黑客大曝光

前言

推薦序在我從事信息安全工作的將近15年中，惡意軟件（malware）已經(jīng)成為網(wǎng)絡(luò)攻擊者武器庫(kù)中最有力的工具。從窺探財(cái)務(wù)記錄和竊取擊鍵到對(duì)等（peer-to-peer）網(wǎng)絡(luò)和自動(dòng)更新功能，惡意軟件幾乎成為所有成功攻擊的關(guān)鍵部件。情況并非從來(lái)如此，我記得1998年剛開始從事信息安全工作時(shí)，我部署了自己的第一只蜜罐。這使我能夠看到攻擊者進(jìn)入并且接管真實(shí)的計(jì)算機(jī)，由此我學(xué)到了關(guān)于他們的工具和技術(shù)的第一手資料。在那時(shí)候，攻擊者通過(guò)人工掃描整個(gè)網(wǎng)絡(luò)的各個(gè)部分來(lái)攻擊，他們的目標(biāo)是建立一個(gè)在互聯(lián)網(wǎng)上能夠訪問(wèn)到的IP地址列表。在花費(fèi)數(shù)天的時(shí)間建立這個(gè)數(shù)據(jù)庫(kù)之后，攻擊者將會(huì)回來(lái)，在他們找到的每臺(tái)電腦上刺探常用的端口，查找已知的漏洞，例如脆弱的FTP服務(wù)器或者開放的Windows文件共享。一旦發(fā)現(xiàn)這些漏洞，攻擊者將利用該系統(tǒng)。刺探和利用的整個(gè)過(guò)程可能花費(fèi)幾個(gè)小時(shí)到幾周，在每個(gè)階段需要不同的工具。利用成功之后，攻擊者將會(huì)上傳更多的工具，每個(gè)工具都有各自的作用，并且通常人工運(yùn)行。例如，一個(gè)工具能夠清除日志；另一個(gè)工具則保護(hù)系統(tǒng)；別的工具則檢索密碼或者掃描其他脆弱的系統(tǒng)。你往往可以通過(guò)攻擊者運(yùn)行不同工具或者執(zhí)行系統(tǒng)命令時(shí)犯錯(cuò)的數(shù)量來(lái)判斷其水平。觀察和學(xué)習(xí)攻擊者，并且識(shí)別其身份和動(dòng)機(jī)是令人愉快和感興趣的，這時(shí)候你的感覺(jué)就像和闖入你的電腦的人有了私人關(guān)系一樣?，F(xiàn)在，網(wǎng)絡(luò)防御的形勢(shì)已經(jīng)有了根本的變化。過(guò)去，要攻擊和危害一臺(tái)計(jì)算機(jī)，每一步幾乎都包含著人工交互?，F(xiàn)在，幾乎所有的攻擊都是高度自動(dòng)化的，使用最先進(jìn)的工具和技術(shù)。過(guò)去，你可以看到威脅并從中學(xué)習(xí)，記錄攻擊者采取的每個(gè)步驟?，F(xiàn)在，整個(gè)過(guò)程都是有預(yù)謀的，發(fā)生在幾秒鐘之內(nèi)，沒(méi)有任何可觀察和學(xué)習(xí)的東西。從開始的刺探到泄密再到數(shù)據(jù)收集，攻擊的每個(gè)步驟都預(yù)先封裝到我們所看到的最先進(jìn)的技術(shù)—惡意軟件之中。病毒剛剛問(wèn)世時(shí)，只不過(guò)是修改系統(tǒng)上的幾個(gè)文件以及竊取一些文檔，或者試圖破解系統(tǒng)密碼的簡(jiǎn)單工具?，F(xiàn)在，惡意軟件已經(jīng)變得極其成熟，它們能夠讀取受害者的存儲(chǔ)器，并且感染啟動(dòng)扇區(qū)、BIOS，此外還有基于內(nèi)核的Rootkit。更有趣的是，惡意軟件利用僵尸網(wǎng)絡(luò)（botnet）建立和維護(hù)對(duì)泄密系統(tǒng)的整個(gè)網(wǎng)絡(luò)的控制能力。這些僵尸網(wǎng)絡(luò)是網(wǎng)絡(luò)犯罪分子控制下的有高度組織性的網(wǎng)絡(luò)。網(wǎng)絡(luò)犯罪分子使用這些網(wǎng)絡(luò)來(lái)獲取數(shù)據(jù)并且發(fā)送垃圾郵件，攻擊其他網(wǎng)絡(luò)或者部署仿冒站點(diǎn)?，F(xiàn)代的惡意軟件使這些僵尸網(wǎng)絡(luò)成為可能。更糟糕的是，網(wǎng)絡(luò)攻擊者從全世界獲得惡意軟件，并且不斷地創(chuàng)建和改進(jìn)惡意軟件。在我寫這篇序的時(shí)候，全世界正在從一個(gè)有史以來(lái)最高級(jí)的惡意軟件Conficker的攻擊中恢復(fù)。數(shù)百萬(wàn)臺(tái)電腦受到一群有組織的犯罪分子的侵害和控制。