《网络攻防与协议分析》课件-3.病毒文件

关于病毒文件的

入侵检测配置1关于恶意代码文件恶意代码分类-传播方式按照传播方式对恶意代码进行分类病毒：通过遍历感染文件传播。蠕虫：通过遍历网络发送攻击数据包传播。木马：通过欺骗和钓鱼诱骗受害者访问。恶意程序-病毒病毒定义：狭义的病毒指通过对系统和共享目录中文件进行感染，以实现自身复制并执行功能的恶意代码。主要传播方式：感染文件传播典型家族：CIH、熊猫烧香、震荡波正常文件恶意代码恶意程序-熊猫烧香病毒传播方式：本地硬盘、网络共享威胁：感染EXE、COM、PIF、SRC、HTML、ASP等多种文件类型其他功能：终止大量杀软进程删除备份gho文件家族特点：被感染文件图标替换为“熊猫烧香”恶意程序-蠕虫定义：蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。传播方式：通过网络发送攻击数据包典型家族：爱虫、冲击波、永恒之蓝蠕虫主要传播途径聊天工具、邮件、漏洞聊天工具邮件漏洞蠕虫恶意程序-爱虫蠕虫传播方式：利用outlook邮件传播威胁：感染VBS、HTA、JPG、MP3等多种文件类型其他功能：向通讯录中所有地址发送病毒邮件副本家族特点：邮件标题为：ILOVEYOU多在情人节爆发恶意程序-永恒之蓝蠕虫传播方式：利用永恒之蓝漏洞传播威胁:远程任意代码执行其他功能：传播wannacry勒索软件家族特点：利用smb服务漏洞传播攻击面积大病毒木马-木马木马是指在计算机系统中植入的人为设计的恶意程序。木马大多由服务端和客户端构成，其目的包括无感知地对目标计算机远程接管、控制资源，如复制文件、修改文件、删除文件、查看文件内容、上传/下载文件等，或控制键盘鼠标，随意修改计算机的注册表和系统文件，也可监视目标计算机任务并可随时被终止任务，窃取计算机信息资料，或远程关闭/重启计算机，恶意导致计算机系统瘫痪。木马攻击关键技术木马植入技术自动加载技术隐藏技术连接技术监控技术相传在古希腊时期，特洛伊王子帕里斯劫走了斯巴达美丽的王后海伦和大量的财物。斯巴达国王组织了强大的希腊联军远征特洛伊，但久攻不下。有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，同时命令大部队佯装撤退而将木马弃于特洛伊城下。城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士出来开启城门及四处纵火，城外伏兵涌入，部队里应外合，彻底攻破了特洛伊城。后世称这只大木马为“特洛伊木马”。木马举例-捆绑类木马传播方式：通过被攻击者主动下载其他功能：后台静默执行恶意木马家族特点：包含正常软件木马举例-利用网页木马传播方式：主动修改页面内容感染网页文件其他功能：一般作为攻击的中间环节下载/释放其他恶意文件家族特点：一般在网页文件头部或尾部恶意程序分类-功能分类按照功能对恶意代码进行分类后门：具有感染设备全部操作权限的恶意代码。勒索：通过加密文件，敲诈用户缴纳赎金。挖矿：消耗系统资源，挖取比特币。广告：消耗系统资源，骗取流量。恶意程序-后门病毒定义：后门指绕过系统安全性控制而具有操作权限的恶意代码。典型功能：文件管理、屏幕监控、键盘监控、视频监控、命令执行等。典型家族：灰鸽子、pcshare恶意程序-灰鸽子后门典型功能：视频/键盘/屏幕监控文件/命令操作家族特点：开发初衷为机房管理国产后门反向连接恶意程序-勒索病毒定义：通过加密用户文件使用户数据无法正常使用，并以此为条件向用户勒索赎金的恶意代码。加密特点：主要采用非对称加密方式对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密其他特点：通过比特币或其它虚拟货币交易利用钓鱼邮件和爆破rdp口令进行传播典型家族：Wannacry、GandCrab、GlobeImposter恶意程序-wannacry勒索软件典型功能：利用永恒之蓝漏洞主动传播几乎加密所有文件类型家族特点：2017年5月12日爆发传播存在开关域名勒索弹窗有“wanna”字样恶意程序-挖矿病毒定义：攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的恶意代码。特点：不会对感染设备的数据和系统造成破坏。由于大量消耗设备资源，可能会对设备硬件造成损害。恶意程序-广告软件定义：广告是一种附带广告功能，以流量作为盈利来源的恶意代码，其往往会强制安装并无法卸卸载。特点：在后台收集用户信息频繁弹出广告消耗系统资源等典型家族：PUA广告软件广告软件举例-PUA广告软件

典型功能：具有正常软件下载安装功能包含大量附加下载复选框家族特点：常见安装包图标附加下载复选框全部默认勾选极易被忽略被安装大量无用软件2病毒文件传输

入侵检测实验病毒文件检测配置实验关于本实验通过配置入侵检测策略，实现病毒文件传输的检测。实验目的理解入侵检测系统使用签名识别病毒文件的原理，练习入侵检测策略的配置。实验背景Kali主机和靶机之间，通过防火墙设备进行网络连接，防火墙将连接靶机的流量，通过端口镜像引流到入侵检测设备。IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主机CentOS靶机入侵检测防火墙/24/24异常包攻击检测配置实验-基础配置拓扑搭建基础配置1、防火墙接口IP地址配置#启动“pikachu”

靶场，sudo密码centos[centos@localhost~]#sudodockerstartpikachuIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主机CentOS靶机入侵检测防火墙/24/24异常包攻击检测配置实验-基础配置拓扑搭建基础配置2、防火墙配置DHCPIDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主机CentOS靶机入侵检测防火墙/24/24异常包攻击检测配置实验-基础配置拓扑搭建基础配置3、防火墙ge3接口配置镜像接口引流IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主机CentOS靶机入侵检测防火墙/24/24异常包攻击检测配置实验-基础配置拓扑搭建基础配置4、防火墙配置一条全通策略，放通流量IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主机CentOS靶机入侵检测防火墙/24/24异常包攻击检测配置实验-基础配置拓扑搭建基础配置5、配置入侵检测ge2接口为“旁路模式”，安全域为“untrust”。IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主机CentOS靶机入侵检测防火墙/24/24网络扫描检测配置实验-病毒文件检测漏洞攻击入侵检测配置1、配置自定义病毒签名IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主机CentOS靶机入侵检测防火墙/24/24网络扫描检测配置实验-病毒文件检测漏洞攻击入侵检测配置2、配置防病毒安全配置文件，并在安全策略中引用IDSge2LANAge3LANBge4LANCge2LANCens33LANBeth0LAN

AKali主机CentOS靶机入侵检测防火墙/24/24漏洞检测配置实验-实验验证实验验证1、将“re