病毒间谍软件最新趋势.ppt

病毒，间谍软件最新趋势,提纲,趋势总结业界新闻安全漏洞病毒Rootkit间谍软件网络钓鱼监测和防护,趋势总结,从以前大规模的，无特定目的的网络攻击转为小规模的，特定用户和目的的攻击,钱，钱，钱！,窃取个人和公司银行账户窃取信用卡号码 实施DDoS攻击创建代理服务器Zombie网络散布广告软件 自动拨号等等,最新统计数据,数据来源 Symantec 2006年3月发布的互联网安全报告1896新的安全漏洞被发现，增幅40%80%有害软件试图窃取用户机密信息 IE安全漏洞 24；Firefox安全漏洞 13平均时间从安全漏洞发现到补丁提供：49天出现代码利用安全漏洞：6.8天最容易被感染的系统：无补丁Win2K,业界新闻,无论你喜欢与否，微软发布了一系列产品或服务,安全漏洞,最严重的安全漏洞WMF安全漏洞Office最新安全漏洞MS06-048 PowerpointMS06-039 Onenote,ProjectMS06-038,病毒,传播方式利用操作系统的安全漏洞社会工程？Social Engineering分类后门-Backdoor木马-Trojan蠕虫-Worm文件感染器-File infector(virus),系统安全漏洞,缓存溢出（Buffer Overrun）Code Red:IIS缓存溢出Blaster:DCOM RPC缓存溢出Zotob:PnP缓存溢出,堆栈缓存溢出,Top of Stack,Return Address,char128,void UnSafeRecv(char*payload),strcpy(localBuffer,payload);,char localBuffer128;,典型攻击模式,攻击方,用户,OS存在安全漏洞,恶意的网络数据,缓存溢出,恶意代码被执行,发出下载请求,有害软件主体,有害软件主体执行，系统被全面感染,开始攻击其他机器,社会工程,攻击者通过某种手段，例如虚假信息，诱使用户执行一定的动作，已达到控制系统，窃取信息的目的用户参与,典型攻击模式,邮件蠕虫,攻击方,用户,有害软件作为附件,发送电子邮件,打开附件,有害代码执行搜集邮件地址,发送新的邮件以传播,最流行的病毒,Sober,反病毒软件,文件扫描基于特征代码（signature）,应用程序,反病毒驱动程序,实时防护,反病毒驱动程序截获应用程序的文件调用监控I/O操作，以便反病毒软件扫描文件,文件系统驱动程序,反病毒软件,局限性,反病毒软件工作基于病毒样本的特征代码对于小规模传播的病毒，可能没有特征代码病毒爆发和反病毒软件公司提供特征代码之间有时间间隔仅依靠反病毒软件保护系统安全是不完善的,间谍软件,间谍软件未经用户允许，有以下行为的软件：广告，收集用户个人信息，修改系统配置等等。,传播途径,通过弹出对话框或其它手段诱使用户安装电子邮件邀请访问特定的网站附加在其它软件中一起安装,感染间谍软件的症状,广告框总是自动弹出IE的缺省主页和搜索配置未经允许被修改IE出现不熟悉的工具条，凭无法被正常删除计算机性能下降操作系统频繁崩溃,热门间谍软件,WebSearch,反间谍软件,和反病毒软件类似，主要是基于对文件的扫描。扫描基于间谍软件特征代码的数据库http:/,防护措施,安装反间谍软件尽量从正式网站下载软件注意IE中Internet secure zone的配置,Rootkit,历史术语来自于Unix系统。最早的一个版本是出现在SunOS 4 用于修改操作系统，以改变操作系统的表现行为的工具软件。而这种改变，往往不是操作系统设计时所期望的,隐藏信息,Rootkit可用于隐藏以下系统信息:运行进程服务TCP/IP端口文件注册信息Registry用户帐号,新的威胁,越来越多的Windows系统的Rootkit越来越多的有害软件，间谍软件和Rootkit 绑定,Win32 API 调用,Kernel32.dll(CreateFileW),Ntdll.dll(ZwCreateFile),User mode,Kernel mode,KiServiceTable(NtCreateFile),Application,Int 2E,NTExecutives,类型,User-Mode API 截获Kernel-Mode API 截获Kernel-Mode 数据结构修改,检测Rootkit,Offline OS检测API副作用检测Rootkit检测工具Strider/Ghostbuster，MS ResearchRootkitRevealer，Sysinternals,官方提供的工具重新安装系统,删除Rootkit,Rootkit实例,为什么Sony的用来保护CD版权的程序被反病毒公司检测为Rootkit?,Phishing,复制一个官方网站的主页，诱使用户输入个人的机密信息，如银行账号，密码等等。,实例1,实例2,Phishing的最新统计数据,数据来源 Symantec 2005年3月发布的互联网安全报告Symantec Brightmail AntiSpam 每周截获的phishing攻击从9百万次增长到3千3百万次,防护,http:/,综合保护措施,第一重要：用户培训第二重要：系统备份,综合保护措施（续）,防火墙 及时安装操作系统的补丁尽量避免运行在系统管理员模式反病毒软件，反间谍软件特定的硬件配置,资源,Windows 安全http:/,欢迎大家的反馈！,