注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

苗得雨:网事争锋

我们在攻击邪恶和黑暗时要毫不留情,但是也要腾出时间来为善行鼓掌,为光明喝彩!

 
 
 

日志

 
 

安全维护手册第一篇: 重装铁甲 抵御黑客盗号  

2009-03-19 18:33:39|  分类: 网络安全专栏 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

财富往往是一点一滴中积累起来的,对于知识的财富更是如此,安全维护知识的积累也不例外,需要大量的经验和实践,这也是一名安全工程师成长的必要步骤。而想成为电脑高手的用户也需要掌握安全维护的知识,这样当自己的同学和朋友的电脑出了故障,向你求助时,你就可以神气为他们排忧解难了。我们邀请了一些安全工程师,写了自己的实践安全维护的经验,奉献给大家。

 

记录人:苗得雨

技术点:如何防范网络账号被盗。

互联网世界如今已经完全成为了现实社会的镜像,早期病毒制造者制作病毒或者恶意程序,通常以破坏电脑文件或者其它恶作剧的方式展现一下自己的表现欲和高超的技术。不过随着线上交易和网络银行的流行,特别是网络虚拟货币逐渐可以兑换成为现实生活中的真金白银之后,病毒制造者和黑客逐渐开始将技术直接用于盗取网络银行账号和网络游戏虚拟货币等。

在盗取手段中,键盘记录是黑客们必用的手段,不过不同于其他类型的病毒,键盘记录对计算机系统本身并不会带来威胁和破坏。但它却直接威胁计算机用户的信息安全,因为键盘记录可以拦截密码及其他用键盘输入的私密信息,使得病毒程序能够窃取网络银行或支付交易系统的PIN码和账号、网络游戏的账号密码、电子邮件地址、用户名称、电子邮件密码等。

一旦网络罪犯取得了用户的机密数据,他就将能轻易从用户帐户进行转账,或存取使用者的网络游戏账号。最知名的键盘记录案例之一,就是瑞典银行北欧联合银行客户账户遭黑客窃取百万美元事件。2006年8月时,北欧联合银行的客户收到声称是银行寄送的电子邮件,信中要求网络银行客户安装一款垃圾邮件过滤软件,并让用户安装电子邮件附件中的软件程序。然而用户并不知道邮件附件其实是一款名为Haxdoor的木马,许多用户看到电子邮件的发送地址为北欧联合银行的域名后缀后就轻易的运行了该木马程序。结果当这些运行了木马程序的用户在北欧联合银行网络银行登录时,Haxdoor替代正常程序显示错误通知,要求用户重新输入登录信息。而此时木马中的键盘记录功能记录下了这些受害者输入的数据,并将这些数据传送到了黑客罪犯的服务器中。案发后经统计此次事件的受害用户总共失窃超过一百万美元的存款。

安全维护手册第一篇: 重装铁甲 抵御黑客盗号 - 苗得雨 - 苗得雨:网事争锋

图1

不过比起个人金钱的损失,更严重的是近年来机密资料遭到窃取的严重后果。因为键盘记录还可以作为商业间谍的工具,黑客会利用它窃取那些专利商业信息,如窃取公司或私人的加密许可证文件。目前键盘记录、网络钓鱼和社交工程目前都是黑客盗号使用的主流方法。由于普通用户很难察觉自己的计算机是否已经安装了键盘记录,特别是那些经过免杀处理能够逃避杀毒软件的键盘记录软件,因此目前唯一可行的方法就是使用合适的安全性解决方案。

 

用户难处理的症状

症状1:在公共网络环境中丢失账号——IM软件及网络游戏盗号

症状解析:我在实际工作中发现,盗号木马的种类非常多,使用的盗号手段和技术也千变万化,因此从技术或者盗号特征上教会用户区分在不同环境下如何应对盗号非常棘手,因此我根据用户的网络环境将症状进行了划分。

