蠕虫病毒与缓冲区溢出

释放双眼,带上耳机,听听看~!

    作为一名安全从业者,恐怕对蠕虫病毒略有所知,2006年的熊猫烧香令无数网吧停业、个人计算机数据丢失、2017年的wannacry令全球计算机用户见证了蠕虫病毒所带来的噩梦,何为蠕虫病毒,听我慢慢讲解。

0
1
1971年

    Bob Thomas编写了名为Creeper(爬行者)的计算机实验程序,初代版本是在ARPANET[1]运行TENEX操作系统的DEC PDP-10 大型计算机之间移动,后由Ray Tomlinson[1]编写名Reaper的计算机之间复制的程序。这种自我复制版本的Creeper被认为是第一个计算机蠕虫程序。

0

2
1972年

    在《计算机安全技术规划研究》中提出了关于缓冲区溢出的概念:执行此能的代码没有正确检查源地址和目标地址,允许监视器的某些功能被用户覆盖,这可以用来像监视器注入代码,允许用户获取对机器的控制权。在现在,监视器被称为内核。

0
3
1975年3月

    John Brunner[2]在小说《震荡波骑士》预言了如今的大规模网络、黑客、飞客(控制电话系统的黑客)、基因工程,随着此书的畅销对刚起步的美国计算机业产生了巨大的影响,书中第一次以Computer worm代指通过计算机网络传播自己的程序,后来被计算机研究人员代指此类程序。

0
4
1982年

    受《震荡波骑士》影响,Xerox PARC 的John F. Shoch和Jon A. Hupp设计出了几种蠕虫程序:

宣传蠕虫:通过在计算机间复制,每到一台计算机便发布公告。

诊断蠕虫:通过在计算机间复制,检测计算机故障。

吸血蠕虫:通过在计算机间复制,检查计算机是否具备闲置资源,如存在便计算大量运算问题,服务器无闲置资源时便将问题保存,等待再次运算。(对比现在的流行的挖矿病毒,有异曲同工之妙)

这些程序的两大特征代表了此后的蠕虫病毒主要特征:

1.可以自我复制。

2.可以从一台计算机移动到另一台计算机。

0
5
1988年11月2日

 莫里斯(Morris) 利用了UNIX fingered程序不限制输入长度,存在缓冲区溢出漏洞及Unix sendmail、rsh/rexec中的已知/未知漏洞以及弱密码,编写了Morris蠕虫,造成6200余台计算机陷入瘫痪(占1988年接入互联网计算机总数的10%),直接造成经济损失9600万美元。同年,该事件促使美国国防高级研究计划局资助卡内基梅隆大学组建了历史上第一个CERT(计算机安全应急响应组),用来应对该类事件的再次发生,也促使了美国总统里根因此签署了《计算机安全法令》。

  仅99行代码就造成了巨额的经济损失

0
6
1996年

 黑客One在《Smashing the stack for fun and Profit》中,描述了关于Linux的栈结构、如何利用缓冲区溢出漏洞获取远程shell。

0
7
1998年

   死牛崇拜黑客小组(Cult of the Dead Cow)以Microsoft Netmeeting服务中的缓冲区溢出漏洞为例,详细介绍如何利用Windows平台的栈溢出漏洞。

0
8
1999年:

 Barnaby Jack(在当年仅22岁,ID:dark spyrit)在知名黑客杂志《phrack》发表了《Win32 Buffer Overflows(Location,Exploitationand Prevention)》、《Remote Windows Kernel Exploitation Stepinto the Ring 0》,提出利用系统核心DLL中的JMP ESP等指令完成指令跳转和控制的想法,推动了栈溢出的利用。同年Conover对基于堆的缓冲区溢出攻击技术进行了深入总结和整理。

图为Barnaby Jack

0
9
2010年

    Barnaby Jack又在blackhat大会上让atm机吐钞,不过2013年7月25日就死于了旧金山Nob Hill的公寓中,后旧金山法医办公室公布死因为服用过量的海洛因、可卡因等毒品。

    Barnaby Jack死前,正在准备blackhat上的发言,展示医用心脏起搏器的漏洞,可以让黑客在距离受害者30英尺(9.14米)的地方杀死对方。这位新西兰黑客的演讲题目为《入侵人体》。以下是这次演讲的概述:在2006年,在美国,大约有350,000个心脏起搏器和123,000 IDC(植入式心脏除颤器)被植入患者体内。2006年是个特别重要的年份,因为在这年,FDA批准了全基于无线连接控制的医疗设备的临床应用。如今已有300万具心脏起搏器和170万个心脏除颤器处于使用状态。

    这次演讲,将关注于无线植入医疗设备的安全性。我将讨论这些设备的操作和通讯原理,以及通讯协议上的安全漏洞。我们的研究,将揭示如何通过一个普通的数据收发机,来搜索和入侵附近的医疗装置。我也将讨论如何改进这些设计,以增强它们的安全性。

