资源描述:
《第6章-恶意代码》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
第六章恶意代码
1本章主要内容6.1恶意代码概述6.2恶意代码关键技术6.3恶意代码的防范技术
26.1恶意代码概述恶意代码(maliciouscode,malware)指的是通过存储介质和网络进行传播,从一台计算机系统到另外一台计算机系统,未经授权破坏计算机系统完整性的程序或代码。
34产生阶段(1986年~1989年):磁芯大战、Pakistan病毒、黑色星期五、Morris蠕虫6.1恶意代码概述(1)恶意代码的发展历程
45产生阶段的主要特征:1.攻击的目标单一,传染磁盘引导扇区或可执行文件;2.通过截获系统中断向量的方式监视系统的运行状态,并在一定的条件下对特定目标进行传染;3.传染目标以后有明显特征;4.不具有自我保护的措施,容易被分析和解剖。6.1恶意代码概述
561.目标趋于混合型,可同时传染磁盘引导扇区和可执行文件;2.以更为隐蔽的方法驻留内存和传染目标;3.开始采取自我保护措施,增加分析和查杀的难度;4.变种多,更新快,隐蔽性更强。6.1恶意代码概述综合发展阶段(1989年~1992年):
67成熟发展阶段(1992年~1995年):典型代表:如病毒构造集(VirusConstructionSet)、“幽灵”病毒、DIR2病毒。6.1恶意代码概述
78具有多态性或“自我变形”能力,是恶意代码的成熟发展阶段。成熟发展阶段的主要特征:6.1恶意代码概述
89互联网爆发阶段(1996年~2005年):如CIH病毒、、Melissa病毒、“爱虫”病毒、“红色代码”蠕虫、“冲击波”、“震荡波”、“熊猫烧香”。6.1恶意代码概述
910互联网爆发阶段的主要特征:1.类型多样化,不再局限于可执行文件;2.更多以互联网作为传播渠道;3.攻击目标突破软件限制;4.变种多,更新快,隐蔽性更强,破坏性更大。6.1恶意代码概述
1011APT出现:Stuxnet、Flame、Duqu、BlackEnergy等专业综合阶段(2006年至今):6.1恶意代码概述
1112专业综合阶段的主要特征:1.政府、军队等大玩家开始介入,出现攻守不对等性;2.目标更加明确,传播不再以扩散为主,而是定向传播;3.利用的0day漏洞进行传播和植入的种类更多;4.样本更难于捕获,保护能力更强,代码更难于分析;6.1恶意代码概述
126.1恶意代码概述恶意代码都有哪些种类?它们各自的特点是什么?
13(2)恶意代码的分类包含了迄今为止的所有对计算机及网络系统构成威胁的程序,如病毒、木马、蠕虫、逻辑炸弹、网络钓鱼、勒索软件、BotNet、等。6.1恶意代码概述
14计算机病毒是一种计算机程序,它递归地、明确地复制自已或其演化体。--美.Cohen编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。--《计算机信息系统安全保护条例》计算机病毒6.1恶意代码概述
15病毒特点可执行性非授权性自我复制性破坏性6.1恶意代码概述
16特洛伊木马(TrojanHorse)来源于古希腊的神话故事“木马记”。6.1恶意代码概述
17特洛伊木马是一种基于远程控制的黑客工具,它隐藏在目标系统中,能控制整个系统,并能和特定控制者进行信息交互的程序。控制端木马端网络通信木马的实质是C/S结构的网络程序木马定义6.1恶意代码概述
18木马的特点隐蔽性非授权性可控性高效性6.1恶意代码概述
19木马功能保留访问权限远程控制远程文件操作远程命令执行信息收集收集系统关键信息收集密码或密码文件其它的特殊功能6.1恶意代码概述
20蠕虫蠕虫是一种智能化、自动化的攻击程序或代码,它主动扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者互联网从一个节点传播到另外一个节点。6.1恶意代码概述
21蠕虫工作流程6.1恶意代码概述
22本章主要内容6.1恶意代码概述6.2恶意代码关键技术6.3恶意代码的防范技术
236.2恶意代码的关键技术植入技术邮件植入下载漏洞利用网页植入文件感染其它移动介质(1)恶意代码入侵技术
24利用移动介质植入移动介质植入利用主机配置中存在的缺陷或者漏洞实现介质中的恶意代码的加载和复制。例:AutorunStuxnetStuxnet病毒首先侵入位于互联网中的主机感染U盘,利用LNK漏洞传播到工业专用内部网络6.2恶意代码的关键技术
25邮件植入攻击者将木马程序伪装之后添加到邮件的附件中发送给目标用户,并通过邮件的主题和内容诱骗用户打开附件。例:乌克兰“电厂事件”6.2恶意代码的关键技术
26利用漏洞进行植入操作系统、应用软件在设计和实现时可能存在逻辑或编程漏洞,从而导致攻击者利用该漏洞获取目标系统的权限,继而通过创建通道植入木马。6.2恶意代码的关键技术
