黑客技術
對系統漏洞等進行攻擊的技術
黑客技術,簡單地說,是對計算機系統和網路的缺陷和漏洞的發現,以及針對這些缺陷實施攻擊的技術。這裡說的缺陷,包括軟體缺陷、硬體缺陷、網路協議缺陷、管理缺陷和人為的失誤。
顯,黑客技術網路具破壞,“黑客”詞語譯,拼“”。近段,普黑客攻擊段頂級網站輪流考驗遍,證即具雄厚技術支持商業網站,黑客濟損。程損害商務,引黑客嚴注黑客技術思考。
討論題:研究黑客技術否?觀僅,請識指。
黑客技術屬科技術範疇
黑客技術是Internet上的一個客觀存在,對此我們無須諱言。和國防科學技術一樣,黑客技術既有攻擊性,也有防護的作用。黑客技術不斷地促使計算機和網路產品供應商不斷地改善他們的產品,對整個Internet的發展一直起著推動作用。就象我們不能因為原子彈具有強大的破壞力而否認製造原子彈是高科技一樣,我們也不能因為黑客技術具有對網路的破壞力而將其屏棄於科學技術的大門之外。發現並實現黑客技術通常要求這個人對計算機和網路非常精通,發現並證實一個計算機系統漏洞可能需要做大量測試、分析大量代碼和長時間的程序編寫,這和一個科學家在實驗室中埋頭苦幹沒有太大的區別。發現者不同於那些在網上尋找並使用別人已經寫好的黑客軟體的人。這個區別就好象武器發明者和使用者的區別。不象一個國家可以立法禁止民間組織和個人擁有槍枝一樣,很顯然,法律不能禁止個人擁有黑客技術。
應該辨證地看待黑客技術
它的作用是雙面的。和一切科學技術一樣,黑客技術的好壞取決於使用它的人。計算機系統和網路漏洞的不斷發現促使產品開發商修補產品的安全缺陷,同時也使他們在設計時更加註意安全。研究過黑客技術的管理員會把自己使用的操作系統和網路配置得更安全。如果沒有那些公布重大漏洞發現並提出修補建議的黑客,Internet不可能象今天這樣讓人們受益,也不會有今天這麼強壯(相對於以前而言)。
利用黑客技術從事非法破壞活動為自己謀取私利,理所當然是遭人唾棄的行為。這種人不是把精力放在對系統缺陷的發現研究與修補上,而是出於某種目的設法入侵系統,竊取資料、盜用許可權和實施破壞活動。
黑客技術和網路安全是分不開的
可以說黑客技術的存在導致了網路安全行業的產生。
一個典型的產品安全公告產生的過程是這樣的(這裡的例子是微軟的一個漏洞): 一個黑客在測試一個程序時,發現存在有不正常的現象,於是他開始對這個程序進行分析。經過應用程序分析、反編譯和跟蹤測試等多種技術手段,黑客發現該程序的確存在漏洞,於是針對該漏洞編寫了一個能獲取系統最高控制權的攻擊程序,證實該漏洞的確存在。隨後,這位黑客向微軟寫信通知其漏洞細節,並附上了攻擊程序,要求微軟修補該漏洞。微軟開始對此不予答覆。無奈,黑客在其網站上對世人公布了該漏洞,並提供攻擊程序下載給訪問者測試。頓時很多Internet上的網路安全論壇上都談論此事,很快傳遍了Internet。這時微軟馬上對該bug進行分析,隨後在其安全版塊上公布有關的安全公告,並提供解決方案和補丁程序下載。
對於這種情況,惡意黑客會利用微軟的安全公告公布的漏洞去破壞系統;而網路安全專家會根據安全公告提醒用戶修補系統;網路安全產品開發商則會根據該漏洞的情況開發相應的檢測程序;而網路安全服務商則會為用戶檢測該漏洞並提供解決方案。
反黑組織
隨著黑客對網際網路造成的危害性,不少人也組織起來反黑客了,國內的黑吧安全網也出了專門的系列教程,建議網民們多關注,上網前提就是電腦需要安全不被入侵。
為了避免黑客給廣大網友帶來不必要損失,請大家多關注各大反黑組織網站的教程。
internet網路
Internet的基礎是TCP/IP協議、網路設備和具有聯網能力的操作系統。TCP/IP協議族有一些先天的設計漏洞,很多即使到最新的版本仍然存在。更有的漏洞,是和Internet的開放特性有關的,可以說是補無可補。發生的對各頂級網站的攻擊方式就是利用internet的開放特性和TCP/IP協議的漏洞。
網路設備如路由器,擔負著Internet上最複雜繁重的吞吐和交通指揮工作,功能強大而且複雜,以佔市場份額70%以上的Cisco產品而論,其已知的漏洞有30多條。
各種操作系統也存在先天缺陷和由於不斷增加新功能帶來的漏洞。Unix操作系統就是一個很好的例子。Unix的歷史可以追溯到60年代中。大多數Unix操作系統的源代碼都是公開的,30多年來,各種各樣的人不斷地為Unix開發操作系統和應用程序,這種協作方式是鬆散的,早期這些程序多是以學生完成課題的方式或由研究室的軟體開發者突擊完成的,它們構成了Unix的框架,這個框架當初沒有經過嚴密的論證,直到今天,商業Unix操作系統如Solaris和SCOUnix都還是構建在這個基礎之上的,除非重新改變設計思想,推翻三十年來的Unix系統基礎,否則以後還必須遵循這個標準。這種情況導致了Unix系統存在很多致命的漏洞。最新的版本雖然改進了以往發現的安全問題,但是隨著新功能的增加,又給系統帶來了新的漏洞,很多軟體開發人員只為完成系統的功能而工作,用戶日新月異的需求和硬體的飛速發展,使生產商不可能也沒有時間對每一個新產品做圓滿的安全測試,一些正式的軟體工業標準有利於改善這種局面,即使生產商按照這些工業標準開發測試,也難以保證十全十美,因為源代碼公開的特性,使黑客有足夠的條件來分析軟體中可能存在的漏洞。處於溫室中的作物無法適應自然環境的洗禮,付出代價,否則必將經受不住歷史的考驗。
全世界對黑客技術的研究顯得嚴重不足
如果從整個社會的文明現狀來看,黑客技術並非尖端科技,充其量只能說是internet領域的基礎課題。發現黑客技術並不要求太多底層的知識,它並不神秘,但計算機產品供應商對其一直諱莫如深,黑客技術的發展從局部來說讓產品供應商不安,這造成整個計算機行業對黑客技術的重視不夠,從而導致當今世上黑客組織和黑客技術研究都呈無政府狀態。從長遠的角度看,黑客對產品的測試和修補建議將促進產品的安全性,對客戶和供應商都是有利的。對於一個黑客來說,要製造一個令媒體關注的新聞是一件很容易的事情。這也是網路安全令世人擔憂的原因之一。
