赛博战线-网络安全专业频‪道‬ 赛博赛客

网站：http://www.cyberwarface.com/
博客：http://www.cyberwarface.com/index.php/2017/10/611
微信：cyberwarface

网站：http://www.cyberwarface.com/
博客：http://www.cyberwarface.com/index.php/2017/07/592
音频：http://m.ximalaya.com/22885296/sound/44346516
微信号：cyberwarface



本期内容：
　　大家好，本期节目为将大家继续介绍DDOS。在DDOS系列节目第一期中，我们介绍了DDOS攻击的基本概念，并大致聊了下当今DDOS攻击的特点及主要防御手段。从当今DDoS攻击的特点来看，其攻击形式在飞速进化。它们更加难以应对，攻击手法也在经常出现一些让人意外的方式；其攻击规模与破坏能力飞快增长， DDOS的危害越来越大。未来，DDOS将何去何从呢？我们需要从历史中需求答案。
　　本期节目，我将沿着历史的轨迹，为大家详细介绍一下DDOS攻击的发展过程，讲述几个主要的历史事件及背后的技术原理。

1、早期的DDOS攻击
　　大家经常会听到“黑客”、“骇客”、“红客”、“极客”、“白帽子”、“黑帽子”，这些词其实都是特指了这样一群人，他们酷爱钻研技术，具备聪明的头脑及敏锐的直觉。他们充满好奇心，而又执着坚韧，为追求事情背后的真相而不惜一切。他们洞悉系统的本质，找到了系统的缺陷与不足，具备了常人难以企及的技术能力。在这个阵营里，无论男女，不分老幼，坚信达者为先。他们是世界的破坏者，也是技术的推动者，他们可能是可怕的敌人，也可能是强大的保护神。想给这群人做个准确的定义真的很难，勉强统称他们为“黑客”，而根据其行为方式、危害程度，用不同的名字加以区分。
　　而早期的互联网，不想现在这样深入我们的生活。网络攻击的经济利益远远没有达到让人疯狂的地步。这个时期的“黑客”活动主要以炫耀技术为主要目的。这个时期的DDOS攻击往往没有特定的目标，攻击与被攻击的随机性很强，很有可能只是黑客为了验证某种新发明的攻击方法而随意挑选的受害者。而那时的网络又是那么的脆弱，一种新型的攻击方法，往往能引发轰动性的效果，虽然对受害者来讲往往不会造成实质性的损失，但却可以极大的满足“黑客”们的虚荣心，成为“黑客”证明自身能力的途径，也是向朋友炫耀的主要方式。

1.1、1988年Morris（莫里斯）蠕虫
　　早在当今的互联网还没有正式诞生的ARPANET时代，造成了人类网络史上第一次DDoS攻击事件。罗伯特·莫里斯（Robert Tappan Morris）还在康乃尔大学读研究生一年级的时候，单纯的为了“想测量互联网的大小”，在当时的ARPANET网上发布了一个小程序，但代码出现了很明显的错误，导致这个程序无法独立确定系统是’干净’还是受感染。原本是针对远程计算机的一次性攻击，变成了蠕虫不断在相同的系统内自我复制，一旦开始就没办法停下来。结果造成整个网络所有6万个网络节点无一幸免，全部陷入瘫痪。这个事件，造就了人类第一个病毒，也造就了第一次大规模的DDoS攻击！1990 年，法官 Howard Munson 判处 Morris 三年监外缓刑，400 小时社区服务，以及 1 万美元的罚款。

Robert Tappan Morris–互联网首个计算机蠕虫病毒的作者

被保存在计算机历史博物馆的Morris蠕虫源代码

1.2、1996年第一次DoS攻击
　　1996年9月6日下午5点半左右，纽约历史最悠久、规模最大的互联网服务提供商Panix遭受了人类史上第一次的DoS定点攻击。整个公司的邮件、新闻、WEB及域名服务同时被攻击，导致至少6000名用户无法收邮件。
　　攻击者采用的方法非常简单，不断向服务器发送连接请求（TCPSYN请求），速度高达每秒150次。而服务器忙于应对这些请求，从而无法回应正常的用户。这