10
2000年

    21世纪随着技术上的分享,缓存区溢出漏洞已经深入人心,成为了最为流行的攻击技术,也直接推动了21世纪的Windows平台蠕虫病毒大规模爆发。

11
2003年8月:

“冲击波”蠕虫病毒利用DCOM远程过程调用(RPC)缓存溢出,令全球超过100万台计算机遭到感染,保守计算造成经济损失达到5亿美元!在检查”冲击波”蠕虫病毒的变种代码后,发现源代码内嵌了Parson的名字,警方于在半月后逮捕了年仅18岁的Jeffrey Lee Parson。 

造成至少五亿美元损失的是第20、21行代码

12
2004年:

Cabir蠕虫是被认为是首个可以感染手机的蠕虫病毒,目的是感染运行Symbian系统的手机,Cabir将包含蠕虫的caribe.sis发送到支持“对象推送配置文件”的所有支持蓝牙的设备,当其他用户点击caribe.sis并选择安装后,蠕虫激活并开始通过蓝牙寻找新的设备感染。虽然Cabir仅通过向其他蓝牙设备复制自身不执行恶意活动,但持续扫描其他蓝牙设备,将导致手机电池寿命加速缩短。

13
2004年5月:

震荡波蠕虫(Sasser)利用LSASSDCE/RPC末端导出的Microsoft活动目录服务的缓冲区溢出漏洞(漏洞编号:MS04-011),导致全球超过100万台计算机陷入瘫痪,造成公司瘫痪,火车停跑,飞机停飞。。。年仅18岁的病毒制造者Sven Jaschan数月后被捕。。。

14
2005年8月:

狙击波蠕虫(漏洞编号:MS05-039)利用Windows即插即用缓冲区溢出,使美国国会、美国有线电视台(CNN)、美国广播公司(ABC)、纽约时报等重要企业和政府机构遭受此次蠕虫狂潮的部分网络陷入瘫痪。

15

2006年12月

熊猫烧香在短短两个月时间肆虐全网,给上千万个人用户、网吧、企事业单位带来无法估量的损失,用户中毒后,游戏账户将被盗,exe文件将无法执行,并且文件图标变为举着三根香的熊猫图案,病毒利用IPC$弱口令、感染脚本文件后插入网马、感染U盘、P2P共享、QQ、邮件等方法进行传播,该病毒具备盗取游戏账号、持续控制计算机的危害。病毒制作者李俊创建了病毒更新服务器,在更新最勤时一天要对病毒更新升级8次,与俄罗斯反病毒软件卡巴斯基反病毒库每3小时更新一次的更新速度持平,凭借更新的速度杀毒软件很难识别此计算机病毒的多种变种。

混合型蠕虫病毒已经开始展露头角,熊猫烧香不仅具备传统蠕虫的可传播性,还具备了持续控制、窃密的功能。

用户中毒后

16
2009年:

Ikee是首个被发现在越狱iPhone间传播的蠕虫病毒,该病毒通过默认的SSH密码进行攻击并窃取Apple ID和密码,中毒后它会在移动网络上发现其他易受攻击的iPhone进行传播。该病毒会将用户的手机壁纸换成上世纪80年底歌星Rick Astley的图片。

17
2010年6月:

震网蠕虫是首个针对工业控制系统的蠕虫病毒,在2009年11月到2010年1月之间,震网病毒就摧毁了伊朗1000多台离心机,在伊朗约60%的个人计算机被感染,并最终使伊朗的布什尔核电站推迟启动。

震网蠕虫可通过多途径进行感染,蠕虫程序携带数字签名绕过杀软,内置7个漏洞包含4个0day可感染传统Windows计算机及工控设备,震网蠕虫主要有三个模块:

攻击模块,自主攻击能力;

传播模块,利用USB、网络进行传播;

隐藏模块:绕过杀软,隐藏所有恶意文件和进程;

震网蠕虫

18
2017年5月:

wannacry(漏洞编号:MS17-010)是首个以系统漏洞传播的勒索蠕虫(Ransomworm),全球150余个国家的20多万台计算机受到勒索蠕虫感染,造成损失多达80亿美元,众多大型企业系统及数据库文件被加密后,造成无法运作,影响非常巨大。WannaCry的变种导致台湾半导体制造公司(台积电)于2018年8月暂时关闭其几家芯片制造工厂,该病毒在台积电最先进设备中扩散至10000台机器。

蠕虫病毒思维导图

未来的蠕虫病毒向混合型病毒发展,呈现多功能趋势:木马、潜伏、多途径、跨平台,以挖矿、恶意勒索、DDOS为主要攻击目的。国家级力量制造的蠕虫病毒将是未来网络战中重要的攻击手段,其恐怖的感染及破坏能力将对国家、企业、人民造成重大的经济损失。随着蠕虫病毒趋于复杂化,对于病毒的查杀工作也是巨大的挑战,那怎么解决这些问题呢?

