返回
案例-飞客蠕虫研究

案例-飞客蠕虫研究

ID:29724287

大小:958.90 KB

页数:9页

时间:2018-12-22

案例-飞客蠕虫研究_第1页
案例-飞客蠕虫研究_第2页
案例-飞客蠕虫研究_第3页
案例-飞客蠕虫研究_第4页
案例-飞客蠕虫研究_第5页
资源描述:

《案例-飞客蠕虫研究》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、飞客蠕虫研究飞客蠕虫是近两年感染率最高的蠕虫,没有之一。在本人实际工作中发现过多起感染飞客蠕虫的事件,现在将对该蠕虫进行比较细致介绍和分析一下。飞客蠕虫是英文conficker的中文发音。该蠕虫最早发现于2008年12月,利用微软的利用微软MS08-067漏洞发起攻击。自从发现该蠕虫病毒后,在1年的时间内出现了5个主要变种,功能和隐蔽性比原始程序得到很大提升。其主要版本演进如下:飞客蠕虫感染最多的就是中国大陆地区,网上看到一则新闻,在2010年10月份的平均每个月内就有1800万PC感染了飞客蠕虫。最高时,根据国家计算机应急指挥中心公布的数据,全国有近10%的PC

2、感染了该蠕虫。由此我们也可以看出国内的PC安全意识很淡薄,其实简单的更新下系统,打上相关补丁,就不会感染该蠕虫。9/9研究任何病毒木马最好的方式的就是主动感染该病毒木马,然后跟踪其行为。本文也是以这种思路来进行对飞客蠕虫的研究。研究之前的工作如下:l准备一台没有打MS08-067补丁的XP系统的主机,在此我使用较早版本的XPSP2版本,然后安装到一台虚拟机上。l从互联网上寻找飞客蠕虫的各版本,主要是C,D,E这三个版本为主,因为这些后来版本功能较强大,通信行为也很复杂。这项准备工作最为困难,因为找到合适的样本是比较不容易的,在此我推荐一个网站:http://www

3、.offensivecomputing.net该网站是国外比较专业的木马病毒样本网站,不过需要较严格的用户注册条件。l在虚拟机上安装科来2010旗舰版,准备做好抓包工作。准备完毕后,将下载的样本在本机上运行。然后进行抓包,设置好过滤器保证抓到的数据是比较纯净的,不要使用该XP系统做任何网络操作,然后进行长时间的抓包。在连续抓包几个小时候停止抓包,进行数据分析。首先,感染飞客蠕虫后的主机会禁止系统访问各种杀毒厂商的网站和相关安全信息内容。所以根据这个属性我们可以检查一下我们是否中了飞客蠕虫。点击链接:http://www.joestewart.org/cfeyech

4、art.html我们看到如下的图:9/9如图,这是本机中了飞客蠕虫的表现,排名上面的一行是各安全厂商的图片链接。9/9对抓包的数据进行分析,可以了解其行为:首先,蠕虫成功运行后会向指定的域名发送请求,该蠕虫每天尝试从50000个域名中随机挑选500个域名以试图与恶意软件制造者通信,因此会产生大量的奇怪的域名解析如图:这些域名google和百度的搜索结果都是零,也就是说,是极冷僻的域名。成功解析了这些域名后,肉鸡开始像这些解析后的地址发起HTTP请求,下载最新的蠕虫更新程序,以避免被杀毒软件清除。然后还会下载各种病毒,如键盘记录软件,远程控制软9/9件,密码收集软件

5、等,这样PC就会被各种病毒木马所占领。此外,本次使用的D样本,还采用了点对点(P2P)机制,使它能够从其他已经感染Conficker.D计算机中分配和接收命令。因此我们可以看到大量的向互联网上中了蠕虫病毒的PC发起的连接,如图矩阵视图:9/9如此,我们可以看到飞客蠕虫的威力,可以从50000个不同的域名随机选取500个进行解析,取得与黑客控制者的连接及下载其他节点信息。然后向其他中了飞客蠕虫的节点进行P2P连接,取得版本信息及黑客指令,这样不仅能够隐藏控制者的IP,而且还使飞客蠕虫建立起来的僵尸网络更加健壮(P2P方式的连接方式不会因为失去一个控制者而使整个僵尸网

6、络瓦解)。飞客蠕虫的传播性极强,如果内网中有一台PC因为访问含病毒网站,或含木马邮件等方式感染了飞客蠕虫,那么局域网其他有漏洞的主机感染的概率基本是100%。飞客蠕虫对内网其他PC的入侵和感染主要是通过网络共享方式进行。而且飞客蠕虫可以通过其他硬件载体,比如U盘,移动硬盘等方式进行传播。网络共享是windows比较方便的一个利用网络共享文件的方式,但给用户带来便利的同时也带来了很大的隐患,局域网内的两大攻击手段就是arp感染和网络共享破解。飞客蠕虫是使用网络共享破解最多的蠕虫病毒之一,我们可以从其他的攻击数据上面进行验证。首先,我们会发现网络中存在大量的CIFS和

7、netBIOS协议,而且这些协议流量不是很大,但TCP会话数却很大。29/9这种会话具有明显的暴力破解行为,可以通过“数据流“选项来仔细对比,我们随机选择两个12个数据包的CIFS协议的数据流进行对比发现,其内容部分只有密码部分在改变如图:根据其他安全资料,可以找出其尝试密码的列表,通过列表我们可以发现,这些密码都是比较常见的密码,因此也可以看到设置一个比较复杂的随机的密码的重要性。9/9如果局域网内某台有漏洞的PC感染了飞客蠕虫,在传播过程中碰到其他PC是弱密码或根本没有密码,那么被入侵就是迟早的事情了。飞客蠕虫的危害:l导致个人机密信息被窃取,如QQ密码,银行

8、账号,个人

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。