SylixOS嵌入式操作系统|论坛

 找回密码
 注册
搜索
查看: 1278|回复: 1

常见网络攻击技术交流(3)

[复制链接]

5

主题

5

帖子

37

积分

新手上路

Rank: 1

积分
37
发表于 2022-12-19 10:16:56 | 显示全部楼层 |阅读模式
        “火焰”病毒的全名为Worm.Win32.Flame,它是一种后门程序和木马病毒,同时又具有蠕虫病毒的特点。只要其背后的操控者发出指令,它就能在网络、移动设备中进行自我复制。一旦电脑系统被感染,病毒将开始一系列复杂的行动,包括监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等。被感染系统中所有的数据都能通过链接传到病毒指定的服务器,让操控者一目了然。据卡巴斯基实验室统计,迄今发现感染该病毒的案例已有500多起,其中主要发生在伊朗、以色列和巴勒斯坦。苏丹、叙利亚、黎巴嫩、沙特阿拉伯、埃及和中国(家庭电脑较多)等国也有个别案例。“火焰”设计极为复杂,能够避过100种防毒软件。感染该病毒的电脑将自动分析自己的网络流量规律,自动录音,记录用户密码和键盘敲击规律,将用户浏览网页、通讯通话、账号密码以至键盘输入等纪录及其他重要文件发送给远程操控病毒的服务器。火焰病毒被认为是迄今为止发现的最大规模和最为复杂的网络攻击病毒。2012年5月,俄罗斯安全专家发现一种威力强大的电脑病毒“火焰”(Flame)在中东地区大范围传播。俄罗斯电脑病毒防控机构卡巴斯基称,这种新病毒可能是“某个国家专门开发的网络战武器”。“火焰”病毒最早可能于2010年3月就被攻击者放出,但一直没能被其他网络安全公司发现。“除卡巴斯基外,匈牙利的两家反电脑病毒实验室和伊朗反电脑病毒机构也发现了上述全新的蠕虫病毒。 Flame(火焰)是一种高度复杂的恶意程序,被用作网络武器并已经攻击了多个国家。卡巴斯基实验的专家们是在参与国际电联(ITU)发起的一项技术分析调查中发现Flame的。Flame被用来执行网络间谍活动。它可以盗取重要信息,包括计算机显示内容、目标系统的信息、储存的文件、联系人数据甚至音频对话记录。其复杂性和功能性已经超过其它任何已知的网络武器。Flame是迄今发现为止程序最大的网络武器,其设计结构让其几乎不能被追查到。然而,一般的恶意程序都比较小,以此方便隐藏。而庞大的Flame程序竟然能够让其未被发现。Flame通过复杂先进的技术感染计算机,而这些技术仅在之前的一个网络武器中被用到——Stuxnet。尽管Flame早在2010年3月就开始活动,但直到卡巴斯基实验室发现之前,没有任何的安全软件将其检测到。

        Turla 又称 Snake 或 Uroburos,是当下最复杂的网络间谍活动之一。卡巴斯基实验室对该活动的最新研究表明,Epic 是 Turla 受害者感染机制的初始阶段。“Epic”的目标包括下列类别:政府实体(内政部、商贸部、外交部、情报局)、大使馆、军方、研究与教育机构以及制药公司。大多数受害者都位于中东和欧洲,但我们也观察到了包括美国等其他地域的受害者。卡巴斯基实验室专家总计统计到了分布在超过 45 个国家和地区的数百名受害者 IP,其中法国在受害名单中高居首位。已检测到的攻击可以根据用于感染受害者的初始感染向量分为几个不同类别:利用 Adobe PDF 漏洞的鱼叉式网络钓鱼电子邮件 (CVE-2013-3346 + CVE-2013-5065)诱骗用户运行扩展名为“.SCR”、且有时会使用 RAR 压缩包形式的恶意软件安装程序的社会工程利用 Java 漏洞 (CVE-2012-1723)、Adobe Flash 漏洞(未知)或 Internet Explorer 6、7、8 的漏洞(未知)的水坑式攻击依靠社会工程诱骗用户运行假冒“Flash Player”的恶意软件安装程序的水坑式攻击。

