风险类型说明和处理建议手册

发布于:2022-11-09 ⋅ 阅读:(629) ⋅ 点赞:(0)

 

                                    CISSP :星陈大海   ver1.0

目录

风险类型说明和处理建议手册.... 1

.1 Web攻击.... 1

2 Web后门访问.... 2

3恶意文件攻击.... 3

4 远程控制.... 3

5 邮件社工.... 4

6 DGA域名请求.... 4

7 SMB远程溢出攻击.... 4

8 弱口令.... 5

9 Web密码明文传输.... 5

10 暴力破解.... 6

11 隧道通信.... 6

12 挖矿.... 7

13 扫描行为.... 7

14 拒绝服务攻击.... 8

15 ARP欺骗.... 8

 

.1 Web攻击

风险描述:

主要是指常见的Web类型攻击,包括SQL注入、命令注入、代码注入、跨站脚本攻击、协议错误等,一般是由攻击人员尝试构造特殊的SQL语句、系统命令、脚本、java代码等,发送请求,来触发WEB服务器上未经发现的,或者未经修复的漏洞,然后利用这些漏洞,进行恶意行为:获取敏感数据,执行数据库操作、操作系统命令/程序代码等。

 

处理建议

1、首先需确认攻击源和目标主机所处网络位置,对于内网向外发起的攻击行为,建议通过对源主机进行访问限制阻止攻击行为,并检查该内部主机是否有其他异常访问行为,需要确定是否被黑客控制。

2、对于来自外部的攻击行为,需要针对对所有输入提交可能执行命令的构造语句进行严格的检查或者控制外部输入,系统命令执行函数的参数不允许外部传递。

3、规范网站代码,对输入数据验证类型、格式、长度、范围和内容

4、对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查。

5、优化必要的网络隔离或访问控制策略。

6、在发布应用程序之前测试所有已知的威胁,进行安全性测试。

7、进行持续的漏洞检测和管理,开启防火墙的实时漏洞检测功能。

8、及时下载补丁包升级。

2 Web后门访问

风险描述

攻击者试图上传或访问Web服务器端的可执行环境,该环境也被称为Webshell,通常以asp、php、jsp或者cgi等网页文件形式存在,是一种网页后门,具备非常强的隐蔽性、威胁性和难以防范性,攻击者会将这些文件传递给应用解释器,就可以在远程服务器上执行任意脚本,对网站服务器上传下载文件,查看数据库,执行任意程序命令等操作,再通过dos命令或者植入后门木马通过服务器漏洞等达到提权的目的,还可以对同服务器其他的网站进行旁注操作。

 

处理建议

1、首先需确认攻击源和目标主机所处网络位置,对于内网向外发起的攻击行为,建议通过对源主机进行访问限制阻止攻击行为,并检查该内部主机是否有其他异常访问行为,需要确定是否被黑客控制。

2、对于来自外部的攻击行为,务必配置好服务器权限。最小的权限等于最大的安全。防范webshell的最有效方法就是:可写目录不给执行权限,有执行权限的目录不给写权限。

3、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。

4、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。

5、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。

6、不要在网页上加注后台管理程序登陆页面的链接。为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过ftp上传即可。

注意空间中是否有来历不明的asp文件。

7、一旦发现被入侵,查看服务器是否有来历不明的asp文件,如无法判断需删除所有可访问文件,并重新上传。  

8、尽量关闭网站搜索功能,利用外部搜索工具,以防爆出数据。

 

3恶意文件攻击

风险描述

恶意文件,也被称为恶意程序、恶意软件,通常是指带有攻击意图所编写的一段程序。这些威胁可以分成两个类别:需要宿主程序的威胁和彼此独立的威胁。前者基本上是不能独立于某个实际的应用程序、实用程序或系统程序的程序片段;后者是可以被操作系统调度和运行的自包含程序。 

也可以将这些软件威胁分成不进行复制工作和进行复制工作的。简单说,前者是一些当宿主程序调用时被激活起来完成一个特定功能的程序片段;后者或者由程序片段(病毒)或者由独立程序(蠕虫、细菌)组成,在执行时可以在同一个系统或某个其它系统中产生自身的一个或多个以后被激活的副本

恶意程序主要包括:陷门逻辑炸弹特洛伊木马蠕虫、细菌、病毒等。

 

