《计算机病毒与防范技术 第4章》由会员分享,可在线阅读,更多相关《计算机病毒与防范技术 第4章(55页珍藏版)》请在金锄头文库上搜索。
1、计算机病毒与防范技术,第4章 网络蠕虫,网络蠕虫的定义 蠕虫的起源发展 蠕虫的行为特征 蠕虫的工作原理 蠕虫的防范 典型蠕虫代码的分析,蠕虫的原始定义,蠕虫病毒通常由两部分组成:一个主程序和一个引导程序 主程序的主要功能是搜索和扫描,这个程序能够读取系统的公共配置文件,获得与本机联网的客户端信息,检测到网络中的哪台机器没有被占用,从而通过系统的漏洞,将引导程序建立到远程计算机上 引导程序实际上是蠕虫病毒主程序(或一个程序段)自身的一个副本,蠕虫的原始定义,主程序和引导程序都有自动重新定位(autorelocation)的能力 这些程序或程序段都能够把自身的副本重新定位在另一台机器上,蠕虫与病毒
2、之间的区别及联系,蠕虫的行为特征,主动攻击 行踪隐蔽 利用系统、网络应用服务器漏洞 造成网络拥塞 消耗系统资源,降低系统性能 产生安全隐患 反复性 破坏性,蠕虫定义的进一步说明,蠕虫的定义中强调了自身副本的完整性和独立性,这也是区分蠕虫和病毒的重要因素。可以通过简单的观察攻击程序是否存在载体来区分蠕虫与病毒,蠕虫的起源和发展,1980年,Xerox PARC的研究人员John Shoch和Jon Hupp在研究分布式计算、监测网络上的其他计算机是否活跃时,编写了一种特殊程序,Xerox蠕虫,蠕虫的起源和发展,1988年11月2日,世界上第一个破坏性计算机蠕虫正式诞生 Morris蠕虫利用sen
3、dmail的漏洞、fingerD的缓冲区溢出及REXE的漏洞进行传播Morris在证明其结论的同时,也开启了蠕虫新纪元,蠕虫的起源和发展,2001年7月19日,CodeRed蠕虫爆发,在爆发后的9小时内就攻击了25万台安装有Microsoft的IIS网页服务器。,蠕虫的起源和发展,2001年9月18日,Nimda蠕虫被发现,不同于以前的蠕虫,Nimda开始结合病毒技术。它通过电子邮件、网络邻近共享文件、IE浏览器的内嵌MIME类型自动执行漏洞、IIS服务器文件目录遍历的漏洞、CodeRed和sadmind/IIS蠕虫留下的后门共五种方式进行传播。,蠕虫的起源和发展,在2003年1月25日,蠕虫
4、W32/Slammer通过Microsoft的SQL服务器和MSDE2000(Microsoft SQL Server Desktop Engine)的漏洞进行传播。2003年7月21日,微软公司公布Windows系统的一个RPC漏洞,2003年8月11日,“冲击波”(worm.Blaster)开始在互联网上传播。,蠕虫的起源和发展,2004年4月13日,微软公布了一个严重等级的安全公告“MS04-011”。5月1日,一个新的蠕虫“震荡波”(Worm.sasser)开始在互联网肆虐该病毒利用windows平台的 LSASS(Local Security Authority subsystem
5、Services)漏洞进行传播成为2004年当之无愧的“毒王”,蠕虫的起源和发展,2005年8月14日狙击波蠕虫(Zotob)爆发,它利用了8月9日微软发布的即插即用(PnP)中的漏洞(Ms05-039),用户电脑感染了该蠕虫之后,在某些情况下会出现系统频繁重启的现象。2006年威金、熊猫烧香结合了病毒技术,具有很强的破坏性,中毒后计算机上面的EXE文件都会被破坏,蠕虫程序的实体结构,蠕虫的基本结构,蠕虫的基本结构,蠕虫程序的功能结构,蠕虫的工作方式,蠕虫的工作方式一般是“目标定位攻击复制”,蠕虫的工作方式,蠕虫的扫描策略 现在流行的蠕虫采用的传播技术目标,一般是尽快地传播到尽量多的计算机中扫