       Sandworm病毒,国外厂商iSIGHT Partners 2014年10月14日发布公告称发现了Sandworm(沙虫)漏洞。Sandworm病毒利用的漏洞几乎影响所有微软Windows Vista以上装有Microsoft Office软件的主机操作系统,通俗地说,这类攻击是通过发送附件文档的方式发起的,受害者只要打开文档就会自动中招,也就是只要计算机中安装了Microsoft Office软件,都有可能受到该漏洞的影响,轻则信息遭到窃取,严重的则成为高级可持续威胁的攻击跳板。该漏洞还具有绕开常见的杀毒软件的特点,漏洞风险性较高。
TrendMicro报告发现Sandworm病毒发起后续攻击的恶意载荷包含了对工控企业的人机界面软件的攻击(主要是GE Cimplicity HMI),目的是进一步控制HMI,并且放置木马。该攻击利用了GE Cimplicity HMI软件的一个漏洞,打开攻击者恶意构造的.cim 或者.bcl文件,允许在用户机器上执行任意代码,以及安装木马文件.cim 或者.bcl文件。

       BlackEnergy是一款自动化的网络攻击工具,出现于2007年,2010年已经添加到病毒样本库,主要影响行业是电力、军事、通信、政府等基础设施和重要机构。BlackEnergy被各种犯罪团伙使用多年。其客户端采用了插件的方式进行扩展,第三方开发者可以通过增加插件针对攻击目标进行组合,实现更多攻击能力,例如,有些人利用它发送垃圾邮件,另一些人用它来盗取银行凭证。BlackEnergy工具带有一个构建器(builder)应用程序,可生成感染受害者机器的客户端。同时该工具还配备了服务器脚本,用于构建命令及控制(C&C)服务器。这些脚本也提供了一个接口,攻击者可以通过它控制“僵尸机”。该工具有简单易用的特点,意味着任何人只要能接触到这个工具,就可以利用它来构建自己的“僵尸”网络。
以乌克兰电网受攻击事件为例,该病毒的攻击者在微软Office文件(一个.xls文档)中嵌入了恶意宏文件,并以此作为感染载体来对目标系统进行感染。攻击者通过钓鱼邮件的方式,将恶意文档以附件形式发送到目标用户,目标用户在接收到这封含有恶意文件的钓鱼邮件之后,系统就会被病毒感染。攻击者将该邮件的发送地址进行了伪装,使用户认为这些邮件来自于合法渠道。在恶意文件中还包含一些文字信息,这样才能欺骗用户来运行文档中的宏。
如果攻击者成功地欺骗了目标用户,那么他们的计算机系统将会感染BlackEnergy恶意程序,再通过BlackEnergy释放出具有破坏性的KillDisk组件和SSH后门。KillDisk插件能够破坏计算机硬盘驱动器中的核心代码,并删除指定的系统文件。利用SSH后门黑客可通过一个预留的密码(passDs5Bu9Te7)来远程访问并控制电力系统的运行,最终通过执行shutdown命令关机,此时系统遭到严重破坏,关机之后已经无法重启,导致电力系统无法恢复运行,致使出现大面积的断电事件。

          “贵宾犬攻击”是在互联网上广泛使用的SSLv3存在设计缺陷,被黑客利用窃取基于SSL3.0版加密通信的内容的这种攻击方式。SSLv3是传输层安全协议TLS,已投入使用超过15年,目前绝大多数浏览器都支持该版本。由于SSLv3存在漏洞,在黑客控制网络通讯的情况下,SSLv3加密通信的数据就变得透明。例如接入一个公共WiFi使用网银,包括账号密码等加密传输的网络通信数据都可能被黑客窃取。SSLv3“贵宾犬攻击”的一个重要手段是基于ARP欺骗的中间人攻击,触发条件是通信两端均使用SSLv3进行安全传输。

          “Regin”这种软件被用来对政府机构、商业组织和个人进行窥视活动。Regin 的攻击范围并不仅限于电信网络和其它高价值目标,有48%的已知感染设备都来自小企业和普通民众。Regin病毒软件有什么危害?赛门铁克表示这款恶意程序有五个阶段,每一个阶段“都非常隐蔽和加密,除了第一阶段”。“每一个单独阶段所能提供的有关完整程序包的信息都非常有限。只有拦截了全部五个阶段,才有可能分析和理解具体的威胁。”Regin在会受感染设备做很多事情,其中包括 ● 监控截图● 控制鼠标的点击和滑动功能● 捕获和传输密码● 恢复已经删除的文件 ● 监控网络流量受害目标:目前多发现来自Regin的攻击,近半都是针对互联网服务供应商。在监控互联网服务供应商时,Regin的目标不在该公司,而是其客户。28%的攻击指向于电信运营商,其他的攻击领域还包括能源、航空、研究部门、医院等。Regin 的攻击范围并不仅限于电信网络和其它高价值目标,有 48% 的已知感染设备都来自小企业和普通民众。种种迹象表明,Regin 多数会是某项网络间谍活动的一部分,但目前为止还无法排除其它的可能。


