楼主: KK院长
收起左侧

[分享] 【科普】普通用户在日常中网络安全意识

  [复制链接]
柯林
发表于 2018-11-26 11:23:16 | 显示全部楼层
从小白的角度胡扯几句(原谅我不懂编程)
“无文件病毒,shellcode攻击”以及“一旦打开某网页,或者运行某程序,立即下载病毒执行,从而中招”……诸如此类的说法,一度吓坏了俺这样的小白!到底有没有这么神,有木有,俺真的不知道,希望有人科普一下。

结合俺的小白认知水平,个人理解,似乎被宣传得“过头”了,有些违背基本常识,哪有“来无影去无踪毫无痕迹的东西”?0day漏洞那个就不用讨论了,厂商没推出补丁之前,基本是无解。

以所知而论,“无文件病毒”,貌似常指两类,一类是dll,一类就是脚本,相对于常见的exe之类,不容易捕捉。
至于一旦打开某网页,或者运行某程序(譬如adobeflash)就中毒,以及邮件投毒之类,似乎也专注于“吓人”了。
原理上来说,似乎并不存在“无文件”病毒,充其量是不写入本地或留存在本地磁盘上。以所见的一些帖子分析为例,这些病毒,关键主体是个脚本(很小,可能只有1kb左右),根据文件关联设定,这东西不管存在哪里,系统都会调用脚本解释器去执行(譬如powershell.exe与wscript.exe),
这个脚本病毒依据代码,要么去下载病毒主体,要么去下载危险代码来执行,可能喜欢以隐藏窗口的方式执行,完毕删除所有的东东,整个过程悄无声息,给人错觉(从不存在一样),好像大致就这样。

所以无论是office病毒还是其它什么,实际上是脚本病毒。有些杀软对脚本检查不力,可能就会翻车。依据脚本代码,大致是几种类型:
1、链接毒网,下载病毒,可能是传统的exe病毒,下载来后保存本地,直接用脚本启动或者设置注册表之类实现开机启动;也可能是个压缩包,里面有exe或者dll,不需要解压出来执行,是直接执行压缩包内的病毒。关键是脚本,控制住它的宿主(譬如wscript.exe)不让联网,或者不让执行根据位置(譬如%Temp%),实际是可以拦截的。
2、更鬼一点,直接下载代码(可能是个txt文件,一般的杀毒软件根本不会检测txt文件),读取代码执行,整个过程除了脚本宿主(譬如cmd.exe或wscript.exe),根本没有病毒主体存在,于是让人误以为“无文件病毒”。

主要的形式与手段,大概就是这样。说到底,其实是属于脚本病毒。这些脚本代码,可以附加在任何一种文件类型上(譬如pdf,html,txt,MP3,swf……)所以打开一张图片或播放一个动画视频中毒,其实是受害于“恶意脚本代码”。

有主防的杀软或者HIPS功能的,防御这些其实不是什么难事。shellcode之类一度被传得很神的东西,“只存在于内存”的病毒,其实并非是“鬼影”,实际上依然是有文件存在,只不过这文件可能是个脚本以及存储代码的txt文本或压缩包之类。无文件的东西太玄乎,违反逻辑与基本原理,不可能存在。

由于不懂编程,也不折腾分析,小白只能依据一知半解说个大致性的观感,如有错误,还请原谅与指正。

评分

参与人数 1人气 +1 收起 理由
KK院长 + 1 赞一个!

查看全部评分

浅美
发表于 2018-11-26 12:35:29 | 显示全部楼层
KK院长 发表于 2018-11-26 10:18
第三方office软件同样存在宏问题和本身软件0day漏洞,宏可以关闭,0day漏洞要么hips防范,要么缓冲区漏洞 ...

