恶意代码发展与校园网实践 - 教育和科研计算机 .ppt

恶意代码发展与校园安全管理论坛 段海新 duanhx@ 2008年9月21，大连理工大学 提纲 恶意代码发展现状 恶意代码对抗的思考 校园网安全管理论坛 近年来网络攻击的趋势 影响主干网的大规模安全事件有所减少 蠕虫攻击有所下降 大规模DDoS攻击减少 安全技术发挥了很大作用 补丁更新、防病毒软件及更新 防火墙、入侵检测与防护？ 其他 网络管理者的努力 常用端口、站点的封堵 用户安全意识和技能的提高 近年来恶意代码类型与趋势 大多数是木马 传统病毒大为减少 蠕虫影响下降 利用办公软件文件格式的攻击 Microsoft Excel Remote Code Execution (MS07-002) Microsoft Outlook Remote Code Execution (MS07-003) Microsoft Word Remote Code Execution (MS07-014) Microsoft Office Remote Code Execution (MS07-015) Microsoft Excel Remote Code Execution (MS07-023) Microsoft Word Remote Code Execution (MS07-024) Microsoft Office Remote Code Execution (MS07-025) Microsoft Outlook Express and Windows Mail (MS07-034) Microsoft Excel Remote Code Execution (MS07-036) Microsoft Excel Remote Code Execution (MS07-044) Adobe Reader and Acrobat Remote Code Execution (APSB07-18) Adobe Reader and Acrobat Cross Site Scripting (APSA07-01) 基于Web的攻击增多 利用Web浏览器的漏洞 ActiveX control , 脚本 第三方的Plugins, BHO（Browser Help Object） 基于Web服务器漏洞的攻击 SQL注入问题 基于开源软件的内容管理软件，如 网站管理软件、内容发布 论坛（BBS）软件，Wiki软件，Blog软件… 应用层内容的检测：防火墙、入侵检测 利用媒体播放器的攻击 RealPlayer CVE-2007-2497, CVE-2007-3410, CVE-2007-5601 Apple iTunes CVE-2007-3752 Adobe Flash PlayerCVE-2007-3457, CVE-2007-5476 Apple QuicktimeCVE-2007-0462, CVE-2007-0588, CVE-2007-0466, CVE-2007-0711, CVE-2007-0712, CVE-2007-0714, CVE-2007-2175, CVE-2007-2295, CVE-2007-2296, CVE-2007-0754, CVE-2007-2388, CVE-2007-2389, CVE-2007-2392, Windows Media PlayerCVE-2006-6134, CVE-2007-3035, CVE-2007-3037, CVE-2007-5095 第三方软件的更新问题值得关注 ARP欺骗攻击 几乎所有园区网管理者都会头痛的问题 网络不稳定或彻底不通 流量劫持，敏感信息泄漏 HTTP流量的劫持，注入恶意代码 ARP协议, 1982年的RFC，没有补丁； 不是一种恶意代码，而是一种方法，防病毒软件没有统一的方法 影响局限于一个广播域，主干网看不到，入侵检测和防火墙不起作用 恶意代码的趋势 黑客以赢利为目的，黑色产业链 恶意代码的模块化，如DiskGen 一种病毒多种传播手段 传播的隐蔽性，长期隐藏 影响的本地化，主干网无法检测 恶意代码对抗技术及反思 针对防病毒技术 变形与多态：加密、加壳 虚拟机：更加复杂的壳 主动防御：内核级的Rootkit 针对入侵检测 变形与多态，动态端口 防火墙技术 反向链接，动态端口，线程注入 关于恶意代码对抗的思考 安全产品不作为吗？ 不用防病毒、防火墙，你试试？ 校园网安全，存在彻底的解决方案吗？ 你的方案能解决所有问题吗？ 你能保证以后不发生安全问题吗？ 我们应该信赖谁？ 我们自己 不断学习，不断提高 集众人所长，形成自己的方案 校园网安全管理论坛的宗旨 运行CCERT的体会 技术发展变化：如