網路安全公司需要黑客的參與
從事網路安全技術服務的公司,如果沒有研究開發黑客技術的水平,或者沒有發現客戶系統潛在隱患的能力,其服務質量是提不上來的。因為網路安全的防範對象是惡意黑客,所以必須有了解攻擊手段的黑客參與,才能更全面地防範黑客攻擊。合格的網路安全專家必須具有黑客的能力,不了解黑客技術的網路安全專家是不可想象的。
一個國家的黑客技術發展是有利於國家安全的
國內的一個網路安全小組---cnns的前身,調查顯示:
日本和中國台灣的網路安全水平和中國大陸相似,從人員和研究力度上看,日本網路安全和黑客技術水平比中國顯得要薄弱,但在硬體設置和安全產品方面,日本對重要站點的保護措施和資金投入顯得比中國做得充足,安全檢測產品和防火牆使用較為普遍,很多網站都有防火牆,雖然管理不善,但這些措施對網路安全的保護起到了一定的作用,彌補了黑客技術的不足,所以總體安全水平比中國差不多。
台灣的總體網路安全狀況比大陸略差,特別是政府部門的網站,安全程度不如國內的政府網站。而美國的網路安全狀況比中國和日本都強了不止一籌,這和遍布美國的黑客組織和大量的網路安全產品供應商有關。另外美國出品的操作系統產品和軟體在市場上佔有領先的份額,這有利於黑客技術的發展。在黑客技術的研究和網路安全產品的開發上,美國都是全球做得最好的。
internet的開放互連的特徵決定黑客技術可以跨國攻擊,它既可以用於攻擊,也可以用於防禦。用兵之道,必須攻防兼備。所以未來信息戰的勝負有賴於一個國家的整體黑客技術水平,這是不需要諱言的。
黑客技術的發現,對有關的軟體開發商和信息產業是"短痛",從長遠的角度看卻是有利的。而對於信息國防安全的高度而言,黑客技術的發展更有利於國防建設的大局。它的客觀存在性決定了如果我們不去了解和研究它,則會受制於它。在信息技術越來越發達的今天,我們需要開發自己的網路安全產品來為信息產業保駕護航,更需要本領高強的黑客參與網路安全產品的研究開發和測試,這樣產品的質量才上得去。
現代國家的網路無法完全和Internet脫離
一個現代國家的重要部門的網路無法完全和Internet脫離
網路化的趨勢不可避免,任何行業都需要網路通信。綜觀處於應用階段的網路技術和硬體,發展走在最前面的依然是internet。所以TCP/IP網路互聯技術被廣泛地用於各行各業。有關部門認識到Internet的安全脆弱性,採取了一定的措施,例如使重要部門的網路在物理上與Internet完全脫離。這是比較有效的。但網路安全是一個整體的概念,只要能接觸重要部門網路的人沒有完全與Internet脫
離,就不能說該網路與Internet已經完全脫離。比如一個重要部門的系統管理員,他經常上網的個人電腦上就可能有他所在重要部門的機密資料,通過順藤摸瓜的方法,黑客可以獲取更多他們想要的信息。黑客還可能通過電話、無線電和衛星信號傳輸的方式對重要部門的網路進行滲透。
未來信息戰的可能性是存在的
當今社會的信息化程度越來越高,計算機和網路與人們的生活的關係越來越緊密。一個現代化國家的社會信息網路如果遭到毀滅性打擊,足以使人們的生活倒退幾十年。這種戰爭比較文明,不會造成人員傷亡,但破壞力絕不比一場常規戰爭小。相對於傳統的戰爭和能造成地球毀滅的核戰爭而言,信息戰的可能性也許更大。在網路更加發達的未來社會,除了高能量電磁波的攻擊外,信息對抗戰的主力將是黑客。
誠然,網路的基礎設施是電腦,而不是單片機,黑客的攻擊是基於代碼的數據流攻擊而不是強大的電流攻擊,美國政府能勉強應付棘手的D.O.S攻擊,而且就算網路在攻擊下癱瘓,也能在數小時內恢復。五角大樓還對過臭名昭著的Internet蠕蟲,這些難關他們都一一過來了。可是,真正的黑客和網路安全專家應該能意識到,真正有組織的大規模的信息戰還沒有來。
個人的力量是有限的,再厲害的黑客,再高明的代碼都不足以對付一個國家和社會;真正的威脅來自於政府組織的全方位攻擊,這種攻擊不僅僅局限於代碼和數據流攻擊,還包括信息滲透,機密資料連環破解,和人工的物理接觸。從整體上來說,全世界的網路都存在著被人忽視的管理漏洞,機密的資料和控制指令總會有渠道泄露出去。
真正的信息戰沒有到來以前,誰也估計不到破壞會到什麼程度。這取決於國家之間的攻守準備。要打贏這場戰爭,除了對網路安全技術要有足夠準備外,其它方面的人力和物質準備可能不會比一場局部的常規戰爭少。
國內網路安全的投入和培訓不足
據估計,國內電子商務站點的網路管理人員至少有90% 以上沒有受過正規的網路安全培訓;這幾年中國的Internet處於發展建設階段,大部分的ISP和其它從事信息產業的公司都沒有精力在網路安全進行必要的人力和物力投入,很多重要站點的管理員都是Internet的新手,一些操作系統如Unix,它們在那些有經驗的系統管理員的配置下尚且有缺陷,在這些新手手中更是漏洞百出。很多伺服器至少有三種以上的漏洞可以使入侵者獲取系統的最高控制權。
一些公司對網路安全問題非常輕視。他們認為,他們的伺服器上沒有重要數據,也沒有資金往來,如果有人入侵他們的系統,最多是竄改一下首頁而已,談不上大的危害。但他們可能沒有意識到,如果惡意黑客入侵他們的機器后,用這台伺服器的身份對其它有重要資源的伺服器做案,造成第三方的損失后,公司可能成為該案的"替罪羊"。
發展有中國特色的網路安全
發展有中國特色的網路安全/黑客技術是強網之路。
無可否認,在計算機領域上我們的技術整體上比西方發達國家落後。
