- 当前位置:首页 >应用开发 >网络安全入门-恶意软件
网络安全入门-恶意软件
发布时间:2025-11-05 09:24:21 来源:云智核 作者:人工智能
概述
本白皮书提供了有关一般恶意软件操作、网络IDS事件类型、安全要求、入门软件建议和参考的恶意信息。
技术摘要
恶意软件(恶意软件)是网络旨在破坏系统运行、窃取数据或未经授权访问网络的安全代码。常见的入门软件恶意软件类型包括病毒、蠕虫、恶意木马、网络僵尸网络、安全勒索软件、入门软件加密挖矿程序和远程管理工具(RAT)。恶意系统上恶意软件的网络常见流程如下:
1. 毫无戒心的用户安装、授权和/或运行易受攻击的安全软件,这些软件允许恶意代码下载有效负载,入门软件从而危害您的系统并用恶意软件感染您的系统。
2. 一旦您的系统感染恶意软件,它将与命令和控制基础设施(c2)通信以接收指令。
3. 恶意软件与其c2基础设施建立通信后,攻击者可以根据恶意软件的类型和受影响系统的安全状况执行许多不同的操作。
常见的源码库恶意软件事件类型包括:
漏洞利用工具包(EK)–漏洞利用工具包是恶意工具包,用于识别和利用过时的软件(Java、Flash、Silverlight),以传播和下载其他恶意软件。EK是自动化的,不需要用户交互,但它们确实需要过时的软件/浏览器。这些事件均未确诊感染。潜在的恶意下载–恶意下载是包含恶意代码的文件或应用程序,需要用户在目标应用程序中打开或运行。恶意下载伪装成合法软件,依赖用户交互来感染主机。这些事件均未确诊感染。命令和控制(c2)–命令和控制(c2)用于报告受感染主机的状态、泄露数据以及向受感染系统发送命令。C2事件表明您网络上的主机感染了恶意软件。要求
以下要求将减轻大多数恶意软件感染和爆发的风险。这些技术作为Microsoft Windows环境的一部分包含在内,通常不会产生任何额外的许可费用。网站模板
授权软件的安全策略:这是非常重要的一步,因为它允许信息技术团队更有效地管理其系统和网络,同时使网络安全团队能够有效地响应事件并向管理层报告。授权软件是可以在您组织的信息技术资源上使用的任何软件。最小特权原则(POLP):最小特权原则是一个应作为网络安全策略的一部分应用的概念。POLP是限制用户访问其履行职责所需资源的做法。这个概念应该应用于这些用户将访问的组织资源的各个方面。在这种情况下,我们将重点关注两个组件来有效保护用户工作站。应用程序白名单:应用程序白名单可防止未经授权的软件在托管系统上执行。这可以很简单,只需对系统进行基线设置并仅允许已安装的内容即可减少实施时间。还可以将常见目录(例如c:\program files\)的应用程序列入白名单。这需要适当的Windows 10许可,但是,站群服务器您也可以使用软件限制策略(SRP)获得类似的结果。
本地管理权限:这通常是计算机安全中被滥用的一个方面。常见的安全权限和用户权限配置错误:
用户账户被添加到多个系统的本地管理员组中。本地管理员账户使用共享密码。服务账户被添加到本地管理员组并在工作站上分配用户权限,而没有适当的安全策略来管理这些账户。用户账户控制已禁用。POLP概念应重点关注最终用户账户,因为这些账户拥有的权限允许系统感染恶意软件是更常见的情况。通过应用程序白名单和将用户账户权限限制为仅需要的安全组的组合,您可以最大限度地减少恶意软件对系统的影响或完全防止感染。
实施POLP时需要考虑的一些注意事项:使用SRP,您还需要允许系统库运行,例如允许c:\windows\目录。此外,您还需要允许系统上正在授权的应用程序的目录。
Office宏还需要配置Microsoft Office宏,以限制客户端配置允许用户在Microsoft Word等文档中启用和运行宏。这些文档通常作为恶意垃圾邮件传递,并且可以使用反垃圾邮件设备或软件更好地过滤掉。
Windows Server Update Services (WSUS):WSUS可用于向托管系统安装关键安全更新。通过使用WSUS对工作站和服务器进行相应分组以有效定位目标系统,可以以最小的中断来完成此操作。优先系统将是最终用户。从版本3.0开始,WSUS包含本地发布API,首次允许开发人员编写代码以向WSUS发布自定义更新。