回复

使用道具 举报

6

主题

14

帖子

70

积分

版主

Rank: 7Rank: 7Rank: 7

积分
70
发表于 2023-1-23 19:19:15 | 显示全部楼层
20 种最常见的网络攻击
DoS 和 DDoS 攻击
拒绝服务 (DoS) 攻击旨在使系统的资源不堪重负,以致其无法响应合法的服务请求。分布式拒绝服务 (DDoS) 攻击类似于 DoS 攻击,因为它同样试图耗尽系统的资源。DDoS 攻击由感染了恶意软件并被攻击者控制的大量主机发起。这些攻击之所以称为“拒绝服务”攻击,是因为被攻击的网站无法向有需要的人提供服务。

DoS 攻击会使目标站点被非法请求淹没。由于网站必须响应每个请求,因此其资源会被所有响应占用。这使得网站无法像往常一样为用户提供服务,而且通常会导致网站完全关闭。

DoS 和 DDoS 攻击不同于其他类型的网络攻击,具体体现为:其他类型的网络攻击使黑客能够访问系统或提升他们当前拥有的访问权限,攻击者可以直接通过这些类型的攻击获益;而 DoS 和 DDoS 网络攻击的目标只是中断目标服务的有效性。如果攻击者被企业雇用于对付商业竞争对手,则攻击者有可能从中获得经济利益。

DoS 攻击还可用于为其他类型的攻击制造漏洞。成功的 DoS 或 DDoS 攻击通常会导致系统离线,这会使系统容易受到其他类型的攻击。防御 DoS 攻击的一种常见方法是,使用防火墙来检测发送到网站的请求是否合法。如果发现伪造请求,则将其丢弃,从而允许正常流量不间断地流动。亚马逊云科技 (AWS) 在 2020 年 2 月受到了此类严重的网络攻击。

MITM 攻击
中间人 (MITM) 网络攻击是指攻击者利用网络安全漏洞来窃取两个人、两个网络或两台计算机之间来回发送的数据。这些攻击之所以称为“中间人”攻击,是因为攻击者将自己置于想要沟通的两方的“中间”。实际上,攻击者监视双方之间的互动。

在 MITM 攻击中,双方当事人不会察觉到他们的沟通有何异常。他们不知道的是,在消息到达目的地之前,实际发送消息的人会非法修改或访问消息。可保护您自己和您的组织免受 MITM 攻击的一些方法包括:在接入端使用强加密,或者使用虚拟专用网络 (VPN)。

网络钓鱼攻击
网络钓鱼攻击是指恶意攻击者发送貌似来自可信合法来源的电子邮件,试图从目标获取敏感信息。网络钓鱼攻击结合了社交工程和技术,之所以叫这个名字,因为攻击者实际上通过使用貌似可信的发送者作为“诱饵”来“钓获”禁区访问权限。

为了执行这种攻击,不法分子可能会发送链接,将您带到某个网站,然后诱骗您下载恶意软件(例如病毒)或者向攻击者提供您的私人信息。在许多情况下,目标可能不会意识到自己受到了攻击,没有人怀疑存在恶意活动,这使得攻击者可以继续攻击同一组织中的其他人。

可防止网络钓鱼攻击得逞的预防措施包括:在打开电子邮件和点击链接之前,仔细检查其类型;注意电子邮件标题,不要点击任何看似可疑的内容;检查“Reply-to”和“Return-path”的参数,这些参数需要连接到电子邮件中显示的域。

鲸钓攻击
鲸钓攻击之所以叫这个名字,是因为它的攻击对象是组织中的“大人物”——通常包括高管或其他管理者。这些个人很可能拥有对攻击者有价值的信息,例如,关于企业或其运营情况的专有信息。

如果被攻击的“大人物”下载了勒索软件,他们更有可能支付赎金,以防止他们被成功攻击的消息泄露出去,避免他们本人或其组织的声誉受损。可避免网络钓鱼攻击的预防措施同样能够防御鲸钓攻击,例如,仔细检查电子邮件及其附带的附件和链接,警惕可疑的目的地或参数。