网站：http://www.cyberwarface.com/
博客：http://www.cyberwarface.com/index.php/2017/07/445
音频：http://m.ximalaya.com/22885296/sound/42990624
微信：cyberwarface

本期内容：
　　上一期，我为大家介绍了“必加”的主要特点及传播方式，也提到了一个“自杀开关”，虽然不能保证完全能够防住所有变种，但也不妨应急使用一下。本期将为大家介绍一下“必加”与WannaCry“想哭”的区别，以及防御手段。最后，为大家介绍一下安全专家是如何定位“必加”的。
　　我们先看下“必加”和WannaCry“想哭”有哪些区别
3、与WannaCry“想哭”的区别




 　　Petya更加的小巧精悍，WanaCry是一个3.4MB左右的.exe文件，而Petya为一个354KB的.dll文件。但在攻击能力上，Petya的渗透方式更多，从WanaCry渗透模块CFG结构图和Petya渗透模块CFG结构图的对比来看。WanaCry和Petya两者都采集到445端口的数据包，都用到了『永恒之蓝』漏洞进行渗透。但是Petya还具有了某些APT的横向移动属性，利用管理共享在局域网内传播，而后通过wmic来实现远程命令执行。这个比WanaCry的渗透能力要高一截。
　　Petya和传统的勒索软件不同，不会对电脑中的每个文件都进行加密，而是通过加密硬盘驱动器主文件表（MFT），使主引导记录（MBR）不可操作，通过占用物理磁盘上的文件名，大小和位置的信息来限制对完整系统的访问，从而让电脑无法启动。这种方式和加密文件是完全不同的，如果加密文件是将书柜里的每本书加把锁的话，加密磁盘相当与将整个书柜都加了锁。而MFT、MBR则是描述这个书柜如何分配空间的，一本书的每一页都存在什么位置的，如果这个信息被加密了，文件内容还原的难度就很大了。
4、手工阻断方式
a、关闭主机共享端口，或通过防火墙阻断，端口为TCP 135、137、139、445等。另外3389端口也建议关闭。
b、停止WMI服务：
　　WMI（Windows Management Instrumentation,Windows 管理规范）是一项核心的 Windows 管理技术；用户可以使用 WMI 管理本地和远程计算机，Windows 2K/XP和Windows 98 都支持WMI；如果为NT 4.0和Windows 95加上了 Service Pack 4或更高版本，NT 4.0和Win95也支持WMI。需要停止此服务，具体方法为：
　　在控制面板中，选择管理工具，在管理工具中点击服务，或者在开始-运行（WIN+R），输入services.msc运行，进入服务管理页。
　　按字母排序，找到WMI（显示名称为：WindowsManagement Instrumentation）服务，点右键进入属性页面，停止服务，并将“启动类型”改为“禁用”，如下图所示：

5、防护建议
 　　a、养成良好的安全习惯，不要点击不明邮件附件，不通过聊天软件接收不明文件，尤其是rtf、doc、lnk等格式；
 　　b、安装杀毒软件，及时更新病毒代码；
 　　c、及时更新windows系统补丁，具体修复方案可参考“永恒之蓝”。补丁及说明地址如下：
MS17-010：https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
CVE-2017-0199：https://technet.microsoft.com/zh-cn/office/mt465751.aspx
旧平台指导：https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
 　　d、加强密码策略，不使用更改空口令和弱口令，并做到不同主机不使用相同的账号密码，及时修改密码
 　　e、在内部网络中，先断开网络并更新补丁。
6、总结
 　　“必加”（Petya）的一种说法是东欧女性的名字，来自斯拉夫语系，另一种说法为一款前苏联的轻型护卫舰的名字。整个攻击过程也体现了明显的地缘特点，并且也发现了“自杀开关”，病毒很容易就被抑制住了。如果是一个纯粹的