处理建议

首先需确认攻击源和目标主机所处网络位置,对于内网向外发起的攻击行为,需要对攻击源主机使用杀毒软件扫描确认是否存在被植入恶意软件;需要对受攻击主机按照以下步骤进行处理:

1、隔离已中毒设备,关闭其网络连接。

2、扫描局域网内是否有其他可疑网络连接,关闭不必要的服务、端口、网络连接,开启本地防火墙。

3、根据告警信息,定位受攻击客户端IP,及时删除恶意文件。

4、如果该文件已经运行,使用专业杀毒软件,更新至最新病毒库,对进程和恶意程序进行查杀;

5、如果仍然无法清除,将计算机启动到安全模式(开机过程中按F8键即可),用安全模式杀毒软件进行查杀该恶意程序。

6、对整个内网机器都进行杀毒处理,确认是否有其他设备被感染。

4 远程控制

风险描述

远程控制通常通过网络才能进行。位于本地的计算机是操纵指令的发出端,称为主控端或客户端,非本地的被控计算机叫做被控端或服务器端。远“程”不等同于远“距离”,主控端和被控端可以是位于同一局域网的同一房间中,也可以是连入Internet的处在任何位置的两台或多台计算机。早期的远程控制往往指在局域网中的远程控制而言,随着互联网和技术革新,就如同坐在被控端计算机的屏幕前一样,可以启动被控端计算机的应用程序,可以使用或窃取被控端计算机的文件资料,甚至通过被控端计算机再控制其他设备。

 

处理建议

1、对有回连行为的主机尽快隔离,关闭其所有网络连接,禁用网卡。

2、根据服务端IP/域名去网上查询,确认是否有历史恶意行为。

3、如果有查到历史恶意行为且还在持续访问,建议立即对该被控制设备进行杀毒清理,必要时,使用该病毒专杀工具进行全部查杀。

4、对于查不到历史恶意行为的,也建议去客户端IP对应设备排查产生这种访问的软件,再确认是否是恶意的。

5 邮件社工

风险描述

攻击者试图通过在邮件中携带恶意URL链接,欺骗预先设定的收件人或者内网员工进行点击的目的,该链接可能是攻击者精心构造的WEB站点,一旦收件人打开该页面,可能在不知不觉中下载恶意代码,然后受到攻击者的控制,或者邮件钓鱼网站,导致收件人信息泄露,或者财产损失。

 

处理建议

建议通过告警信息定位邮件收件人和客户端IP地址,及时通知收件人切勿点击邮件内的URL链接,并立即对该邮件进行删除,以免受到恶意代码的感染。

一旦收件人点击了该URL链接,需要尽快对收件主机进行隔离,通过杀毒软件进行扫描,然后持续监控网络连接和进程是否存在异常,如果仍然发现异常通信行为,需要进行系统还原彻底删除安装的恶意程序。

6 DGA域名请求

风险描述

DGA(Domain Generate Algorithm,域名生成算法)域名常用于僵尸/木马的C&C(Command &Control,命令与控制)通讯,一般是使用一个私有的随机字符串生成算法,按照日期或者其他随机种子,每天生成一些随机字符串,然后攻击者利用其中的一部分注册为C&C域名,在僵尸/木马程序里面也按照同样的算法生成这些随机域名,尝试碰撞得到当天可用的C&C域名,进一步与远程控制服务器进行通信,进行传输机密数据、接受攻击指令、感染内部网络里的其他设备等操作。

 

处理建议

1、监控网络中的DNS流量,关注内部网络计算机是否有大量的非正常的域名解析请求,非正常的域名特点包括以下一个或者多个:域名是由一些字母或者数字字符随机组合,域名长度较长,字母字符和数字字符切换率高,对这些域名请求解析具有周期性,DNS服务器返回大量的NXDOMAIN消息(不存在此域名)等。

2、使用杀毒软件,或者病毒专杀工具,查杀木马、蠕虫病毒。

3、有一些病毒具有免杀毒能力,需要通过专用分析工具,对进程、注册表、网络等行为进行深入分析,才能定位到具体的病毒文件,进一步的进行手工清除。

7 SMB远程溢出攻击

风险描述

SMB远程溢出攻击是利用Windows SMB 远程代码执行漏洞,攻击者向 Windows SMBv1服务器发送特殊设计的消息,成功利用这些漏洞之后可以获取在目标系统上执行代码的能力,此安全问题等级为“严重”,大量windows服务操作系统版本均在受影响之列:Microsoft Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows 7 SP1; Windows 8.1;Windows Server 2012 Gold and R2; Windows RT 8.1; and Windows 10 Gold, 1511, and 1607;and Windows Server 2016.

