搜索
查看: 3295|回复: 34
收起左侧

[分享] 【科普】普通用户在日常中网络安全意识

  [复制链接]
KK院长
发表于 2018-11-25 11:52:57 | 显示全部楼层 |阅读模式
本帖最后由 KK院长 于 2018-12-9 08:43 编辑

   作为普通用户的我在越来越不安全的网络世界应该注意什么?挖矿木马勒索软件恶意代码,从原来的PE文件结构过度到恶意脚本结构,通俗来讲就是从原来的EXE安装包过度到毒Excel 当你打开Excel你就死定了,你会说我会用某杀毒软件先扫描一下,真的有用吗?病毒属于Office版本软件0day漏洞CVE-2017-11882这样的东东,打开即中毒。或含有 Office宏里的反弹Shell你顶的住吗?

2018-11-25_11-51-05.png

2018-11-25_10-26-07.png

2018-11-25_10-25-34.png

2018-11-25_10-26-29.png

我知道你会用杀毒软件或VT的,呵呵。
3方软件漏洞举例, Adobe官方发布了Adobe Flash Player漏洞

FF.png

2018-12-09_8-31-27.png
Adobe官方新的Flash 32.0.0.101版本防漏洞,漏洞分配编号CVE-2018-15982已经出现。


例如:攻击者首先通过即时聊天工具或者邮箱向被攻击者发送一个诱饵文档,这个文档里面包含恶意代码,并且诱骗被攻击者打开中招。
被攻击者打开诱饵文档后,就会自动播放一个flash,这个flash一播放,就会执行一些你不知道的操作…….或你直接访问有毒的网。
事件记录: Gigamon Applied Threat Research(ATR)根据Microsoft Office文档,确认了一次对Adobe Flash中0day漏洞的恶意利用。该漏洞(CVE-2018-15982)允许攻击者恶意制作的Flash对象在受害者的计算机上执行代码,从而获取对系统命令行的访问权限。该文件是从一个位于乌克兰的IP地址提交到VirusTotal的,恶意文档伪装成提交给俄罗斯国家医疗诊所的求职申请。Gigamon ATR在2018年11月29日(星期四)的上午2点向Adobe产品安全事件响应小组(PSIRT)报告了这一漏洞。Adobe迅速采取了措施,并与Gigamon ATR合作复现这一漏洞,在2018年12月5日发布了针对该漏洞的安全补丁,并为该漏洞分配编号CVE-2018-15982。


2018年上半年的网络安全攻击无文件型、小文件型和基于宏的恶意软件数量都出现了明显的增长。在目前的网络威胁领域中,勒索软件仍然扮演着十分重要的角色

病毒的超级进步,具备了反机器学习的能力并且合法签名逃避沙箱新型勒索软件PyLocky
一个通过垃圾邮件来传播PyLocky勒索软件的攻击活动。


2018-11-25_11-13-22.png

docx毒文档
其他无文件攻击介绍,指攻击代码的下载和执行过程均在内存实现,并不在系统创建攻击文件,可以有效逃避安全软件的行为拦截,是近来极为流行的攻击方式。如用PowerShell下载执行木马
问题来了? 我们怎么样风控被感染的机会,预防中毒呢?安全意识很重要,用超级管理员打开文件你会不中毒?不装防火墙你也知道某软件或访问网络?Google Chrome插件也有问题就你不知道。不懂可以学习的,来自网络恶意的软件的控制任重道远。


防范:第三方office,Adobe软件等同样存在宏问题和本身软件0day漏洞等,宏可以关闭,0day漏洞要么hips防范缓解,要么缓冲区漏洞保护,微软office软件漏洞现在可以通过打补丁修补,hips可以用毛豆,SSF,HMPA,OSArmor 补刀。无文件攻击防范暂时禁止 powershell和WMI服务 同时未知入沙即可


评分

参与人数 8分享 +3 人气 +11 收起 理由
聽莧 + 1 感谢解答: )
qftest + 1 版区有你更性感: )
屁颠屁颠 + 3 版区有你更精彩: )
曲中求 + 3 版区有你更精彩: )
HEMM + 3 看不懂请重写一遍

