灰鸽子远程监控软件分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个服务端(俗称种木马)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……,这正违背了我们开发灰鸽子的目的,所以本文适用于那些让人非法安装灰鸽子服务端的用户,帮助用户删除灰鸽子 Vip 2005 的服务端程序。本文大部分内容摘自互联网。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了,下面就可以进行手动清除。
#p#要做到风险管理的准备就绪,需要考虑以下问题:
· 需要管理所有相关的潜在风险
· 风险管理项目的规模
· 协调其他单位和部门
· 风险管理计划需要与其他单位的工作结合在一起,特别是重大事件的风险管理和突发事件的紧急应对方案
· 需要清楚地理解角色分工和责任
· 针对重大事件的风险管理,需要事先考虑重大事件发生场所的建设和维护所需的权限,例如,在奥运会期间,如果发生通信故障,奥运场所的安全控制级别将不会允许运营商的故障处理团队或维修人员随意出入,运营商维修设备必须事前入场,人员也必须事前进驻。
· 在早期与设备厂家的协作关系
· 安全控制需求
· 响应时间的需求
· 针对所有层面的日常报告
风险管理需要一个标准和完善的管理框架。下面就这个管理框架给出概括性的解释:
上图参考了澳大利亚和新西兰对于风险管理发布的国家标注AS/NZS 4360, 2003。在悉尼奥运会的通信保障上,得到了具体的应用。
#p#准备阶段
明确组织方面、业务策略方面和风险管理方面的关系。在这个阶段需要明确风险管理涉及的相关部门和参与人员。通过风险管理的方法的宣传贯彻,使所有参与风险管理的人员和部门对风险管理的重要性、涉及的环节、管理方法的认识达到统一。这个阶段的另一个重要任务是大家共同参与定义后续阶段的风险评估准则。
风险明确
在这个阶段将全面的明确风险管理的风险有那些。通常是通过”头脑风暴“和日常经验来列举各种各样的风险,并且明确风险发生的环境和触发事件。
在针对重大事件的风险管理中,还需要特别明确哪些风险是与该重大事件的发生密切相关的,比如针对奥运会的通信保障的风险明确,就需要将奥运会相关的风险与日常的风险区别开来,例如,突发性大话务量和流动性话务量造成的通信网络局部臃塞就是其中2个典型的奥运会相关风险。
风险可以从两个角度进行明确:来自业务方面的风险和来自技术方面的风险。
业务风险主要来自业务的使用和本地及漫游过来客户的不确定性,尤其对于重大事件而言,如果不能对这些业务相关的不确定性进行全面的分析和准备,将对运营商造成流程和内部资源的极大冲击。
同样,来自业务的使用和本地及漫游过来客户的不确定性将对由接入网、核心网、信令网和业务网构成的网络层面造成潜在的技术层面的风险。
风险分析
进行风险根本原因分析,定义产生风险环境的可能性,定义一旦风险发生造成的后果。风险的发生包括2个维度:风险发生的概率和风险一旦发生造成的后果。
在评估风险后果之前,需要明确所谓运营商关注的资产。这些资产是运营商需要通过风险管理来保护的。很显然,运营商需要保护的资产除了可见的网络等可见资产外,还包括运营商的品牌形象和社会形象等无形资产。某些突发事件,如2005年的哈尔滨水污染造成的突发性话务量本身并不会对运营商网络本身造成什么破坏性,运营商需要保护的恰恰是上面提到的无形资产。运营商需要对这些资产在风险发生时的脆弱性进行评估。国内运营商的状况往往是无形资产抗风险能力低。
对风险进行评估和重要性分析
在这个阶段,根据在“准备阶段”定义的风险评估准则,对风险造成的结果进行评估,从而定义这些风险的优先处理顺序。
风险的处理方法
评估风险控制或减缓处理方案。用于降低风险发生可能性的应对方案包括降低风险后果、应急预案和风险的转移计划等。