https://localupdatepubl.sourceforge.io/
基于Windows主机的防火墙:Windows防火墙是由Microsoft创建并内置于Windows中的安全应用程序,旨在过滤进出Windows系统的网络数据传输,并阻止有害通信和/或启动这些通信的程序。限制工作站到工作站的通信并启用入站和出站流量的日志记录非常重要。
建议
我们有以下建议:
建议调查受影响IP上的主机是否有受到损害的迹象并进行适当修复。建议将对Internet资源的访问限制为仅授权主机,并将出站流量限制为仅授权Internet服务(例如HTTP/s和FTP)。建议调查受影响的主机是否有过时的软件,并在适当的测试后进行更新。相关CIS子控制
2.1维护授权软件清单——维护企业中任何业务系统上出于任何业务目的所需的所有授权软件的最新列表。传感器:软件应用程序清单。2.2确保软件受供应商支持–确保仅将软件供应商当前支持的软件应用程序或操作系统添加到组织的授权软件清单中。不受支持的软件应在库存系统中标记为不受支持。(映射回WSUS)2.7利用应用程序白名单–对所有资产利用应用程序白名单技术,以确保只有授权的软件才能执行,并且阻止所有未经授权的软件在资产上执行。传感器:软件白名单系统。3.4部署自动化操作系统补丁管理工具–部署自动化软件更新工具,以确保操作系统运行软件供应商提供的最新安全更新。传感器:补丁管理系统。3.5部署自动化软件补丁管理工具-部署自动化软件更新工具,以确保所有系统上的第三方软件都运行软件供应商提供的最新安全更新。传感器:补丁管理系统。4.1维护管理账户清单–使用自动化工具来清点所有管理账户,包括域和本地账户,以确保只有经过授权的个人才具有提升的权限。传感器:特权账户管理系统。4.3确保使用专用管理账户–确保所有具有管理账户访问权限的用户使用专用或辅助账户进行高级活动。该账户只能用于管理活动,不得用于互联网浏览、电子邮件或类似活动。(POLP)4.4使用唯一密码–在不支持多重身份验证的情况下(例如本地管理员、root或服务账户),账户将使用该系统唯一的密码。(POLP)4.8管理组成员身份更改的日志和警报–将系统配置为在将账户添加到分配有管理权限的任何组或从任何组中删除账户时发出日志条目和警报。(POLP)7.1确保仅使用完全支持的浏览器和电子邮件客户端–确保仅允许在组织中执行完全支持的Web浏览器和电子邮件客户端,最好仅使用供应商提供的最新版本的浏览器和电子邮件客户端。传感器:软件白名单系统7.2禁用不必要或未经授权的浏览器或电子邮件客户端插件–卸载或禁用任何未经授权的浏览器或电子邮件客户端插件或附加应用程序。传感器:软件白名单系统9.4应用基于主机的防火墙或端口过滤–在终端系统上应用基于主机的防火墙或端口过滤工具,并使用默认拒绝规则来丢弃除明确允许的服务和端口之外的所有流量。传感器:基于主机的防火墙16.8禁用任何未关联的账户–禁用任何无法与业务流程或企业所有者关联的账户。(POLP)16.9禁用休眠账户–在一段不活动时间后自动禁用休眠账户。(POLP)- 上一篇:inux/Ubuntu系统用的时间久了,经常会有一些系统更新,除了一些系统补丁、工具补丁、工具升级之外,内核也经常对一些问题进行修改升级,这样就会产生一些新的内核,我们更新了新的内核后,就会自动帮我们添加到开机启动菜单选项中,那些旧的内核启动项,对于我们来说已经没有用了,可以删除,删除后可以让我们在开机的时候能快速的选择要启动的菜单项,同时也能清理出一些磁盘空间出来,小编下面就来分享如何删除多余的内核启动菜单项注意:小编的这个建议只适合于10.10之前版本的ubuntu系统,后面的11.04,11.10。。。14.04系统因为采用的默认桌面不同,所以本经验不适用,若要使用,那么请安装GNOME桌面 1、打开“应用程序”,然后在弹出菜单中点击“附件”,选择并打开“终端”,打开终端命令窗口2、在终端命令窗口中输入并执行下面的命令:uname -a,查看我们当前使用的内核,不要删除错误了,或者当我们使用的是旧内核进入系统,想删除这个内核启动项,这样也是不能删除的。