這次攻擊非常成功，以至于整個(gè)政府組織（包括美國(guó)國(guó)防部）都禁止移動(dòng)媒體的使用，以減緩攻擊的蔓延。Conficker還引入了我們所見過(guò)的最高級(jí)的惡意軟件功能，使用最新的加密技術(shù)來(lái)進(jìn)行隨機(jī)域名生成和自治點(diǎn)對(duì)點(diǎn)通信。不幸的是，這一威脅越來(lái)越嚴(yán)重。防病毒公司每天差不多要對(duì)付數(shù)千種新的惡意軟件變種，這個(gè)數(shù)字還會(huì)不斷增長(zhǎng)。我們所看到的惡意軟件的最大改變不只是技術(shù)，還有這些技術(shù)背后的攻擊者，以及他們開發(fā)惡意軟件的動(dòng)機(jī)。我原來(lái)所監(jiān)控的大部分攻擊者都可以歸類為腳本小孩，即一些沒(méi)有熟練技能，只能使用從別處拷貝的工具的孩子。他們?yōu)榱藠蕵?lè)或者給朋友們留下印象而進(jìn)行攻擊。還有一小部分人開發(fā)和使用自己的工具，但是動(dòng)機(jī)往往是好奇心，以及對(duì)自己的工具或者侵害系統(tǒng)能力的測(cè)試，或者是為了出名。今天我們所面對(duì)的威脅與此大不相同，這些威脅正在變得更有組織，更有效率，也更致命。今天，我們面對(duì)著有組織的犯罪分子，他們關(guān)注投資回報(bào)率（Return On Investment，ROI），擁有研究和開發(fā)團(tuán)隊(duì)，開發(fā)最有利可圖的攻擊。和任何具有利益中心的企業(yè)一樣，這些犯罪分子關(guān)注效率和經(jīng)濟(jì)性，試圖在全球范圍獲得盡可能多的利益。此外，這些犯罪分子已經(jīng)發(fā)展了自己的惡意軟件黑市。和其他經(jīng)濟(jì)體一樣，你能找到一個(gè)完整的黑市，犯罪分子在這個(gè)黑市中進(jìn)行交易并且銷售最新的惡意軟件工具，惡意軟件已經(jīng)成為一種服務(wù)。犯罪分子為客戶開發(fā)定制的惡意軟件或者將惡意軟件作為服務(wù)進(jìn)行租賃，服務(wù)包括支持、更新，甚至性能的約定。例如，犯罪分子可以開發(fā)定制的惡意軟件，并且保證避開大部分防病毒軟件，或者設(shè)計(jì)軟件來(lái)利用未知的漏洞。一些國(guó)家機(jī)構(gòu)也在開發(fā)最新的網(wǎng)絡(luò)戰(zhàn)工具。這些機(jī)構(gòu)具有幾乎無(wú)限的預(yù)算，并且擁有世界上最先進(jìn)的技能。它們所開發(fā)的惡意軟件用來(lái)悄悄地滲透和侵入其他國(guó)家，并且盡可能地收集情報(bào)，就像我們?cè)谧罱拿绹?guó)政府網(wǎng)絡(luò)攻擊案中所看到的那樣。使用惡意軟件的國(guó)家級(jí)攻擊還會(huì)擾亂其他國(guó)家的網(wǎng)絡(luò)活動(dòng)，例如，對(duì)一些國(guó)家的網(wǎng)絡(luò)分布式拒絕服務(wù)攻擊就是有組織并由惡意軟件發(fā)起的。惡意軟件已經(jīng)成為今天所見的幾乎所有攻擊的共有因素。為了保護(hù)你的網(wǎng)絡(luò)，你必須理解和防御惡意軟件。我很高興看到Michael Davis牽頭寫作了這本關(guān)于Windows惡意軟件的書籍：《黑客大曝光：惡意軟件和Rootkit安全》。我無(wú)法想到更適合這一任務(wù)的人。從Mike加入Honeynet項(xiàng)目成為Windows的主要研究者開始，我認(rèn)識(shí)他將近10年了。Mike開發(fā)了我們最強(qiáng)有力的數(shù)據(jù)捕捉工具sebek，這是一個(gè)高級(jí)的Windows內(nèi)核工具。除此之外，Mike在McAfee公司的經(jīng)歷使他擁有了關(guān)于惡意軟件和防病毒技術(shù)的豐富經(jīng)驗(yàn)，他還有很多幫助提高世界各地客戶安全的經(jīng)驗(yàn)，并理解各種組織所面對(duì)的挑戰(zhàn)。他也親眼目睹了惡意軟件成為目前各種組織所面臨的最大威脅的過(guò)程。《黑客大曝光:惡意軟件和Rootkit安全》為我們提供了令人驚嘆的資源，它很及時(shí)，關(guān)注我們所面臨的最大網(wǎng)絡(luò)威脅和防御。我強(qiáng)烈推薦閱讀本書。Lance Spitzner, Honeynet項(xiàng)目總裁

