挂马网站分析追溯技术与实践.ppt

个人简介 诸葛建伟 博士 1997-2006年就读北京大学，获理学博士学位 北京大学计算机科学技术研究所助理研究员 狩猎女神项目组发起人及技术负责人，The Honeynet Project Full Member 研究方向：蜜罐与蜜网技术，入侵检测/关联分析，网络攻防，恶意软件分析及防范技术 主持1项国家科研项目，协助承担5项国家科研项目 第一作者发表知名国际会议、核心期刊论文二十余篇，申请发明专利5项 2004年微软学者，2005年IBM全球博士生英才，2005年北大五四青年科学奖一等奖 内容概要 挂马网站安全威胁背景与发展历程 挂马网站的技术机理和具体实现机制 挂马网站安全威胁监测技术研究和实验 挂马网站案例分析与追溯（案例演示） 总结 两个著名案件回顾 2004年“证券大盗”案件 犯罪者：“黑客”团伙－张勇、王浩、邹亮 目标：窃取访问首放证券网站的股民股票帐户，并操纵股票获利 犯罪过程：网络钓鱼（ - ），钓鱼网站上挂马，植入股票帐户盗号木马，操纵股票帐户非法获利38.6万元 判罚结果：主犯张勇无期徒刑 2007年“熊猫烧香”案件 犯罪者：李俊、王磊、张顺、雷磊 目标：窃取感染主机“游戏信封”出售牟利 犯罪过程：李俊编写并出售“熊猫烧香”病毒，王磊搭建挂马网站，出售“流量”，张顺购买“流量”植入盗号木马，窃取“游戏信封”出售牟利，共非法获利24万余元 判罚结果：主犯李俊有期徒刑4年 挂马网站安全威胁相关词汇 网页木马－“网马” 对浏览器和应用软件进行攻击，以上传代码或获取控制权为目的的恶意代码 盗号木马 以从受害主机窃取有价值或敏感信息和资产为目标的一类特洛伊木马 木马生成器 供其他没有任何编程技术的参与者自动生成网页木马、盗号木马的程序 “流量”：网站的访问流量，一般以不同访问IP数计量 挂马网站 被植入恶意脚本，将网站访问流量重定向至网页木马，使得存在安全漏洞的访问主机被其攻击并导致植入恶意代码的一类恶意网站 木马宿主站点－“放马”站点 在万维网上提供网页木马和/或盗号木马访问的宿主站点 “信封”：盗号木马获取的各类用户名/口令密码敏感信息对 “箱子”：盗号木马提交窃取“信封”的服务器端 木马网络 由挂马网站、木马宿主站点及中间的跳转站点通过网页中的嵌入链接或自动重定向所构成的恶意攻击网络 挂马网站安全威胁发展历程 萌芽期：200x-2003年 代表“网马”：CHM网马等 快速发展期：2004-2005年 代表“网马”：Icefox冰狐等 工业界和学术圈关注 爆发期：2006-今 代表“网马”：MS06-014网马, ANI网马，MPack等 趋势：系统安全漏洞?常用应用软件安全漏洞(百度搜霸、暴风、PPStream等) 挂马网站背后的驱动力－网络虚拟资产地下经济链 国内互联网最主要的地下经济链盈利模式 窃取和出售网络虚拟资产 地下经济链参与者 病毒编写者：网马、盗号木马、免杀服务 黑站长/网络骇客: 网站访问流量 “信封”盗窃者: 购买：网马、盗号木马、流量 行为：构建木马网络，窃取“信封” 出售：“信封” 虚拟资产盗窃者 购买：“信封” 行为：“拆信”，登录帐号，窃取虚拟资产 出售：网络虚拟资产 虚拟资产卖家：虚拟资产流通渠道 玩家：钱的源泉，支撑整个地下经济链 地下经济链交互市场 地下黑市：百度帖吧等黑客论坛发布广告，即时通讯软件沟通，线上交易 虚拟资产公开市场：淘宝、腾讯拍拍网等 分工明确的地下产业经济链构成挂马网站安全威胁背后的强大驱动力 监测、分析和追溯技术欠缺 相关法律不健全 虚拟资产盗窃不影响国家安全、社会稳定 挂马网站安全威胁依赖的漏洞 2003: MS03-014 2004: MS04-023/028/038/040/044/045 2005: MS05-002/016/020/026/038 2006: MS06-001/006/014/024/042/044/046/057/067/Quick Time/WinZip 2007: MS07-004/009/017/020/027/033/035/045/047/055 雅虎通Webcam/百度搜霸/PPStream/暴风影音/雅虎通CYFT/Web迅雷/ 迅雷ActiveX/联众游戏/超星/迅雷5－迅雷看看/RealPlayer/McAfee 趋势： 被用于挂马网站安全威胁的安全漏洞数量呈现快速增长趋势 “黑客”更加关注和利用常见应用软件中存在的安全漏洞 内容概要 挂马网站安全威胁背景与发展历程 挂马网站的技术机理和具体实现机制 挂马网站安全威胁监测技术研究和实验 挂马网站案例分析与追溯（案例演示） 总结 挂马网站的整体技术机理 盗号木马和网页木马 盗号木马 在传统的远程控制木马基础上发展出的以窃取敏感信息为目标的专用木马