处理建议

1、查看windows系统版本。

2、检查端口开放情况,在服务器命令行窗口执行netstat -an 查看端口监听情况,然后在外网主机telnet 目标主机端口,如:telnet 114.114.114.114 137。

临时规避措施:关闭135、137、139、445端口开放到外网。推荐使用安全组策略禁止135、137、139、445端口。

3、查看微软官方公告,及时到微软官网下载补丁升级。

4、针对微软不提供补丁支持的操作系统,Windows XP和Windows 2003,可以禁止使用smb服务的445端口,

禁用方法:(https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html)。

5、如果风险信息中,攻击状态是成功的,则说明,已经被攻击者攻击成功。因为该类攻击通常被用于投递恶意软件(挖矿病毒、勒索病毒等),所以需要尽快隔离被攻击主机,并使用杀毒软件查杀。

8 弱口令

风险描述

弱口令(weak password)没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,或者键盘上相邻字符的组合,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。

 

处理建议

1、根据告警信息,定位弱口令的帐户信息,及时更改帐户密码为强口令。

2、定期更改帐户密码,建议密码长度大于8位,并且包含大小写字母、数字、特殊字符;

3、在多个帐户之间使用不相同的口令。

4、在公共电脑不要选择程序中可保存口令的功能选项。

9 Web密码明文传输

风险描述

Web密码明文传输是指在Web密码在传输过程未进行任何加密,用户登录信息容易被监听,容易导致信息泄漏、财产损失。

处理建议

建议进行https等方式进行传输加密,或对敏感数据内容进行加密后再传输。

10 暴力破解

风险描述

暴力破解是指攻击者通过枚举所有可能的预定义值(一般是登录使用的账户名和密码)并分析响应信息,破解用户的账户名、密码等敏感信息。一旦破解成功,攻击者将能使用合法账号登录系统获取权限,进行违规操作,危害性极大。

 

暴力破解可分为两种,一种是针对性的密码爆破,另外一种是扩展性的密码喷洒。

 

密码爆破:密码爆破一般很熟悉,即针对单个账号或用户,用密码字典来不断的尝试,直到试出正确的密码,破解出来的时间和密码的复杂度及长度及破解设备有一定的关系。

密码喷洒:密码喷洒和密码爆破相反,也可以叫反向密码爆破,即用指定的一个密码来批量的试取用户,在信息搜集阶段获取了大量的账号信息或者系统的用户,然后以固定的一个密码去不断的尝试这些用户。

处理建议

1、根据告警信息,定位被暴力破解的主机和帐户信息,及时更改帐户密码为强口令;

2、使用强密码。暴力破解是破解密码最常用的方法,攻击的成功取决于各种因素,但是,影响最多的因素是密码的长度以及数字、字母和特殊字符的组合。这就是我们谈论强密码的原因:我们通常建议用户使用小写字母、大写字母、数字和特殊字符组合的长密码。它不会使得暴力破解不可能,但会让其变得十分困难。这样,暴力破解会需要更长的时间来破解密码。几乎所有的散列破解算法都使用暴力破解来尝试,当您对数据进行脱机访问时,此攻击最佳。在这种情况下,它易于破解,而且会花费更少的时间。

3、服务器端限制登录次数。防止暴力攻击的最佳方法是限制无效登录,通过这种方式,攻击只能在有限的时间点击并尝试密码。这就是为什么基于网络的服务开始使用验证码,例如,如果您三次输入错误的密码他们会对您的IP地址进行屏蔽。

11 隧道通信

风险描述

隐蔽信道是一种允许进程以违背系统安全策略的形式传送信息的通信通道。简单来说,隐蔽信道就是本意不是用来传送信息的通信通道。该行为可能是由某种特殊软件产生的(如翻墙工具),也可能是该设备已经感染了计算机病毒。一旦该行为是由病毒产生的,则该设备的数据可能已经泄漏。

 

处理建议

1、首先需要确认该通信是否是安全的。

2、告警信息中有域名的,首先可以根据域名去网上查询该域名的信息,确认是否是正常软件产生的行为。

3、告警信息中没有域名的,通过目的IP去网上查询该域名的信息,确认是否是正常软件产生的行为。

4、如果查到IP或域名有历史恶意行为,则该客户端IP对应设备很可能已经中病毒了,建议立即清理。

5、 如果IP或域名没有查到任何信息,则建议去客户端IP对应设备排查产生这种流量的软件,再确认是否是恶意的。

 