內(nèi)容概要

抵御惡意軟件和Rootkit不斷掀起的攻擊浪潮！《黑客大曝光：惡意軟件和Rootkit安全》用現(xiàn)實(shí)世界的案例研究和實(shí)例揭示了當(dāng)前的黑客們是如何使用很容易得到的工具滲透和劫持系統(tǒng)的，逐步深入的對(duì)策提供了經(jīng)過(guò)證明的預(yù)防技術(shù)。本書介紹了檢測(cè)和消除惡意嵌入代碼、攔截彈出式窗口和網(wǎng)站、預(yù)防擊鍵記錄以及終止Rootkit的方法，詳細(xì)地介紹了最新的入侵檢測(cè)、防火墻、蜜罐、防病毒、防Rootkit以及防間諜軟件技術(shù)。
 《黑客大曝光：惡意軟件和Rootkit安全》包括以下內(nèi)容：
 理解惡意軟件感染、生存以及在整個(gè)企業(yè)中傳染的方法。
 了解黑客使用存檔文件、加密程序以及打包程序混淆代碼的方法。
 實(shí)施有效的入侵檢測(cè)和預(yù)防程序。
 防御擊鍵記錄、重定向、點(diǎn)擊欺詐以及身份盜竊威脅。
 檢測(cè)，殺死和刪除虛擬模式、用戶模式和內(nèi)核模式Rootkit。
 預(yù)防惡意網(wǎng)站、仿冒、客戶端和嵌入式代碼攻擊。
 使用最新的防病毒、彈出窗口攔截程序和防火墻軟件保護(hù)主機(jī)。
 使用HIPS和NIPS識(shí)別和終止惡意進(jìn)程。