6、描模块采用的扫描策略是:随机选取某一段IP地址,然后对这一地址段上的主机进行扫描没有优化的扫描程序可能会不断重复上面这一过程,大量蠕虫程序的扫描引起严重的网络拥塞,蠕虫的工作方式,对扫描策略的改进 在IP地址段的选择上,可以主要针对当前主机所在的网段进行扫描,对外网段则随机选择几个小的IP地址段进行扫描对扫描次数进行限制,只进行几次扫描把扫描分散在不同的时间段进行,蠕虫的工作方式,扫描策略设计的原则 尽量减少重复的扫描,使扫描发送的数据包总量减少到最小 保证扫描覆盖到尽量大的范围 处理好扫描的时间分布,使得扫描不要集中在某一时间内发生 怎样找到一个合适的策略需要在考虑以上原则的前提下进行分析,
7、甚至需要试验验证,蠕虫的工作方式,蠕虫常用的扫描策略 随机扫描 目前大多数蠕虫所选择的扫描策略蠕虫通过产生伪随机数列的方法,在互联网地址空间中随机的选取IP地址进行扫描随机扫描具有算法简单、易实现的特点。但随机扫描容易引起网络阻塞,蠕虫的工作方式,选择性随机扫描 会对整个地址空间的IP随机抽取进行扫描所选的目标地址按照一定的算法随机生成,互联网地址空间中未分配的或者保留的地址块不在扫描之列典型的有Slapper蠕虫和Slammer蠕虫。Slammer蠕虫传播非常快,主要因为它采用UDP1434(SQL SERVER)端口的非连接的扫描,而且采用了大量线程的扫描方式,使得其扫描主要受带宽的限制,
8、蠕虫的工作方式,顺序扫描 宿主主机上的蠕虫会随机选择一个C类网络地址进行顺序传播该策略的不足是对同一台主机可能重复扫描,引起网络拥塞W32.Blaster是典型的顺序扫描蠕虫,蠕虫的工作方式,初始列表扫描(hit list)蠕虫程序在释放之前,预先形成一个易感主机的初试列表,然后对该列表地址进行尝试攻击和传播一般是选择网络中的关键节点主机,蠕虫的工作方式,初始列表生成方法有两种,其一是通过小规模的扫描或者互联网的共享信息产生初始列表,其二是通过分布式扫描可以生成全面的列表数据库缺点是攻击者收集这些攻击目标时往往要花费很长的时间,在这个过程中所利用的漏洞有可能会被修复,而失去攻击的机会,蠕虫的工
9、作方式,可路由地址扫描 蠕虫依据网络的路由信息,对地址空间进行选择性扫描的一种策略蠕虫的设计者通常利用BGP路由表的公开信息获取互连网路由的IP地址前辍,从而达到验证BGP数据库可用性的目的提高了蠕虫的传播速度,但蠕虫传播时必须携带一个路由IP地址库,蠕虫的工作方式,DNS扫描 蠕虫程序从DNS服务器上获取所记录的IP地址来建立蠕虫扫描的目的地址库所建立的目标地址库具有针对性和可用性强的特点但蠕虫程序需要携带大量的地址库,因此传播速度比较慢,蠕虫的工作方式,分治扫描 网络蠕虫之间相互协作、快速搜索易感染主机的一种策略网络蠕虫发送地址库的一部分给每台被感染的主机,然后每台主机再去扫描它所获得的地
10、址不足是存在“坏点”问题。在蠕虫传播的过程中,如果一台主机死机或崩溃,那么所有传给它的地址库就会丢失。这个问题发生得越早,影响就越大,蠕虫的工作方式,有三种方法能够解决这个问题:(1)在蠕虫传递地址库之前产生目标列表;(2)通过计数器来控制蠕虫的传播情况,蠕虫每感染一个节点,计数器加1,然后根据计数器的值来分配任务;(3)蠕虫传播的时候随机决定是否重传数据库,蠕虫的工作方式,置换列表扫描 所有蠕虫共用一张与整个地址空间相对应的伪随机置换列表,并通过该表来选择扫描目标被感染的主机以其在置换列表上的位置为扫描起点,并由该起点始沿着置换列表向下扫描,寻找新的漏洞主机。当它扫描到某一点并发现该点所对应
11、的主机已经被感染,会立即停止扫描,并在置换列表中随机选择一个新的起点继续扫描确保了对整个网络的彻底扫描,也避免了对同一台机器的重复扫描,蠕虫的工作方式,蠕虫快速传播的关键在于设计良好的扫描策略一般情况下,采用DNS扫描传播的蠕虫速度最慢,选择性随机扫描和路由扫描比随机扫描的速度要快对于初始列表扫描,当列表超过1M字节时,蠕虫传播的速度就会比路由扫描蠕虫慢;当列表大于6M时,蠕虫传播速度比随机扫描还慢,蠕虫的工作方式,目前,网络蠕虫首先采用路由扫描,再利用随机扫描进行传播是最佳选择扫描发送的探测包是根据不同的漏洞进行设计的不同的漏洞有不同的攻击手法,关键的问题是对漏洞的理解和利用,蠕虫的工作方式