鱼叉式网络钓鱼攻击
鱼叉式网络钓鱼是指特定类型的有针对性的网络钓鱼攻击。攻击者会花时间研究其预期目标,然后编写可能会使目标觉得与其个人相关的消息。这种攻击被贴切地称为“鱼叉式”网络钓鱼,因为攻击者以某种方式攻击某个特定目标。消息看起来是合法的,因此很难发现鱼叉式网络钓鱼攻击。

通常,鱼叉式网络钓鱼攻击使用电子邮件欺骗,电子邮件的“发件人”部分的信息是假的,使电子邮件看似来自不同的发件人。这个假的发件人可能是目标信任的人,例如,社交网络上认识的人、好友或业务合作伙伴。攻击者还可能使用网站克隆使通信看起来合法。通过网站克隆,攻击者复制合法的网站,让受害者放下戒备。于是,受害者认为网站是真实的,然后放心地输入自己的私人信息。

类似于常规的网络钓鱼攻击,可通过以下做法防御鱼叉式网络钓鱼攻击:仔细检查电子邮件所有字段的详细信息,并确保用户不会点击任何无法验证其目标合法的链接。

勒索软件
勒索软件会将受害者的系统锁起来,受害者必须向攻击者支付赎金才能解锁系统。攻击者在收到付款后,会提供关于受害者如何重新控制其计算机的说明。“勒索软件”这个名称很贴切,因为这种恶意软件要求受害者支付赎金。

在勒索软件攻击中,目标从网站或电子邮件附件下载勒索软件。这种恶意软件会利用系统制造商或 IT 团队未解决的漏洞,然后对目标的工作站进行加密。有时,勒索软件可用于拒绝访问多台计算机或对业务运营至关重要的中央服务器,从而攻击多方。

通常通过在恶意软件初次渗透后数天甚至数周内才启动系统封锁来影响多台计算机。恶意软件可以发送 AUTORUN 文件,这些文件会通过内部网络或通过连接多台计算机的通用串行总线 (USB) 驱动器从一个系统传输到另一个系统。当攻击者启动加密时,所有受感染的系统会同时被加密。

在某些情况下,勒索软件编写者会设计代码来避开传统的反病毒软件。因此,用户在访问网站和点击链接时务必保持警惕。您还可以通过使用下一代防火墙 (NGFW) 来防御许多勒索软件攻击,这种防火墙可以利用人工智能 (AI) 执行深度数据包检测,从而确定勒索软件的特性。

密码攻击
密码是大多数人的首选访问验证工具,因此,盗取目标的密码对于黑客来说是一种有吸引力的手段。可以通过几种不同的方法盗取密码。人们通常会将密码写在纸上或便笺上,并将其放在自己周围或桌面上。攻击者可以自行盗取目标的密码,也可以通过收买目标的同事来获取密码。

攻击者还可以拦截网络传输,以抓取网络未加密的密码。他们还可以使用社交工程说服目标输入密码来解决看似“重要”的问题。在其他情况下,攻击者可以直接猜测用户的密码,尤其是如果用户使用默认密码或容易记住的密码,例如“1234567”。

攻击者还经常使用暴力方法猜测密码。暴力密码攻击利用关于个人或其职位的基本信息来猜测他们的密码。例如,攻击者可以任意组合使用目标的姓名、出生日期、周年纪念日或其他具有辨识度的个人信息来破解密码。用户在社交媒体上发布的信息也可被用于暴力密码攻击。有时,个人会将自己的兴趣爱好、宠物的名字或孩子的名字用于设置密码,这使得密码很容易被暴力攻击者猜到。

黑客还可以使用字典攻击来确定用户的密码。字典攻击使用常用字词和短语(例如,字典中列出的字词和短语)来猜测目标的密码。

防御暴力密码攻击和字典密码攻击的一种有效方法是,设置锁定策略。这样,当尝试失败次数达到设定上限后,设备、网站或应用程序就会被锁定,不可访问。有了锁定策略,攻击者在尝试失败几次后就会被禁止访问。如果您设置了锁定策略,并且发现您的帐户因登录尝试次数过多而被锁定,那么您最好更改密码。

