《恶意软件分析以及防御》由会员分享,可在线阅读,更多相关《恶意软件分析以及防御(52页珍藏版)》请在金锄头文库上搜索。
1、恶意软件分析以及防御,凌云 计算机病毒分析师 安全商业和技术部 微软有限公司,概要,信息安全现状 恶意程序 病毒 蠕虫 (网络 , 电子邮件) 木马 (监视键盘,下载软件) 后门, 僵尸程序(Bot) 恶意系统软件 (Rootkit) 灰色程序 间谍软件, 广告软件 社会工程 (Social Engineering) 垃圾邮件 网络钓鱼 对策及预防,信息安全现状,2004下半年 1,403 新的软件漏洞被发现 13% 增长, 与前半年相比 97% 视为中等或严重 80% 可被远程攻击 70% 易被攻击 2004下半年 7,630 新的病毒,蠕虫被发现 64% 增长, 与前半年相比 其中 54%
2、 盗窃信息 44% 增长, 与前半年相比,Symantec, March 2005 Internet Security Threat Report,发展趋势,Source: Symantec Internet Security Threat Report,间谍软件广告软件猖獗,我们都清理过间谍软件广告软件 EarthLink 发现他们的用户平均每台机器 有 28 个间谍软件 间谍软件造成 40% 普通用户以及 25% 企业用户维修案例 Websense IT 调查 29% 企业个人计算机感染间谍软件,抵御恶意程序是当务之急,干扰正常工作, 降低工作效率 增加维护成本 潜在商业及技术泻密 网络恐
3、怖攻击只不过是迟早尔已,知己知彼, 百战不殆,什么是电脑病毒?,最早出现在70年代 David Gerrold 科幻小说 When H.A.R.L.I.E. was One. 最早科学定义出现在 1983: 在Fred Cohen (南加大) 的博士论文 “计算机病毒实验” “一种能把自己(或经演变)注入其它程序的计算机程序” 启动区病毒,宏(macro)病毒,脚本(script)病毒也是相同概念 传播机制同生物病毒类似.生物病毒是把自己注入细胞之中.,电脑病毒的工作原理,病毒三部曲: 住进阶段: 执行被感染的程序,病毒就加载入计算机内存 感染阶段: 病毒把自己注入其他程序,包括远程文件 执行
4、阶段: 当某些条件成熟时, 一些病毒会有一些特别的行为. 例如重新启动,删除文件.,加密病毒,寄主,在第一代病毒出现后不久, 就有人写出了能自我解密的病毒.,这种病毒携带一段解密程序. 病毒先执行解密程序, 把其余部分解密. 然后执行其余部分.,寄主,多形病毒 (Polymorphic Virus),多形病毒是一种能够自我加密, 并不断改变密钥或加密逻辑的计算机病毒.当多形病毒感染其它程序时: 动态生成密钥或一段加密,解密程序. 用动态生成的密钥或加密程序加密病毒. 把加密后的病毒与密钥及解密程序一起注入其它程序.,变形病毒(Metamorphic Virus),变形病毒能在每次感染时改变自身
5、逻辑! 变形病毒以现有程序作模板,引伸和变化出新的变种.,变形病毒的挑战:分析过程非常艰巨 侦检逻辑非常复杂,难写通用逻辑 侦检效率降低,什么是电脑蠕虫?,最早出现在75年 John Brunner 的小说 The Shockwave Rider 定义: 一段能不以其他程序为媒介, 从一个电脑系统复制到另一个电脑系统的程序 (Symantec) 例如, Code Red 是蠕虫; Michelangelo, 通过启动程序传播, 是病毒 蠕虫的工作原理与病毒相似, 除了没有感染文件阶段 细微的区别经常使不同公司对于同一个恶意程序得出不同的分类,电脑蠕虫背景,1978年第一个电脑蠕虫在施乐(Xer
6、ox) PARC 实验室诞生 第一个流行电脑蠕虫 Morris 1988 年康内尔大学研究生 Robert Morris Jr. 使美国很多大学的计算机系统崩溃 近来, 电子邮件(Klez, Nimda, Sober) 和网络 (Code Red, SQL.Slammer)蠕虫已经从流行规模上超过了电脑病毒 一些电子邮件和网络蠕虫成功地在短时间内传播 Melissa (1999) Code Red, Nimda (2001) SQL Slammer, Blaster, Sober (2003),网络蠕虫传播基本原理,利用程序中缓冲区溢出的缺陷,Function 1,Function 2,Hig
7、her Addresses,Return Address (Function 1),Stack of Function 2,B u f f e r,进程劫持,注入现有的进程从新启动后自动消失 增加侦测难度 例如: Code Red,Explorer.exe,Malware,超级电脑病毒,一种结合多种传播机制的恶意程序 感染文件 散播电子邮件 网络攻击,其他恶意程序,木马(Trojan) 一种不自我传播的恶意程序, 通常被用来窃听键盘和下载其他程序 后门(Backdoor) 一种能让黑客未经授权进入和使用本系统的恶意程序 僵尸(Bot) 一种集后门与蠕虫一体的恶意程序. 通常使用IRC (Int
