网络安全逆向分析（康众网络安全周报第九期黑客渗透攻击方式全解析）

康众网络安全周报第九期丨共同期待网络安全法

2016年5月27日 第9期

让网络世界绽放无尽的阳光，网络安全让黑客无所遁形

来源.国家互联网应急中心

放马站点是网络病毒传播的源头。本周，监测发现的放马站点共涉及域名117 个，涉及 IP地址363个。在 117个域名中，有 38.5%为境外注册，且顶级域为.com的约占73.5%；在363个IP中，有约94.2%位于境外。根据对放马URL的分析发现，大部分放马站点是通过域名访问，而通过IP直接访问的涉及26个IP。

来源.国家互联网应急中心

本周境内感染网络病毒的主机数量约为83.8万个，其中包括境内被木马或被僵尸程序控制的主机约57.8万以及境内感染飞客（conficker）蠕虫的主机约26.0万。

来源.国家互联网应急中心

本周监测发现境内被篡改网站数量为3143个;境内被植入后门的网站数量微8823个；针对境内网站的仿冒页面数量为4861个。

来源.国家互联网应急中心

本周，国家信息安全漏洞共享平台新收录网络安全漏洞219个，信息安全漏洞威胁整体评价级别为中。

来源.国家互联网应急中心

本周CNVD发布的网络安全漏洞中，应用程序漏洞占比最高，其次是操作系统漏洞和Web应用漏洞。

本周安全资讯

1、工信部：《网络安全法》今年有望出台

近些年，网络安全问题越来越复杂，网络安全不再仅仅是保障网民网安全的问题，更加开始参与到人们的各项生活活动，并且还与国家的经济安全紧密相连。而工信部近日表示。《网络安全法》今年有望出台，可见网络安全问题已经引起各方面的高度关注。这是实施网络强国战略的必经之路，将“安全”作为未来信息基础设施的重要内涵。

2、第十三届中国网络安全年会在成都召开

“十三五”时期是我国全面建成小康社会的决胜阶段,也是加快建设网络强国的关键阶段,同时是加快建设网络强国的关键阶段,党中央高度重视网络安全和信息化工作。本次大会了还举办了中国网络安全技术对抗赛，来参赛的都是网络安全技术牛人，同时也为广大网络安全技术爱好者提供了一个交流的平台。

3、美网络安全演练，召集1.4万黑客“黑掉五角大楼”

1.4万黑客尝试入侵国防部网络系统，此次攻击总结工作将在6月公布，小编将于大家一起期待结果。演练有利于“发现漏洞并制定应对措施”，小编建议，我大天朝是不是也可以组织类似的攻击活动，这样有利于提升政府内部处于网络安全事故处理的应急能力，使得发生网络安全事故是处理的更加从容。

4、越南一家银行遭到黑客攻击，SWIFT存在安全漏洞

又是银行又是银行，小编每期都要提起银行的网络安全。可是就是防不慎防，这不越南一家银行又被黑了，此银行几乎处于被洗劫一空的状态，各国央行虽然一直在关注网络犯罪，但最初只是把目光投向国内的银行业和自己的网站，但事实证明是国际支付的神经系统 SWIFT 存在安全漏洞，这让各国央行非常担忧。中国的金融巨头们，你们准备好了吗？

网络安全课堂：黑客渗透攻击方式全解析

A． 预攻击阶段常见方式

1. whois信息查看

whois是用来查询域名对应的IP地址以及注册域名的组织或个人等信息的传输协议。也就是说，whois信息可以用来查询某一个域名是否被注册了，以及注册该域名的详细信息，包括域名所有人、域名所有人电子邮箱地址、域名注册商信息等。目前网络环境中有很多网站提供在线查询whois信息的功能，可以很方便实现对该信息的查看。

2. DNS域传送漏洞利用

DNS域传送漏洞是由于DNS服务器配置不当，导致黑客可以通过nslookup命令对相应的数据进行请求查询并获取相应的域名及对应IP信息的敏感数据，而这些信息都将成为黑客攻击阶段的主要攻击目标地址。

