《CISP0207安全漏洞与恶意代码ppt课件》由会员分享,可在线阅读,更多相关《CISP0207安全漏洞与恶意代码ppt课件(79页珍藏版)》请在金锄头文库上搜索。
1、安全漏洞与恶意代码,2,课程内容,安全漏洞、恶意代码与攻防,知识体,知识域,知识子域,安全漏洞与 恶意代码,安全攻击与 防护,3,知识域:安全漏洞与恶意代码,知识子域:安全漏洞的产生与发展 了解安全漏洞的概念和产生的原因 了解国内外常见安全漏洞分类 了解安全漏洞的发展趋势,4,安全漏洞的基本概念,什么是漏洞(Vulnerability) 也被称为脆弱性,计算机系统天生的类似基因的缺陷,在使用和发展过程中产生意想不到的问题(冯诺依曼) 漏洞的含义 漏洞本身随着信息技术的发展而具有不同的含义与范畴 基于访问控制的定义逐步发展到涉及系统安全流程、设计、实施、内部控制等全过程的定义,5,漏洞的定义,学
2、者们对漏洞的定义 从访问控制角度定义(1982 Denning ) 从风险管理角度的定义(1990 Longstaff) 使用状态空间描述的方法定义(1996 Bishop) 标准机构的定义 存在于评估对象(TOE)中违反安全功能要求的弱点(1999年,ISO/IEC15408(GB/T18336) 威胁源可以攻击或触发的信息系统、系统安全流程、内部控制或实施中的弱点(2000 NIST IR 7298) 威胁可以利用的一个或一组资产的弱点;是评估对象(TOE)中的弱点;是在信息系统或其环境的设计及实施中的缺陷、弱点或特性( 2009年ISO/IEC),6,漏洞的理解,从生命周期的角度出发,信
3、息技术、信息产品和信息系统在需求、设计、实现、配置、维护和使用等过程中,有意或无意产生的缺陷,这些缺陷一旦被恶意主体所利用,就会造成对信息产品或系统的安全损害,从而影响构建于信息产品或系统之上正常服务的运行,危害信息产品或系统及信息的安全属性,7,漏洞产生的原因,技术原因 软件系统复杂性提高,质量难于控制,安全性降低 公用模块的使用引发了安全问题 经济原因 “柠檬市场”效应 环境原因 从传统的封闭、静态和可控变为开放、动态和难控 攻易守难 安全缺陷 安全性缺陷是信息系统或产品自身“与生俱来”的特征,是其的固有成分,8,漏洞的分类,分类的目的 准确的区分和描述不同的漏洞 有助于漏洞的发布、存储和
4、查询 漏洞分类实例 NVD:代码注入等21种类型 CNNVD:根据漏洞形成分成22种类型 ,9,知识域:安全漏洞与恶意代码,知识子域:安全漏洞的发现与修复 了解安全漏洞的静态与动态挖掘方法的基本原理 了解补丁分类及修复时应注意的问题,10,漏洞的发现,静态漏洞挖掘 动态漏洞挖掘,11,静态漏洞挖掘,不运行代码而直接对代码进行漏洞挖掘的方法 适用对象 完整的或不完整的源代码 二进制代码 中间代码片段 方法 流分析 符号执行 模型检测,12,动态漏洞挖掘,在代码运行的状态下,通过监测代码的运行状态或根据测试用例结果来挖掘漏洞的方法 特点 与静态分析方法相比,动态分析方法的最大优势在于其分析结果的精
5、确,即误报率较低 方法 模糊测试 动态污染传播,13,安全漏洞的修复,安装补丁是漏洞消减的技术手段之一。 数据显示,及时安装有效补丁可避免约95%的信息安全损失 补丁修复中存在的两难问题: 打什么样的补丁?补丁质量问题 如何打补丁?操作方式问题 什么时间打补丁?修复时机问题,14,补丁分类,从文件类型 以源代码形式存在 以二进制形式存在 从内存角度 文件补丁(冷补丁) 内存补丁(热补丁),15,补丁安装时应注意的问题,补丁安装部署之前需要经过必要的测试 需要从可靠来源不断获取最新补丁信息 安装补丁时需要做好备份和相应的应急措施,16,安全漏洞的修复,标准化的安全配置 2002年,美国率先在军队
