黑客大曝光

前言

推薦序在我從事信息安全工作的將近15年中，惡意軟件（malware）已經(jīng)成為網(wǎng)絡(luò)攻擊者武器庫中最有力的工具。從窺探財務(wù)記錄和竊取擊鍵到對等（peer-to-peer）網(wǎng)絡(luò)和自動更新功能，惡意軟件幾乎成為所有成功攻擊的關(guān)鍵部件。情況并非從來如此，我記得1998年剛開始從事信息安全工作時，我部署了自己的第一只蜜罐。這使我能夠看到攻擊者進入并且接管真實的計算機，由此我學(xué)到了關(guān)于他們的工具和技術(shù)的第一手資料。在那時候，攻擊者通過人工掃描整個網(wǎng)絡(luò)的各個部分來攻擊，他們的目標(biāo)是建立一個在互聯(lián)網(wǎng)上能夠訪問到的IP地址列表。在花費數(shù)天的時間建立這個數(shù)據(jù)庫之后，攻擊者將會回來，在他們找到的每臺電腦上刺探常用的端口，查找已知的漏洞，例如脆弱的FTP服務(wù)器或者開放的Windows文件共享。一旦發(fā)現(xiàn)這些漏洞，攻擊者將利用該系統(tǒng)。刺探和利用的整個過程可能花費幾個小時到幾周，在每個階段需要不同的工具。利用成功之后，攻擊者將會上傳更多的工具，每個工具都有各自的作用，并且通常人工運行。例如，一個工具能夠清除日志；另一個工具則保護系統(tǒng)；別的工具則檢索密碼或者掃描其他脆弱的系統(tǒng)。你往往可以通過攻擊者運行不同工具或者執(zhí)行系統(tǒng)命令時犯錯的數(shù)量來判斷其水平。觀察和學(xué)習(xí)攻擊者，并且識別其身份和動機是令人愉快和感興趣的，這時候你的感覺就像和闖入你的電腦的人有了私人關(guān)系一樣?，F(xiàn)在，網(wǎng)絡(luò)防御的形勢已經(jīng)有了根本的變化。過去，要攻擊和危害一臺計算機，每一步幾乎都包含著人工交互?，F(xiàn)在，幾乎所有的攻擊都是高度自動化的，使用最先進的工具和技術(shù)。過去，你可以看到威脅并從中學(xué)習(xí)，記錄攻擊者采取的每個步驟?，F(xiàn)在，整個過程都是有預(yù)謀的，發(fā)生在幾秒鐘之內(nèi)，沒有任何可觀察和學(xué)習(xí)的東西。從開始的刺探到泄密再到數(shù)據(jù)收集，攻擊的每個步驟都預(yù)先封裝到我們所看到的最先進的技術(shù)—惡意軟件之中。病毒剛剛問世時，只不過是修改系統(tǒng)上的幾個文件以及竊取一些文檔，或者試圖破解系統(tǒng)密碼的簡單工具?，F(xiàn)在，惡意軟件已經(jīng)變得極其成熟，它們能夠讀取受害者的存儲器，并且感染啟動扇區(qū)、BIOS，此外還有基于內(nèi)核的Rootkit。更有趣的是，惡意軟件利用僵尸網(wǎng)絡(luò)（botnet）建立和維護對泄密系統(tǒng)的整個網(wǎng)絡(luò)的控制能力。這些僵尸網(wǎng)絡(luò)是網(wǎng)絡(luò)犯罪分子控制下的有高度組織性的網(wǎng)絡(luò)。網(wǎng)絡(luò)犯罪分子使用這些網(wǎng)絡(luò)來獲取數(shù)據(jù)并且發(fā)送垃圾郵件，攻擊其他網(wǎng)絡(luò)或者部署仿冒站點?，F(xiàn)代的惡意軟件使這些僵尸網(wǎng)絡(luò)成為可能。更糟糕的是，網(wǎng)絡(luò)攻擊者從全世界獲得惡意軟件，并且不斷地創(chuàng)建和改進惡意軟件。在我寫這篇序的時候，全世界正在從一個有史以來最高級的惡意軟件Conficker的攻擊中恢復(fù)。數(shù)百萬臺電腦受到一群有組織的犯罪分子的侵害和控制。