查看全部评分

柯林
发表于 2018-11-25 13:03:41 | 显示全部楼层
本帖最后由 柯林 于 2018-11-25 13:27 编辑

支持院长,好东东,好话题。
希望出现更多理性探讨,譬如原理、实例、防范措施,不要“草木皆兵”
譬如:“docx毒文档的,打开就挂,并且合法签名EXE,杀毒软件免杀。”之类,太吓人了,吓死宝宝了
宏病毒,以麦咖啡VSE为例,应该不难防范,比如加两条规则:
拦截Excel宏病毒【防毒】:禁止创建、修改、执行*\AppData\Roaming\Microsoft\Excel\XLSTART\**
拦截word宏病毒【防毒】:禁止创建、修改、执行*\AppData\Roaming\Microsoft\Word\STARTUP\**


powershell脚本那个没见到具体实例,不大清楚,希望有实例的人说下防御措施

评分

参与人数 1人气 +2 收起 理由
KK院长 + 2 版区有你更精彩: )

查看全部评分

BE_HC
发表于 2018-11-25 13:25:14 | 显示全部楼层
以下为个人观点----
我自认为对于某些存在风险的应用程序自动入沙也是不错的
20181125125311.png
关于题主说的“沙箱逃逸”(逃避沙箱)也就是在沙箱内不能运行执行真正的恶意部分,这足以筛选掉不会穿沙的病毒
对于可能穿沙的,大都是权限相当高,一般要加驱实现,但win10自带的内核隔离大都可以防止此类驱动的加载
别的就是沙箱自身的问题惹
对于宏病毒来说,这是难以穿沙的
以一下这个宏病毒为例
https://bbs.kafan.cn/thread-2133395-1-1.html
20181125131542.png
已打开就可以看到有疑似自动宏的生成,但Office默认禁用宏,所以我点了启动
20181125131638.png
运行之后也就是报错,可以看到PowerShell的运行,但都是在沙箱内,这可以确认沙箱防住了此次的攻击
HMPA也存在伪装成沙箱的功能(虽然没见过具体弹窗
20181125130135.png

评分

参与人数 3人气 +3 收起 理由
HEMM + 1 好多花花绿绿的图片哦,真好看
KK院长 + 1 赞一个!
柯林 + 1 加分鼓励

查看全部评分

tg123321
发表于 2018-11-25 14:33:57 | 显示全部楼层
office默认禁用宏吧
柯林
发表于 2018-11-25 16:56:02 | 显示全部楼层
看了一些,头大,不得要领:
https://www.freebuf.com/articles/system/176267.html
http://www.cnblogs.com/17bdw/p/8709139.html
https://www.freebuf.com/articles/database/101267.html
https://slab.qq.com/news/tech/1650.html

貌似powershell也并不是真的无文件,至少,禁运%Temp%则大多数威胁歇菜了

谁有彻底绕过杀软与主防之类的shell啥的样本,放上样本区让测试党们玩玩,看具体结果;没样本的讨论还是太空泛了,没有实据性

评分

参与人数 1人气 +1 收起 理由
KK院长 + 1 样本都秒删了

查看全部评分

KK院长
 楼主| 发表于 2018-11-25 17:03:11 | 显示全部楼层
本帖最后由 KK院长 于 2018-11-25 17:12 编辑
tg123321 发表于 2018-11-25 14:33
office默认禁用宏吧

通过微软的Office文档传播的病毒,用户应该确保宏不默认启用,对于Office漏洞攻击仍然会不断持续,本身就有漏洞,微软在2017年一共发布了372个Office漏洞补丁,像   CVE-2017-0199 有几个人会修补?
Office漏洞常常用于APT攻击,对于高价值目标,甚至会使用未公开的Office 0Day漏洞。


帝辛
发表于 2018-11-25 17:27:14 | 显示全部楼层
BD的ATD有文档漏洞防护了。就是误杀大。
另外没有这么容易的。较新版office已经禁止了。我觉得目前杀毒大多不管的原因就是因为已经默认禁止的原因。
一般有什么新路子。杀毒总会跟进的。就跟勒索病毒一样。端口传播。一部分之后所有杀毒开始防杀。
老是小心翼翼就失去了玩电脑的意义了。
tg123321
发表于 2018-11-25 17:30:54 | 显示全部楼层
KK院长 发表于 2018-11-25 17:03
通过微软的Office文档传播的病毒,用户应该确保宏不默认启用,对于Office漏洞攻击仍然会不断持续,本身就 ...

win10不是强制更新修复漏洞嘛......高价值目标应该也是针对大企业和国家啊
浅美
发表于 2018-11-25 23:46:17 | 显示全部楼层
多谢提示风险,不过用第三方office软件(如wps、极速office等)是不是也可以同样方式防范?
KK院长
 楼主| 发表于 2018-11-26 10:18:32 | 显示全部楼层
浅美 发表于 2018-11-25 23:46
多谢提示风险,不过用第三方office软件(如wps、极速office等)是不是也可以同样方式防范?

