常见办公网安全威胁

userLee
177 阅读11分钟

恶意软件

目标

在目标系统中执行恶意行为(窃取信息,远程控制,锁定文件(勒索),浪费资源)

恶意软件的类型

  1. 病毒: 一种能够自我复制、变异、并通过宿主程序传播的恶意软件。它通常附加在合法程序中,用户在执行这些程序时,病毒会被激活并传播到其他文件或程序中。通过电子邮件附件、下载的文件或可移动存储设备(如 USB 驱动器)传播。

    * 病毒的目标?:*
病毒通常旨在破坏文件、窃取信息或进行其他恶意操作。

*啥叫病毒的自我复制?:*
回答:该段程序会在宿主系统中创建自己的副本,然后将副本插入到其他文件中去。

* 啥叫病毒的变异?:*
回答:在复制过程中根据环境的不同改变自身的代码。

*宿主依赖:*
病毒依赖于宿主文件的存在,只有在宿主文件被执行时,病毒才会被激活。

  2. 木马(Trojan Horse):一种伪装成合法软件的恶意程序。用户通常在不知情的情况下安装它,导致系统被攻击者控制。用于窃取敏感信息、创建后门、下载其他恶意软件等。

  3. 勒索软件(Ransomware): 加密用户的文件或锁定系统,要求用户支付赎金以恢复访问。

  4. 间谍软件(Spyware):隐秘地安装在用户计算机上的程序,用于监控用户活动并窃取敏感信息(如登录凭据、信用卡信息等)。

  5. 蠕虫(Worms):能够在网络上自我复制并传播的恶意软件,无需宿主程序。通过网络漏洞、电子邮件等方式快速传播,可能导致网络拥堵和系统崩溃。

    *蠕虫的目标?:*
蠕虫主要通过消耗网络带宽和资源,导致网络拥堵或系统崩溃,可能还会在受感染的系统上执行其他恶意代码。

*宿主依赖?:*
蠕虫不依赖于任何宿主文件,能够在网络中自行传播,因此可以快速扩散。
防范措施

  1. 安装防病毒软件:使用知名的防病毒软件,并确保其保持最新状态,以防止各种类型的恶意软件。

    防病毒软件的原理:
1. IOC: IOC 是指能够指示潜在恶意活动的特征或证据,包括文件哈希、IP 地址、域名、注册表项等。

2. 行为检测:如果某个程序表现出恶意特征(如尝试修改系统文件、访问敏感数据等),杀毒软件会将其标记为可疑。

3. 沙箱技术:一些杀毒软件使用沙箱技术在隔离环境中运行可疑程序,以观察其行为,从而判断是否为恶意软件。

  2. 定期更新系统和软件:及时安装操作系统和应用程序的安全更新,修补潜在漏洞。

  3. 警惕下载和点击:避免从不可信来源下载文件或点击可疑链接,特别是电子邮件中的链接。

  4. 定期备份数据:定期备份重要数据,以防遭受勒索软件攻击或其他数据丢失情况。

DoS攻击(Denial of Service)

目标

使目标系统、服务或网络资源不可用的恶意攻击。攻击者通过向目标发送大量请求,消耗其资源(如带宽、CPU、内存等),导致正常用户无法提供服务。

DoS 攻击的类型

  1. 简单的 DoS 攻击

    • 攻击者通过发送大量请求(如 TCP SYN Flood、UDP Flood 等)来耗尽目标系统的资源。

  2. 分布式 DoS 攻击(DDoS)

    • 攻击者使用多个计算机(通常是被感染的僵尸网络)同时发起攻击,增强攻击的强度和影响。这使得检测和防御变得更加困难。(配合蠕虫病毒,让互联网上的资源成为自己的肉鸡,通过中央控制器,通过控制命令,让所有的肉鸡一起来对目标服务进行访问。)
DoS 攻击方法

  1. SYN Flood TCP洪水攻击

    三次握手(Three-Way Handshake)是TCP协议中用于建立可靠连接的过程。具体步骤如下:

客户端发送SYN:客户端向服务器发送一个SYN(同步序列编号)包,表示请求建立连接。这个包中包含一个初始序列号(ISN)。

服务器回复SYN+ACK:服务器接收到客户端的SYN包后,回复一个SYN+ACK(同步+确认)包。这个包不仅包含服务器自己的初始序列号(ISN),还确认了客户端的SYN包,即ACK字段中包含客户端的ISN加1。

客户端确认ACK:客户端收到服务器的SYN+ACK包后,发送一个ACK(确认)包给服务器,以确认已接收到服务器的SYN+ACK包。此时,客户端的ACK字段中包含服务器的ISN加1。
    • 因TCP需要通过三次握手来建立连接,所以攻击者发送大量伪造的 SYN 请求(TCP 连接建立的初始步骤)而不执行第三步确认ACK,导致目标服务器一直等待,TCP连接处于半连接状态,导致资源耗尽。
    • 服务器创建的半连接(TCP SYN-RCVD 状态)会在以下几种情况下关闭:
      • 超时 超时的时间通常由操作系统的 TCP 栈配置决定,通常在几秒到几十秒之间。
      • 收到客户端 RST (重置) 包
      • 连接请求的数量达到限制,服务器的半连接队列(syn backlog)有大小限制。如果该队列已满,新来的连接请求(SYN)将被拒绝,旧的半连接也可能被关闭。