這次攻擊非常成功，以至于整個政府組織（包括美國國防部）都禁止移動媒體的使用，以減緩攻擊的蔓延。Conficker還引入了我們所見過的最高級的惡意軟件功能，使用最新的加密技術(shù)來進行隨機域名生成和自治點對點通信。不幸的是，這一威脅越來越嚴(yán)重。防病毒公司每天差不多要對付數(shù)千種新的惡意軟件變種，這個數(shù)字還會不斷增長。我們所看到的惡意軟件的最大改變不只是技術(shù)，還有這些技術(shù)背后的攻擊者，以及他們開發(fā)惡意軟件的動機。我原來所監(jiān)控的大部分攻擊者都可以歸類為腳本小孩，即一些沒有熟練技能，只能使用從別處拷貝的工具的孩子。他們?yōu)榱藠蕵坊蛘呓o朋友們留下印象而進行攻擊。還有一小部分人開發(fā)和使用自己的工具，但是動機往往是好奇心，以及對自己的工具或者侵害系統(tǒng)能力的測試，或者是為了出名。今天我們所面對的威脅與此大不相同，這些威脅正在變得更有組織，更有效率，也更致命。今天，我們面對著有組織的犯罪分子，他們關(guān)注投資回報率（Return On Investment，ROI），擁有研究和開發(fā)團隊，開發(fā)最有利可圖的攻擊。和任何具有利益中心的企業(yè)一樣，這些犯罪分子關(guān)注效率和經(jīng)濟性，試圖在全球范圍獲得盡可能多的利益。此外，這些犯罪分子已經(jīng)發(fā)展了自己的惡意軟件黑市。和其他經(jīng)濟體一樣，你能找到一個完整的黑市，犯罪分子在這個黑市中進行交易并且銷售最新的惡意軟件工具，惡意軟件已經(jīng)成為一種服務(wù)。犯罪分子為客戶開發(fā)定制的惡意軟件或者將惡意軟件作為服務(wù)進行租賃，服務(wù)包括支持、更新，甚至性能的約定。例如，犯罪分子可以開發(fā)定制的惡意軟件，并且保證避開大部分防病毒軟件，或者設(shè)計軟件來利用未知的漏洞。一些國家機構(gòu)也在開發(fā)最新的網(wǎng)絡(luò)戰(zhàn)工具。這些機構(gòu)具有幾乎無限的預(yù)算，并且擁有世界上最先進的技能。它們所開發(fā)的惡意軟件用來悄悄地滲透和侵入其他國家，并且盡可能地收集情報，就像我們在最近的美國政府網(wǎng)絡(luò)攻擊案中所看到的那樣。使用惡意軟件的國家級攻擊還會擾亂其他國家的網(wǎng)絡(luò)活動，例如，對一些國家的網(wǎng)絡(luò)分布式拒絕服務(wù)攻擊就是有組織并由惡意軟件發(fā)起的。惡意軟件已經(jīng)成為今天所見的幾乎所有攻擊的共有因素。為了保護你的網(wǎng)絡(luò)，你必須理解和防御惡意軟件。我很高興看到Michael Davis牽頭寫作了這本關(guān)于Windows惡意軟件的書籍：《黑客大曝光：惡意軟件和Rootkit安全》。我無法想到更適合這一任務(wù)的人。從Mike加入Honeynet項目成為Windows的主要研究者開始，我認(rèn)識他將近10年了。Mike開發(fā)了我們最強有力的數(shù)據(jù)捕捉工具sebek，這是一個高級的Windows內(nèi)核工具。除此之外，Mike在McAfee公司的經(jīng)歷使他擁有了關(guān)于惡意軟件和防病毒技術(shù)的豐富經(jīng)驗，他還有很多幫助提高世界各地客戶安全的經(jīng)驗，并理解各種組織所面對的挑戰(zhàn)。他也親眼目睹了惡意軟件成為目前各種組織所面臨的最大威脅的過程?！逗诳痛笃毓?惡意軟件和Rootkit安全》為我們提供了令人驚嘆的資源，它很及時，關(guān)注我們所面臨的最大網(wǎng)絡(luò)威脅和防御。我強烈推薦閱讀本書。Lance Spitzner, Honeynet項目總裁