只能在开机时选择别的内核启动项进入系统才能删除3、输入下面的命令,查看当前我们系统中有哪些内核启动项,同时也可以方便我们复制的操作,具体命令是:dpkg --get-selections | grep linux4、下面就开始删除内核启动项,先选择内核启动项,然后复制,这样方便操作,然后输入下面的命令:sudo apt-get remove linux-image-2.6.32.21-generic5、执行过程中会警告我们确实要执行这个操作,输入字母y,然后回车,就开始卸载旧内核了6、之后就是一些具体的卸载过程的提示,已经更新系统启动项的信息7、我们再次使用命令:dpkg --get-selections | grep linux 来查看当前的内核情况:在 linux-image-2.6.32.21-generic 后面显示deinstall,表示已经卸载了linux-headers-2.6.32.21和 linux-headers-2.6.32.21-generic是之前我们卸载的内核相关联的头文件,现在对于我们也没有用,也可以卸载了,卸载了可以帮我们清理出不少磁盘空间,具体命令是:sudo apt-get remove linux-headers-2.6.32-21sudo apt-get remove linux-headers-2.6.32-21-generic8、删除完后,再用命令:dpkg --get-selections | grep linux 查看当前内核启动选项相关信息:linux-headers-2.6.32-21 已经没有了,被删除了linux-headers-2.6.32-21-generic已经没有了,被删除了linux-image-2.6.32-21-generic 显示为deinstall,表示被卸载删除了9、 虽然在卸载旧内核的时候提示信息说已经帮我们更新了系统启动项,但为了保险起见我们执行sudo update-grub更新开机启动控制文件。
- 下一篇:长城68元无限打的优势与适用情况剖析(长城68元无限打套餐特点及适用人群解析)
- 无人机干扰飞机的威胁与应对措施(现代航空安全面临的新挑战及其应对方法)
- ProBook4430s散热性能如何?(探讨ProBook4430s的散热表现和关键因素)
- 利用U盘在电脑店装虚拟机系统(简便快捷的方法让你随时随地使用虚拟机系统)
- 三星Note8亚太版(全面屏设计、双摄像头、SPen,成就无限可能)
- 悟3D打印机的魅力与优势(探索悟3D打印机的创新科技和广阔应用领域)
- Windows8.1系统安装教程(以PE系统为工具,轻松完成Win8.1系统安装)
- 智慧商贸服装版的创新与发展(数字化时代下的智能商贸服装平台)
- 使用大白菜U盘安装系统教程(简易操作教您如何在Win764位系统下使用大白菜U盘安装系统)
- 使用声卡连接电脑唱歌的完整教程(从购买到设置,轻松搭建你的个人录音室)
- Windows8.1系统安装教程(以PE系统为工具,轻松完成Win8.1系统安装)
- 波导仿苹果手机,如何实现近乎完美的模仿?(探索波导手机在外观、功能和性能等方面的模仿成果及局限性)
- AMDA8-7500四核处理器的性能与特点(深入解析AMDA8-7500四核处理器的性能指标及应用领域)
- Leorice内存的性能评估(探究Leorice内存的速度、稳定性和可靠性)
- 小辣椒V11(小辣椒V11游戏性能与操作优势一览)
- 西门子帝度洗衣机的革新性能(功能强大、省时省力,让您的洗衣体验更加便捷高效)
- 使用U盘安装系统教程(详细步骤,轻松安装您的系统)
- 使用U盘启动安装ISO系统教程(一步步教你使用U盘安装ISO系统,轻松搞定)
- 三星9510曲面手机(华丽外观、出色性能、无与伦比的用户体验)
- 联想H5050配置评测(一款高性能游戏电脑的不二之选)
- 微星红龙1050ti(逆袭显卡市场,战胜主流竞争者的终极武器)
随便看看
- Copyright © 2025 Powered by 网络安全入门-恶意软件,云智核 滇ICP备2023006006号-28sitemap