第三方office软件同样存在宏问题和本身软件0day漏洞,宏可以关闭,0day漏洞要么hips防范,要么缓冲区漏洞保护。
柯林
发表于 2018-11-26 11:23:16 | 显示全部楼层
从小白的角度胡扯几句(原谅我不懂编程)
“无文件病毒,shellcode攻击”以及“一旦打开某网页,或者运行某程序,立即下载病毒执行,从而中招”……诸如此类的说法,一度吓坏了俺这样的小白!到底有没有这么神,有木有,俺真的不知道,希望有人科普一下。

结合俺的小白认知水平,个人理解,似乎被宣传得“过头”了,有些违背基本常识,哪有“来无影去无踪毫无痕迹的东西”?0day漏洞那个就不用讨论了,厂商没推出补丁之前,基本是无解。

以所知而论,“无文件病毒”,貌似常指两类,一类是dll,一类就是脚本,相对于常见的exe之类,不容易捕捉。
至于一旦打开某网页,或者运行某程序(譬如adobeflash)就中毒,以及邮件投毒之类,似乎也专注于“吓人”了。
原理上来说,似乎并不存在“无文件”病毒,充其量是不写入本地或留存在本地磁盘上。以所见的一些帖子分析为例,这些病毒,关键主体是个脚本(很小,可能只有1kb左右),根据文件关联设定,这东西不管存在哪里,系统都会调用脚本解释器去执行(譬如powershell.exe与wscript.exe),
这个脚本病毒依据代码,要么去下载病毒主体,要么去下载危险代码来执行,可能喜欢以隐藏窗口的方式执行,完毕删除所有的东东,整个过程悄无声息,给人错觉(从不存在一样),好像大致就这样。

所以无论是office病毒还是其它什么,实际上是脚本病毒。有些杀软对脚本检查不力,可能就会翻车。依据脚本代码,大致是几种类型:
1、链接毒网,下载病毒,可能是传统的exe病毒,下载来后保存本地,直接用脚本启动或者设置注册表之类实现开机启动;也可能是个压缩包,里面有exe或者dll,不需要解压出来执行,是直接执行压缩包内的病毒。关键是脚本,控制住它的宿主(譬如wscript.exe)不让联网,或者不让执行根据位置(譬如%Temp%),实际是可以拦截的。
2、更鬼一点,直接下载代码(可能是个txt文件,一般的杀毒软件根本不会检测txt文件),读取代码执行,整个过程除了脚本宿主(譬如cmd.exe或wscript.exe),根本没有病毒主体存在,于是让人误以为“无文件病毒”。

主要的形式与手段,大概就是这样。说到底,其实是属于脚本病毒。这些脚本代码,可以附加在任何一种文件类型上(譬如pdf,html,txt,MP3,swf……)所以打开一张图片或播放一个动画视频中毒,其实是受害于“恶意脚本代码”。

有主防的杀软或者HIPS功能的,防御这些其实不是什么难事。shellcode之类一度被传得很神的东西,“只存在于内存”的病毒,其实并非是“鬼影”,实际上依然是有文件存在,只不过这文件可能是个脚本以及存储代码的txt文本或压缩包之类。无文件的东西太玄乎,违反逻辑与基本原理,不可能存在。

由于不懂编程,也不折腾分析,小白只能依据一知半解说个大致性的观感,如有错误,还请原谅与指正。

评分

参与人数 1人气 +1 收起 理由
KK院长 + 1 赞一个!

查看全部评分

浅美
发表于 2018-11-26 12:35:29 | 显示全部楼层
KK院长 发表于 2018-11-26 10:18
第三方office软件同样存在宏问题和本身软件0day漏洞,宏可以关闭,0day漏洞要么hips防范,要么缓冲区漏洞 ...

