【中图分类号】R134 .3 【文献标识码】A 【文章编号】1672-3783(2012)10-0455-01 【摘要】计算机已经深入到生活、工作的每个角落,人们用计算机进行通信、存储数据、处理数据等。然而,人们深深依赖的计算机网络,正面临着很多潜在的安全威胁。
本文以Windows操作系统展开讨论,探讨计算机木马、权限提升、盗取信息、远程控制和后门、端口重定向等比较流行的安全威胁,并提出相应的防范措施,以提高计算机用户的网络安全保障。
【关键词】网络安全 威胁
1 网络威胁
1.1 特洛伊木马:特洛伊木马程序技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在Windows启动时运行的程序,采用服务器/客户端的运行方式,从而达到在上网时控制用户电脑的目的。特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码,因此含有特洛伊木马的程序在执行时,表面上是执行正常的程序,而实际上是在执行用户不希望的程序。特洛伊木马程序包括两个部分,即实现黑客目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力,在网络中当人们执行一个含有特洛伊木马的程序时,它能把自己插入一些未被感染的程序中,从而使它们受到感染。此类攻击对计算机的危害极大,通过特洛伊木马,黑客可以读写未经授权的文件,甚至可以获得对被攻击的计算机的控制权。
1.2 权限提升:当黑客获得对被攻击的计算机的用户账户,他们就会立即着眼于终极账户Ad-ministrator或SYSTEM账户。不幸的是,在抵御权限提升攻击方面,最新版的Windows并不比先前的版本更健壮。下面是曾经出现的对Windows系统危害最严重的两个权限提升的攻击例子。(1)Sechole。在getadmin工具之后不久出现的Sechole工具,可以突破NT4向用户授予debug(调试)权限的脆弱性访问控制检查,把普通用户的权限提升到相当于Ad-ministrator的水平。(2)假造LPC(Local Procedures Call,本地过程调用)端口请求。Bindview公司的Ra-zor团队在NT4中发现了这个问题。利用这一漏洞,黑客工具hk.exe可以让一个有交互登陆权限的用户获得相当于Administra-tor的权限。事实证明,一旦黑客获得了交互登陆权限,Windows系统就很难阻止进一步的权限提升攻击了。从技术上讲,获得Adminis-trator权限并不等于获得了Windows的最高权限。SYSTEM账户比Administrator账户的权限还要高。不过,有了Windows权限,获得SYSTEM权限就很简单了,有好几种非常简单的办法就可以让“系统管理员”达到这一目的。一种办法是利用Windows的Sched-uler(计划任务)服务打开一个命令Shell,如下所示:C:\>at 14:53/INTERACTIVE cmd.exeSysinternals.com免费的psexec工具也可以让你达到这一目的,这个工具甚至可以允许远程方式获得和使用SYSTEM权限。
1.3 盗取信息:在获得了相当于Administrator的地位之后,黑客通常会尽可能多的收集一些能帮助他们进一步占据被攻陷系统的信息。这一阶段称为“盗取信息”。以下介绍盗取口令字信息的攻击例子:
1.3.1 获得口令字密文与破解(1)通过对屏幕保护程序的替换达到运行cmd的目的。工具:MS-DOS启动盘(光盘,软盘都行。如果目标机器的系统盘是NTFS的,就要用NTFSDOS)。方法:用启动盘引导启动,进入纯DOS模式后,输入以下代码:cd C:/WINDOWS/system32(假设此路径为%systemroot%的位置)copy logon.scr C:/logon.scr(把logon.scr文件做备份)copy cmd.exe C:/cmd.exe(把cmd.exe文件做备份)del logon.scr ren cmd.exe logon.scr重启,进入输入密码界面,什么也不要动,等十分钟,系统会自动运行屏幕保护程序。但它已经被cmd替换了,于是一个拥有LocalSystem权限的命令提示符窗口就出现了。(2)利用pwdump2获取口令字密文。工具:pwdump2。方法:获得管理员权限后,在命令提示符中运行pwdump2,就可以提取口令字密文。假设pwdump2在F:/tools目录下,输入:F:cd toolspwdump2就可以在窗口中显示口令字密文。如果你想把它存储在文本文件里,就输入pwdump2>>passwd.txt(">>"是把屏幕输入重定向至文件的符号)这样,你就可以把包含口令字密文的passwd.txt拷到自己的电脑里,做进一步的破解了。(3)利用L0phtcrack工具破解口令字密文。工具:L0phtcrack。方法:启动L0phtcrack,关掉向导,新建会话,单击工具栏上的导入图标,选择“从PWDUMP文件”输入刚才用pwdump2生成的文件路径,点确定,再单击工具栏上的开始图标,就可以开始破解。默认的破解程序是:字典破解→混合破解→暴力破解。对一个中级强度的10位密码,它基本可以在5小时内破解。(具体时间由CPU性能决定)
2 防护措施
(1)防止在正常程序中隐藏特洛伊木马的主要方法是人们在生成文件时,对每一个文件进行数字签名,而在运行文件时通过对数字签名的检查来判断文件是否被修改,从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
(2)对于权限提升的防护2。首先,及时给你的Windows打好补丁。getadmin和PipeUpAdmin等工具利用的是操作系统核心功能里的缺陷,如果不能代码级修补好这些缺陷,问题就得不到解决。在Win-dows2000和更高版本上检查交互登陆权限的方法是:运行“Local/Group SecurityPolicy”(本地\组安全策略)工具,找到“LocalPolicies/User Rights Assignment”(本地策略\用户权限)结点,然后检查“Log OnLocally”(本地登录)权限的授予情况。在Windows2000和更高版本里,许多种权限都有了一个“反”权限,这种新机制可以把某些用户组或用户单独挑出来排除在授权范围外。比如,把“Deny Logon Locally”(不允许本地登录)权限授予某位用户,他就不能进行本地登录。