內(nèi)容概要

抵御惡意軟件和Rootkit不斷掀起的攻擊浪潮！《黑客大曝光：惡意軟件和Rootkit安全》用現(xiàn)實世界的案例研究和實例揭示了當(dāng)前的黑客們是如何使用很容易得到的工具滲透和劫持系統(tǒng)的，逐步深入的對策提供了經(jīng)過證明的預(yù)防技術(shù)。本書介紹了檢測和消除惡意嵌入代碼、攔截彈出式窗口和網(wǎng)站、預(yù)防擊鍵記錄以及終止Rootkit的方法，詳細(xì)地介紹了最新的入侵檢測、防火墻、蜜罐、防病毒、防Rootkit以及防間諜軟件技術(shù)。
 《黑客大曝光：惡意軟件和Rootkit安全》包括以下內(nèi)容：
 理解惡意軟件感染、生存以及在整個企業(yè)中傳染的方法。
 了解黑客使用存檔文件、加密程序以及打包程序混淆代碼的方法。
 實施有效的入侵檢測和預(yù)防程序。
 防御擊鍵記錄、重定向、點擊欺詐以及身份盜竊威脅。
 檢測，殺死和刪除虛擬模式、用戶模式和內(nèi)核模式Rootkit。
 預(yù)防惡意網(wǎng)站、仿冒、客戶端和嵌入式代碼攻擊。
 使用最新的防病毒、彈出窗口攔截程序和防火墻軟件保護主機。
 使用HIPS和NIPS識別和終止惡意進程。

作者簡介

Michael A. Davis是Savid
Technologies公司的CEO，該公司一家全國性的技術(shù)和安全性顧問公司。他曾經(jīng)在McAfee公司擔(dān)任全球威脅高級經(jīng)理。他是Honeynet項目成員。
 Sean M. Bodmer是Savid
Corporation公司的政府項目主管。他是一位活躍的Honeynet研究人員，精于分析對惡意軟件和攻擊者的特征、模式和行為。Sean是Honeynet項目和
Hacker Profiling項目的參與者。
 Aaron
LeMasters是一位精通計算機取證、惡意軟件分析和漏洞研究的安全性研究人員。他在保護不設(shè)防的國防部網(wǎng)絡(luò)上投入了5年的時間，現(xiàn)在他是Raytheon
SI的高級軟件工程師。

書籍目錄

對本書的贊譽
譯者序
序言
前言
作者簡介
技術(shù)編輯簡介
第一部分 惡意軟件
 第1章 傳染方法
 1.1　這種安全設(shè)施可能確實有用
 1.2　為什么他們想要你的工作站
 1.3　難以發(fā)現(xiàn)的意圖
 1.4　這是樁生意
 1.5　重要的惡意軟件傳播技術(shù)
 1.6　現(xiàn)代惡意軟件的傳播技術(shù)
 1.7　惡意軟件傳播注入方向
 1.8　本書配套網(wǎng)站上的實例
 1.9　小結(jié)
 第2章　惡意軟件功能
 2.1　惡意軟件安裝后會做什么
 2.2　識別安裝的惡意軟件
 2.3　小結(jié)
第二部分　Rootkit
 第3章　用戶模式Rootkit
 3.1　維持訪問權(quán)
 3.2　隱身：掩蓋存在
 3.3　Rootkit的類型
 3.4　時間軸
 3.5　用戶模式Rootkit
 3.6　小結(jié)
 第4章　內(nèi)核模式Rootkit
 4.1　底層：x86體系結(jié)構(gòu)基礎(chǔ)
 4.2　目標(biāo)：Windows內(nèi)核組件
 4.3　內(nèi)核驅(qū)動程序概念
 4.4　內(nèi)核模式Rootkit
 4.5　內(nèi)核模式Rootkit實例
 4.6　小結(jié)
 第5章　虛擬Rootkit
 5.1　虛擬機技術(shù)概述
 5.2　虛擬機Rootkit技術(shù)
 5.3　虛擬Rootkit實例
 5.4　小結(jié)
 第6章　Rootkit的未來：如果你現(xiàn)在認(rèn)為情況嚴(yán)重
 6.1　復(fù)雜性和隱蔽性的改進
 6.2　定制的Rootkit
 6.3　小結(jié)
第三部分　預(yù)防技術(shù)
 第7章　防病毒
 第8章　主機保護系統(tǒng)
 第9章　基于主機的入侵預(yù)防
 第10章　Rootkit檢測
 第11章　常規(guī)安全實踐
 附錄A　系統(tǒng)安全分析：建立你自己的Rootkit檢測程序