12 挖矿

风险描述

互联网的加密货币挖矿是一种复杂的机器运算行为。通常,进行挖矿的矿工需要大规模、高功效的计算设备,进行长时间的运算,从而获取加密货币,牟取利益。

挖矿行为,一般是因为主机已经感染了挖矿病毒软件,有该类病毒软件发起的,这种类型的软件一旦被执行,通常会悄悄在后台运行进行挖矿需要的运算,会大量占用CPU和显卡的资源,导致系统卡顿、提高系统耗电、缩短CPU和显卡的寿命。

 

处理建议

首先需确认攻击源和目标主机所处网络位置,对于内网向外发起的攻击行为,需要对攻击源主机进行隔离分析,通过杀毒软件扫描确认是否存在被植入恶意挖矿软件。

需要对受攻击主机按照以下步骤进行处理:

1、根据告警信息,定位受攻击客户端IP,及时删除挖矿文件。

2、如果该文件已经运行,使用专业杀毒软件,更新至最新病毒库,对进程和恶意程序进行查杀。

3、如果仍然无法清除,将计算机启动到安全模式(开机过程中按F8键即可),用安全模式杀毒软件进行查杀该恶意程序。

 

13 扫描行为

风险描述

扫描行为,分为恶意和非恶意的,互联网上存在着许多的网络空间搜索引擎等正规扫描机构,这些机构的扫描行为属于非恶意扫描。恶意扫描行为一般是由网络攻击人员所为,是处于整个网络攻击过程的第一阶,用于设别攻击目标的弱点,为下一步攻击做准备,例如,攻击目标设备是否有未关闭的可以用来进行攻击的重要端口、是否未打补丁的漏洞。

 

处理建议

  1. 建立完整流程,确保服务器和终端主机及时更新系统补丁程序,避免被黑客利用系统漏洞进行攻击。设立定期对服务器进行漏洞扫描的流程,及时封堵漏洞。
  2. 建立业务安全规范,限制业务开放的端口,控制连网权限和后台登录权限,确保新业务已添加到网关安全类产品的防护策略中。定期进行资产、权限复查,看是否开放了非必要端口、是否存在未知的后台登录情况。

 

14 拒绝服务攻击

风险描述

拒绝服务攻击,英文名称是Denial of Service,简称DOS,即拒绝服务,造成其攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽, 最后导致合法的用户请求无法通过。

连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。常用攻击手段有:同步洪流、WinNuke、死亡之PING、Echl攻击、ICMP/SMURF、Finger炸弹、Land攻击、Ping洪流、Rwhod、tearDrop、TARGA3、UDP攻击OOB等。

处理建议

遭受攻击时候,抵御工作是非常有限的。但是,用户还是可以抓住机会进行干预。

1、检查攻击来源,通常黑客会通过很多假IP地址发起攻击,此时,用户若能够分辨出哪些是真IP哪些是假IP地址,然后了解这些IP来自哪些网段,再找网网管理员将这些机器关闭,从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话,可以采取临时过滤的方法,将这些IP地址在服务器或路由器上过滤掉。

2、找出攻击者所经过的路由,把攻击者IP屏蔽掉。若黑客从某些端口发动攻击,用户可把这些端口临时屏蔽掉,以阻止进一步可能的入侵。

3、最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵,但是过滤掉ICMP后可以有效的防止攻击规模的升级,也可以在一定程度上降低攻击的级别。

 

15 ARP欺骗

风险描述

ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网络上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网络上特定计算机或所有计算机无法正常连线。

处理建议

最理想的防制方法是网上内的每台计算机的ARP一律改用静态的方式,不过这在大型的网上是不可行的,因为需要经常更新每台计算机的ARP表。

另外一种方法,例如DHCP snooping,网上设备可借由DHCP保留网络上各计算机的MAC地址,在伪造的ARP数据包发出时即可侦测到。

有一些软件可监听网络上的ARP回应,若侦测出有不正常变动时可发送邮箱通知管理者。例如UNIX平台的Arpwatch以及Windows上的XArp v2或一些网上设备的Dynamic ARP inspection功能。

 

本文含有隐藏内容,请 开通VIP 后查看