internet基礎協議是開放的,Unix系統的代碼基本上是開放的,操作系統開放源代碼是必然的趨勢。硬體是別人的。但軟體可以是自己的。在計算機領域,中國的軟體技術明顯優於硬體。黑客技術不是一個非常底層的領域,其開放性尤其明顯。對系統極具破壞力的攻擊程序代碼和腳本在internet上不難免費得到,相對於獲得商業軟體產品的源代碼來說,黑客程序的源代碼更容易設法獲取。黑客技術是起源於開放的Unix環境,在Internet上得到繁榮的發展。這個特性決定了黑客技術是無法封鎖的。黑客組織具有無政府主義的特色,不樂於接受管制。事情發生后,柯林頓總統曾經簽署了一個命令,要求黑客組織不要擴散黑客技術,但卻被黑客們嗤之以鼻。從信息戰的角度看,對黑客技術的要求應該是:"人無我有,人有我全"。
很多國家都制定了未來信息戰的方略,作為一個愛好和平的國家,我們的信息戰方略應該是以防禦為主的。但我們不可能不研究那些攻擊性極強的高深黑客技術,正如雖然我們不想使用核武器,但我們不得不去研製它一樣。俄羅斯黑客成功地對美國五角大樓的計算機系統實行了滲透,並竊取了一些機密資料。有跡象顯示,俄國黑客還可能入侵了最高機密的計算機系統,據新聞周刊(NEWSWEEK)的報導,俄國黑客使用的入侵手段是 "不可能檢測到的"。對於美國這種對計算機依賴程度很高的國家而言,俄羅斯黑客的這種手段是很具威懾力的。這種美國人不了解的技術,永遠是他們的心頭大患。
付出一定代價是必要的。早付出比晚付出好
對於計算機病毒,包括國人在內的計算機用戶都為它付出了沉重的代價。無數重要的數據被病毒吞噬消失得無影無蹤。但多年來經過幾代人與計算機病毒的鬥爭,我國對病毒的研究和反病毒技術已經走在了世界的前列。壞事來得早比來得晚好。在和平年代,我們有充足的時間應付不利的事件,經歷的風浪越多,將更使我們有足夠的經驗應付惡劣環境下的突發事件。
如果平時我們沒有對付高明的黑客攻擊的經驗,很難使我們相信我們有能力去打一場未來可能發生的信息戰爭。
保障網路安全進行立法是必要
在正確地認識黑客技術作用的基礎上,對保障網路安全進行立法是必要的。
我們的立法應該著重於保護用戶利益,而不應該鼓勵缺乏網路保安措施的系統運行於Internet上。過分嚴格的法律保障將使人們忽略自己保護系統的責任,用戶應該對具有明顯漏洞的系統負責,比如一個重要用戶沒有設置密碼,那麼管理員和用戶對由此帶來的安全威脅和經濟損失應該承擔主要的責任。這正如把貴重錢物扔在公共場所被別人撿走,粗心大意的主人所負的責任應該比佔有失物的人大的道理一樣。法律打擊的對象應該是那些利用黑客研究成果從事破壞活動的人(這些人往往是沒有能力發現黑客技術的)。
Internet對我們的工作和生活將會越來越重要,全世界對這個巨大的信息寶藏正進行不斷的發掘和利用,人們在獲得巨大利益的同時,也面臨著各種各樣的威脅,網路安全威脅帶來的損害與人們對網路的依賴程度成正比。中國對黑客技術的認識和對網路安全的研究正處於起步階段,在我們進行現代化建設的時代,網路安全越來越成為關係國計民生的大事,它需要全社會的重視,讓我們用勇於探索,大膽創新的精神來精心研發網路安全產品和維護我們的網路安全,為中國信息產業保駕護航!
"輕用其芒,動即有傷,是為兇器;深藏若拙,臨機取決,是為利器。HK不是從真正意義上的去黑,而是挑戰自己,挑戰困難,堅毅,執著,智慧……"
俗話說,入鄉隨俗,既然入了黑客的門,就必須懂得黑客的行話,下面編者將介紹黑客專用術語。
1.肉雞:所謂“肉雞”是一種很形象的比喻,比喻那些可以隨意被我們控制的電腦,對方可以是WINDOWS系統,也可以是UNIX/LINUX系統,可以是普通的個人電腦,也可以是大型的伺服器,我們可以象操作自己的電腦那樣來操作它們,而不被對方所發覺。
3.網頁木馬:表面上偽裝成普通的網頁文件或是將自己的代碼直接插入到正常的網頁文件中,當有人訪問時,網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬的服務端下載到訪問者的電腦上來自動執行。
4.掛馬:就是在別人的網站文件裡面放入網頁木馬或者是將代碼潛入到對方正常的網頁文件里,以使瀏覽者中馬。
5.後門:這是一種形象的比喻,入侵者在利用某些方法成功的控制了目標主機后,可以在對方的系統中植入特定的程序,或者是修改某些設置。這些改動表面上是很難被察覺的,但是入侵者卻可以使用相應的程序或者方法來輕易的與這台電腦建立連接,重新控制這台電腦,就好象是入侵者偷偷的配了一把主人房間的鑰匙,可以隨時進出而不被主人發現一樣。
通常大多數的特洛伊木馬(Trojan Horse)程序都可以被入侵者用於製作後門(BackDoor)
6.rootkit:rootkit是攻擊者用來隱藏自己的行蹤和保留root(根許可權,可以理解成WINDOWS下的system或者管理員許可權)訪問許可權的工具。通常,攻擊者通過遠程攻擊的方式獲得root訪問許可權,或者是先使用密碼猜解(破解)的方式獲得對系統的普通訪問許可權,進入系統后,再通過,對方系統內存在的安全漏洞獲得系統的root許可權。然後,攻擊者就會在對方的系統中安裝rootkit,以達到自己長久控制對方的目的,rootkit與我們前邊提到的木馬和後門很類似,但遠比它們要隱蔽,黑客守衛者就是很典型的rootkit,還有國內的ntroorkit等都是不錯的rootkit工具。
7.IPC$:是共享“命名管道”的資源,它是為了讓進程間通信而開放的命名管道,可以通過驗證用戶名和密碼獲得相應的許可權,在遠程管理計算機和查看計算機的共享資源時使用。
8.弱口令:指那些強度不夠,容易被猜解的,類似123,abc這樣的口令(密碼)
9.默認共享:默認共享是WINDOWS2000/XP/2003系統開啟共享服務時自動開啟所有硬碟的共享,因為加了"$"符號,所以看不到共享的托手圖表,也稱為隱藏共享。
10.shell:指的是一種命令執行環境,比如我們按下鍵盤上的“開始鍵+R”時出現“運行”對話框,在裡面輸入“cmd”會出現一個用於執行命令的黑窗口,這個就是WINDOWS的Shell執行環境。通常我們使用遠程溢出程序成功溢出遠程電腦後得到的那個用於執行系統命令的環境就是對方的shell