如果攻击者有系统地使用暴力攻击或字典式攻击来猜测您的密码,他们可能会记下不正确的密码。例如,如果您的密码是您的姓氏加上您的出生年份,黑客可以先输入您的出生年份再输入您的姓氏,这样虽然猜不到密码,但再试一次就可能猜到您的密码。

SQL 注入式攻击
结构化查询语言 (SQL) 注入是一种常见的攻击,这种攻击利用依赖数据库为用户服务的网站。客户端是从服务器获取信息的计算机,SQL 攻击利用从客户端发送到服务器上数据库的 SQL 查询。命令被插入或“注入”到数据层,取代通常会传输到数据层的其他内容(例如密码或登录名)。然后,数据库所在的服务器运行命令,导致系统被渗透。

如果 SQL 注入成功,可能造成的后果包括:敏感数据泄露;重要数据被修改或删除。此外,攻击者可以执行管理员操作(例如关机命令)来中断数据库的功能。

要保护自己免受 SQL 注入式攻击,请使用最低权限模型。在最低权限架构下,只允许那些绝对需要访问关键数据库的人员进入。即使用户在组织内部具有权力或影响力,但如果他们的工作不依赖于网络的特定区域,他们也可能无权访问这些区域。

例如,即使首席执行官有权知道网络中有什么内容,也可能被拒绝访问网络的某些区域。应用最低权限策略不仅可以防止恶意分子访问敏感区域,还可以防止并无恶意的人无意中将登录凭据泄露给攻击者,或者在离开计算机后让其工作站继续运行。

URL 解释
通过 URL 解释,攻击者可以更改和伪造某些 URL 地址,并利用它们来访问目标的个人数据和专业数据。这种攻击也称为 URL 中毒。这种攻击之所以称为“URL 解释”,是因为攻击者知道网页 URL 信息的输入顺序,然后“解释”此语法,利用它来弄清楚如何进入他们无权访问的区域。

要执行 URL 解释攻击,黑客可能会猜测 URL,并将其用于获取网站管理员权限或访问网站的后端,从而进入用户的帐户。黑客进入所需的页面后,就可以操控网站本身或者访问网站用户的敏感信息。

例如,如果黑客试图进入一个名为 GetYourKnowledgeOn.com 的网站的管理部分,他们可以输入 http://getyourknowledgeon.com/admin,,这样即可进入管理登录页面。在某些情况下,管理员用户名和密码可能是默认设置“admin”和“admin”,或者是非常容易猜到用户名和密码。攻击者还可能已经弄清楚了管理员的密码,或者将范围缩小为几个可能性。然后,攻击者会逐一尝试每个可能性,获得访问权限后就可以随意操控、窃取或删除数据。

为了防止 URL 解释攻击得逞,请对网站的任何敏感区域使用安全身份验证方法。这可能需要使用多重身份验证 (MFA) 或由看似随机的字符组成的安全密码。

DNS 欺骗
通过域名系统 (DNS) 欺骗,黑客可以更改 DNS 记录,将流量发送到虚假或“假冒”网站。进入诈骗网站后,受害者可能会输入敏感信息,这样黑客就有机会利用或出售这些信息。黑客还可能会构建包含贬损性或煽动性内容的劣质网站,以诋毁竞争对手公司。

在 DNS 欺骗攻击中,攻击者会设法让用户认为他们访问的网站是合法的。这样,攻击者就能以清白无辜的公司的名义实施犯罪——至少网络访客是这样认为的。

为了防御 DNS 欺骗,请确保 DNS 服务器保持最新状态。攻击者企图利用 DNS 服务器中的漏洞,而最新的软件版本通常包含能够修复已知漏洞的修补程序。

会话劫持
会话劫持是多种 MITM 攻击之一。在这种攻击中,攻击者接管客户端和服务器之间的会话。用于攻击的计算机用自己的互联网协议 (IP) 地址取代客户端计算机的 IP 地址,服务器则继续会话,毫不怀疑正在与其通信的是攻击者而不是客户端。这种攻击很容易得逞,因为服务器使用客户端的 IP 地址来验证客户端的身份。如果攻击者的 IP 地址在会话过程中被插入,则服务器可能不会怀疑存在漏洞,因为它已经建立了可信的连接。

