攻防演练平台-僵尸网络程序介绍.pptx

攻防演练平台 应急演练;僵尸网络 攻防演练平台 演练流程介绍 ;最近国内外众媒体纷纷报道出现了一种新的恶意病毒 Flame ( Worm.Win32.Flame ，又称 Flamer 或 sKyWlper 、Skywiper 等），中文名“火焰病毒”、“超级火焰病毒”。Flame 被包括世界电信联盟等官方以及卡巴斯基等国际权威厂商认定为迄今为止最复杂、最危险、最致命的病毒威胁。那么这个 Flame 到底是什么样的病毒呢，值得被冠以“最复杂、最危险”“最厉害”甚至“设计最巧妙”“最隐密”“最致命”等众多称号呢？面对 Flame 病毒我们到底值不值得防范，以及又应当如何防范呢？ Flame 是于 2012 年 5 月被发现的电脑病毒，其构造复杂，可以通过USB存储器以及网络复制和传播，并能接受来自世界各地多个服务器的指令。目前被定性为“工业病毒”。 ;Flame 病毒用上了 5 种不同的加密算法，3 种不同的压缩技术，和至少 5 种不同的文件格式，包括其专有的格式。并将它感染的系统信息以高度结构化的格式存储在SQLite 等数据库中，病毒文件达到 20MB 之巨（代码打印出来的纸张长度达到2400米）。此外，还使用了游戏开发用的 Lua 脚本语言编写，使得结构更加复杂。 卡巴斯基表示由于“火焰”病毒是由大量相当复杂的组件和某些体积庞大的文件组成的，且编写方式非常复杂，在如此有限的时间内提供全面的分析是几乎没有可能性的，因此可能需花上数年时间，才能完全了解该病毒的全部情况。赛门铁克也表示，“火焰”的一些特点是前所未见的，它的复杂性犹如“用核武器去砸核桃”。截至目前国内外杀毒软件没人一家正式发布完整发现该病毒并能够完美拦截。 高潜伏性 据悉 Flame 病毒出现的最早时间可追溯到 2007 年，并推测可能于 2010 年 3 月就被攻击者放出（攻击伊朗石油部门的商业情报），但由于其结构的复杂性和攻击目标具有选择性，安全软件一直未能发现它。目前一致看法是 Flame 病毒可能已经以某种形式活跃了长达 5 至 8 年的时间，甚至还可能更久。这种高潜伏性很是危险。此外，一旦完成搜集数据任务，这些病毒还可自行毁灭，这也是其能够长期潜伏的原因之一。 高危害性 一旦感染 Flame 病毒并激???组件后，它会运用包括键盘，屏幕，麦克风，移动存储设备，网络，WIFI，蓝牙，USB和系统进程在内的所有的可能条件去收集信息，然后将用户浏览网页、通讯通话、账号密码以至键盘输入等纪录，甚至利用蓝牙功能窃取与被感染电脑相连的智能手机、平板电脑中的文件发送给远程操控病毒的服务器。此外，即便与服务器的联系被切断，攻击者依然可通过蓝牙信号对被感染计算机进行近距离控制。从功能角度是非常强大的，可以称之为偷盗技术全能，覆盖了用户使用电脑的所有输入输出的接口。 ;工信部监管要求;僵木蠕定义;蠕虫的定义;蠕虫病毒介绍(1);蠕虫的“弹头” 缓冲区溢出探测 文件共享攻击 电子邮件 其他普通的错误配置;传播引擎 Ftp、Tftp Http U盘、可移动存储 Arp欺骗下载 Arp欺骗网页挂马 ;目标选择算法 随机性扫描 顺序扫描 基于目标列表的扫描（可控蠕虫） 基于路由的扫描 网络蠕虫的设计者通常利用 BGP 路由表公开的信息获取互连网路由的 IP 地址前辍,然后来验证 BGP数据库的可用性.基于路由的扫描极大地提高了蠕虫的传播速度,以 CodeRed 为例,路由扫描蠕虫的感染率是采用随机扫描蠕虫感染率的 3.5 倍.基于路由的扫描不足是网络蠕虫传播时必须携带一个路由 IP 地址库,蠕虫代码量大. 蠕虫自动判断Ip地址是否可路由 ;扫描引擎 利用目标目引擎得到的地址，蠕虫在网络上积极的扫描以决定合适的攻击者。利用扫描引擎，蠕虫对潜在的目标慢慢传送一个或多个数据包．以此权衡蠕虫的弹头足否可以在这台计算机上工作。找到一个合适的目标时，蠕虫将向这个新的受害者传播．整个传播过程不断地熏复进行。弹头打开通道，蠕虫开始繁殖，有效载荷开始运行，新的日标被选择。接着继续扫描，整个过程的一个重复大约常常在几秒或更少的时问内完戌，一瞬间，蠕虫感染了受害者并利用它更进一布的蔓延。 ;有效载荷（Payload) 打开一个后门 恶意操做 删除文件、 格式化磁盘 信息窃取 窃取银行账号 窃取虚拟资源 游戏账号 qq账号 安装一个分布式拒绝代理 Codered 执行一个复杂的数学运算 执行分布式式计算、破解口令？ ;蠕虫、病毒之间的区别 ;木马：是指由攻击者安装在受害者计算机上秘密运行并用于窃取信息及远程控制的程序。 僵尸网络：是指由攻击者通过控制服务器控制的受害计算机群。（大多数由木马远程控制） ;僵尸木马网络的组成; 是指通过各种手段在大量计算机中植入特定的恶意程序，使控制者能够通过相对集中的若干