开补

学习目录:

  1. 络安全核心属性
  2. 典型事件(蠕虫,木马等病毒)
  3. 事件及作用
  4. 什么是漏洞?
  5. 术语解释

一络安全核心属性

  • 保密性 :确保信息不泄露,仅自己和授权者
  • 完整性:确保信息只能以特定和授权的方式进行改变;分数据和系统完整
  • 可用性:在合法范围能正常使用
  • 可控性:限制对网络资源(软件和硬件)和数据(存储和通信的数据)的访问,其目标是防止未授权使用资源、未授权公开或者修改数据。通过访问控制实现
  • 不可否认性:通信实体不能对自己做过的事情抵赖,包括两层含义,一方面发送者不能否认自己发送数据的行为;另一方面,接收者不能否认自己接收过数据
  • 真实性,可靠性

二.典型事件

  1. Morris worm(蠕虫):病毒,它利用网络(网络、电子邮件等)进行复制和传播,它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接)。(典型蠕虫病毒:震网病毒、勒索病毒)
  2. 普通病毒与蠕虫病毒的区别:复制上:普通的需要传播受感染的驻留文件;蠕虫不用,他在系统之间就可进行。传染目标上:普通病毒的传染能力主要针对计算机内的文件系统,而蠕虫病毒的传染目标是互联网内的所有计算机。
  3. **木马(Trojan Horse)**:指那些表面上是有用的软件,危害计算机安全,破坏其程序。
  4. 隐蔽性:防止木马发现,采用多种手段隐藏木马,这样服务端即使发现感染了木马,也难确定其具体位置。
  5. 非授权性:是指一旦控制端与服务端连接后,控制端将窃取到服务端的很多操作权限,如修改文件、修改注册表、控制鼠标、键盘、窃取信息等
  6. 木马与病毒的区别:木马不具传染性,它并不能像病毒那样复制自身,也并不“刻意”地去感染其他文件,它主要通过将自身伪装起来,吸引用户下载执行。木马一般主要以窃取用户相关信息或隐蔽性控制为主要目的,相对病毒而言,可以简单地说,病毒破坏你的信息,而木马窥视你

三.事件及作用

  • Morris worm(蠕虫)
  • Mirai botnet(DDos)[僵尸网络]通过感染那些存在漏洞或内置有默认密码的IoT设备,像“寄生虫”一样存在设备中,操控它们,针对目标网络系统发起定向攻击;被感染将成为“肉鸡”
  • WannaCry Ransomware(勒索病毒):加密用户文件,对用户索要赎金。
  • Stuxnet(震网蠕虫病毒):是针对微软系统以及西门子工业系统的最新病毒,可以通过网络传播,代码非常精密。
  • FireEye Redteam tools(泄露事件):某个由国家赞助的APT组织盗取了FireEye(金山火眼在线病毒识别服务)的红队工具
  • Solarwinds(供应链攻击事件): 2020年12月,SolarWinds旗下的Orion网络监控软件更新服务器遭黑客入侵,攻击者利用Orion Platform中的漏洞植入了名为SUNBURST的恶意代码,实际受影响的客户数量接近100家,这是一次典型的基于供应链漏洞的网络攻击。SolarWinds是一家国际IT管理软件供应商,其Orion软件更新服务器上存在一个被感染的更新程序,导致美国多家企业及政府单位网络受到感染,但对国内影响较小

四.漏洞

  • 软件缺陷(Bug):软件是开发出来的,由于开发者水平不一样,软件可能出现一些问题,造成软件奔溃不能运行。
  • 软件漏洞:软件存在的一些问题被利用,对用户恶意攻击(如:安装木马,窃取用户秘密信息)
  • 电脑肉鸡:是受别人控制的远程电脑,肉鸡可以是各种系统,如windows,linux,unix等;更可以是一家公司、企业、学校甚至是政府军队的服务器。如果服务器软件存在安全漏洞,攻击者可以发起“主动”进攻,植入木马,将该服务器变为一个任人宰割的“肉鸡”
  • 漏洞分类:一个漏洞从被攻击者发现并利用,到被厂商截获并发布补丁,再到补丁被大多数用户安装导致漏洞失去了利用价值,一般都要经历一个完整的生命周期。

按照漏洞生命周期分类为三种:

a. 0-day漏洞:指还处于未公开状态的漏洞,只有攻击者或黑客团体知道

b. 1-day漏洞:原义是指补丁发布在1天内的漏洞

c. n-day漏洞/已公开漏洞:已公开漏洞是指厂商已经发布补丁或修补方法

  • 漏洞库:统一的命名和管理规范,针对软件漏洞的研究,提升漏洞的检测水平,并为软件使用者和厂商提供有关软件漏洞的确切信息,多个机构和相关国家建立了漏洞数据库,这些数据库分为公开的和某些组织机构私有的不公开数据库。

  • 漏洞数据库:可以找到操作系统和应用程序的特定版本所包含的漏洞信息,甚至针对某些漏洞的专家建议、修复办法和专门的补丁程序。

    公共的数据库:

    1. 美国国家漏洞数据库NVD: 同时收录三个漏洞数据库的信息,CVE漏洞公告、US-CERT漏洞公告、USCERT安全警告,他自己也发布了,是目前世界上数据量最大,条目最多的漏洞数据库之一。
    2. (美国)通用漏洞列表 CVE: 相当于软件漏洞的一个行业标准。它实现了安全漏洞命名机制的规范化和标准化,为每个漏洞确定了唯一的名称和标准化的描述,为不同漏洞库之间的信息录入及数据交换提供了统一的标识,使不同的漏洞库和安全工具更容易共享数据,成为评价相应入侵检测和漏洞扫描等工具和数据库的基准。
    3. 中国国家信息安全漏洞库CNNVD: 隶属于中国信息安全测评中心,履行漏洞分析风险评估的职能;负责建设运维的国家级信息安全漏洞库,为我国信息安全保障提供基础服务。
    4. 国家信息安全漏洞共享平台CNVD: 是由CNCERT/CC(国家计算机网络应急技术处理协调中心)联合国内重要信息系统单位、基础电信运营商、网络安全厂商建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。
    5. BugTraq: 是一个完整的对计算机安全漏洞公告具体论述进行适度披露的邮件列表。 创立于1993年的Bugtraq,是在互联网兴起之前,就成立专门供讨论和分享软件漏洞信息的第一批安全或黑客邮件群组

五.术语解释

  • YARA:一款VirusTotal开发的用于恶意软件识别和分类的规则匹配工具**。
  • Snort: 一款历史悠久的开源网络入侵检测系统
  • IOC: 失陷指标(Indicator Of Compromise),即攻击者控制被害主机所使用的远程命令及控制服务器的相关情报。IOC往往是域名、IP、URL等,这种IOC可部署于安全设备(如:IPS(入侵防御)、SIEM(安全、信息和事件管理)等)进行检测发现甚至实时阻截。
  • URL: 统一资源定位符 (Uniform Resource Locator) ; 它是用于标识和定位互联网上资源的地址,可以指向各种类型的资源,如网页、图片、视频、文件等]。URL是对互联网上资源的位置和访问方法的一种简洁表示,具有全球唯一性
  • ClamAV: Linux平台上的开源病毒扫描程序,主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒库。