如图2 风险可能性和后果所示,位于右上角的风险是最需要关注的,由于他们发生的概率相对较高,风险应对的方案是值得从降低风险发生的概率着手。
对于那些概率低,但后果严重的风险,则需要视情况而定,不能因为发生的概率低而一概不予关注。对于小概率风险,一般来讲,进一步降低其概率往往是不可能的,一个好的方法是列举特殊的“场景”,针对性的设计应对方案,如针对特殊灾难的应急预案等。
案例回顾:悉尼奥运会的通信保障准备
悉尼奥运会的通信保障准备利用爱立信提供的风险管理方法支持了通信保障相应的风险管理和应急预案设计。
虽然很多部分的风险控制并不全在通信赞助商Telstra的掌控之中,但是前瞻性的准备使得Telstra 成为整个奥运组织中风险管理的实际领导和方向控制者。
悉尼奥运会的风险管理包括:
·在1999年正式启动通信保障的管理
·包括奥运和残奥
·涉及5个主要领域:技术、人员、系统、商业和其他
·明确了15个针对性的“场景”:如 高话务量, 火灾,节点故障等
·爱立信和Telstra 双方成立了一个统一的团队共同负责悉尼奥运会的通信保障
悉尼奥运会的通信保障和风险控制的成效是十分显著的:
·有效地应对奥运期间的异常话务量
·根据通信保障的战略意义安排固定人员,在奥运期间提供了快速的响应
·结果是Telstra提供了“金牌”品质的通信和业务质量。
#p#UTM产品应时而出
目前,市面上大多数第三代状态检测防火墙的产品都集成了VPN功能,然而受到技术及性能的影响,能够集成网关防病毒和IPS功能的厂商却寥寥无几。UTM要做到扫描应用层数据来检测病毒和入侵,无疑对主处理器是一个沉重的负担,因为基于ASIC芯片的硬件防火墙也不可能利用ASIC实现应用层数据的扫描。为了平衡性能与功能的需求,网关防病毒引擎扫描的协议种类非常有限,通常只支持POP3、SMTP、IMAP、HTTP和FTP这五种协议。而且,它们对同时扫描的文件的数目和大小都依硬件平台的不同而有明显的限制,其主要原因在于它们把待扫描的文件存在从有限的内存空间所分配的缓冲区内,或者缓存在内置的硬盘内。硬件资源是有限的,这样就限制了能够同时下载和扫描的文件数目和大小。
美国SonicWALL公司顺应客户需求及时推出了全新设计的高性能的UTM一体化网络安全设备。一般来讲,UTM通常包括防火墙/VPN、网关防病毒和IPS。SonicWALL公司的UTM在此基础上又增加了反间谍软件服务,进一步确保企业信息安全。
作为安全解决方案,赛门铁克网关安全300系列产品将必要的安全和网络功能结合起来,提供综合性的保护。它整合了六大安全功能:全状态检测防火墙,用来分析信息包及其目的地;入侵检测,提供综合攻击检测;日志及报表;入侵防护,使用户能够封锁被识别的恶意数据包;防病毒策略实施,自动监控并确保由赛门铁克提供防病毒支持的客户可以得到实施更新,保证他们在试图通过网管传送数据时在工作站的主动状态;内容过滤,通过限制访问无用网站来提高生产力并减少带宽浪费;具有硬件辅助加密的IPsec VPN,提供安全的网关—网关、客户端—网关以及无线局域网—网关的通道。
神州数码发布了“龙脊计划”,它将会以服务为先导,对渠道增值伙伴提供周到的技术支持,从而建立起类似“龙脊”一样环环相扣的安全网络联盟,每个渠道增值伙伴都是这条“脊骨”上的一环,他们的紧密合作可以为用户提供性价比更高、更适宜的解决方案。
不过,一些网络厂商,像思科、Enterasys 和Juniper,正在把防火墙技术加入路由器,这种技术和产品的结合将对UTM市场形成一定冲击。不过,目前仍不能确定这种结合的最终结果是否能被用户接受。如果用户接受了这类产品并用其替代了独立的安全产品,那么安全厂商将受到很大冲击。如果用户把这类产品和专门的安全产品协同使用,则会给安全厂商提供更广阔的发展空间。不过,从目前来看这些产品很难替代独立的安全解决方案,尤其是UTM 平台。
