网络攻防技术与实践课件 课程12-客户端攻击与防范技术.pptVIP

基于脚本引擎的网页木马检测技术基于Javascript脚本引擎对抗混淆并检测网马脚本引擎:SpiderMonkeyDOM模拟机制:为脚本引擎执行JS代码提供支持基于页面动态视图的检测机制基于漏洞本质特征的插件漏洞模拟与检测技术Shellcode及Heapspray探测技术论文被AsiaCCS’10,VARA’09录用处于研究阶段，尚未达到工程化应用成熟度参与TheHoneynetProject开源工具PHoneyC研发改进GoogleSummerofCode2009计划，3个学生成功申请并完成*第*页采样监测方法热榜：200最常使用搜索关键字12个站点类别BaiduGoogle搜索引擎144K采样站点采样监测结果2,149(1.49%)站点包含网页木马资源下载/运动娱乐/影视类包含网页木马比例更大，更危险反病毒软件的检测率不足以有效防护*中国万维网上

网页木马的监测实验第*页进一步追踪木马网络木马网络追踪结果发现327个木马宿主站点通过链接分析构建了庞大的木马网络链接图影响范围最广的木马宿主-18涉及131个顶级域名，植入20多网游盗号木马反映虚拟资产地下经济链的典型挂马网络案例前10活跃宿主涉及挂马网站的顶级域名数量131rb.vg543807342322oo.vg19191816由地下经济链驱动的典型挂马网站案例木马网络构建者－拥有丰富经验的“信封”盗窃者或团队网页木马/盗号木马－从经济链中病毒编写者购买网页木马：MS06-014,暴风影音,PPStream,百度搜霸下载器:用于获取长期控制权，并植入盗号木马盗号木马：1-20.exe，网游盗号木马，窃取“信封”发送至“箱子”页面使用了一系列编码、加密、加壳免杀机制躲过反病毒软件加大分析难度网站流量－涉及131个顶级域名，从黑站长/“黑站”者手中购买“信封”－“信封”窃取者从“箱子”获得的收获，出售给网络虚拟资产“盗窃者”进行非法牟利18木马网络案例研究*M工程-北大网站挂马监测系统蜜罐技术Matrix中国分部式蜜网863-Honeyfarm-07轻量级沙箱技术隐蔽性软件检测115-Rootkit-06恶意代码自动分析242-Malware-06M工程国家发改委信息安全专项挂马采样监测地下经济链调查242-Hacker-07程序结构模式分析软件脆弱性分析疑似路径提取安全漏洞挖掘技术863-VUL-07隐蔽信道挖掘天网爬虫僵尸网络追踪242-BotNet-05242-BotNet-07*当前实际运行的网站挂马监测系统2009年9月份的采样监测结果完成对教育网的18344个网站的监测发现314个高校的网站被挂马挂马网站数量577个(3.15%)完成对10859多个政府网站的监测发现106个单位的112个站点被挂马(1.03%)完成对1097个科研系统网站的监测发现22个单位的27个站点被挂马(2.46%)*网络攻防技术与实践课程**网络攻防技术与实践课程*内容Email攻击网络钓鱼网站挂马IMP2P安全威胁作业9：网站挂马案例分析网页木马Web-basedMalwareWebInfection/Drive-by-downloads国内:“网页木马”,“网马”MaliciousWebsite:恶意网站/挂马网站网页感染已成为国内互联网最重要的恶意代码传播形式网络攻防技术与实践课程网页木马在国内的发展历程萌芽期：200x-2003年代表“网马”：CHM网马等快速发展期：2004-2005年代表“网马”：Icefox冰狐等；重要案件：证券大盗爆发期：2006-今代表“网马”：MS06-014网马,ANI网马；重要案件：熊猫烧香对互联网安全已构成严重危害，工业界/学术圈关注“网页木马”成为最重要的恶意代码传播途径之一时间名称攻击漏洞说明03.07CHM网马MS03-014国内最早出现并流行的网马之一04.09IceFoxMS04-040国内知名且广泛使用的网马04.11证券大盗MS04-040通过网马植入证券盗号木马,获利38万,主犯被判处无期徒刑06.0706014网马MS06-0142006年国内最流行的网马07.02熊猫烧香MS06-014,共享/U盘2007年国内最重要的网络犯罪案件,获利24万,主犯被判处4年有期徒刑07.03ANI网马MS