11.WebShell:WebShell就是以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境,也可以將其稱做是一種網頁後門。黑客在入侵了一個網站后,通常會將這些asp或php後門文件與網站伺服器WEB目錄下正常的網頁文件混在一起,然後就可以使用瀏覽器來訪問這些asp 或者php後門,得到一個命令執行環境,以達到控制網站伺服器的目的。可以上傳下載文件,查看資料庫,執行任意程序命令等。國內常用的WebShell有海陽ASP木馬,Phpspy,c99shell等
12.溢出:確切的講,應該是“緩衝區溢出”。簡單的解釋就是程序對接受的輸入數據沒有執行有效的檢測而導致錯誤,後果可能是造成程序崩潰或者是執行攻擊者的命令。大致可以分為兩類:(1)堆溢出;(2)棧溢出。
13.注入:隨著B/S模式應用開發的發展,使用這種模式編寫程序的程序員越來越來越多,但是由於程序員的水平參差不齊相當大一部分應用程序存在安全隱患。用戶可以提交一段資料庫查詢代碼,根據程序返回的結果,獲得某些他想要知的數據,這個就是所謂的SQLinjection,即:SQL注入。
14.注入點:是可以實行注入的地方,通常是一個訪問資料庫的連接。根據注入點資料庫的運行帳號的許可權的不同,你所得到的許可權也不同。
15.內網:通俗的講就是區域網,比如網吧,校園網,公司內部網等都屬於此類。查看IP地址如果是在以下三個範圍之內的話,就說明我們是處於內網之中的:10.0.0.0—10.255.255.255,172.16.0.0—172.31.255.255,192.168.0.0—192.168.255.255
16.外網:直接連入INTERNET(互連網),可以與互連網上的任意一台電腦互相訪問,IP地址不是保留IP(內網)IP地址。
17.埠:(Port)相當於一種數據的傳輸通道。用於接受某些數據,然後傳輸給相應的服務,而電腦將這些數據處理后,再將相應的恢復通過開啟的埠傳給對方。一般每一個埠的開放都對應了相應的服務,要關閉這些埠只需要將對應的服務關閉就可以了。
18.3389、4899肉雞:3389是Windows終端服務(Terminal Services)所默認使用的埠號,該服務是微軟為了方便網路管理員遠程管理及維護伺服器而推出的,網路管理員可以使用遠程桌面連接到網路上任意一台開啟了終端服務的計算機上,成功登陸后就會象操作自己的電腦一樣來操作主機了。這和遠程控制軟體甚至是木馬程序實現的功能很相似,終端服務的連接非常穩定,而且任何殺毒軟體都不會查殺,所以也深受黑客喜愛。黑客在入侵了一台主機后,通常都會想辦法先添加一個屬於自己的後門帳號,然後再開啟對方的終端服務,這樣,自己就隨時可以使用終端服務來控制對方了,這樣的主機,通常就會被叫做3389肉雞。Radmin是一款非常優秀的遠程控制軟體,4899就是Radmin默認使以也經常被黑客當作木馬來使用(正是這個原因,有的人在使用的服務埠號。因為Radmin的控制功能非常強大,傳輸速度也比大多數木馬快,而且又不被殺毒軟體所查殺,所用Radmin管理遠程電腦時使用的是空口令或者是弱口令,黑客就可以使用一些軟體掃描網路上存在Radmin空口令或者弱口令的主機,然後就可以登陸上去遠程控制對方,這樣被控制的主機通常就被成做4899肉雞。
19.免殺:就是通過加殼、加密、修改特徵碼、加花指令等等技術來修改程序,使其逃過殺毒軟體的查殺。
20.加殼:就是利用特殊的演演算法,將EXE可執行程序或者DLL動態連接庫文件的編碼進行改變(比如實現壓縮、加密),以達到縮小文件體積或者加密程序編碼,甚至是躲過殺毒軟體查殺的目的。較常用的殼有UPX,ASPack、PePack、PECompact、UPack、免疫007、木馬綵衣等等。
21.花指令:就是幾句彙編指令,讓彙編語句進行一些跳轉,使得殺毒軟體不能正常的判斷病毒文件的構造。說通俗點就是“殺毒軟體是從頭到腳按順序來查找病毒。如果我們把病毒的頭和腳顛倒位置,殺毒軟體就找不到病毒了”。
“黑客”大體上應該分為“正”、“邪”兩類,正派黑客依靠自己掌握的知識幫助系統管理員找出系統中的漏洞並加以完善,而邪派黑客則是通過各種黑客技能對系統進行攻擊、入侵或者做其他一些有害於網路的事情,因為邪派黑客所從事的事情違背了《黑客守則》,所以他們真正的名字叫“駭客”(Cracker)而非“黑客”(Hackte),也就是我們平時經常聽說的“黑客”(Crackte)和“紅客”(Hackte)。
無論那類黑客,他們最初的學習內容都將是本部分所涉及的內容,而且掌握的基本技能也都是一樣的。即便日後他們各自走上了不同的道路,但是所做的事情也差不多,只不過出發點和目的不一樣而已。
很多人曾經問我:“做黑客平時都做什麼?是不是非常刺激?”也有人對黑客的理解是“天天做無聊且重複的事情”。實際上這些又是一個錯誤的認識,黑客平時需要用大量的時間學習,我不知道這個過程有沒有終點,只知道“多多益善”。由於學習黑客完全出於個人愛好,所以無所謂“無聊”;重複是不可避免的,因為“熟能生巧”,只有經過不斷的練習、實踐,才可能自己體會出一些只可意會、不可言傳的心得。
在學習之餘,黑客應該將自己所掌握的知識應用到實際當中,無論是哪種黑客做出來的事情,根本目的無非是在實際中掌握自己所學習的內容。黑客的行為主要有以下幾種:
學習技術
網際網路上的新技術一旦出現,黑客就必須立刻學習,並用最短的時間掌握這項技術,這裡所說的掌握並不是一般的了解,而是閱讀有關的“協議”(rfc)、深入了解此技術的機理,否則一旦停止學習,那麼依靠他以前掌握的內容,並不能維持他的“黑客身份”超過一年。
