻擊能力的計(jì)算機(jī)病毒INI文件病毒會(huì)通過修改Win.ini文件的方式，使得自己可以自動(dòng)運(yùn)行具有混合攻擊能力的計(jì)算機(jī)病毒網(wǎng)絡(luò)傳播.–病毒會(huì)通過網(wǎng)絡(luò)共享將自身復(fù)制到具有讀寫權(quán)限的網(wǎng)絡(luò)共享文件夾中具有混合攻擊能力的計(jì)算機(jī)病毒感染后的其它特征：在命令行模式下，運(yùn)行NETSTAT–A，可觀察到10168端口已經(jīng)被打開MSBlaster.A-Details病毒詳細(xì)描述

自啟動(dòng)技術(shù)以及常駐內(nèi)存檢驗(yàn)

在運(yùn)行時(shí)，該蠕蟲會(huì)在注冊(cè)表中建立如下自啟動(dòng)項(xiàng)目以使得系統(tǒng)啟動(dòng)時(shí)自身能得到執(zhí)行：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run,

Windowsautoupdate"=MSBLAST.EXE然后檢查自身是否已常駐內(nèi)存，如果已在內(nèi)存中運(yùn)行，則停止繼續(xù)運(yùn)行。如果繼續(xù)運(yùn)行，則檢查當(dāng)前計(jì)算機(jī)是否有可用的網(wǎng)絡(luò)連接。如果沒有連接，則休眠10秒然后再次檢查Internet連接。該過程一直持續(xù)到一個(gè)Internet連接被建立。MSBlaster.A-Details病毒詳細(xì)描述

分布式拒絕服務(wù)攻擊

在Internet連接建立的情況下，蠕蟲開始檢查系統(tǒng)日期，在滿足下列日期的情況下蠕蟲發(fā)送對(duì)的分布式拒絕服務(wù)攻擊:以下月份的16日至31日:

一月

二月

三月

4月

五月

六月

七月

八月

或是九月至十二月的任意一天

然后，蠕蟲開始嘗試連接至其他目標(biāo)系統(tǒng)的135端口。MSBlaster.A-Details病毒詳細(xì)描述

A變種

-經(jīng)UPX壓縮

-使用MSBLAST.EXE作為生成的文件名稱

-使用"windowsautoupdate"作為注冊(cè)表自啟動(dòng)項(xiàng)目名稱

-包含下列字符串

IjustwanttosayLOVEYOUSAN!!billygateswhydoyoumakethispossible?Stopmakingmoneyandfixyoursoftware!!

2..B變種

-.A變種的解壓縮版本

-使用PENIS32.EXE作為生成的文件名稱3..C變種

經(jīng)FSG壓縮

使用teekids.exe作為文件名稱

使用"MicrosoftInetXp"作為注冊(cè)表自啟動(dòng)項(xiàng)目名稱

包含下列字符串

Microsoftcansuckmylefttesti!BillGatescansuckmyrighttesti!AndAllAntivirusMakersCanSuckMyBigFatCockMSBlaster.A-Details病毒詳細(xì)描述

分布式拒絕服務(wù)攻擊

在Internet連接建立的情況下，蠕蟲開始檢查系統(tǒng)日期，在滿足下列日期的情況下蠕蟲發(fā)送對(duì)的分布式拒絕服務(wù)攻擊:以下月份的16日至31日:

一月

二月

三月

4月

五月

六月

七月

八月

或是九月至十二月的任意一天

然后，蠕蟲開始嘗試連接至其他目標(biāo)系統(tǒng)的135端口。內(nèi)容介紹趨勢(shì)科技EPSII解決方案利用趨勢(shì)科技EPSII解決方案建立計(jì)算機(jī)病毒應(yīng)急救援中心EPSII解決方案OutbreakLifecycleTimelineDeclaredYellow/RedAlertAugust11,2003,8:55PM(GMT)NetworkwormFirstSpotted:US,August11,2003(GMT)OutbreakPoliciesDeployedTMCM43Preventsthespreadofthemalware+0:48min+0:51minPatternFileDeployedPatternFile-OPR604+1:45minCleaningTemplateDeployedDCT153ThreatInformationAttackPreventionNotificationandAssurancePatternFileScanandEliminateAssessAndcleanupRestoreandPost-mortem+0:00min.MSBLaster.AAttackTCPPORT135ClosedTCPPORT135ClosedTCPPORT135ClosedINFECTEDSYSTEMATTEMPTSTOINFECTOTHERCLIENTSA.WormusesinfectedcomputertosearchforothercomputerswithouttheMicrosoft?patchB.Wormforcesun-patchedcomputertoreceiveaprogram.Thenittakescontrolofthecomputer.Theworm,MSBlasterbeginsspreadingwhenthecomputerisrestarted.InWindowsXP,wormrebootsthecomputertobeginspreadingimmediately.TCPPORT135OPENC.MSBlastercontinuesspreadingandallinfectedcomputersbeginsendingrepetitivemessagestocreatingacybertrafficjamthatcouldcrashthesite.MSPATCHMSPATCHMSPATCHTMCM2.5–OutbreakCommanderOutbreakCommander–OPPDeployment…1.8Virusawarenessnotification為了保險(xiǎn)起見對(duì)移動(dòng)用戶和機(jī)器異常的用戶，提供在線殺毒1.7AVportal-CustomizedAVKnowledgeBaseandreport發(fā)布OPS部署策略發(fā)布病毒代碼文件部署病毒代碼文件趨勢(shì)科技可以協(xié)助銀行節(jié)省的投入清除清除感染數(shù)量時(shí)間EPSII解決方案及金融業(yè)專署服務(wù)趨勢(shì)科技EPSII解決方案及金融業(yè)專署服務(wù)

趨勢(shì)科技EPSII解決方案及金融業(yè)專署服務(wù)

趨勢(shì)科技EPSII解決方案及金融業(yè)專署服務(wù)

2.1AVsolutiondeploymentsimulationResponseTimeLine

內(nèi)容介紹建立金融業(yè)計(jì)算機(jī)病毒應(yīng)急救援中心Internet攻擊模式染毒電腦未修補(bǔ)漏洞的系統(tǒng)已修補(bǔ)漏洞的系統(tǒng)隨機(jī)攻擊隨機(jī)攻擊隨機(jī)攻擊被感染不被感染不被感染被感染被感染不被感染不被感染金融企業(yè)計(jì)算機(jī)病毒事故應(yīng)急救援模型全行安全管理架構(gòu)集中與分布相結(jié)合

以分行作為基本管理單位總行承擔(dān)監(jiān)控職責(zé)補(bǔ)丁與防毒相結(jié)合

操作系統(tǒng)補(bǔ)丁安裝防病毒組件更新全局性管理網(wǎng)關(guān)防毒總行網(wǎng)絡(luò)防毒自助設(shè)備/服務(wù)器/客戶端防毒管理銀行總體防毒架構(gòu)總行：