我在极速office根本找不到宏相关设置,不知道宏是开是关
KK院长
 楼主| 发表于 2018-11-26 13:23:33 | 显示全部楼层
浅美 发表于 2018-11-26 12:35
我在极速office根本找不到宏相关设置,不知道宏是开是关

估计冷门的软件被干的机会相对少一点,我看事不大。
www-tekeze
发表于 2018-11-26 13:34:02 | 显示全部楼层

1. 主力早就换成WPS了,虽然免不了存在漏洞,但没太多人去研究吧,最起码东欧、毛子的高级Hacker们不会感兴趣。
2. Office和WPS都是运行在SBie沙盘里,而沙盘是建在Ramdisk上,不落地?那就彻底让它全程落不了地!
3. 对不明调用cmd和powershell,特意加了规则,都有拦截提示。 %Temp%是建在Ramdisk上,里面的exe想执行也有拦截提示。
4. 一切未知程序想联网,都有拦截提示!
目前就只有这几板斧,走一步算一步,真希望有大佬放几个样本出来玩玩。。

评分

参与人数 1人气 +1 收起 理由
KK院长 + 1 你的几板斧足够了

查看全部评分

柯林
发表于 2018-11-27 12:43:53 | 显示全部楼层
本帖最后由 柯林 于 2018-11-27 13:57 编辑

不玩代码,看得稀里糊涂,有兴趣的看下:
查找恶意PowerShell脚本 :https://www.sohu.com/a/198999800_750628
无文件powerdhell攻击实例分析:https://www.freebuf.com/column/149286.html
明白人说下这些东西究竟怎么防御?
补充下:ofiice文档宏病毒投毒实例,可以参看这篇文章:
http://www.cnblogs.com/ichunqiu/p/8659004.html

FD入口防御,除了管制%Temp%及禁止特定格式如*.ps1生成外,是否还有更好的方法?AD防御似乎管制相应的接口调用会有效果?

评分

参与人数 1人气 +1 收起 理由
KK院长 + 1 有毒网告诉小弟一声。

查看全部评分

KK院长
 楼主| 发表于 2018-11-27 18:34:48 | 显示全部楼层
本帖最后由 KK院长 于 2018-11-27 19:22 编辑
柯林 发表于 2018-11-27 12:43
不玩代码,看得稀里糊涂,有兴趣的看下:
查找恶意PowerShell脚本 :https://www.sohu.com/a/198999800_75 ...

把 系统PowerShell 和CMD 删了或阻止,同时禁止*.ps1等脚本不知道可否?win10系统的Windows Managerment Instrumentstion禁止
建议禁用WMI和PowerShell作为防止无文件攻击的预防措施。。


wohaofan1200
发表于 2018-11-27 19:38:03 来自手机 | 显示全部楼层
所以说多步智能主防很必要喽
卡反而
发表于 2018-11-27 20:21:27 | 显示全部楼层
学习了,
柯林
发表于 2018-11-27 20:55:30 | 显示全部楼层
KK院长 发表于 2018-11-27 18:34
把 系统PowerShell 和CMD 删了或阻止,同时禁止*.ps1等脚本不知道可否?win10系统的Windows Managerment  ...

好像说是ps1文件一般是不可以像bat文件一样直接执行的,似乎说是系统认为不安全,需要设置策略啥的才可以
系统自带了一些ps1文件,全部禁止执行,不知道是否影响系统功能。想到的一个方法是禁止创建新的ps1文件
毛豆是不是会入沙,可能没问题;禁止cmd执行powershell之类的可能没多大效果,或影响系统?

cmd.exe删除不用,是不是会影响一些功能?个人想到的折中办法,是禁止cmd执行关键位置(比如桌面、U盘啥的)及一些危险命令(比如格式化命令之类)

没精力折腾测毒,具体毒网、样本啥的,俺也木有。希望有样本或信息的分享下行为防御策略
ELOHIM
发表于 2018-11-27 21:44:40 | 显示全部楼层
本帖最后由 ELOHIM 于 2018-11-27 22:21 编辑

我感觉我遇到的普通用户无力这么操作。
对他们来说,这些几近天书。
他们会两种操作,双击和点击。并且执行速度很快,性子一般都很急。
他们需要现成的东西,所以,ghost系统将安全设置全部完成再给他们用最好。
当然,你会很快就烦他们跟你问问题,这个什么意思,那个什么意思,这个怎么执行不了,安装失败怎么办。。。。。。

还有重点,管理员密码是什么……

评分

参与人数 2人气 +2 收起 理由
桑德尔 + 1 版区有你更精彩: )
HEMM + 1 慧眼独具~

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2018-12-10 12:39 , Processed in 0.056062 second(s), 5 queries , MemCache On.

快速回复 返回顶部 返回列表