初級黑客要學習的知識是比較困難的,因為他們沒有基礎,所以學習起來要接觸非常多的基本內容,然而今天的網際網路給讀者帶來了很多的信息,這就需要初級學習者進行選擇:太深的內容可能會給學習帶來困難;太“花哨”的內容又對學習黑客沒有用處。所以初學者不能貪多,應該盡量尋找一本書和自己的完整教材、循序漸進的進行學習。
偽裝自己
黑客的一舉一動都會被伺服器記錄下來,所以黑客必須偽裝自己使得對方無法辨別其真實身份,這需要有熟練的技巧,用來偽裝自己的IP地址、使用跳板逃避跟蹤、清理記錄擾亂對方線索、巧妙躲開防火牆等。
偽裝是需要非常過硬的基本功才能實現的,這對於初學者來說稱的上“大成境界”了,也就是說初學者不可能用短時間學會偽裝,所以我並不鼓勵初學者利用自己學習的知識對網路進行攻擊,否則一旦自己的行跡敗露,最終害的害是自己。
如果有朝一日你成為了真正的黑客,我也同樣不贊成你對網路進行攻擊,畢竟黑客的成長是一種學習,而不是一種犯罪。
發現漏洞
漏洞對黑客來說是最重要的信息,黑客要經常學習別人發現的漏洞,並努力自己尋找未知漏洞,並從海量的漏洞中尋找有價值的、可被利用的漏洞進行試驗,當然他們最終的目的是通過漏洞進行破壞或著修補上這個漏洞。
黑客對尋找漏洞的執著是常人難以想象的,他們的口號說“打破權威”,從一次又一次的黑客實踐中,黑客也用自己的實際行動向世人印證了這一點——世界上沒有“不存在漏洞”的程序。在黑客眼中,所謂的“天衣無縫”不過是“沒有找到”而已。
利用漏洞
對於正派黑客來說,漏洞要被修補;對於邪派黑客來說,漏洞要用來搞破壞。而他們的基本前提是“利用漏洞”,黑客利用漏洞可以做下面的事情:
1.獲得系統信息:有些漏洞可以泄漏系統信息,暴露敏感資料,從而進一步入侵系統
2.入侵系統:通過漏洞進入系統內部,或取得伺服器上的內部資料、或完全掌管伺服器
3.尋找下一個目標:一個勝利意味著下一個目標的出現,黑客應該充分利用自己已經掌管的伺服器作為工具,尋找併入侵下一個系統
4.做一些好事:正派黑客在完成上面的工作后,就會修復漏洞或者通知系統管理員,做出一些維護網路安全的事情
5.做一些壞事:邪派黑客在完成上面的工作后,會判斷伺服器是否還有利用價值。如果有利用價值,他們會在伺服器上植入木馬或者後門,便於下一次來訪;而對沒有利用價值的伺服器他們決不留情,系統崩潰會讓他們感到無限的快感
網路安全從其本質上來講就是網路上的信息安全。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。確保網路系統的信息安全是網路安全的目標,信息安全包括兩個方面:信息的存儲安全和信息的傳輸安全。信息的存儲安全是指信息在靜態存放狀態下的安全,如是否會被非授權調用等。信息的傳輸安全是指信息在動態傳輸過程中安全。為了確保網路信息的傳輸安全,有以下幾個問題:
(1)對網路上信息的監聽;
(2)對用戶身份的仿冒;
(3)對網路上信息的篡改;
(4)對發出的信息予以否認;
(5)對信息進行重發。
對於一般的常用入侵方法主要
1.口令入侵
所謂口令入侵,就是指用一些軟體解開已經得到但被人加密的口令文檔,不過許多黑客已大量採用一種可以繞開或屏蔽口令保護的程序來完成這項工作。對於那些可以解開或屏蔽口令保護的程序通常被稱為“Crack”。由於這些軟體的廣為流傳,使得入侵電腦網路系統有時變得相當簡單,一般不需要很深入了解系統的內部結構,是初學者的好方法。
2.特洛伊木馬術
說到特洛伊木馬,只要知道這個故事的人就不難理解,它最典型的做法可能就是把一個能幫助黑客完成某一特定動作的程序依附在某一合法用戶的正常程序中,這時合法用戶的程序代碼已被改變。一旦用戶觸發該程序,那麼依附在內的黑客指令代碼同時被激活,這些代碼往往能完成黑客指定的任務。由於這種入侵法需要黑客有很好的編程經驗,且要更改代碼、要一定的許可權,所以較難掌握。但正因為它的複雜性,一般的系統管理員很難發現。
3.監聽法
這是一個很實用但風險也很大的黑客入侵方法,但還是有很多入侵系統的黑客採用此類方法,正所謂藝高人膽大。
網路節點或工作站之間的交流是通過信息流的轉送得以實現,而當在一個沒有集線器的網路中,數據的傳輸並沒有指明特定的方向,這時每一個網路節點或工作站都是一個介面。這就好比某一節點說:“嗨!你們中有誰是我要發信息的工作站。”
此時,所有的系統介面都收到了這個信息,一旦某個工作站說:“嗨!那是我,請把數據傳過來。”聯接就馬上完成。
目前有網路上流傳著很多嗅探軟體,利用這些軟體就可以很簡單的監聽到數據,甚至就包含口令文件,有的服務在傳輸文件中直接使用明文傳輸,這也是非常危險的。
4.E-mail技術
使用email加木馬程序這是黑客經常使用的一種手段,而且非常奏效,一般的用戶,甚至是網管,對網路安全的意識太過於淡薄,這就給很多黑客以可乘之機。
5.病毒技術
作為一個黑客,如此使用應該是一件可恥的事情,不過大家可以學習,畢竟也是一種攻擊的辦法,特殊時間,特殊地點完全可以使用。
6.隱藏技術
攻擊的準備階段
首先需要說明的是,入侵者的來源有兩種,一種是內部人員利用自己的工作機會和許可權來獲取不應該獲取的許可權而進行的攻擊。另一種是外部人員入侵,包括遠程入侵、網路節點接入入侵等。本節主要討論遠程攻擊。
進行網路攻擊是一件系統性很強的工作,其主要工作流程是:收集情報,遠程攻擊,遠程登錄,取得普通用戶的許可權,取得超級用戶的許可權,留下後門,清除日誌。主要內容包括目標分析,文檔獲取,破解密碼,日誌清除等技術,下面分別介紹。
1.確定攻擊的目的