12、,蠕虫的攻击机制 缓冲区溢出漏洞 内存损坏漏洞,漏洞与缓冲区溢出介绍,漏洞是指任何软件、硬件或实现中存在的缺陷,这些缺陷在满足一定的条件时,可导致信息泄漏或资源失控或服务失效攻击代码是指可以用来体现漏洞的程序代码,通过执行这些程序代码,可以展示漏洞,即出现信息泄漏或资源失控或服务失效这些结果。,漏洞与缓冲区溢出介绍,缓冲区指的是程序运行时内存中一块连续的区域缓冲溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量,溢出的数据覆盖在合法数据上,漏洞与缓冲区溢出介绍,void MyCopy(char*str) char dstbuffer256;strcpy(buffer,str);
13、 int main() int i;char srcbuffer512;for(i=0;i511;i+)srcufferi=C;MyCopy(srcbuffer);return 0; ,漏洞与缓冲区溢出介绍,在C语言标准库中就有许多能提供溢出的函数,如strcat(),strcpy(),sprintf(),vsprintf(),bcopy(),gets()和scanf()等等据统计,因特网上80%的攻击采用了缓冲区溢出后执行攻击者的攻击代码,漏洞与缓冲区溢出介绍,缓冲区溢出大致分为栈溢出和堆溢出。除此之外还有函数指针、off-by-one溢出、格式字符串攻击等等。在.data、.bss和hea
14、p中溢出的情形,都称为堆溢出这些数据区的特点是:数据的增长由低地址向高地址,而栈溢出则相反。,漏洞与缓冲区溢出介绍,近几年爆发的蠕虫都利用了缓冲区溢出技术 W32/Slammer Worm.sasser worm.Blaster Zotob溢出点定位是缓冲区溢出技术的核心,漏洞与缓冲区溢出介绍,随着将来高级类型安全语言、编译器、虚拟机等技术的应用,作为软件漏洞之王的缓冲区溢出可能会逐渐消亡,程序设计中的逻辑错误将可能取代缓冲区溢出,成为漏洞的新主流,蠕虫的工作方式,复制 复制模块通过原主机和新主机的交互,将蠕虫程序复制到新主机并启动复制过程有很多种方法,可以利用系统本身的程序实现,也可以用蠕虫
15、自带的程序实现复制过程实际就是一个文件传输的过程。,蠕虫的防治策略,从它的实体结构来考虑,如果破坏了它的实体组成的一个部分,则破坏了其完整性,使其不能正常工作,从而达到阻止其传播的目的从它的功能组成来考虑,如果使其某个功能组成部分不能正常工作,也同样能达到阻止其传播的目的,蠕虫的防治策略,具体可以分为如下一些措施 修补系统漏洞 分析蠕虫行为 重命名或删除命令解释器(Interpreter) 防火墙(Firewall) 公告 更深入的研究,蠕虫的防范,购买主流的网络安全产品,并注意随时更新 提高防杀毒意识,不要轻易点击陌生的站点 不随意查看陌生邮件,尤其是带有附件的邮件 防范局域网连接和资源共享
16、带来的安全隐患,典型蠕虫代码的分析,红色代码2(Worm.codeRed) 背景 病发症状 漏洞介绍 扫描策略 程序流程,红色代码2(Worm.codeRed),病发症状 在“ WINNTSYSTEM32LOGFILESW3SVCI”目录下的日志文件中含有以下内容:,GET,/default.ida, XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX% u9090%u6858%ucbd3%u7801%u9O90%u6858%uebd3%u7801%u909o %u6858%uebd3%u780l%u909o%u9090%us190%u00e3%u0003%u8b00 %u53lb%u53ff%u0078%u0000%u00=a,
