• Save
分会场一攻击趋势与攻击手法的剖析
Upcoming SlideShare
Loading in...5
×
 

分会场一攻击趋势与攻击手法的剖析

on

  • 722 views

Symantec 2010 @ BJ

Symantec 2010 @ BJ

Statistics

Views

Total Views
722
Views on SlideShare
722
Embed Views
0

Actions

Likes
2
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

分会场一攻击趋势与攻击手法的剖析 Presentation Transcript

  • 1. 攻击趋势与攻击手法的剖析Thomas Chuang, CISSP赛门铁克台湾区资深技术顾问
  • 2. 简报大纲 1 攻击趋势 2 攻击手法剖析 3 防护对策 4 总结攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 3. 庄添发 / Thomas Chuang– 台湾赛门铁克资深技术顾问 & 发言人– CISSP 认证– 『WiFi Hacking! 无线网络黑客现形攻防 战』一书作者– 美国卡内基美隆大学双硕士 •信息安全管理硕士 •计算机辅助工程硕士– 杂志邀稿作者– Foundstone Ultimate Hacking 讲师 •于 6 个国家 10 个城市开课 (2004~2006) •Singapore, Bangkok, Beijing, Shanghai, SuZhou •Hong Kong, Ho Chi Minh, Hanoi, Jakarta, Taipei攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 4. October 2007 以前 以后 Zeus Malware Rogue AV For Fame Hydraq Stuxnet攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 5. October 2007 以前 以后攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 6. 威胁态势 恶意代码安全威胁的目标   资源 信息 诈骗 破坏- 发送 Spam - 偷窃敏感性信息 - 社交工程 - 恐怖行动- 进行 DDOS 例如: 银行账号 - 坐着等 $s 自动进来 - 网络战争 攻击 密码 Rustock Zeus Rogue AV Stuxnet攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 7. 网络威胁系统网络钓鱼网站 地下经济体系 僵尸网络 (网络黑市)受到危害的计算机攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 8. 企业的安全风险不断的演化地下经济、黑市交易 前所未见的针对性攻击活跃的 Botnet 活动 对外服务器仍是黑客的目标 3,500,000 2,895,802 3,000,000 Number of New Signatures 2,500,000 2,000,000 1,691,323 1,500,000 1,000,000 708,742 500,000 74,981 113,081 167,069 20,254 19,159 0 2002 2003 2004 2005 2006 2007 2008 2009 攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 9. 地下经济、黑市交易攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 10. 地下经济–黑市交易攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 11. 地下经济–贩卖攻击工具攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 12. 地下经济–贩卖信用卡资料攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 13. 地下经济 - 重点总结•「地下经济」会因地理位置而异,同时也展现为网络犯罪 者产生巨额收益的能力。•这是一个自给自足的系统,可以从中购买用来诈骗与窃取 的工具,同时还可以在这个系统中销售由这些工具所取得窃 取的信息。•据赛门铁克估计,在 2008 年报告期间内地下经济服务器 上的广告商品总值已超过 2亿7千6百万美元。•地下经济服务器上顶尖卖家的潜在价值为 640 万美元。•信用卡信息类别最热门! 占所有销售广告的 31%。攻击趋势与攻击手法的剖析 Symantec Vision 2010 赛门铁克地下经济研究报告
  • 14. 前所未见的针对性攻击 - Stuxnet 攻击事件攻击趋势与攻击手法的剖析
  • 15. Stuxnet针对工业控制系统ICS - Industrial Control Systems • 基础架构监控与硬件 控制 – Sensors – Motors – Relays – Etc • 实时控制系统 – PLC • Programming 系统 – 一般的 Windows 桌机或 笔记本计算机 Courtesy: http://www.gasdetectorsusa.com攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 16. 攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 17. Stuxnet突破实体隔离的环境• 攻击利用 U 盘散布• 初始版本使用 Autrun.inf 来执行• 后来版本使用 0-Day LNK 弱点 (CVE-2010-2568) 来隐藏档案不被看 到或自动执行攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 18. Stuxnet穷尽利用各种感染方式  Network Shares   Print Spooler (MS10-061)  SMB   (MS08-067) Step7 WinCC SQL  P2P (Updating only) 七种感染方式 – 大部份的攻击只有 1~2 种攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 19. Stuxnet搜寻 ICS 系统 攻击者 http://<domain>/index.php?data=[DATA] www.mypremierfutbol.com www.todaysfutbol.com • 受感染的机器回报系统信息 – OS version – Computer name – Domain – IP addresses – Configuration data – Existence of ICS programming software (STEP7) • 并且传送设计文档攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 20. Stuxnet锁定目标• Stuxnet 的目标是感染 Simatic PLC 设备• PLC 设备是以 STL 或 SCL 代码语言写的数据及代码控制• 编成的代码叫做 MC7• 代码被 PLC 执行来控制工业流程攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 21. Stuxnet Man-In-The-App 攻击• 置换 Step 7/WinCC 的 s7otbxdx.dll 档案• 监控 PLC 的读取及写入• 插入代码感染 PLC• 隐藏修改而程序设计师及操作者亳不知情• 现在它能让工业控制系统做任何事而不会被查觉 攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 22. Stuxnet黑客主控台(C&C servers) www.premierfutbol.com www.todaysfutbol.com攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 23. Stuxnet感染分布统计 70.00 60.00 58.31 50.00Unique IPs Contact C&C Server (%) 40.00 30.00 17.83 20.00 9.96 10.00 5.15 3.40 1.40 1.16 0.89 0.71 0.61 0.57 0.00 IRAN INDONESIA INDIA AZERBAIJAN PAKISTAN MALAYSIA USA UZBEKISTAN RUSSIA GREAT OTHERS BRITAIN 超过 40,000 受感染的外部 IPs, 超过 115 个国家攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 24. Stuxnet含有 Siemens 软件的受感染系统统计 80.00 67.60 70.00 60.00 50.00 40.00 30.00 20.00 12.15 8.10 10.00 4.98 2.18 2.18 1.56 1.25 0.00 TAIWAN IRAN USA SOUTH KOREA OTHERS INDIA INDONESIA GREAT BRITAIN攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 25. Stuxnet重大特点 典型的恶意代码 Stuxnet 0-Day 弱点 无 4 鲜少人知的弱点 无 2 扩散方法 1或2种 7 不会, 下载更多恶 自我控制的攻击 意代码 Yes 使用失窃的 Digital Signatures 没有. 