攻擊者在進行一次完整的攻擊之前首先要確定攻擊要達到什麼樣的目的,即給對方造成什麼樣的後果。常見的攻擊目的有破壞型和入侵型兩種。破壞型攻擊指的只是破壞攻擊目標,使其不能正常工作,而不能隨意控制目標的系統的運行。要達到破壞型攻擊的目的,主要的手段是拒絕服務攻擊(Denial Of Service)。另一類常見的攻擊目的是入侵攻擊目標,這種攻擊是要獲得一定的許可權來達到控制攻擊目標的目的。應該說這種攻擊比破壞型攻擊更為普遍,威脅性也更大。因為黑客一旦獲取攻擊目標的管理員許可權就可以對此伺服器做任意動作,包括破壞性的攻擊。此類攻擊一般也是利用伺服器操作系統、應用軟體或者網路協議存在的漏洞進行的。當然還有另一種造成此種攻擊的原因就是密碼泄露,攻擊者靠猜測或者窮舉法來得到伺服器用戶的密碼,然後就可以用和真正的管理員一樣對伺服器進行訪問。
2.信息收集
除了確定攻擊目的之外,攻擊前的最主要工作就是收集盡量多的關於攻擊目標的信息。這些信息主要包括目標的操作系統類型及版本,目標提供哪些服務,各伺服器程序的類型與版本以及相關的社會信息。
要攻擊一台機器,首先要確定它上面正在運行的操作系統是什麼,因為對於不同類型的操作系統,其上的系統漏洞有很大區別,所以攻擊的方法也完全不同,甚至同一種操作系統的不同版本的系統漏洞也是不一樣的。要確定一台伺服器的操作系統一般是靠經驗,有些伺服器的某些服務顯示信息會泄露其操作系統。例如當我們通過TELNET連上一台機器時,如果顯示
Unix(r)System V Release 4.0
login:
那麼根據經驗就可以確定這個機器上運行的操作系統為SUN OS 5.5或5.5.l。但這樣確定操作系統類型是不準確的,因為有些網站管理員為了迷惑攻擊者會故意更改顯示信息,造成假象。
還有一種不是很有效的方法,諸如查詢DNS的主機信息(不是很可靠)來看登記域名時的申請機器類型和操作系統類型,或者使用社會工程學的方法來獲得,以及利用某些主機開放的SNMP的公共組來查詢。
另外一種相對比較準確的方法是利用網路操作系統里的TCP/IP堆棧作為特殊的“指紋”來確定系統的真正身份。因為不同的操作系統在網路底層協議的各種實現細節上略有不同。可以通過遠程向目標發送特殊的包,然後通過返回的包來確定操作系統類型。例如通過向目標機發送一個FIN的包(或者是任何沒有ACK或SYN標記的包)到目標主機的一個開放的埠然後等待回應。許多系統如windows、 BSDI、CISCO、 HP/UX和IRIX會返回一個RESET。通過發送一個SYN包,它含有沒有定義的TCP標記的TCP頭。那麼在Linux系統的回應包就會包含這個沒有定義的標記,而在一些別的系統則會在收到SYN+BOGU包之後關閉連接。或是利用尋找初始化序列長度模板與特定的操作系統相匹配的方法。利用它可以對許多系統分類,如較早的Unix系統是64K長度,一些新的Unix系統的長度則是隨機增長。還有就是檢查返回包里包含的窗口長度,這項技術根據各個操作系統的不同的初始化窗口大小來唯一確定它們。利用這種技術實現的工具很多,比較著名的有NMAP、CHECKOS、QUESO等。
獲知目標提供哪些服務及各服務daemon的類型、版本同樣非常重要,因為已知的漏洞一般都是對某一服務的。這裡說的提供服務就是指通常我們提到的喘口,例如一般TELNET在23埠,FTP在對21埠,WWW在80埠或8080埠,這只是一般情況,網站管理完全可以按自己的意願修改服務所監聽的埠號。在不同伺服器上提供同一種服務的軟體也可以是不同,我們管這種軟體叫做daemon,例如同樣是提供FTP服務,可以使用wuftp、proftp,ncftp等許多不同種類的daemon。確定daemon的類型版本也有助於黑客利用系統漏洞攻破網站。
另外需要獲得的關於系統的信息就是一些與計算機本身沒有關係的社會信息,例如網站所屬公司的名稱、規模,網路管理員的生活習慣、電話號碼等。這些信息看起來與攻擊一個網站沒有關係,實際上很多黑客都是利用了這類信息攻破網站的。例如有些網站管理員用自己的電話號碼做系統密碼,如果掌握了該電話號碼,就等於掌握了管理員許可權進行信息收集可以用手工進行,也可以利用工具來完成,完成信息收集的工具叫做掃描器。用掃描器收集信息的優點是速度快,可以一次對多個目標進行掃描。
攻擊的實施階段
1.獲得許可權
當收集到足夠的信息之後,攻擊者就要開始實施攻擊行動了。作為破壞性攻擊,只需利用工具發動攻擊即可。而作為入侵性攻擊,往往要利用收集到的信息,找到其系統漏洞,然後利用該漏洞獲取一定的許可權。有時獲得了一般用戶的許可權就足以達到修改主頁等目的了,但作為一次完整的攻擊是要獲得系統最高許可權的,這不僅是為了達到一定的目的,更重要的是證明攻擊者的能力,這也符合黑客的追求。
能夠被攻擊者所利用的漏洞不僅包括系統軟體設計上的安全漏洞,也包括由於管理配置不當而造成的漏洞。前不久,網際網路上應用最普及的著名www伺服器提供商Apache的主頁被黑客攻破,其主頁面上的Powered by Apache圖樣(羽毛狀的圖畫)被改成了Powered by Microsoft Backoffice的圖樣,那個攻擊者就是利用了管理員對Webserver用資料庫的一些不當配置而成功取得最高許可權的。
當然大多數攻擊成功的範例還是利用了系統軟體本身的漏洞。造成軟體漏洞的主要原因在於編製該軟體的程序員缺乏安全意識。當攻擊者對軟體進行非正常的調用請求時造成緩衝區溢出或者對文件的非法訪問。其中利用緩衝區溢出進行的攻擊最為普遍,據統計80%以上成功的攻擊都是利用了緩衝區溢出漏洞來獲得非法許可權的。關於緩衝區溢出在後面用專門章節來作詳細解釋。
無論作為一個黑客還是一個網路管理員,都需要掌握盡量多的系統漏洞。黑客需要用它來完成攻擊,而管理員需要根據不同的漏洞來進行不同的防禦措施。了解最新最多的漏洞信息,可以到諸如Rootshell、Packetstorm、Securityfocus等網站去查找。
2.許可權的擴大