为了防御会话劫持,请使用 VPN 访问关键业务服务器。这样,所有通信都会加密,攻击者无法访问 VPN 创建的安全隧道。

暴力攻击
这种攻击之所以称为暴力攻击,是因为攻击采用简单“粗暴”的方法。攻击者直接猜测具有目标系统访问权限的人员的登录凭据。一旦猜对,就能入侵目标系统。

这种方法听起来似乎耗时费力,但攻击者通常使用机器人程序来破解凭据。攻击者向机器人程序提供他们认为可能授予安全区域访问权限的一系列凭据。机器人程序会逐一尝试这些凭据,攻击者则静待结果。一旦输入正确的凭据,犯罪分子便可获得访问权限。

为了防御暴力攻击,请在授权安全架构中使用锁定策略。用户输入凭据失败达到一定的次数后将被锁定。这通常涉及“冻结”帐户,因此,即使其他人尝试使用具有不同 IP 地址的不同设备登录,同样也会被锁定。

另一种明智做法是,使用不包含常用字词、日期或数字序列的随机密码。这样可有效防御攻击,举例来说,对于一个包含 10 个数字的密码,即使攻击者使用软件来猜测,也需要不断地尝试许多年才能猜到。

Web 攻击
Web 攻击是指针对基于 Web 的应用程序中的漏洞的威胁。您每次在 Web 应用程序中输入信息时,都会启动一个命令,而命令会生成响应。例如,如果您使用网上银行应用程序向某人汇款,则您输入的数据会指示该应用程序进入您的账户,取出钱并将钱汇到收款人的账户。攻击者根据这种请求的框架进行谋划,利用它们谋取利益。

一些常见的 Web 攻击包括 SQL 注入和跨站脚本 (XSS)(本文稍后将会探讨 XSS 攻击)。黑客还使用跨站请求伪造 (CSRF) 攻击和参数篡改这两者手段。在 CSRF 攻击中,受害者上当受骗并做出有利于攻击者的行为。例如,他们可能会执行点击操作,并因此启动了旨在更改 Web 应用程序登录凭据的脚本。获得新登录凭据的黑客就可以像合法用户一样登录。

参数篡改涉及调整程序员作为安全措施实施的参数,这些参数旨在保护特定操作。操作的执行取决于参数中输入的内容。攻击者只需更改参数,即可绕过依赖于这些参数的安全措施。

为了避免 Web 攻击,请检查 Web 应用程序是否有漏洞,并修复发现的漏洞。可在不影响 Web 应用程序性能的前提下修补漏洞的方法之一是,使用反 CSRF 令牌。令牌在用户的浏览器和 Web 应用程序之间交换。在执行命令之前,系统会检查令牌的有效性。如果令牌有效,系统会执行命令,否则会阻止命令。您还可以使用 SameSite 标志,这种标志只允许处理来自同一个网站的请求,使攻击者构建的任何网站无能为力。

内部威胁
有时,最危险的人就在组织内部。公司内部人员会构成特殊的安全风险,因为他们通常可以访问各种系统,在某些情况下还具有管理权限,能够对系统或系统的安全策略进行重要更改。

此外,公司内部人员通常对公司的网络安全架构以及公司如何应对威胁有深入的了解。对这些情况的了解有助于他们获取受限区域访问权限,更改安全设置,或者推断进行攻击的最佳时机。

防御组织内部威胁的最佳方法之一是,限制员工的敏感系统访问权限,仅允许在工作上有需要的员工访问敏感系统。此外,对需要访问敏感系统的人使用多重身份验证,即,要求他们至少提供自己知道的一件事以及拥有的一件东西,才能访问敏感系统。例如,用户可能必须输入密码并插入 USB 设备。在其他配置中,访问号码在用户需要登录的手持设备上生成。只有密码和号码都正确时,用户才能访问安全区域。

虽然单凭多重身份验证可能无法防御所有攻击,但这种方法有助于确定攻击者或潜在攻击者,尤其是因为只有少数人被授予敏感区域访问权限。因此,这种受限访问策略可能起到威慑作用。贵组织内部的网络罪犯将会知道,作恶者很容易被人识破,因为潜在嫌疑人相对较少。

特洛伊木马
特洛伊木马攻击使用隐藏在看似合法的程序中的恶意程序。当用户执行假定无害的程序时,特洛伊木马内部的恶意软件可用于打开通向系统的后门,黑客可以通过后门渗透计算机或网络。这种威胁的名称来源于希腊和特洛伊之间的一场战争,在那场战争中,希腊将一只藏有希腊士兵的木马作为礼物送给特洛伊,这份“礼物”被接受并进入特洛伊城后,藏身于木马中的希腊士兵跳出来攻打特洛伊,最终赢得了战争的胜利。同样,毫无戒心的用户可能会将看似无害的应用程序引入到系统,因而面临隐藏的威胁。