或是假的或 过期的 Signature 2攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 26. Stuxnet省思与观察• 复杂的 Stuxnet 攻击至少需要六个人六个月的时间 – 谁是攻击者? – 目的为何?• 实体隔离环境的安全防护? – 没有安装安全防护? – 系统有上 Patch? – USB 存储跨越隔离环境 !?• 未来会有更多的 ICS 威胁?攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 27. 活跃的 Botnet 活动 Symantec Vision 2010
  • 28. Botnet 生态系统• 赛门铁克发现平均每天有 Botherders: The Black Market 46,541 部殭尸计算机在活 动,2009 年计有 Phishing Messages 6,798,338 部活跃的殭尸 Fraud Websites 计算机• 相较于 2008 年的 15,197 Fraudsters 部,赛门铁克在 2009 年 侦测到 17,432 部全新的 Spam Bot Command & Control 服务器,其中 31% 透过 IRC 管道, 69% 透过 HTTP Spammers• 2009 年所發送的垃圾郵 Adware & 件中,有 85% 透過殭屍網 Spyware 路執行 Keylogging Denial of / ID Theft Service Distributors 攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 29. Botnet 之王 - Zeus攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 30. http://Your Bank Your Bank View Your Account Name: Your B Password:IND 104 Security Trends Symantec Vision 2010 30
  • 31. http://Your Bank Your Bank View Your Account Name: Your B Password: ATM Pin Number:IND 104 Security Trends Symantec Vision 2010 31
  • 32. Zeus Toolkit…•最受欢迎的攻击工具组•150,000 受感染计算机•70,000+ 变种 Symantec Vision 2010
  • 33. 对外服务器仍是黑客的目标攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 34. 黑客攻击服务器的步骤 网络攻击 主机攻击 图片来源: WiFi Hacking 无线网络黑客现形攻防战攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 35. 入侵攻击方法• 认证机制攻击 – Ex: 猜测远程桌面密码 (3389), VNC (5800)• 系统漏洞攻击 – Ex: Microsoft RPC接口远程任意代码可执 行漏洞• 服务攻击 – Ex: Apache mod_jk 1.2.19 远程缓冲区溢位 攻击 (win32)• 网页应用程序攻击 – Ex: SQL Injection (资料隐码攻击)• 木马攻击 – Ex: 利用 USB 散播木马程序 攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 36. 一句话木马攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 37. 一句话木马客户端程序攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 38. Webshell透过 Web 远程控制服务器攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 39. 服务器防护方法 网络攻击 主机攻击 网络型入侵防护系统 主机型入侵防护系统 图片来源: WiFi Hacking 无线网络黑客现形攻防战攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 40. 防护对策攻击趋势与攻击手法的剖析 Symantec Vision 2010
  • 41. 1/10 ?端点上的纵深防御Internet Server X Network 网络 信誉 档案 行为 网络入侵预防  信誉评级防御  档案扫描防御  行为分析防御 阻挡网络攻击, 不使其 利用超过一亿人的评 搜寻病毒特征, 以病 监控执行进程的可疑 有机会将恶意程序带 级信息来阻挡恶意档 毒阻挡恶意档案 行为, 以阻挡恶意代 进系统里 案及网站的存取 码 Protocol-aware IPS Domain Reputation Antivirus Engine  SONAR Browser Protection File Reputation Auto Protect Behavioral Signatures Malheur 攻击趋势与攻击手法的剖析 Symantec Vision 2010 41
  • 42. 企业基础架构纵深防御 Symantec Protection Center Mail Servers C&C Server Servers Trusted Webserver Web & Messaging Gateway Desktops Laptops GET www.phishbank.com Malicious Webserver Mobile Devices Symantec Protection Suite Bot攻击趋势与攻击手法的剖析 SYMANTEC VISION 2010
  • 43. 赛门铁克提供完整的纵深防御解决方案 Manage security 完整的端点安全 Secure mission 进阶的服务器安全 Secure business 邮件及网页安全 infrastructure critical servers communications Detect 资料外泄防护 Best-of-breed Protect 资料外泄防护 confidential data 安全稽核 protection confidential data Integrate manual 资产及修补管理 Virtual, physical, 弱点管理 Manage 网络存取控管 IT processes and multi-OS infrastructure access 端点 服务器 网关 Symantec™ Protection Center Centralized Control 政策管理 Actionable Information 资安管理平台 Operational Efficiency 流程自动化 企业基础架构攻击趋势与攻击手法的剖析 Symantec Vision 2010 43
  • 44. Thank you! 庄添发, CISSP Thomas_Chuang@symantec.com +886 2 8761 5800 Copyright © 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.攻击趋势与攻击手法的剖析