作者簡(jiǎn)介

Michael A. Davis是Savid
Technologies公司的CEO，該公司一家全國(guó)性的技術(shù)和安全性顧問(wèn)公司。他曾經(jīng)在McAfee公司擔(dān)任全球威脅高級(jí)經(jīng)理。他是Honeynet項(xiàng)目成員。
 Sean M. Bodmer是Savid
Corporation公司的政府項(xiàng)目主管。他是一位活躍的Honeynet研究人員，精于分析對(duì)惡意軟件和攻擊者的特征、模式和行為。Sean是Honeynet項(xiàng)目和
Hacker Profiling項(xiàng)目的參與者。
 Aaron
LeMasters是一位精通計(jì)算機(jī)取證、惡意軟件分析和漏洞研究的安全性研究人員。他在保護(hù)不設(shè)防的國(guó)防部網(wǎng)絡(luò)上投入了5年的時(shí)間，現(xiàn)在他是Raytheon
SI的高級(jí)軟件工程師。

書籍目錄

對(duì)本書的贊譽(yù)
譯者序
序言
前言
作者簡(jiǎn)介
技術(shù)編輯簡(jiǎn)介
第一部分 惡意軟件
 第1章 傳染方法
 1.1　這種安全設(shè)施可能確實(shí)有用
 1.2　為什么他們想要你的工作站
 1.3　難以發(fā)現(xiàn)的意圖
 1.4　這是樁生意
 1.5　重要的惡意軟件傳播技術(shù)
 1.6　現(xiàn)代惡意軟件的傳播技術(shù)
 1.7　惡意軟件傳播注入方向
 1.8　本書配套網(wǎng)站上的實(shí)例
 1.9　小結(jié)
 第2章　惡意軟件功能
 2.1　惡意軟件安裝后會(huì)做什么
 2.2　識(shí)別安裝的惡意軟件
 2.3　小結(jié)
第二部分　Rootkit
 第3章　用戶模式Rootkit
 3.1　維持訪問(wèn)權(quán)
 3.2　隱身：掩蓋存在
 3.3　Rootkit的類型
 3.4　時(shí)間軸
 3.5　用戶模式Rootkit
 3.6　小結(jié)
 第4章　內(nèi)核模式Rootkit
 4.1　底層：x86體系結(jié)構(gòu)基礎(chǔ)
 4.2　目標(biāo)：Windows內(nèi)核組件
 4.3　內(nèi)核驅(qū)動(dòng)程序概念
 4.4　內(nèi)核模式Rootkit
 4.5　內(nèi)核模式Rootkit實(shí)例
 4.6　小結(jié)
 第5章　虛擬Rootkit
 5.1　虛擬機(jī)技術(shù)概述
 5.2　虛擬機(jī)Rootkit技術(shù)
 5.3　虛擬Rootkit實(shí)例
 5.4　小結(jié)
 第6章　Rootkit的未來(lái)：如果你現(xiàn)在認(rèn)為情況嚴(yán)重
 6.1　復(fù)雜性和隱蔽性的改進(jìn)
 6.2　定制的Rootkit
 6.3　小結(jié)
第三部分　預(yù)防技術(shù)
 第7章　防病毒
 第8章　主機(jī)保護(hù)系統(tǒng)
 第9章　基于主機(jī)的入侵預(yù)防
 第10章　Rootkit檢測(cè)
 第11章　常規(guī)安全實(shí)踐
 附錄A　系統(tǒng)安全分析：建立你自己的Rootkit檢測(cè)程序