为了防御特洛伊木马攻击,用户应避免下载或安装任何内容,除非可以验证其来源。此外,下一代防火墙也可用于检查数据包是否存在特洛伊木马威胁。

路过式攻击
在路过式攻击中,黑客将恶意代码嵌入到不安全的网站。当用户访问嵌入了恶意代码的网站时,脚本会在用户的计算机上自动执行,感染计算机。这种攻击之所以称为“路过式攻击”,是因为受害者只要“路过”恶意网站就会被感染,即使他们没有点击网站上的任何内容或输入任何信息。

为了防御路过式攻击,用户应确保在计算机上运行最新的软件,包括在上网时可能需要使用的应用程序,例如 Adobe Acrobat 和 Flash。此外,您可以使用网页过滤软件,这种软件能够在用户访问网站之前检测网站是否安全。

XSS 攻击
在 XSS(跨站脚本)攻击中,攻击者会利用将被发送到目标浏览器的可点击内容传输恶意脚本。当受害者点击这些内容时,脚本将被执行。由于用户已经登录到 Web 应用程序的会话,因此 Web 应用程序会认为用户输入的内容是合法的。但是,执行的脚本已被攻击者修改,从而导致“用户”执行无意识的操作。

例如,XSS 攻击可以更改通过网上银行应用程序发送的转账请求的参数。在伪造的请求中,预期收款人的姓名被替换为攻击者的姓名。攻击者还可以更改转账金额,从而获得更多金钱。

防御 XSS 攻击的最直接方式之一是,使用实体白名单。这样,Web 应用程序只会接受获批准的条目。您还可以使用一种称为“清理”的技术,这种技术可检查输入的数据是否包含任何可能有害的内容。

窃听攻击
窃听攻击是指攻击者拦截通过网络发送的流量,企图收集用户名、密码和其他机密信息(例如信用卡信息)。窃听可以是主动的,也可以是被动的。

主动窃听是指黑客在网络流量路径中插入软件,以收集信息进行分析,从中获得有用的数据。被动窃听攻击的不同之处在于,黑客“监听”或窃听传输过程,希望找到可窃取的有用数据。

主动窃听和被动窃听都属于 MITM 攻击。防御窃听攻击的最佳方法之一是,对数据进行加密,以防止数据被黑客利用,无论黑客使用主动窃听还是被动窃听攻击。

生日攻击
在生日攻击中,攻击者滥用哈希算法这种安全功能来验证消息的真实性。哈希算法是数字签名,消息接收者会通过查看哈希来确定消息的真实性。如果黑客可以创建与发件人附加到其消息的哈希相同的哈希,则黑客可以轻而易举地用自己的消息替换发件人的消息。接收设备将在收到正确的哈希之前接受黑客的消息。

“生日攻击”这个名称来源于生日悖论;生日悖论是指在 23 人中至少有两人生日相同的概率大于 50%。因此,虽然人们认为自己的生日是独特的,但其实每个人的生日并没有他们本人想象中那么独特;哈希也是如此。

为了防御生日攻击,请使用更长的哈希进行验证。在哈希中每增加一个数字,创建出匹配哈希的几率就会大大降低。

恶意软件攻击
恶意软件泛指用于实现恶意目的的软件。恶意软件会感染计算机并改变计算机的工作方式,会破坏数据,或者会监视用户或网络流量。恶意软件可以从一台设备传播到另一台设备,也可以留在原地,在后一种情况下,只会影响主机设备。

在上述攻击方法中,有几种攻击可能涉及恶意软件,包括 MITM 攻击、网络钓鱼、勒索软件、SQL 注入、特洛伊木马、路过式攻击和 XSS 攻击。

在恶意软件攻击中,恶意软件必须安装在目标设备上。这需要用户执行操作。因此,除了使用能够检测恶意软件的防火墙外,用户还应了解要避免使用哪些类型的软件,在点击哪些类型的链接之前应进行验证,以及不应打开哪些电子邮件和附件。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|手机版|Acoinfo Inc. All Rights Reserved. ( 京ICP备15059934号

GMT+8, 2024-3-29 18:25 , Processed in 0.022313 second(s), 21 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表