系統漏洞分為遠程漏洞和本地漏洞兩種,遠程漏洞是指黑客可以在別的機器上直接利用該漏洞進行攻擊並獲取一定的許可權。這種漏洞的威脅性相當大,黑客的攻擊一般都是從遠程漏洞開始的。但是利用遠程漏洞獲取的不一定是最高許可權,而往往只是一個普通用戶的許可權,這樣常常沒有辦法做黑客們想要做的事。這時就需要配合本地漏洞來把獲得的許可權進行擴大,常常是擴大至系統的管理員許可權。
只有獲得了最高的管理員許可權之後,才可以做諸如網路監聽、打掃痕迹之類的事情。要完成許可權的擴大,不但可以利用已獲得的許可權在系統上執行利用本地漏洞的程序,還可以放一些木馬之類的欺騙程序來套取管理員密碼,這種木馬是放在本地套取最高許可權用的,而不能進行遠程控制。例如一個黑客已經在一台機器上獲得了一個普通用戶的賬號和登錄許可權,那麼他就可以在這台機器上放置一個假的su程序。一旦黑客放置了假su程序,當真正的合法用戶登錄時,運行了su,並輸入了密碼,這時root密碼就會被記錄下來,下次黑客再登錄時就可以使用su變成root了。
攻擊的善後工作
1.日誌系統簡介
如果攻擊者完成攻擊后就立刻離開系統而不做任何善後工作,那麼他的行蹤將很快被系統管理員發現,因為所有的網路操作系統一般都提供日誌記錄功能,會把系統上發生的動作記錄下來。所以,為了自身的隱蔽性,黑客一般都會抹掉自己在日誌中留下的痕迹。想要了解黑客抹掉痕迹的方法,首先要了解常見的操作系統的日誌結構以及工作方式。Unix的日誌文件通常放在下面這幾個位置,根據操作系統的不同略有變化
/usr/adm——早期版本的Unix。
/Var/adm新一點的版本使用這個位置。
/Varflort一些版本的Solaris、 Linux BSD、Free BSD使用這個位置。
/etc,大多數Unix版本把Utmp放在此處,一些Unix版本也把Wtmp放在這裡,這也是Syslog.conf的位置。
下面的文件可能會根據你所在的目錄不同而不同:
acct或pacct-一記錄每個用戶使用的命令記錄。
accesslog主要用來伺服器運行了NCSA HTTP伺服器,這個記錄文件會記錄有什麼站點連接過你的伺服器。
aculo保存撥出去的Modems記錄。
lastlog記錄了最近的Login記錄和每個用戶的最初目的地,有時是最後不成功Login的記錄。
loginlog一記錄一些不正常的L0gin記錄。
messages——記錄輸出到系統控制台的記錄,另外的信息由Syslog來生成
security記錄一些使用 UUCP系統企圖進入限制範圍的事例。
sulog記錄使用su命令的記錄。
utmp記錄當前登錄到系統中的所有用戶,這個文件伴隨著用戶進入和離開系統而不斷變化。
Utmpx,utmp的擴展。
wtmp記錄用戶登錄和退出事件。
Syslog最重要的日誌文件,使用syslogd守護程序來獲得。
2.隱藏蹤跡
攻擊者在獲得系統最高管理員許可權之後就可以隨意修改系統上的文件了(只對常規 Unix系統而言),包括日誌文件,所以一般黑客想要隱藏自己的蹤跡的話,就會對日誌進行修改。最簡單的方法當然就是刪除日誌文件了,但這樣做雖然避免了系統管理員根據IP追蹤到自己,但也明確無誤地告訴了管理員,系統己經被人侵了。所以最常用的辦法是只對日誌文件中有關自己的那一部分做修改。關於修改方法的具體細節根據不同的操作系統有所區別,網路上有許多此類功能的程序,例如 zap、 wipe等,其主要做法就是清除 utmp、wtmp、Lastlog和Pacct等日誌文件中某一用戶的信息,使得當使用w、who、last等命令查看日誌文件時,隱藏掉此用戶的信息。
管理員想要避免日誌系統被黑客修改,應該採取一定的措施,例如用印表機實時記錄網路日誌信息。但這樣做也有弊端,黑客一旦了解到你的做法就會不停地向日誌里寫入無用的信息,使得印表機不停地列印日誌,直到所有的紙用光為止。所以比較好的避免日誌被修改的辦法是把所有日誌文件發送到一台比較安全的主機上,即使用loghost。即使是這樣也不能完全避免日誌被修改的可能性,因為黑客既然能攻入這台主機,也很可能攻入loghost。
只修改日誌是不夠的,因為百密必有一漏,即使自認為修改了所有的日誌,仍然會留下一些蛛絲馬跡的。例如安裝了某些後門程序,運行后也可能被管理員發現。所以,黑客高手可以通過替換一些系統程序的方法來進一步隱藏蹤跡。這種用來替換正常系統程序的黑客程序叫做rootkit,這類程序在一些黑客網站可以找到,比較常見的有LinuxRootKit,當替換了ls后,就可以隱藏指定的文件,使得管理員在使用ls命令時無法看到這些文件,從而達到隱藏自己的目的。
3.後門
一般黑客都會在攻入系統后不只一次地進入該系統。為了下次再進入系統時方便一點,黑客會留下一個後門,特洛伊木馬就是後門的最好範例。Unix中留後門的方法有很多種,下面介紹幾種常見的後門,供網路管理員參考防範。
密碼破解後門
這是入侵者使用的最早也是最老的方法,它不僅可以獲得對Unix機器的訪問,而且可 以通過破解密碼製造後門。這就是破解口令薄弱的帳號。以後即使管理員封了入侵者的當前帳號,這些新的帳號仍然可能是重新侵入的後門。多數情況下,入侵者尋找口令薄弱的未使用帳號,然後將口令改的難些。當管理員尋找口令薄弱的帳號是,也不會發現這些密碼已修改的帳號。因而管理員很難確定查封哪個帳號。
Rhosts + +後門
在連網的Unix機器中,象Rsh和Rlogin這樣的服務是基於rhosts文件里的主機名使用簡 單的認證方法。用戶可以輕易的改變設置而不需口令就能進入。入侵者只要向可以訪問的某用戶的rhosts文件中輸入"+ +",就可以允許任何人從任何地方無須口令便能進入這個帳號。特別當home目錄通過NFS向外共享時,入侵者更熱中於此。這些帳號也成 了入侵者再次侵入的後門。許多人更喜歡使用Rsh,因為它通常缺少日誌能力。許多管理員經常檢查 "+ +",所以入侵者實際上多設置來自網上的另一個帳號的主機名和用戶名,從而不易被發現。