网站：http://www.cyberwarface.com/
博客：http://www.cyberwarface.com/index.php/2017/07/445
音频：http://m.ximalaya.com/22885296/sound/42902190
微信：cyberwarface

本期内容：

　　距上次的节目已经过去十多天了，最近工作实在太忙，耽误了节目更新。本以为这段时间网络安全事件应该稍微平息一段时间，但事实恰恰相反，新的勒索病毒变种再次席卷全球。这次要为大家介绍的是“必加”（Petya），最早于2016年3月首次出现，也被成为Petya.A, Petrwrap,NotPetya, exPetr, 或GoldenEye。这款病毒和之前介绍的“永恒之蓝”（WannaCry“想哭”）有很多相似之处，都利用了MS17-010漏洞，相信大家听了这期节目后都打好了补丁，应该不会收到此次病毒的影响。
1、事件回顾
　　2017年6月27日晚间7点左右，欧洲大概是在下午的时候，一种新的勒索病毒变种悄然在全球开始爆发，这就是“必加”（Petya）。受影响最严重的国家是乌克兰，据称四分之三 (75%) 的受害者在乌克兰，包括其副总理Pavlo Rozenko、乌克兰切尔诺贝利核设施辐射监测系统、国家储蓄银行（Oschadbank）、Privatbank等银行、国家邮政（UkrPoshta）、国家电信、市政地铁、乌克兰首都基辅的鲍里斯波尔机场、电力公司（KyivEnergo）等均收到了严重影响。
　　乌克兰内政部部长顾问安东-格拉斯申科(Anton Gerashchenko)通过Facebook称，此次病毒入侵堪称“乌克兰史 上最大规模的病毒攻击”。他还称，黑客此次攻击目的就是“要扰乱乌克兰的经济形势和公民意识，尽管此攻击伪 装成敲诈阴谋”。
　　除了乌克兰，俄罗斯也是主要的受害者，俄罗斯最大的石油公司（Rosneft俄罗斯石油公司）、俄罗斯最大的钢铁公司（Evraz耶弗拉兹）也受到了较严重的影响，据该公司的声明称，由于顺利转换到“管理生产流程的备份系统”而避免了此次黑客攻击所带来的“严重后果”。

　　另外，澳大利亚（巧克力工厂）、新西兰、印度（最大集装箱港口）、南韩、巴西、智利、阿根廷、土耳其、以色列、白俄罗斯、立陶宛、挪威、荷兰、罗马尼亚、西班牙、法国（建筑材料公司圣戈班）、丹麦（海运公司穆勒-马士基）、德国、英国（广告巨头 wpp、吉百利）、美国（医药企业）以及欧洲多国均纷纷中招。我国已经发现了此病毒的传播情况，部分主机已经中招。但由于我国在“永恒之蓝”（WannaCry“想哭”）事件中进行了有效的应急处置，此次事件对我国影响较小。
　　袭击者关注并攻击公司主要是出于：
　　一是公司有足够的资金，而且为了修复关键的数据，能够为此支付赎金。
　　第二个原因是公司与公司间内部可能有成百上千台电脑都是互相连接的，如果感染了一家公司，那么所有的公司可能会被立即感染。
　　此次“必加”（Petya）勒索病毒攻击仍然是以加密电脑数据并勒索赎金为主要目的，受害者若想解锁需以比特币形式支付约合300美元赎金。
　　在这里要提醒大家，千万不要交赎金，我们要一致对抗黑客的勒索行为，不与恶势力妥协。当然，这是次要原因。主要原因是，黑客的邮箱已经被关闭，即便交了赎金肯定也收不到解密密钥了。获得解密被加密的机器的代码一般遵循以下几个步骤：以匿名的方式向“比特币钱包”支付比特币。这一步仍然奏效。第二步就是向攻击者提供的电子邮箱发送邮件，他们会提供解密代码。但是，为了阻止受害者继续以徒劳的努力恢复他们丢失的数据，德国的电子邮箱供应商hostPosteo关闭了攻击者的电子邮件帐户,wowsmith123456@posteo.net。也就是说，你仍然可以