随着Cisco 5500系列自适应安全设备的问世,思科公司能够在单一平台上提供基于硬件的集成化多功能安全服务和VPN服务。通过使用Cisco ASA 5500系列设备,用户们可以在部署思科的融合防火墙、IPS入侵防御系统和网络防病毒服务的基础上构建起一套自适应威胁防御系统。
链 接
UTM前世今生
UTM是统一威胁管理的缩写,这是一种被广泛看好的信息安全解决方案。目前被提及较多的定义是由IDC提出的:由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,它将多种安全特性集成于一个硬设备里, 构成一个标准的统一管理平台。从概念的定义上,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品性、可用性以及联动能力的精研。
UTM紧密集成了多种安全功能,能够在网络边缘有效防御攻击,不仅可以保护整个内部网络,还能将安全机制延伸到远程办公机构。通过将病毒过滤、垃圾邮件过滤、网址过滤、防火墙和虚拟专用网等技术整合到一个开放的安全平台,可以全面防御各种已知和未知的攻击。而模块化架构进一步使用户在面对新的威胁时,只需将相应的模块加入到平台内就可以了,这一特点使IT 管理人员可以按需安装各种性能和功能的安全模块,而且当用户需要更高的性能和功能时,不需中断网络服务就可以进行在线升级。
融合需要一个过程
对于安全技术融合,简单来讲主要包括两方面内容,即不同安全应用/产品的融合和安全产品与网络设备的融合。不同安全产品融合是近两年部分安全厂商针对用户的不同需求而提出的产品技术,市场竞争也刚刚开始,现在许多安全公司对此虎视眈眈,但是其中技术难度不小。而安全产品与网络设备的融合,国内有企业开始尝试,但毕竟属于起步阶段,实现程度还需期待。
安全技术的融合,开始主要侧重于入侵检测技术和访问控制的防火墙技术的协同和融合,这在过去的防火墙产品中已经有了部分尝试。但是由于硬件平台和技术上的不完善导致了系统性能下降很快。同样,防火墙和防病毒的融合已经在防毒墙这一产品中得到体现。所以只有将不同安全侧重点的安全技术融合起来,安全产品的性价比才能更高,才能在日益激烈的信息安全市场上有优异的表现。
而安全技术的融合并不是不同产品的简单堆砌,一个企业网络的信息安全不但依赖单个安全产品自身的性能,也同样依赖于各个安全产品之间的协作。这种相互协作,将不同安全防范领域的安全产品融合成一个无缝的安全体系,从而达到预期的安全设想。
安全技术的融合通过创新安全理论、整合各种安全解决方案、整合网络安全资源,构建综合的动态网络来最大化安全防护的效果。在理论层面,通过对各种安全理论的整合,构建起一个全新的网络安全理念;在方案层面,整合安全要求将尽可能多的安全解决方案整合到一起,构筑智能型的立体防护体系;在技术层面,整合安全又通过对诸多安全技术与产品的全面整合,为信息网络提供全面动态的安全防护体系。
传统的安全厂商可以从安全产品的互动再到安全技术的融合,同时把自己融合进网络设备厂商,向安全的新领域业务安全发展,通过组建安全联盟,形成一个大的安全体系,自己成为其中一个基石,从而将安全技术的融合发展到一个更高的程度。
因此,过多描绘UTM的美好未来有时并不总能产生正面的效果,我们应该恰当的面对UTM的问题。当前无论是从用户对UTM的认知还是厂商推出的UTM产品来看,防火墙仍然是整个架构的核心。而且有一些产品并没有很好的实现UTM架构,这些产品更多的是基于防火墙体系进行其它安全功能的整合。
我们认为这样的产品虽然也被划归为UTM类设备,但是从严格的意义上说,并不能将其作为完全的UTM产品来认识。广大用户在考察和选用UTM产品的时候,首先应该根据自身的情况清楚的界定对于UTM的要求。
目前的UTM产品大多是网关型的产品。在面对当今复杂的安全威胁时,网关型的防御虽然有效,但仍无法独立构成完整的安全防御体系。我们期待着有更多的厂商跨越这条界限,更好的发挥UTM作为安全平台的优势,向用户提供更多具有创新性的解决方案。