我发现在网络、学校网络教室等公共网络环境中,通常会使用还原卡等保护措施进行防护。很多人也很相信还原卡的保护,包括部分图省事的网络管理人员,由于过分相信还原卡的奇效,他们在维护公共网络环境中的电脑系统时甚至不会安装杀毒软件。但是事实上黑客有许多方法能够穿透这些看似固若金汤的还原卡,将木马植入到计算机中。而且即便无法穿透还原卡,仍然可以利用溢出等方式一定时间内的攻入到计算机系统中,窃取用户数据。

在工作过程中我逐渐发现一个规律,公共网络环境中QQ等IM软件和网络游戏账号是最容易失窃的信息,黑客通常使用键盘记录+窃取证书文件和的方式记录用户的在使用IM软件时的密码。而对于软键盘,黑客则会使用屏幕截取+鼠标点击坐标指记录的方式进行窃取。在技术中黑客程序会通过Windows中的User-Mode或Kernel-Mode进行API截获或者数据结构篡改,也是我们通常所说的HookAPI技术。对于许多用 WinAPISetWindowsHook安装,可用于由窗口程序传送的数据,它均能拦截按下按键的通知,也就用户在键盘中输入的信息。

安全维护手册第一篇: 重装铁甲 抵御黑客盗号 - 苗得雨 - 苗得雨:网事争锋

用户模式Hook API过程

图2

 

症状2:在个人专用电脑中丢失账号——网络银行盗号

症状解析:在家庭或者办公室等个人专用电脑环境虽然也会出现QQ或网游账号被盗的情况,但是在个人专用电脑环境中威胁最大的还是诸如“网银大盗”之类的银行账号窃取程序,这些程序主要瞄准的群体就是经常在家里或者办公室进行在线交易操作的用户,在他们使用特定网络银行时窃取用户信息。

这类程序往往具有很强的针对性,对于那些需要银行证书进行安全验证网络银行,这类恶意程序往往会有意破坏客户端银行验证程序,强制用户重新导入证书,达到窃取用户证书的目的。在一次清除某机构核心部门病毒的过程中,竟然还曾发现过专门针对该机构的安全证书验证系统设计的木马,这种木马使用系统Rootkit内核KernelNative APIHooking技术,不仅能够高度隐藏键盘记录程序在运行时的进程,而且使用普通的追查工具也很难发现问题所在。

 

安全维护手册第一篇: 重装铁甲 抵御黑客盗号 - 苗得雨 - 苗得雨:网事争锋

内核Kernel Native API Hooking

图3

 

真实案例

   网络中有许多文章介绍如何清除木马和盗号程序,但是在实际工作中,用户问的最多的并不是如何清除这些程序的步骤,他们往往会在安全工程师帮助他们清除病毒后,询问如何防范此类的情况再次出现,而安全工程师总会习惯性建议用户安装杀毒软件。但是实际上杀毒软件并不能够有效的阻止所有具有盗号功能的木马程序,免杀木马或者使用范围很小的木马都可以轻松逃过杀毒软件的追杀,那么在这种情况下我们应该建议普通用户做什么样的准备呢?

现场状况:我曾经遇到一个非常典型的案例,用户是一家广告公司的设计总监,他经常需要在外地出差,虽然他拥有一台自己的笔记本电脑,但由于笔记本电脑的性能和电脑中存储有公司的机密设计文档和方案,他轻易不用这台电脑上网,只在使用网络银行等重要工作时用这台电脑上网。在外地需要用到网络传输一些数据给公司同事的时候,他会选择去网吧进行传送。

安全维护手册第一篇: 重装铁甲 抵御黑客盗号 - 苗得雨 - 苗得雨:网事争锋

图4

但是也就是在工作中,他出现过几次IM软件账号被盗情况,许多重要的客户被黑客删除;笔记本电脑虽然很少用来上网,但电脑中仍然在不知不觉中感染了木马病毒,黑客通过键盘记录窃取了他的网络银行账号,并且将他保存在电脑中用于记录所有密码的文档窃取偷走,并通过远程语音骚扰调侃这位设计总监。虽然黑客没有盗走他银行中的现金,但是发生这次事件之后,这位设计总监几乎完全不知道如何放心的使用互联网了。