本期博客URL：http://www.cyberwarface.com/index.php/2017/06/330

本期节目URL：http://m.ximalaya.com/22885296/sound/41504277

本期内容：



　　在第四期的《“暗云”来袭》的节目中，我着重介绍了僵尸网络的危害，其中就讲到了DDOS（分布式拒绝服务）攻击的事情。在接下来的几期节目中，我将针对DDOS做一个系列节目，从多个方面为大家分享DDOS相关的故事以及背后的知识点。
1. 618与DDOS
　　今年的618网购狂欢节刚刚过去，各个电商平台各个大显身手，赚了个盆满钵满。相信听众朋友们也抢到了很多宝贝。可是大家是否知道，每年的双11、618，包括各大产品的发布会都成了网络攻击的重灾区。据统计，618前一周，攻击环比就增长了340%，其中薅羊毛和DDoS占比最大，在我们疯狂抢购的同时，一场悄无声息的“DDoS攻坚战”正在进行着。

　　一直关注罗永浩与锤子手机的人一定记得，锤子科技2015年的最新产品坚果手机发布会，开场时间足足晚了半个多小时，发布会上老罗用的PPT也是状况百出，不是翻页混乱就是排版错误。更糟糕的是，在发布会进行的同时，用户无法登录购买。这次的发布会向众多不懂技术的消费者科普了一个互联网术语，那就是“DDoS攻击”。

　　从1996年拒绝服务攻击诞生以来，DDoS攻击越来越呈现出大流量、多手段、IOT化的趋势。据某安全机构发布的DDoS攻击报告指出，仅在去年，拦截的最大攻击流量接近400G，时间最长的攻击超过43天。

　　数据监控机构Neustar发布的2017年第一季全球DDoS攻击研究报告指出，通过对1010个组织调查发现，有84%的组织在今年一季度遭受过DDoS攻击，而其中又有85%遭受到多次攻击;而人口密度大、商业利润高、恶意竞争多发的金融、游戏、电商行业成DDoS攻击的重灾区。

2.    什么是DDOS攻击
　　正是由于网购、网游、网络媒体、互联网金融的高速发展，各大网站对“流量”的竞争越来越激烈，如何在重大活动中保障良好的响应能力成为竞争的主要焦点。那么DDOS攻击时如何进行破坏的呢？什么是DDOS攻击呢？首先，从一个比方来深入理解什么是DDOS：

　　一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业，他们会采取什么手段呢？恶霸们扮作普通客户一直拥挤在对手的商铺，赖着不走，真正的购物者却无法进入；或者总是和营业员有一搭没一搭的东扯西扯，让工作人员不能正常服务客户；也可以为商铺的经营者提供虚假信息，商铺的上上下下忙成一团之后却发现都是一场空，最终跑了真正的大客户，损失惨重。此外恶霸们完成这些坏事有时凭单干难以完成，需要叫上很多人一起。嗯，网络安全领域中DoS和DDoS攻击就遵循着这些思路。

　　在信息安全的三要素——“保密性”、“完整性”和“可用性”中，DoS（Denial of Service），即拒绝服务攻击，针对的目标正是“可用性”。该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源，使得该目标系统无法提供正常的服务。

　　DdoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能，它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少。这时候分布式的拒绝