6、推行标准化的安全配置与核查(IAVA) 根据漏洞分析和风险评估的安全加固 传统的安全加固手段越来越难以应付日益复杂的攻击行为,漏洞信息的及时披露和分发越来越重要。 加固核查与问责 通过安全审计核实漏洞消除情况和效果。,17,知识域:安全漏洞与恶意代码,知识子域:恶意代码的产生与发展 了解恶意代码的发展历史及趋势 了解恶意代码的分类 理解恶意代码的传播方式,18,什么是恶意代码,什么是恶意代码 中华人民共和国计算机信息系统安全保护条例第二十八条:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码 (1994.2.18
7、) 恶意代码,是指能够引起计算机故障,破坏计算机数据,影响计算机系统的正常使用的程序代码。指令 类型 二进制代码、脚本语言、宏语言等 表现形式 病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹等,19,恶意代码发展,孕育和诞生 1949:冯诺依曼在复杂自动机组织论提出概念 1960:生命游戏(约翰康维 ) 磁芯大战(贝尔实验室三名程序员 ) 1977年科幻小说P-1的青春使得恶意程序有了计算机病毒的名称 1983:真正的恶意代码在实验室产生,20,恶意代码发展,1986年第一个PC病毒:Brain virus 1988年Morris Internet worm6000多台 1990年第一个多态病
8、毒 1991年virus construction set-病毒生产机 1991年 DIR2病毒 1994年Good Times(joys) 1995年首次发现macro virus,罗伯特.莫里斯,21,恶意代码发展,1996年netcat的UNIX版发布(nc) 1998年第一个Java virus(StrangeBrew) 1998年netcat的Windows版发布(nc) 1998年back orifice(BO)/CIH 1999年melissa/worm(macrovirus by email) 1999年back orifice(BO) for WIN2k 1999年DOS/D
9、DOS-Denial of Service TFT/ trin00 1999年knark内核级rootkit(linux),22,恶意代码发展,2000年love Bug(VBScript) 2001年Code Red worm(overflow for IIS) 2001年Nimda-worm(IIS/ web browser/outlook/file share etc.) 2002年SQL slammer(sqlserver) 2003年MSBlaster/ Nachi 2003年中文上网 2004年MyDoom/ Sasser 2006年熊猫烧香,23,恶意代码发展,2010年Stux
10、net(工业蠕虫) 2012年火焰病毒,各种蠕虫、木马悄悄的潜伏在计算机中,窃取信息,24,恶意代码的发展趋势,从传播速度上来看 恶意代码爆发和传播速度越来越快 从攻击意图来看 从游戏、炫耀逐步转向恶意牟利 从功能上来看 恶意代码的分工越来越细 从实现技术来看 恶意代码实现的关键技术不断变化 从传播范围来看 恶意代码呈现多平台传播的特征,25,恶意代码分类,照恶意代码运行平台 按照恶意代码传播方式 按照恶意代码的工作机制 按照恶意代码危害,26,恶意代码的传播方式,移动存储 文件传播 网络传播 网页 电子邮件 即时通讯 共享 主动放置 软件漏洞,27,AutoRun OPEN=Autorun.