一.网络安全管理:

与时俱进制定网络安全管理制度及标准:

终端管理:不满足企业防病毒、补丁等安全策略的不得接入网络,外来计算机需经批准后接入网络。

介质管理:从介质的接入、存放环境、使用、维护、报废进行统一管理,使用前需经过防病毒检测。

防病毒系统管理:明确职责、病毒库升级、病毒分析处理、定期总结汇报。

网络访问管理:接入外网的计算机需经过IT运维部门报备,采用严格认证。

备份及恢复管理:重要数据异地备份存储、备数据备份和恢复策略,备份方式、备份频度、存储介质和保存期限等规定。

安全应急处置机制:应急预案(审查、更新)、定期蠕虫病毒事件应急演练、定期备份恢复演练、安全应急培训。

资产管理:记录网站应用、系统、软件等版本信息,爆出漏洞快速解决。

推动:需由多部门联合推动网络安全管理制度及标准,开展制度执行督察工作,对于违规行为进行通报并跟进问题整改。

二.购置相关安全设备:

防病毒软件:提升病毒对抗能力,及时防范病毒风险。

统一防病毒系统:对病毒及恶意代码防范统一管理。

网络准入系统:对不合规计算机接入网络进行控制、隔离。

桌面管理系统:及时下发补丁、介质管控、员工操作管理。

上网审计系统:实现网络访问管理,设置黑/白名单访问列表。

防火墙:加强网络边界防护,确保计算机网络运行的安全性。

漏洞扫描系统:增强主动发现漏洞能力。

入侵检测系统:制定。规则、及时发现。

蜜罐:发现感染源,捕获传播方式及途径。

三.通报/威胁情报:

设备厂商、系统厂商、安全公司及监管机构的漏洞公告及公告公告。

四.安全意识宣传:

以法律、法规、安全事件为基础结合公司自身情况进行安全意识宣传活动,以提高全员安全意识水平。

网址不乱点,

U盘不乱插。

邮件要小心,

遇事先断网!

[1]阿帕网最初是由美国国防部高级研究计划局开发的世界上第一个运营的封包交换网络,它是全球互联网的始祖。

[2]Ray Tomlinson(1941年4月23日 – 2016年3月5日):EMAIL之父,1971年 他实现了第一个能在ARPANET的不同主机上的用户之间发送邮件的系统,以前邮件只能发送给同一计算机上的其他人,他使用@符号将用户名和计算机名称分开,这是从那时开始用于电子邮件地址的方案。

[3]John Kilian Houston Brunner(1934年9月24日 – 1995年8月25日)

英国科幻小说作家,其在科幻小说中预测到了很多现代的发展,如基因工程、同性婚姻、在线百科全书、大麻合法化及伟哥的发展。《震荡波骑士》是赛博朋克风格的开创先河作品之一。

赛博朋克风格代表电影:《银翼杀手》、《黑客帝国》、《攻壳机动队》

写这篇看起来内容不算”多”的的网站却用了一个月的时间,原本以为只是一些已经泯灭在历史尘埃中的小事件,可通过不断的串联,却发现历史是这么的惊人:

莫里斯蠕虫的制造者是前美国国家计算机安全中心首席科学家的儿子,16岁就发现了unix漏洞,在蠕虫事件后,和朋友做了个网上商店Viaweb,三年后被雅虎以市值4900万美金的股票收购,后该网站命名为:Yahoo! Store,后联合创建了Y Combinator

1999年发布文章推动了栈溢出利用的作者,2010年又去blackhat秀了一把,后来媒体所谓的仇杀枪杀说也在查资料看到旧金山法医办公室的公告而烟消云散,其女朋友也承认其有吸毒史(还是不排除阴谋论)。

等等等等好玩的事情,当然也有一些其他的蠕虫(求职信、ILOVEYOU)可能没有列举到,蠕虫的变种已经有千万种了,列举蠕虫病毒的事件只是想证明其危害及发展史,把所有的都列上了这辈子都结束不了了。如果再有时间写缓冲区相关的部分,觉得写的还可以的可以点个赞或者转发一下啊,写东西不容易啊…


本文章仅供白帽子、安全爱好者研究学习,对于用于非法途径的行为,发布者及作者不承担任何责任。

我们建立了一个以知识共享为主的 免费精品 知识星球,旨在通过相互交流,促进资源分享和信息安全建设,为以此为生的工作者、即将步入此行业的学生等人士提供绵薄之力。目前星球已发布上千篇精品安全技术文章、教程、工具等内容,已加入上百位安全圈大咖及数千位安全从业者,期待在此共同与你交流。

如果你是安全行业精英,可以加入我们的微信群,目前聚集了来自全球的信息安全公司CEO,安全部门主管,技术总监,信安创业者,网络安全专家,安全实验室负责人,公司HR等。在这里将获得更多与安全大咖们面对面交流的机会,最新的安全动态,更真实的高薪信息安全岗位,更高效率的技术交流空间。可以扫码添加我的微信,需提供真实有效的公司名称+姓名,验证通过后可加入···

人已赞赏
安全工具

医疗信息系统安全建设方案

2019-10-11 17:02:05

安全工具

学习方法与生活经验

2019-10-11 17:02:14

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索