0x005_又见“震网”20170614
1.事件简介
　　昨日，我刚刚做完上期的《“暗云”来袭》的节目，本以为可以休息几天，再组织些“震网”病毒的内容做为下一期的选题。不料，就在今天（2017年6月14日）各大安全机构再次发布了漏洞安全通告，其中一个内容就是“震网三代”。看来，我的下一期节目只能提前了。
　　先说一下此次“安全通告”的情况：
　　本次通告主要针对Windows Search远程代码执行漏洞(cve-2017-8543)及LNK文件快捷方式代码执行漏洞(cve-2017-8464)。 
　　微软 14 日凌晨发布的安全公告，称 CVE-2017-8464 被国家背景的网 络攻击所使用，实施攻击。 
　　该漏洞的原理同 2010 年破坏伊朗核设施的震网行动中所使用的、用于穿透 核设施中隔离网络的 Windows 安全漏洞 CVE-2010-2568 非常相似。它可以很容易 地被黑客利用并组装成用于攻击基础设施、存放关键资料的核心隔离系统等的网 络武器。  
　　微软在同一天发布了 Windows XP 和 Windows Server 2003 等 Windows 不继续 支持的版本的补丁，这个修改是为了避免上月发生的 WannaCry 蠕虫勒索事件的 重现。 
　　Window XP 的补丁更新可以在微软下载中心找到，但不会自动通过 Windows 推送。
1.1.Microsoft Windows Search 远程命令执行漏洞
1.1.1.漏洞背景
　　Windows 搜索服务(Windows Search Service)漏洞是一个远程代码执行漏洞(WSS:Windows 中允许用户跨多个 Windows 服务和客户机搜索的 功能)。
　　Windows Search的功能是为我们电脑中的文件、电子邮件和其他内容提供内容索引、属性缓存和搜索结果。Windows Search默认是开机启动的，它会利用计算机的空闲时间来建立索引，加大对计算机硬盘的使用率。攻击者通过精心构造”搜索”的Server MessageBlock (SMB)消息来攻击windows search组件，从而实现远程命令执行，同时获取到所有管理权限。
1.1.2.漏洞影响
　　危害级别: 严重
　　发现日期: 2017年6月13号
1.1.3.漏洞编号
　　CVE-2017-8543
1.1.4.影响版本
　　◆Microsoft Windows 10 Version 1607 for32-bit Systems
　　◆Microsoft Windows 10 Version 1607 forx64-based Systems
　　◆Microsoft Windows 10 for 32-bit Systems
　　◆Microsoft Windows 10 for x64-based Systems
　　◆Microsoft Windows 10 version 1511 for32-bit Systems
　　◆Microsoft Windows 10 version 1511 forx64-based Systems
　　◆Microsoft Windows 10 version 1703 for32-bit Systems
　　◆Microsoft Windows 10 version 1703 forx64-based Systems
　　◆Microsoft Windows 7 for 32-bit Systems SP1
　　◆Microsoft Windows 7 for x64-based SystemsSP1
　　◆Microsoft Windows 8.1 for 32-bit Systems
　　◆Microsoft Windows 8.1 for x64-based Systems
　　◆Microsoft Windows RT 8.1
　　◆Microsoft Windows Server 2008 R2 forItanium-based Systems SP1
　　◆Microsoft Windows Server 2008 R2 forx64-based Systems SP1
　　◆Microsoft Windows Server 2008 for 32-bitSystems SP2
　　◆Microsoft Windows Server 2008 for x64-basedSystems SP2
　　◆Microsoft Windows Server 2012
　　◆Microsoft Windows Server 2012 R2
　　◆Microsoft Windows Server 2016 
1.2.Microsoft Windows LNK 快捷方式远程命令执行漏洞
1.2.1.漏洞背景
　　该漏洞是一个微软 Windows 系统处理 LNK 文件过程中发生的远程代码执行 漏洞。在windows中快捷方式LNK文件小巧，打开程序方便。但是也会因为漏洞造成很大影响，比如远程命令执行。攻击者可以通过（u）盘等设备包含恶意LNK文件进行传播，当存在漏洞的电脑被插上存在漏洞文件的 U 盘时，不需要任何额外操作， 漏洞攻击程序就可以借此完全控制用户的电脑系统。如果用户通过Windows资源管理器或者远程共享打开了恶意LNK文件，或者从互联网下载、拷