3. Web应用程序漏洞扫描

Web应用程序漏洞利用已经成为目前黑客渗透攻击最主流的攻击手段，在黑客对信息收集过程中，对Web应用程序漏洞的扫描也是预攻击计算中一个重要的步骤。尤其是目前网络环境中针对该种类型的扫描工具相当丰富，比较出名的工具像商业版的Acunetix Web Vulnerability Scanner、IBM公司的AppScan等，其他免费或开源的Web应用程序漏洞扫描工具更是数不胜数，而这些工具都可以通过傻瓜式的操作实现对目标Web应用程序的安全性进行扫描并给出扫描报告。

B． 攻击阶段常见方式

1. 利用Web应用程序漏洞攻击

Web应用程序漏洞利用攻击是目前网络环境中黑客使用最多的攻击方式，由于该种利用方式漏洞类别较多并且攻击难度低的原因，导致该种利用方式被大量的黑客所掌握。更有甚者，即使在不了解技术细节的情况下，菜鸟黑客仍然可以借助网络上发布的黑客工具实现对目标网站的攻击。

2. 利用Web框架漏洞攻击

在目前Web应用开发过程中，使用MVC框架是一种很流行的做法。MVC框架将Web应用分成三个层次，其中View层负责用户浏览展示工作，Controller层负责Web应用的逻辑，它接收View层传入的请求，并将相应的请求转发给对应的Model进行处理，由Model层完成数据的处理。MVC框架通过切片和过滤等方式实现对数据进行全局处理，为Web应用的设计开发与安全提供了便利。

3. 服务器C段渗透攻击

服务器C端渗透攻击是指当目标服务器的安全性相对配置较严时，黑客很难通过目标服务器本身实现渗透攻击的目的，那么此时黑客可以尝试通过目标服务器IP地址所在的C段地址进行扫描渗透，攻击目标服务器所在局域网环境的其他主机，在获取权限以后，再通过ARP欺骗嗅探等方式对目标服务器进行攻击渗透。

C． 后攻击阶段常见方式

1. 内网渗透

内网渗透是指黑客通过外网访问的方式获取到了目标环境中对外提供服务的服务器权限以后，利用获取到权限继续对该服务器所在的局域网环境中的其他主机进行渗透攻击的过程。由于大多数企业和个人对待内外网安全水平的态度有较大的差异，往往将很多的精力都放在外网的安全上，而内网的安全却被忽视，导致已经公布很久的漏洞仍然没有修补或者针对内网主机的密码设置的复杂度也不是很高。

2. 提升权限

权限提升是指黑客在攻击阶段获取的权限大多数情况下是普通用户权限，而普通用户权可浏览和操作的范围相当有限，在获取某些数据时，会因为权限不足导致获取数据内容失败。因此需要在已经获取到的普通权限的基础上进一步提升操作权限到system权限才可以进行相应的操作。

3. 后门安装

后门安装是指黑客在获取目标主机的权限以后，会通过安装隐蔽性较高的特洛伊木马、Rootkit等程序作为方便日后进入服务器进行信息查看或获取的后门。后门包括的种类有很多种，包括替换文件形成的后门、端口复用的后门程序以及隐匿于操作系统内核的Rootkit等。大多数黑客不会通过添加一个系统账户包括隐藏账户的方式方便以后进入服务器，因为这种方式很容易被系统管理员通过日志审计或查看用户的方式发现黑客的踪迹，所以比较流行的方式是通过安装后门应用程序的方式实现。

好料推荐：针对市场上如此多的路由器都存在着安全问题，在这种情况下，康众推出了一款超安全路由器——铁幕护盾。一款由中国计算机病毒防御中心实验室提供技术支持的家用安全路由器，通过独有的智防加密算法，即使在陌生人得知您WIFI密码的情况下，也无法蹭网。十年研发，颠覆传统路由，开启安全路由新格局。铁幕护盾追求的是更安全、更高捷、更智能、更极客。开创安全网络新世界，为您网络安全保驾护航。

,