商尔从,防病毒软件还是防病毒服务？8.pdf

防病毒软件还是防病毒服务? ARP欺骗木马治理与对策 商尔从 SYSU-CSIRT 中山大学信息与网络中心 议题 防病毒软件还是防病毒服务? ARP欺骗木马治理与对策 防病毒软件还是防病毒服务? 07’9-10提交VirusTotal 41个样本首次提交检出率 2007年9月-10月收集的41个病毒样本首次提交检出率统计 2007年9月-10月收集的41个病毒样本首次提交检出率统计 08’1-3 Symantec无法检出的样本 首次提交VirusTotal对比检出率(1) 2008年1月-3月收集的39个样本Symantec首次无法检出 2008年1月-3月收集的39个样本Symantec首次无法检出 08’1-3 Symantec无法检出的样本 Symantec修订病毒定义检出率会变化 2008年1-3月收集的39个样本Symantec增加到病毒定义中 2008年1-3月收集的39个样本Symantec增加到病毒定义中 Symantec修订病毒定义后检出率会发生变化。 Symantec修订病毒定义后检出率会发生变化。 SYSU-CSIRT提交样本 Symantec新增补的定义 VirusTotal有助样本提交及提高样本提交的准确性 VirusTotal有助样本提交及提高样本提交的准确性 专业的防病毒服务支持 防病毒软件产品(仅是防病毒服务中的一部分) CSIRT现场事件响应服务 帮助台支持/知识库 风险分析威胁管理 披露与公告 教育与培训 安全意识 正确认识防病毒软件 防病毒软件不是万能的 防病毒软件需要配合辅助工具 防御工具 清理工具 修复工具 “主动防御” 尚待成熟 正确使用防病毒软件 高校信息安全部门提供一线服务与支持 要与防病毒软件厂家共享信息 要对防病毒软件产品作出“贡献” 善用防病毒软件厂家的二线支持服务 善用防病毒软件病毒数据库进行风险评估 广泛性 危害性 分发能力 提高意识取得信任是关键 提升意识和信任需要精密策划与长时间的积累 拒绝求助将会丧失信任 错误的安全意识比无安全意识更糟 盗版防病毒软件=假冒伪劣安全产品 安全意识与教育(1) ENISA 2007年工作纲要中 提升意识和建立信任的地位 资料来源: ENISA http://www.enisa.europa.eu/ 安全意识与教育(2) 安全意识与教育(3) ARP欺骗木马治理与对策 对《治理ARP欺骗围堵下载器和安装器木马》 的补充 ARP欺骗的目的和类型 ARP欺骗的目的是信息犯罪者为截获盗取有价值 的信息资产，并将盗取的信息资产用于黑市交 易，谋取暴利。 ARP欺骗的类型 入侵型：信息犯罪者入侵有漏洞的服务器，使用专用 黑客工具进行ARP欺骗劫持通讯，并在HTTP通讯中插 入恶意代码，导致访问同网段的服务器时感染木马(一 般为下载器或者安装器木马)，是信息犯罪者首次分发 木马的重要机制。 木马型：普通计算机感染了ARP欺骗木马后劫持同一 网段通讯的重要手段，以收集用户的有价值的信息资 产。 封锁木马网站的有效性 下载器木马使用域名下载木马(1) 下载器木马使用域名下载木马(2) 下载器木马使用域名下载木马(3) 下载器木马使用域名下载木马(4) 下载器木马使用域名下载木马(5) 下载器木马使用域名下载木马(6) 下载器木马不使用域名下载木马 下载器木马使用域名带来的危害 信息犯罪者可以频繁更换域名对应的IP地址 绕过基于IP地址的ACL 的封锁 需要使用DNS Blacklist封锁木马站点的域名 dnrd (Domain Name Relay Daemon)，一般认为 是一种DNS Proxy dnrd可以设置Blacklist，对Blacklist中的域名作出 “权威的”应答，但并不会返回IP地址，达至封锁域 名的目的 原DNS拓扑 增加DN