设为首页收藏本站
开启辅助访问 切换到宽版

科学网

 找回密码
  注册
科学网 标签 apt

tag 标签: apt

相关帖子

 版块 作者 回复/查看 最后发表

没有相关内容

相关日志

高持续性威胁APT
热度 1 gaooxinn 2014-1-9 17:43
APT攻击 l Advanced Persistent Threat(高持续性威胁) l A-Advanced:技术复杂多样化 l P-Persistent:持续性的。有计划,有组织的进行检测和侦查 APT攻击的特点 l 潜伏性: 攻击过程持续周期长;攻击者首先控制一台内部主机,以打开局面。然后以“被控主机”为跳板,控制更多具有更高权限的主机。以此模式,不断持续搜索,直到能彻底掌握所针对的目标人、事、物。 l 持续性: 初步攻击结束后会建立类似botnet的远控架构进行持续攻击。 威胁性: 由于攻击周期长,攻击行为散布时间轴较大,审计系统和安全评估系统与日志分析系统不易察觉。 攻击者往往不直接攻击最终目标人,而是透过攻击外围人员层层渗透。较之核心人员,外围人员往往安全意识比较淡薄。 以往攻击都是炸开大门(暴力破解),为所欲为,一锤子买卖,完事儿走人。我感觉,apt攻击在思路上其实有一个创新点。首先,apt的目标都是大型公司企业的机密资料,往往都具有非常坚固的大门和高墙。所以,想要采用以前那种方式有可能伤敌一千,自损八百,不划算。其次,apt攻击讲究的是“可持续发展”,放长线钓大鱼。 可以做这么一个类比,apt攻击就好比去老板家盗窃。老板家有防盗门,不好进入。首先,我们先进入与老板家一墙之隔的人家,相对于突破老板家的大门,撬开隔壁家的大门可谓是轻而易举的。其次,发现这一墙之隔的强确实不怎么厚,哈哈。。。在墙上开个小洞,这就悄悄地进入老板家里。最后,白天地不动,晚上地干活! 这个创新点,归结起来就是:曲线行窃+放长线钓大鱼! APT攻击模板 第一步:研究目标 目标: 1. 了解目标公司的财务状况以及所有员工的上网习惯(是否会在网上讨论自己的 boss? )及人际交往的所有信息。据此,选定第一目标主机,目标公司内部被黑客拿下的第一台主机。这台主机至关重要,起着攻击跳板的作用。【社会工程学基础,邮件攻击基础】 2. 目标公司的边界安全和面向Internet的系统。【知己知彼】 第二步:选定并拿下 第一目标主机 ,从而打开局面 目标:如上 途径:任何 1)强攻: * 直接对目标公网网站漏洞进行攻击(SQL注入,XSS,远程执行代码漏洞); * 直接使用挖掘出来的0day攻击目标(目前的安全防御,检测设备无法识别0day漏洞攻击) 2) 计谋攻: * 钓鱼网站:使公司员工上钩。(这只针对于企业内部安全防御体系不健全的公司,对于安全防护体系健全的公司,通过这种方式是渗透不进去的) *免费u盘:将装有病毒的u盘假装遗落在目标公司内部,以期有员工捡到该u盘后插入公司内部主机(这也是一种社会工程学攻击,利用人的好奇心和贪婪。同样,对于内部安全体系健全的公司, 通过这种方式是渗透不进去的 ) * 恶意邮件:恶意邮件中往往将恶意链接包装成该员工感兴趣的话题(第一阶段的员工调查),如公司裁员表等。。。诱使员工点击恶意链接,下载黑客工具(这种邮件攻击方法可以成功绕过公司安全体系的检测) 第三步:通过横向移动,拿下具有高级权限的 敏感主机 目标:如上 途径:任何 第四步:构建 安全隧道 目标:与受害人机器建立了连接 (VPN技术) ,用于持续监听、传入控制命令、传出目标源代码。 第五步:卷货撤退 目标:利用到手的高级权限,进入存有目标信息的数据库,打包、加密目标源代码。并利用 VPN专用隧道将数据传出。 APT攻击检测方法   纵观整个APT攻击过程发现: (1)恶意代码单点攻击突破 (2)内部横向渗透 (3)构建控制通道获取攻击者指令 (4)敏感数据外传 1、恶意代码检测类方案: 针对单点攻击突破阶段,检测APT攻击过程中的恶意代码传播过程。大多数APT攻击都是通过恶意代码来攻击员工个人电脑,从而来突破目标网络和系统防御措施。 2、主机应用保护类方案: 针对单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工个人电脑发送恶意代码,这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此,加强系统内各主机节点的安全,确保员工个人电脑以及服务器的安全,则可以有效防御APT攻击。 3、网络入侵检测类方案: 针对控制通道构建阶段,通过在网络边界处部署入侵检测系统来检测APT攻击的命令和控制通道。研究发现虽然APT攻击所使用的恶意代码变种多且升级频繁, 但恶意代码所构建的命令控制通道通信模式并不经常变化。关键难题在于获取各APT攻击手法的命令控制通道的特征。 4、大数据分析检测类方案: 针对整个APT攻击过程。该类方案是一种网络取证思路,它全面采集各网络设备的原始流量以及各终端和服务器上的日志,然后进行集中的海量数据存储和深入分析,它可在发现APT攻击的一点蛛丝马迹后,通过全面分析这些海量数据来还原整个APT攻击场景。
个人分类: 信息安全|4432 次阅读|2 个评论
[转载]ubuntu——apt的一份详细的介绍
onewaystreet 2011-8-28 20:14