解决方法:这位设计总监遇到的情况,许多中小公司的业务人员或许都遇到过,由于公司没有集团加密防护措施,并且也没有VPN网络,因此在外地上网时,数据随时可能因为各种环节的疏漏导致泄密和账号被窃取。

面对这种情况我为他设计了一个综合防护方案,首先在他的笔记本电脑中安装必要的杀毒软件,然后在配合《锐甲》防挂马软件做好基础防护。由于电脑中有许多重要的文案文档需要保护,因此在为他重装系统时,我给他安装了《Word文档加密器》,这款软件能够加密Word文档,并且支持*.doc、*.rtf、*.docx、*.docm等Office2007下的格式。

使用这款软件后,任何人点击打开受加密保护的文档时,加密文件会弹出验证框要求用户输入阅读密码,这个验证框中同时显示有用户的机器码,用户可以发送他的机器码给其他用户,对方可以根据他的机器码为他创建阅读密码,由于阅读密码是基于用户机器码创建的,所以用户无法传播阅读密码和文档,只有知道加密密钥的人才可以为用户创建阅读密码。

安全维护手册第一篇: 重装铁甲 抵御黑客盗号 - 苗得雨 - 苗得雨:网事争锋

图5

此外,网络银行方面建议他去银行申请了U盘钥匙,并使用《360保险箱》等密码账号保护软件,防护有可能发生的IM账号或游戏账号外泄。在账号保护方面我还为他推荐了《账号守护者》这款软件,它是一款能够有效防止木马键盘记录功能的软件,它的防盗原理就是利用别的键值来代替某个键值以欺骗键盘记录木马。开账号守护者后,就可以看到一个小键盘一样的界面。它提供了三种保护模式和一个“一键双雕”功能。通过“一键双雕”你可以设置使用一个键盘按键来代替两个按键。比如设置“A”代替“1、2”两个按键动作。这样即便你不幸中了网页木马,那么账号大盗提取的键盘记录也全部是错乱的,无法正确的猜出你的真正密码。

针对他经常需要去网吧或者公共环境的电脑中工作的情况,我使用一个4G的U盘,下载了一款名为REBOOT(http://www.yonsm.net/attachment/REBOOT.BIN)的软件,这款软件能够允许用户将WindowsXP操作系统安装到U盘中,这样即便在异地,设计总监也可以使用别人的电脑,用自己的系统上网工作。

不过使用U盘系统也需要注意,在涉及到输入银行密码或者敏感信息时,可以使用系统中的虚拟键盘进行操作。只需要点击Widows中的“开始”菜单然后一次点击“所有程序→附件→辅助工具→屏幕键盘”即可。但屏幕式键盘并非击败键盘记录的热门方法。这种键盘的设计目的并非防护网络威胁,但对于行动不便的使用者来说,却是不可或缺的辅助功能。恶意软件可以轻易拦截用屏幕式键盘输入的信息。为了用来防护键盘记录的侵扰,屏幕式键盘必须经特别设计,以确保经屏幕上键盘输入或传送的信息,不会遭到拦截。

 

黑客小游戏

我们举办黑客小游戏的根本目的就是为了活跃读者的思维,只会用工具的黑客不是真正的黑客,会思考的黑客才是合格的黑客!

 

上期答案

从上面开始,6-5, 9-10, 3-4, 2-1, 8-7

本期问题

苗得雨:本期谜题,这是我们准备的一块巨大的锐甲蟹时钟,我们允许您在地上狠狠的摔它无数次,将这块锐甲蟹时钟摔成5块,绝对不要求您赔偿。但是你必须保证每一个锐甲蟹时钟碎块中的数字相加之和等于时钟下面的这串数字。怎么样摔一下吧,不然陪我们一块新的时钟吧!

安全维护手册第一篇: 重装铁甲 抵御黑客盗号 - 苗得雨 - 苗得雨:网事争锋

 

本期奖品是价值168元的安天防线双年卡

答案请发送到:mdy@qq.com

 

 

-END- 

  评论这张
 
阅读(107)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017