全国电力技术协作网首页
CopyRight 2012-2014 DS文库版权所有
论虚拟执行、沙箱、白名单技术对重要系统的保护
(0 次评价)566 人阅读0 次下载
网络安全 409 论虚拟执行、沙箱、白名单技术 对重要系统的保护 国家电投集团河南电力有限公司平顶山发电分公司 薄航、刘毅、王晓兵、田翠峰、翟利霞 摘 要:现如今 APT 攻击猖獗,从 12.23 的乌克兰变电站事件可以发现这就是一起针对乌克兰变电站的 APT 攻击。 从前几年的伊朗震网病毒到如今的乌克兰变电站事件,会发现 APT 攻击层出不穷。尤其是重要系统来说,极其容易被黑 客盯上而遭受破坏,轻则财产以及名誉损失,重则造成人员安全以及国家安全受到威胁,针对于此,如果有一套系统能 够及时发现 APT 攻击进而防御就显得尤为重要。本文主要结合虚拟机、沙箱和白名单技术进行分析实现。 关键词:虚拟执行、沙箱、APT 一、虚拟执行技术 通过在服务器部署 VM 等虚拟机系统,然后将市 面上常见的操作系统诸如 WINDOWS 各个版本以及 LINUX 各个版本。然后将常见的 OFFICE PDF FLASH 等版本都集成在这几个操作系统中。通过在虚拟机 底层内存级设置监控系统进行监控。当有可疑软件 比如 PDF 文件运行在这些虚拟机当中,通过监控系 统监控其调动哪些进程,生成哪些进程,并且调用 那些内存指令。如果这些指令是一个正常的 PDF 文 件的合法行为,那么我们就可以认为这是一个正常 的软件,反之则亦然。如下是具体的 0 DAY 攻击行 为示例: (如图 1) 有一个 PDF 文件(1.pdf)从外部流入到防火 墙上,防火墙通过访问控制查看之后发现是正常的 访问行为就放过此 1.pdf 然后继续下放。然后这个 1.pdf F 经过 IPS 设备(即入侵防御,下文将入侵防 御系统统称为 IPS) ,通过比较 IPS 的内置规则库发 现规则库并没有这个攻击策略,IPS 就会认为这个 1.pdf 为正常的文件放过。 然后这个 IPS 会进入到用 户或者服务器电脑上。 这时候杀毒软件会对这个 PDF 文件进行杀毒扫描,杀毒软件通过比对规则库发现 这个 1.pdf 为正常文件,从而放过。然后这个 1.pdf 就在本地上运行。这个 1.pdf 通过破解 PDF 文件系 统漏洞,已经在这个文件里面植入病毒木马程序, 当 1.pdf 在服务器或者用户电脑登陆时候,这个 1.pdf 就会通过诸如调用内存数据以及权限提升等 方式获取管理员帐号密码,创建管理员帐号密码。 并还可以远程下载远控软件或者直接和黑客进行远 程外联来让黑客直接控制服务器或者用户,最终这 个服务器或者用户就成为肉鸡,从未让这台服务器 上的任何数据都会被黑客所获取,黑客也可以执行 任意命令进行控制,假设有一台发电厂的上位机遭 受了此类攻击,黑客完全可以通过内置的自毁程序 下发到 PLC 下面中,从而让 PLC 以及下面组态自毁, 进而使整个工控系统瘫痪,乃至断电。使得乌克兰 12.23 事件再次发生。从而造成巨大破坏。如果是在 其他系统中,黑客还可以通过这个肉鸡作为跳板可 以进而控制其他用户,进而造成更为巨大的破坏。

打分:

0 星

用户评论:

全国电力技术协作网是电力企事业单位、员工的技术交流协作平台。协作网致力于为行业内企业间技术创新、协作搭建渠道,为技术专家沟通交流提供平台,为企业职工发展提供服务。协作网通过“信息互通、技术交流、标准宣贯、技术创新、成果转化、技能培训、咨询服务”等形式与业者共同发展进步。
京ICP备13025456号-1
客服电话:010-66186680
反馈建议:13701278405@163.com