校驗和及時間戳後門
早期,許多入侵者用自己的trojan程序替代二進位文件。系統管理員便依靠時間戳和系 統校驗和的程序辨別一個二進位文件是否已被改變,如Unix里的sum程序。入侵者又發展了使trojan文件和原文件時間戳同步的新技術。它是這樣實現的: 先將系統時鐘撥回到原文件時間,然後調整trojan文件的時間為系統時間。一旦二進位trojan文件與 原來的精確同步,就可以把系統時間設回當前時間。Sum程序是基於CRC校驗,很容易騙過。入侵者設計出了可以將trojan的校驗和調整到原文件的校驗和的程序。MD5是被 大多數人推薦的。
Login後門
在Unix里,login程序通常用來對telnet來的用戶進行口令驗證。入侵者獲取login.c的原代碼並修改,使它在比較輸入口令與存儲口令時先檢查後門口令。如果用戶敲入後門口令,它將忽視管理員設置的口令讓你長驅直入。這將允許入侵者進入任何帳號,甚至是root。由於後門口令是在用戶真實登錄並被日誌記錄到utmp和wtmp前產生一個訪問 的,所以入侵者可以登錄獲取shell卻不會暴露該帳號。管理員注意到這種後門后,便用"strings"命令搜索login程序以尋找文本信息。許多情況下後門口令會原形畢露。入侵者就開始加密或者更好的隱藏口令,使strings命令失效。所以更多的管理員是用MD5校驗和檢測這種後門的。
Telnetd後門
當用戶telnet到系統,監聽埠的inetd服務接受連接隨後遞給in.telnetd,由它運行 login.一些入侵者知道管理員會檢查login是否被修改,就著手修改in.telnetd. 在in.telnetd內部有一些對用戶信息的檢驗,比如用戶使用了何種終端。典型的終端 設置是Xterm或者VT100.入侵者可以做這樣的後門,當終端設置為"letmein"時產生一個不要任何驗證的shell. 入侵者已對某些服務作了後門,對來自特定源埠的連接產生一個shell。
根據Websense安全實驗室發布的《Websense 2012年威脅報告》,我們看到三個因素正在成為數據竊取“得力助手”:第一,基於社交網路生成的各種誘餌,這是當前極富成效的攻擊手段;第二,現代惡意軟體在滲入時已具備迴避安全檢測的能力;第三,機密數據的泄露方式日益複雜。為了幫助企業有效的應對威脅現狀,該報告不僅陳列了最新的安全調查發現,還為安全專業人士提供多起案例進行參考,並提出切實可行的防範建議。
Websense中國安全實驗室經理洪敬風表示:“傳統的安全防線已經失去了作用,面對現代威脅環境,只有依靠多點檢測的實時防禦方案,深度檢測和分析入站的每一個網頁與電子郵件內容以及出站敏感數據傳送才能幫助企業有效緩解數據泄露等信息安全風險。在我們的觀察中發現:利用Web和電子郵件進行攻擊幾乎發生在每一起惡意數據竊取行動中;而以人為突破口發起的各種社會工程學攻擊更是越加普遍。因為新一代攻擊者懂得針對一個目標基於多種威脅渠道從多個數據點發起攻擊,所以只有充分了解威脅的整個生命周期,並且能夠將數據安全嵌入各個環節的解決方案才能夠有效防止新的威脅。”
關鍵發現:
82%的惡意網站被託管在已經被惡意份子控制的主機上。主機一旦被惡意份子攻陷則不再能提供可被信任的基準、雲或者託管服務。從大的環境來講,這阻礙了社會經濟的發展,因為雲技術被大量應用於發展商業、交通和文化。
55%的數據竊取源於基於Web的惡意軟體通訊。
43%的Facebook分享為流媒體,其中有不少為病毒式視頻。因為當前的各種Web誘餌(視頻、虛假禮品贈與、虛假調查問卷和詐騙等)都是從吸引人的好奇心出發,並越來越多地被使用在社交網路上。Websense是Facebook的內容安全合作夥伴,致力幫助Facebook掃描其內容更新中的所有 Web鏈接,所以 Websense調查員對社交網路內容具有深入的了解和敏銳的觀察。
50%的惡意軟體的重定向地址指向美國,其次是加拿大。
60%的釣魚網站主機在美國,還有一大部分在加拿大。而美國亦是託管最多惡意軟體的國家,佔總量的36%,緊隨其後的是俄羅斯。
74%的電子郵件是垃圾郵件,在前一年這個數據是84%.總體來說,在對抗垃圾郵件殭屍網路方面的努力頗有成效。而另一方面,在垃圾郵件的總量下降的同時,我們看到92%的垃圾郵件都包含一個URL鏈接,這說明混合電子郵件和Web威脅的攻擊正在上升。排名前五位的垃圾郵件誘餌有:訂單狀態通知、票務確認、交貨通知、測試郵件,以及退稅通知。另外,魚叉式網路釣魚攻擊也在持續增長,大多數被用於針對性攻擊。
Websense安全實驗室分析了超過20萬個安卓應用,發現了大量的包含惡意目地和許可的軟體。可以預計,未來將會有更多的用戶會成為惡意移動應用程序的受害者。
先進威脅的生命周期可以被分為6個階段:誘惑、重定向、攻擊工具包、dropper木馬文件、自動通訊,和數據竊取。其中每一個階段都有不同的特徵,需要專門的實時防禦系統。傳統的安全防護手段因為主要關注第四階段,並且只能夠基於已知威脅特徵庫查找惡意軟體,所以在現代威脅面前頓時失靈。先進威脅中使用的dropper木馬可能在數小時或者數天中都無法被傳統安全工具檢測到。
Websense安全實驗室運用Websense ThreatSeeker Network對全球網際網路威脅進行實時監測。Websense ThreatSeeker Network每小時掃描4千多萬個Web網站和1千多萬封電子郵件,以查找不當內容和惡意代碼。利用全球超過5千萬個節點的實時數據採集系統,Websense ThreatSeeker Networks監測並分類Web、郵件以及數據內容,這使得Websense在審查Internet及電子郵件內容方面具有獨一無二的可視能力。