章節(jié)摘錄

版權(quán)頁(yè)：插圖：當(dāng)今的網(wǎng)絡(luò)威脅比以往都更具敵意。在仿冒和垃圾郵件方面取得的新進(jìn)展說(shuō)明，攻擊者的方法已經(jīng)更趨向于心理學(xué)方面而非技術(shù)方面。現(xiàn)在，通過(guò)電子郵件和IWeb，用戶成為了目標(biāo)，仿冒網(wǎng)站看上去如此可信，使得許多人沒(méi)辦法看出與真實(shí)網(wǎng)站的不同，從而交出自己的敏感信息，例如網(wǎng)上銀行的用戶名和密碼。根據(jù)McAfee的網(wǎng)站指南，在他們所做的間諜軟件調(diào)查問(wèn)卷（測(cè)試中詢問(wèn)受訪人一個(gè)網(wǎng)站是否安全）中，12萬(wàn)名受訪者中的95％錯(cuò)誤地認(rèn)為一個(gè)含有惡意軟件的網(wǎng)站是安全的。McAfee的調(diào)查問(wèn)卷是用戶所面對(duì)的問(wèn)題的絕好實(shí)例，他們必須一眼就能看出某些網(wǎng)絡(luò)內(nèi)容是否會(huì)對(duì)自己的機(jī)器帶來(lái)負(fù)面的影響?？紤]到安全意識(shí)的缺失，這個(gè)重要的決定類似于讓一個(gè)4歲的孩子確定他的父親是不是真的能從耳朵里拿出一個(gè)25美分的硬幣。一旦攻擊者哄騙用戶下載了惡意軟件，就能夠隨意地訪問(wèn)網(wǎng)絡(luò)空間的最新邊界——你的工作站，獲取機(jī)密信息、用戶名和密碼，還有類似社會(huì)保險(xiǎn)號(hào)碼或者銀行賬戶信息等個(gè)人身份信息。你最后一次從當(dāng)?shù)貓?bào)紙中了解到嚴(yán)重的病毒爆發(fā)是什么時(shí)候？?jī)赡昵埃坎《疽呀?jīng)成為過(guò)去。從2004年Bagle和INetsky病毒爆發(fā)以來(lái)，蠕蟲和病毒對(duì)個(gè)人用戶和公司網(wǎng)絡(luò)的威脅已經(jīng)顯著減少了。但是，病毒爆發(fā)的停止不是因?yàn)椴《揪帉懻邲Q定洗手不干，而是因?yàn)樗麄兊闹饕繕?biāo)——公眾注意力，已經(jīng)不再讓他們感興趣了。病毒編寫者想要更多，比如金錢、敏感信息，以及對(duì)未授權(quán)系統(tǒng)的持續(xù)訪問(wèn)以利用這些系統(tǒng)資源，因此他們改變了方法、技術(shù)和工具，變得更加謹(jǐn)慎和針對(duì)特定目標(biāo)，以適應(yīng)新的動(dòng)機(jī)，于是惡意軟件和IRootkit的時(shí)代開始了。惡意軟件制作者的一些改變是由于安全界提升了安全軍備競(jìng)賽的水平。未經(jīng)證明的Microsoft操作系統(tǒng)遠(yuǎn)程漏洞的減少和邊界安全產(chǎn)品的廣泛使用迫使攻擊者提升自己的水平。1.1 這種安全設(shè)施可能確實(shí)有用安全工具和產(chǎn)品一般被看作是降低生產(chǎn)率和浪費(fèi)資源，或者沒(méi)有真正的投資回報(bào)的東西，但是因?yàn)榘踩恰安呗浴彼员仨殞?shí)施。許多安全產(chǎn)品本身沒(méi)有提供價(jià)值，而且生產(chǎn)軟件的公司的最新改進(jìn)已經(jīng)顯著減少了漏洞的數(shù)量和類型。攻擊者利用核心操作系統(tǒng)部件緩沖區(qū)溢出來(lái)獲得遠(yuǎn)程管理權(quán)限的時(shí)代一去不復(fù)返了?，F(xiàn)在的漏洞遠(yuǎn)比過(guò)去復(fù)雜，在代碼中隱藏得很深，要找到它需要更多的技巧，而且發(fā)布的頻率也比過(guò)去要低得多；發(fā)現(xiàn)這些漏洞需要攻擊者花費(fèi)更多的時(shí)間。

媒體關(guān)注與評(píng)論

“本書揭示了惡意軟件可能的藏身之地，給出了尋找它們的方法”。　　——Dan Kami rlsky，IOActive公司滲透測(cè)試負(fù)責(zé)人“本書為我們提供了令人驚嘆的資源，它很及時(shí)地關(guān)注了我們所面臨的最大網(wǎng)絡(luò)威脅和防御?！薄　　狶ance Spitzrler，HorleynetI頁(yè)目總裁

編輯推薦

《黑客大曝光:惡意軟件和Rootkit安全》是信息安全技術(shù)叢書之一。

圖書封面

圖書標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    黑客大曝光 PDF格式下載

---