11、exe ICON=icon.ico,恶意代码传播方式-移动存储,自动播放功能 Windows默认 自动执行autorun.inf指定的文件 设置 组策略编辑器,28,恶意代码传播方式-文件传播,文件感染 软件捆绑 强制安装:在安装其他软件时被强制安装上 默认安装:在安装其他软件是被默认安装上,29,恶意代码传播方式-网页,将木马伪装为页面元素 利用脚本运行的漏洞 伪装为缺失的组件 通过脚本运行调用某些com组件 利用软件漏洞 例如:在渲染页面内容的过程中利用格式溢出释放或下载木马,30,恶意代码传播方式-邮件,社会工程学 欺骗性标题 吸引人的标题 I love you病毒 库娃等 利用系统及邮
12、件客户端漏洞 尼姆达(畸形邮件MIME头漏洞) ,31,恶意代码传播方式-通讯与数据传播,即时通讯 伪装即时通讯中的用户向其联系人发送消息。使用欺骗性或诱惑性的字眼 P2P下载 伪造有效资源进行传播,32,恶意代码传播方式-共享,共享,管理共享 C盘、D盘 Windows安装目录 用户共享 用户设置的共享 典型病毒 Lovegate Spybot Sdbot ,33,恶意代码传播方式-主动放置,利用系统提供的上传渠道(FTP、论坛等) 攻击者已经获得系统控制权 攻击者是系统开发者 ,攻击者,被攻击系统,34,恶意代码传播方式-软件漏洞,利用各种系统漏洞 缓冲区溢出:冲击波、振荡波 利用服务漏洞
13、 IIS的unicode解码漏洞:红色代码 ,35,知识域:安全漏洞与恶意代码,知识子域:恶意代码的实现技术 理解恶意代码修改配置文件、修改注册表、设置系统服务等加载方式 理解恶意代码进程、网络及系统隐藏技术 理解恶意代码进程保护和检测对抗自我保护技术,36,恶意代码加载方式,随系统启动而加载 开始菜单中的启动项 启动配置文件 注册表启动项 系统服务 组策略 随文件执行加载 感染/文件捆绑 浏览器插件 修改文件关联 其他,37,随系统启动加载方式-启动配置,开始菜单启动项 启动配置文件 Autorun.bat Win.ini System.ini 已经很少有病毒采用 过于明显 用户登录后才能启
14、动,随系统启动加载方式-注册表,注册表启动项: HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun HKCUSOFTWAREMicrosoftWindowsCurr
15、entVersionRunOnce ,38,优势 隐蔽性强 方式多样 加载位置 Load键值 Userinit键值 Run RunServicesOnce RunServices RunOnce ,39,随系统启动加载方式-服务,优势 隐蔽性强 无需用户登录 权限较高 加载方式 单独服务 替换系统服务程序,40,随系统启动加载方式-组策略,优势 类似启动项,但隐蔽性更高 不足 需要用户登录,41,随文件执行加载方式-感染/文件合并,传统病毒 宏病毒 程序合并,42,随文件执行加载方式-浏览器插件,优势 隐蔽性强 清理困难,43,随文件执行加载方式-修改文件关联,原理 正常情况下 文本文件(.t
16、xt)关联到记事本notepad.exe打开 病毒修改 文本文件(.txt)关联到病毒文件打开 优势 隐蔽性强,可关联任意类型文件,甚至可以关联目录操作,44,恶意代码隐藏技术,进程隐藏 进程迷惑 DLL注入 网络隐藏 端口复用 无端口 反向端口 系统隐藏 隐藏、系统文件 流文件隐藏 Hook技术,45,恶意代码进程隐藏技术-进程迷惑,随机进程名 每次启动生成不一样的进程名,退出后无法查找 系统进程类命名 Windows.exe System1.exe Kernel.exe 相似进程名 同名不同路径的进程 c:windowssystem32iexplore.exe(trojan) c:Program FilesInternet Exploreriexplore.exe(right) 名称相近的程序 svchost.exe(right) svch0st.exe(trojan),46,恶意代码进程隐藏技术-DLL注入,动态链接库文件 (DLL)概念 什么是DLL注入 DLL注入技术是恶意代码将DLL文件放进某个进程的地址空间里,让它成为那