APT 是Advanced Packaging Tool的缩写,是一款强大的包 管理 工具,也可以称作 机制 。 使用Debian及其衍生版本的GNU/Linux用户一定对apt不陌生。 在GNU/Linux中,对包的维护有多种方式。比如DebianGNU/Linux的dpkg(apt是dpkg的前端),比如RedHat的 RP M。tarball方式需要由于定制性很高,因而笔者认为这不是有序的包管 理方式,所以不在此篇谈及。如果您对此感 兴趣 也可以阅读tarball方式安装软件。 多种包 管理机制 各有千秋;笔者比较喜欢apt的管理方式——懒人的方式。使用这种方式,用 户可以十分轻松地从指定的源获得丰富的软件,并对这些软件进行诸如安装、升级、卸载等工作;甚至使用apt对整个系统进行升级。 要使用apt最好有网络 环境 。最好的意思是:倘有网络事情就变得异乎寻常的轻松,否则可 能要稍微麻烦些。 先讲麻烦的事情吧——从cdrom安装文件。因为cdrom独特的性质——只读,我们当然只能对包进行安装的工作了。当然,如果用户使用了可写的光 介质 更新的数据再来更新Debian系统的话,我也没有异议。 如果要把cdrom加入到apt的源(/etc/apt/source.list)中,可以使用apt-cdrom add命令 。 本篇的重点在基于网络的使用。 大家处在不同的地区,使用不同的网络,如何找到一个快速的源是很多朋友关心的一个问题。也有很多朋友在bbs或者maillist中贴出了他们使用 的源。不过正如我在本段伊始所说,不同的人使用同一个源可能会有不同的速度。如何得到一个快速的源呢?使用apt-spy命令。 默认的情况下系统中并没有这个命令,可以使用apt-get install apt-spy命令来安装。 安装过后,要现更新apt-spy中的 资源 列表,使用命令apt-spy update。 更新之后,利用apt-spy来找寻速度最快的源。使用命令apt-spy -a asia -d testing。 -a是告诉apt-spy在亚洲这个地区搜索。-d是指定搜索testing的源。DebianGNU/Linux的发行包含三个版本:stable,unstable,testing。这有些类似FreeBSD的版本 组织 形式。stable是稳定版;unstable版有很多实验性质的新特性,不过这个版本也是不稳定的;testing介乎二者之间。笔者使用testing。 apt-spy更新了源的地址之后,可以使用apt-get update来更新源了。 在日常的管理中,可以不定期地使用apt-update来更新源,以获得新的 软件包 或者某个软件的升级。 apt-get upgrade用来更新系统中已经安装了的软件包。在使用这个命令的同时,可以添加-u参数。这样用户就能看到哪些包裹将会被升级。 如果想要知道是否有某个软件的apt资源,可以使用apt-cache search foo来查找相关的软件(foo为需要查找的软件)。不过颇为类似FreeBSD中ports的make seach key="foo",在结果中总是包含有大量的信息———确切的或者类似的。所以如果希望搜索的结果更加准确可 以使用grep之类的软件对搜索的输出进行过滤。 如果在apt的源中找到了希望的软件,就可以使用apt-get来安装。比如apt-get installfoo。在安装的过程中如果有相关的依赖关系,apt可以很方便的帮助用户处理。这也就是说,可以在用户不干预的情况下安装目标软件及相关 必须的软件。不必担心,apt会帮助您处理 好依赖。这一点比rpm要方便的多。不过提醒一点,易用与定制性高是天生的矛盾。 若要查找已经使用apt安装了的软件可以使用dpkg-query -l,也可以是dpkg -L。 如果要删除某个软件,在安装列表中找到了这个软件之后,可以使用apt-get removefoo来删除这个软件。不过,需要主义的是apt-getremove只是删除了 程序 本 身,而与程序相关的配置文件则保留着。如果的确不需要这些配置文件,可以在使用apt-get remove 的同时添加purge参数。例如:apt-get remove --purge foo。或者使用dpkg -r foo。与apt-get remove--purge类似,dpkg -P具有相同的功能。不要迷惑,apt是dpkg的前端。 我们刚才说使用apt-get -u upgrade可以更新安装了的软件包,用户也可以使用apt-get dist-upgrade来个更新。不过,要小心的是apt-get dist-upgrade会安装和移除软件包来满足倚赖关系.因此具有一定的危险性。 如果用户不希望某个软件升级,可以使用echo "foo hold"|dpkg --set-selections。如果想把一个已经hold的软件包解除升级限制,可以使用echo "foo install"|dpkg--set-selections。若想知道某个软件是否为hold,可以使用dpkg --get-selections "foo"。 yum(YellowdogUpdater,Modified)是黄狗LINUX的包管理器,用她可以安装、升级软件包及整个系统。
个人分类: linux学习|2327 次阅读|0 个评论
更多...

Archiver|手机版|科学网 ( 京ICP备07017567号-12 )

GMT+8, 2024-6-14 00:03

Powered by ScienceNet.cn

Copyright © 2007- 中国科学报社

返回顶部