章節(jié)摘錄

版權(quán)頁：插圖：當(dāng)今的網(wǎng)絡(luò)威脅比以往都更具敵意。在仿冒和垃圾郵件方面取得的新進展說明，攻擊者的方法已經(jīng)更趨向于心理學(xué)方面而非技術(shù)方面。現(xiàn)在，通過電子郵件和IWeb，用戶成為了目標(biāo)，仿冒網(wǎng)站看上去如此可信，使得許多人沒辦法看出與真實網(wǎng)站的不同，從而交出自己的敏感信息，例如網(wǎng)上銀行的用戶名和密碼。根據(jù)McAfee的網(wǎng)站指南，在他們所做的間諜軟件調(diào)查問卷（測試中詢問受訪人一個網(wǎng)站是否安全）中，12萬名受訪者中的95％錯誤地認(rèn)為一個含有惡意軟件的網(wǎng)站是安全的。McAfee的調(diào)查問卷是用戶所面對的問題的絕好實例，他們必須一眼就能看出某些網(wǎng)絡(luò)內(nèi)容是否會對自己的機器帶來負(fù)面的影響?？紤]到安全意識的缺失，這個重要的決定類似于讓一個4歲的孩子確定他的父親是不是真的能從耳朵里拿出一個25美分的硬幣。一旦攻擊者哄騙用戶下載了惡意軟件，就能夠隨意地訪問網(wǎng)絡(luò)空間的最新邊界——你的工作站，獲取機密信息、用戶名和密碼，還有類似社會保險號碼或者銀行賬戶信息等個人身份信息。你最后一次從當(dāng)?shù)貓蠹堉辛私獾絿?yán)重的病毒爆發(fā)是什么時候？兩年前？病毒已經(jīng)成為過去。從2004年Bagle和INetsky病毒爆發(fā)以來，蠕蟲和病毒對個人用戶和公司網(wǎng)絡(luò)的威脅已經(jīng)顯著減少了。但是，病毒爆發(fā)的停止不是因為病毒編寫者決定洗手不干，而是因為他們的主要目標(biāo)——公眾注意力，已經(jīng)不再讓他們感興趣了。病毒編寫者想要更多，比如金錢、敏感信息，以及對未授權(quán)系統(tǒng)的持續(xù)訪問以利用這些系統(tǒng)資源，因此他們改變了方法、技術(shù)和工具，變得更加謹(jǐn)慎和針對特定目標(biāo)，以適應(yīng)新的動機，于是惡意軟件和IRootkit的時代開始了。惡意軟件制作者的一些改變是由于安全界提升了安全軍備競賽的水平。未經(jīng)證明的Microsoft操作系統(tǒng)遠(yuǎn)程漏洞的減少和邊界安全產(chǎn)品的廣泛使用迫使攻擊者提升自己的水平。1.1 這種安全設(shè)施可能確實有用安全工具和產(chǎn)品一般被看作是降低生產(chǎn)率和浪費資源，或者沒有真正的投資回報的東西，但是因為安全是“策略”所以必須實施。許多安全產(chǎn)品本身沒有提供價值，而且生產(chǎn)軟件的公司的最新改進已經(jīng)顯著減少了漏洞的數(shù)量和類型。攻擊者利用核心操作系統(tǒng)部件緩沖區(qū)溢出來獲得遠(yuǎn)程管理權(quán)限的時代一去不復(fù)返了。現(xiàn)在的漏洞遠(yuǎn)比過去復(fù)雜，在代碼中隱藏得很深，要找到它需要更多的技巧，而且發(fā)布的頻率也比過去要低得多；發(fā)現(xiàn)這些漏洞需要攻擊者花費更多的時間。

媒體關(guān)注與評論

“本書揭示了惡意軟件可能的藏身之地，給出了尋找它們的方法”?！　　狣an Kami rlsky，IOActive公司滲透測試負(fù)責(zé)人“本書為我們提供了令人驚嘆的資源，它很及時地關(guān)注了我們所面臨的最大網(wǎng)絡(luò)威脅和防御?！薄　　狶ance Spitzrler，HorleynetI頁目總裁

編輯推薦

《黑客大曝光:惡意軟件和Rootkit安全》是信息安全技術(shù)叢書之一。

圖書封面

圖書標(biāo)簽Tags

無

評論、評分、閱讀與下載

---

    黑客大曝光 PDF格式下載

---