27网页植入将被挂马的网页以链接方式直接传播或植入第三方软件。网页挂马:页面中加入恶意脚本或漏洞利用程序;多媒体文件:在RM、RMVB、WMV中加入木马,播放文件时弹出页面进行植入;电子书:电子书由多个网页文件组合而成,攻击者可将一个恶意网页加入到电子书中实现植入。6.2恶意代码的关键技术
28下载植入木马通过诱骗用户下载并安装至目标计算机的过程称为下载植入。伪装文件捆绑6.2恶意代码的关键技术
29中间人攻击植入通过在目标系统外连的链路上进行监听,利用软件自动更新植入木马。6.2恶意代码的关键技术
30(2)木马的隐藏文件隐藏进程隐藏通信隐藏启动隐藏6.2恶意代码的关键技术
31文件隐藏骗骗菜鸟-设置文件为系统隐藏文件,伪装高明一点-替换系统DLL再高明一点-躲进回收站(autorun.inf)更高级-写入固件最好-木马运行期间没有文件6.2恶意代码的关键技术
32进程隐藏使用隐蔽性、欺骗性强的进程名称使用动态链接库在其它进程空间中插入代码过滤进程信息6.2恶意代码的关键技术
33DLL木马硬性-替换系统DLL软性-DLL注入安装系统钩子远程线程插入借壳-svchost服务6.2恶意代码的关键技术
34利用系统钩子钩子(Hook):是WindowsHook消息处理机制的一个平台,应用程序可以在上面设置子程序以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理之前处理它。钩子机制允许应用程序截获处理Windows消息或特定事件。6.2恶意代码的关键技术
35远程线程插入技术在另一个合法进程中插入自己的代码不会多出单独的进程6.2恶意代码的关键技术
36RootKit技术隐藏挂接NtQuerySystemInformation函数修改ActiveProcessLinks6.2恶意代码的关键技术
3738SSDT(系统服务分配表)Windows应用层的API封装在Ntdll.dll中,然后通过Int2E或SYSENTER进入到内核模式,通过服务ID,找到SSDT中对应的系统函数。SSDTHook6.2恶意代码的关键技术
3839一个例子6.2恶意代码的关键技术
39typedefstructSystemServiceDescriptorTable{UINT*ServiceTableBase;//addressoftheSSDTUINT*ServiceCounterTableBase;//notusedUINTNumberOfService;//numberofsystemcallsUCHAR*ParameterTableBase;//bytearray}SystemServiceDescriptorTable,*PSystemServiceDescriptorTable;406.2恶意代码的关键技术
40(3)通信隐藏本地-端口隐藏复用端口修改系统关键数据数据包隐藏ICMPUDPHTTP隧道不规则IP报文6.2恶意代码的关键技术
4142利用ICMP协议通信可利用ICMP回送应答(type=8)报文传送数据,摆脱端口的约束。规范约定ICMP报文中的标识符和序列号字段由发送端任意选择,因此在ICMP包中标识符、序列号和选项数据等部分都可用来秘密携带信息。由于防火墙、入侵检测系统等网络设备通常只检查ICMP报文的首部,因此使用ICMP建立秘密通道时可直接将数据放到选项字段中,达到隐蔽效果。6.2恶意代码的关键技术
4243利用HTTP隧道通信思路:防火墙只对HTTP报文的某些字段如POST、GET等命令头进行检查,因此,若伪装成合法HTTP数据报文,即可成功穿透防火墙。方法:将传递数据全部封装到HTTP协议报文中传递,目标端口设置为80,利用HTTP协议在应用程序与远程主机之间建立一条安全传输隧道,以躲避防火墙的检测。6.2恶意代码的关键技术
43(4)启动隐藏明目张胆-系统启动目录历史教训-系统启动配置文件曾经辉煌-修改文件关联、映像劫持屡试不爽-捆绑文件瞒过菜鸟-修改注册表经常采用-服务、借壳、替换系统DLL隐蔽启动-驱动加载查无可查-木马运行期间隐藏启动方式6.2恶意代码的关键技术
44启动目录开始->程序->启动影响:Win2k\XP\Win7等;C:\DocumentsandSettings\Administrator(AllUsers)\「开始」菜单\程序\启动快捷方式劫持?6.2恶意代码的关键技术
45系统启动配置文件DOS–C盘根目录:AUTOEXEC.bat,Config.sys;Win98–Windows目录:WinStart.bat,DosStart.bat;Win2000/XP/Win7—windows目录:system.ini,win.ini,wininit.ini6.2恶意代码的关键技术
46修改系统配置文件SYSTEM.INI——Windows目录下语法[boot]Shell=Explorer.exetrojan.exe6.2恶意代码的关键技术