  2. UDP Flood

    • 攻击者向目标发送大量 UDP 数据包,目标需要处理这些数据包并发送 ICMP 响应,从而消耗带宽和系统资源。

  3. HTTP Flood

    • 攻击者发送大量 HTTP 请求(如 GET 请求)到 Web 服务器,导致服务器过载,无法处理正常用户的请求。

  4. Ping of Death

    • 攻击者发送超过合法大小的 ICMP Ping 数据包,可能导致目标系统崩溃或重启。
常用工具

压测工具

防御手段
  1. 高防 IP 服务器
  • 描述:所有请求流量经过 DNS 解析后,优先进入高防服务器,对流量进行处理。
  • 优点:能够有效过滤和处理恶意流量,保障正常用户的访问。
  • 缺点:成本较高,尤其是在大规模攻击时,持续使用高防服务可能增加运营费用。
  1. CDN(内容分发网络)
  • 描述:将静态资源上传到最近的 CDN,利用其分布式网络分担流量。
  • 优点:可以减轻源服务器的负担,提高内容交付速度。
  • 缺点:需要付费,攻击者发起攻击时,可能导致你在 CDN 上的流量费用增加。
  1. 提高服务性能

  • 描述:优化服务性能以提高承载能力。

    1. 缓存:能走缓存的请求尽量不走数据库,减少数据库负载,提高响应速度。
    2. 负载均衡:通过负载均衡器分散流量,确保系统在高负载情况下仍能保持可用性。
  1. IP 黑白名单
  • 描述:对请求 IP 设置合理的黑白名单。
  • 优点:可以阻止已知的恶意 IP 地址,保护系统安全。
  • 缺点:需要维护和更新,可能会误拦截正常用户的访问。
  1. 实时监控与报警
  2. 动态防御:结合机器学习

社会工程学攻击

目标

利用心理操控手段来影响个体或组织,以获取敏感信息、访问权限或其他有价值的资源。这种攻击通常不依赖技术手段,而是通过操控人类行为实现目的。

攻击类型

  1. 钓鱼攻击(Phishing)

    • 描述:攻击者伪装成可信的实体(如银行、社交媒体或企业)通过电子邮件、短信或社交媒体发送欺骗性链接或附件,诱使用户提供敏感信息(如密码、信用卡号)。
    • 示例:用户收到一封看似来自银行的电子邮件,内容声称账户存在异常,要求用户点击链接并输入账户信息。

  2. 电话诈骗(Vishing)

    • 描述:攻击者通过电话伪装成公司客服、技术支持或政府官员,要求受害者提供个人信息或进行财务转账。
    • 示例:攻击者拨打受害者的电话,自称是银行工作人员,声称需要验证账户信息,诱使受害者提供密码。

  3. 尾随攻击(Tailgating)

    • 描述:攻击者利用合法员工进入受限制区域,通常通过紧跟在员工后面(尾随)进入办公区域。
    • 示例:攻击者看到一名员工刷卡进入大楼,随后迅速跟随其后进入,目的是访问敏感区域或设备。

  4. 诱骗攻击(Baiting)

    • 描述:攻击者以某种诱饵(如免费软件、USB 驱动器)吸引受害者,诱使其下载恶意软件或插入被感染的设备。
    • 示例:攻击者在公共场所丢弃一个标有“员工福利”的 USB 驱动器,路过的员工捡起后插入自己的计算机,从而感染系统。

  5. 假冒网站(Spoofing)

    • 描述:攻击者创建一个与合法网站相似的假网站,诱使用户输入登录凭据或其他敏感信息。
    • 示例:攻击者创建一个伪造的社交媒体登录页面,诱使用户在该页面输入用户名和密码。
防范措施
  1. 提高安全意识:定期对员工进行安全培训,提高他们对社会工程学攻击的认识。
  2. 验证身份:通过电话或其他渠道验证可疑请求的真实性,特别是在涉及敏感信息时。
  3. 加强物理安全:实施访问控制措施,限制对敏感区域的物理访问。
  4. 使用多因素认证:增强账户安全,确保即使信息被盗也无法轻易访问账户。
  5. 数据加密传输:通过数据加密让数据安全 对称加密AES 非对称加密RSA 哈希MD5

零日攻击

定义

零日攻击是指利用软件或硬件的未公开漏洞进行的攻击,这些漏洞在攻击发生时尚未被厂商发现或修复。因此,攻击者可以在没有补丁的情况下利用这些漏洞。

为啥是零日攻击尼?
源于攻击者利用漏洞的时间窗口,通常是在厂商发布补丁之前。攻击者在漏洞被发现和修复之前发起攻击,因此这个漏洞的“有效期”是“零天”。一旦厂商发布补丁,漏洞便不再是“零日”,相应的攻击也就变得不可行。

高级持续威胁(APT)

定义

APT 是指一系列复杂且定向的网络攻击,攻击者通常是具有高技术能力的组织(如国家或黑客集团),并长期潜伏在目标网络中,进行信息收集和数据窃取。

攻击者根据目标的具体情况定制攻击手段,常使用社会工程学手法获得初始访问权限。

高级持续威胁 检测系统的作用
  1. 实时监控:通过持续监控网络流量、系统活动和用户行为,以便及时发现异常活动。
  2. 行为分析:利用行为分析和机器学习技术,识别与正常活动不符的行为模式。
  3. 情报集成:收集和整合来自外部威胁情报源的信息,识别与特定组织相关的潜在威胁。
  4. 事件响应:提供对发现的威胁的响应和处置流程,包括隔离受感染的系统、封锁恶意 IP 地址等。
  5. 取证与分析:记录和分析攻击事件,以便进行后续的取证和安全审计。
  6. 合规性支持:确保组织遵循行业法规和标准,提供必要的报告和审计功能。

供应链攻击

定义

供应链攻击是通过攻击供应链中某个环节的弱点,进而影响最终目标组织的安全。这种攻击手法通常利用第三方软件、服务或硬件的漏洞。

攻击点往往是在外部供应商,目标组织可能难以发现和阻止这些攻击。

avatar
文章
阅读
粉丝