06-新形势下的网络攻击手段及其司法取证探讨 to billy.pdfVIP

新形势下的网络攻击手段及其司 法取证探讨 彭国军 武汉大学计算机学院副教授 2011年11月24日 目录 1. 现状与趋势 2. 技术手段分析 3. 网络犯罪对抗手段与措施 1. 现状与趋势 1.1 地下产业链 1.2 APT攻击 1.3 普通用户 1.4 新型网络应用 1.5 攻防博弈 1.1地下产业链 网络地下产业链的几个关键点 获利来源：用户主机或服务器（偷、造、打） 获利工具：恶意软件（木马/病毒/僵尸）、 钓鱼网站 植入手段：网络漏洞/非法下载网站/社工 植入渠道：流量渠道 正规网站，非法网站 1.1.1地下产业链与漏洞交换 黑产对漏洞提出了更高的质量与数量需求！ 0Day漏洞来源多样化，复杂化… 0Day漏洞能够以高价快速出手，但其价值随出 手之日起快速下滑 黑产需要0Day，但同时也在大面积快速摧毁 0Day 1.1.2地下产业链与恶意软件 木马千万种，功能有何不同？ 病毒木马是易耗品、需后期持续维护 现有安全技术手段极大地促进了“恶意软 件的技术改革与创新” ！ 技术开始反常规化（只有想不到，没有做 不到！） 1.1.3 地下产业链与人才 技术人才转型、主业/副业角色变换 性价比极高(低风险，高回报)，足以让守法“安 全卫士”瞠目结舌！ “安全卫士”转行、兼职 1.1.4地下产业链与用户 用户安全意识不强推动了黑产发展 农民黑客亦可大展身手 “我的手法没技术含量” 琚文辉，1986年出生，安徽人，初中文化程度。他只 是会使用木马，利用木马盗取30余万元。 1.2 APT攻击 高级持续性威胁 (Advanced Persistent Threat,APT) 由国家政府赞助或授意、不单纯以金钱/犯罪或 政治抗议为目的的针对性网络间谍或网络破坏 攻击。 APT攻击特点 针对性极强 社工与技术结合，精确打击 小规模入侵，样本难捕获 定制针对性控制程序，生命周期长 持续性的刺探与频繁攻击 强大的背后力量 … 典型渗透领域（党、政、军或者重要行业） 军事 军方相关高层人员、部门… 政治 重大建设、重大事件 StuxNet （伊朗核设施）、888病毒案（08奥 运）、维基解密（多国）、GhostNet （达赖） 高科技 跨国高科技企业、高校、研究院所 … 越来越多的国家的网络政策倾向于“攻击” 2009年6月23日，美国国防部长盖茨宣布组建网络战司令部。 9万人+5000+140 美国宣称要用传统军事力量“对等”报复来自互联网的攻击，它的 一份战略书将网络攻击视同“战争行为” 。 在美国的带动下，俄罗斯、印度、日本等国也都纷纷组建了网 络部队。 2011年5月25日，中国证实已组建“网上蓝军” 英国政府决定将国家的网络政策从“防御型”转为“攻击型”。 北约 （北大西洋公约组织）确立了2012年之前具备“可以和敌 人正面交锋的”网络战斗力的目标。 2011年，韩国高丽大学将开设培养网络战争军官的专业，以 应网络攻击。 武汉千余出租车计价失灵 2008年8月8 日凌晨0时许，武汉市千余辆 的士的计价器突然死机，导致人车停岗四小 时。 西方网络间谍活动无孔不入 中国机密遭境外网络间谍围攻（攻击、策反和传 输）： 党政机关的领导部门 黄海之滨某大城市的政府工作人员成某：被招聘为“网络写作 人员”，向国外情报机构传递政府红头文件和内部资料 参与重大国防、科研项目的要害机构和保密 单位 中原某军工科研所彭某：国防科工委办公