47修改系统配置文件WIN.INI——Windows目录下语法[windows]load=trojan.exerun=trojan.exe6.2恶意代码的关键技术
48修改系统启动配置文件Wininit.ini——Windows目录下语法[rename]Null=filename1;删除文件filename1Filename2=filename3;用文件filename3替换filename2作用替换系统关键文件6.2恶意代码的关键技术
49注册表启动项[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]RunRunServicesRunOnceRunOnceExRunServicesOnce[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]RunRunOnceRunServicesOnce6.2恶意代码的关键技术
50dll木马启动Rundll32.exe:DLL全路径名,DLL入口点:用户可在任意时间加载;Appinit_dll:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows:系统启动时加载;KnownsDlls:HKLM\System\CurrentControlSet\Control\SessionManager\:必须与指定的软件同步加载。6.2恶意代码的关键技术
51文件关联将木马程序作为某类文件的打开程序Example:冰河[HKEY_CLASSES_ROOT\exefile\shell\open\command]原值:"%1"%*木马启动值:[木马全路径名][HKEY_CLASSES_ROOT\txtfile\shell\open\command]原值:C:\WINNT\system32
52otepad.exe%1木马启动值:[木马全路径名]6.2恶意代码的关键技术
53映像劫持“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions\aa.exeDebugger=“bb.exe”6.2恶意代码的关键技术
54捆绑文件加载将木马绑定到其它程序中。当这些程序在传播的同时也实现了木马的传播。被绑定的文件一旦开始执行,木马就被启动。如木马绑定到浏览器,开机检查时没有发现木马端口,上网浏览后木马启动,将打开公开端口进行工作。6.2恶意代码的关键技术
55注册系统服务服务——执行指定系统功能的程序、例程或进程,以便支持其他程序,尤其是低层(接近硬件)程序如果木马把自己注册成系统服务,并设置成自动启用模式,那么它将随系统开机而启动[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet01\Services\][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet02\Services\]6.2恶意代码的关键技术
56路径劫持利用文件运行时搜索路径顺序,而将其优先定义EXAMPLE:病毒CodeRed(红色代码)在C:\和D:\目录下放置两个约8KB的名为EXPLORER.EXE的文件。%SystemDrive%(C:\)%SystemRoot%\System32(C:\WINNT\SYSTEM32)%SystemRoot%(C:\WINNT)操作系统搜索EXPLORER.EXE搜索顺序6.2恶意代码的关键技术
57木马启动方式其它方式计划任务:Windows的计划任务功能是指某个程序在某个特指时间启动。计划任务是一个保存在C:\Windows\Tasks目录下的.job文件,该文件包括了启动方式、文件路径等一系列的信息。AutoRun.inf的启动方式:[AUTORUN]�OPEN=Windows\xxx.exe�ICON=xxx.exe
58本章主要内容6.1恶意代码概述6.2恶意代码关键技术6.3恶意代码的防范技术
596.3恶意代码的防范技术(1)基于主机的恶意代码防范技术(2)基于网络的恶意代码防范技术
60基于特征的扫描技术6.3恶意代码的防范技术
61校验和技术行为检测技术沙箱技术6.3恶意代码的防范技术
62(2)基于网络的恶意代码防范基于数据特征基于流量分析云安全6.3恶意代码的防范技术
63常见恶意代码防范技能提高安全意识使用查杀木马的软件查看TCP和UDP连接端口扫描防火墙6.3恶意代码的防范技术
64小心下载软件不随意浏览邮件附件及时更新病毒库、系统升级始终显示扩展名、隐藏文件和系统文件经常查看注册表相关键值6.3恶意代码的防范技术
65本章小结分析了恶意代码所使用的多项关键技术,并介绍基于主机的恶意代码防范技术和基于网络的恶意代码防范技术。恶意代码对网络安全影响巨大,只有掌握当前恶意代码的实现机理,不断跟踪最新技术,加强对未来恶意代码趋势的研究,才能在恶意代码问题上取得先决之机。