我在极速office根本找不到宏相关设置,不知道宏是开是关
KK院长
 楼主| 发表于 2018-11-26 13:23:33 | 显示全部楼层
浅美 发表于 2018-11-26 12:35
我在极速office根本找不到宏相关设置,不知道宏是开是关

估计冷门的软件被干的机会相对少一点,我看事不大。
www-tekeze
发表于 2018-11-26 13:34:02 | 显示全部楼层

1. 主力早就换成WPS了,虽然免不了存在漏洞,但没太多人去研究吧,最起码东欧、毛子的高级Hacker们不会感兴趣。
2. Office和WPS都是运行在SBie沙盘里,而沙盘是建在Ramdisk上,不落地?那就彻底让它全程落不了地!
3. 对不明调用cmd和powershell,特意加了规则,都有拦截提示。 %Temp%是建在Ramdisk上,里面的exe想执行也有拦截提示。
4. 一切未知程序想联网,都有拦截提示!
目前就只有这几板斧,走一步算一步,真希望有大佬放几个样本出来玩玩。。

评分

参与人数 1人气 +1 收起 理由
KK院长 + 1 你的几板斧足够了

查看全部评分

柯林
发表于 2018-11-27 12:43:53 | 显示全部楼层
本帖最后由 柯林 于 2018-11-27 13:57 编辑

不玩代码,看得稀里糊涂,有兴趣的看下:
查找恶意PowerShell脚本 :https://www.sohu.com/a/198999800_750628
无文件powerdhell攻击实例分析:https://www.freebuf.com/column/149286.html
明白人说下这些东西究竟怎么防御?
补充下:ofiice文档宏病毒投毒实例,可以参看这篇文章:
http://www.cnblogs.com/ichunqiu/p/8659004.html

FD入口防御,除了管制%Temp%及禁止特定格式如*.ps1生成外,是否还有更好的方法?AD防御似乎管制相应的接口调用会有效果?

评分

参与人数 1人气 +1 收起 理由
KK院长 + 1 有毒网告诉小弟一声。

查看全部评分

KK院长
 楼主| 发表于 2018-11-27 18:34:48 | 显示全部楼层
本帖最后由 KK院长 于 2018-11-27 19:22 编辑
柯林 发表于 2018-11-27 12:43
不玩代码,看得稀里糊涂,有兴趣的看下:
查找恶意PowerShell脚本 :https://www.sohu.com/a/198999800_75 ...

把 系统PowerShell 和CMD 删了或阻止,同时禁止*.ps1等脚本不知道可否?win10系统的Windows Managerment Instrumentstion禁止
建议禁用WMI和PowerShell作为防止无文件攻击的预防措施。。


wohaofan1200
发表于 2018-11-27 19:38:03 来自手机 | 显示全部楼层
所以说多步智能主防很必要喽
卡反而
发表于 2018-11-27 20:21:27 | 显示全部楼层
学习了,
柯林
发表于 2018-11-27 20:55:30 | 显示全部楼层
KK院长 发表于 2018-11-27 18:34
把 系统PowerShell 和CMD 删了或阻止,同时禁止*.ps1等脚本不知道可否?win10系统的Windows Managerment  ...

好像说是ps1文件一般是不可以像bat文件一样直接执行的,似乎说是系统认为不安全,需要设置策略啥的才可以
系统自带了一些ps1文件,全部禁止执行,不知道是否影响系统功能。想到的一个方法是禁止创建新的ps1文件
毛豆是不是会入沙,可能没问题;禁止cmd执行powershell之类的可能没多大效果,或影响系统?

cmd.exe删除不用,是不是会影响一些功能?个人想到的折中办法,是禁止cmd执行关键位置(比如桌面、U盘啥的)及一些危险命令(比如格式化命令之类)

没精力折腾测毒,具体毒网、样本啥的,俺也木有。希望有样本或信息的分享下行为防御策略
ELOHIM
发表于 2018-11-27 21:44:40 | 显示全部楼层
本帖最后由 ELOHIM 于 2018-11-27 22:21 编辑

我感觉我遇到的普通用户无力这么操作。
对他们来说,这些几近天书。
他们会两种操作,双击和点击。并且执行速度很快,性子一般都很急。
他们需要现成的东西,所以,ghost系统将安全设置全部完成再给他们用最好。
当然,你会很快就烦他们跟你问问题,这个什么意思,那个什么意思,这个怎么执行不了,安装失败怎么办。。。。。。

还有重点,管理员密码是什么……

评分

参与人数 2人气 +2 收起 理由
桑德尔 + 1 版区有你更精彩: )
HEMM + 1 慧眼独具~

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 04:32 , Processed in 0.118622 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表