8、ernet Relay Chat) 接受和执行黑客命令.,僵尸,僵尸生态系统 僵尸 僵尸网 管理通道 看守者 从 MyDoom.A开始进入鼎盛期 打开后门 TCP port 3127 - 3198 下载和执行程序 利用被感染的计算机散发电子邮件 数以百万计的感染计算机被出卖给了垃圾邮件的制造者,被发现僵尸网 (2004年9月3日),僵尸网发展趋势,源代码可在网上免费下载 修改, 编译, 散发 过去: 集中管理 一个 IRC 服务器管理所有僵尸 关闭服务器就破坏了僵尸网 现在: 提升 注册多个IRC 服务器 通讯加密 (AES-128 或更强) 今后: 分布式 (P2P)管理 对照分析: Nap
9、ster: 集中管理, 容易被关闭 eDonkey: 分布式管理, 不容易被关闭,恶意系统程序,恶意程序, 间谍软件, 广告软件提升反侦测能力 恶意系统程序是一种提供反侦测能力技术 隐藏文件, 进程, 网络端口和连接, 系统设置, 系统服务 可以在恶意程序之中, 例如 Berbew, 也有独立软件, 例如 Hackder Defender 恶意系统程序历史 首次出现在隐形病毒中, 例如 Brain 1994年第一个恶意系统程序出现在 SunOS,替换核心系统工具(ls, ps 等)来隐藏恶意进程,恶意系统程序功能,隐匿系统资源,进程 系统服务 网络端口 文件 注册表设置 用户帐号,实现手段,用
10、户模式系统调用劫持 核心模式系统调用劫持 核心模式数据篡改 核心模式中断处理程序劫持,系统调用实例,核心模式 (Ring 0),用户模式 (Ring 3),应用程序 CreateFile();,Kernel32.dll CreateFileW,ntdll.dll ZwCreateFile,mov eax, 25h mov edx, 7FFE0300h call dword ptr edx retn 4,mov edx, esp sysenter (or int 2E) ret,KiSystemService (maybe via KiFastCallEntry),2E,软件中断发送表,7FFE
11、0300h,NtCreateFile,IoCreateFile,IopCreateFile,(25h)NtCreateFile,系统服务发送表,用户模式系统调用劫持实例,用户模式文件查询 ZwQueryDirectoryFile弱点: 用户程序可直接呼叫核心系统调用 优点: 可感染普通用户帐号,Explorer.exe,Ntdll.dll,Rootkit,user mode,kernel mode,核心模式系统调用劫持实例,核心模式文件查询 NtQueryDirectoryFile弱点: 需要运行管理员帐号才能感染系统 较难开发及调试 优点: 难以侦测及清除,Explorer.exe,Ntdl
12、l.dll,user mode,kernel mode,Rootkit,进程资源管理系统调用 系统注册表资源管理系统调用 网络资源管理系统调用 文件资源管理系统调用,系统服务发送表劫持统计,5%的系统崩溃是与系统服务调用劫持有关,核心模式数据篡改,动态篡改核心模式数据, 例如 ActiveProcessList弱点: 需要运行管理员帐号才能感染系统 较难开发及调试,容易造成系统崩溃 优点: 难以侦测及清除,Explorer.exe,Malware.exe,Winlogon.exe,Active Processes,广告软件/间谍软件,广告软件: 弹出窗口及横幅形式向用户提供广告服务 通常经过用
13、户授权 间谍软件: 未经授权收集用户信息 未经授权上传用户信息 未经授权改变系统外表及行为,广告软件/间谍软件的传播,社会工程(欺骗)方法 非软件或硬件漏洞 电子邮件:附属可执行文件 电子邮件:隐蔽真实联接 弹出窗口 伪装网站 附属于其它免费或商业软件 利用浏览器瑕疵 自动下载及安装,手段一: 虚假安全警告,手段二: “取消”实际为“是”,手段三: 重复,手段四: 附加安装软件,利用浏览器缺陷,一些浏览器缺陷可被利用绕过安全检测和用户提示,直接启动恶意程序 例如,利用MS03-014缺陷自动下载及运行文件 u=http:/www.not-real- document.write(); ,恶意软
14、件发展趋势,专业化 集病毒,蠕虫,木马,后门,广告,间谍,恶意核心程序于一体。 只感染一小部分计算机, 以避免被发现。 有自动更新功能。 商业化 以前: 为制造轰动效应(上电台报纸) 现在: 钱 (有组织犯罪) 散发出垃圾邮件 发动中断服务袭击,阻止恶意软件,阻止恶意软件的有效措施,主动防御措施: 及时下载安装软件补丁 运行漏洞扫描程序 启用防火墙,关闭闲置端口 减小攻击面,停止不需要的应用程序或服务 使用最少特权帐户 正确使用口令 被动防御措施: 安装使用防病毒软件 定期备份重要文件,网络进攻时序线,发现漏洞,完成补丁,公布补丁,黑客破解补丁,开发蠕虫,释放蠕虫,No Exploit只有微软
15、及发现者知道漏洞存在,No Exploit只有微软及发现者知道漏洞存在,No Exploit公众知道漏洞存在,但不知道怎样攻击,No Exploit知道怎样攻击,但病毒/蠕虫尚未出现,No Exploit病毒/蠕虫尚未出现,但未被释放,Exploit病毒/蠕虫被释放; 感染未被修补系统,用户与黑客赛跑,实例分析:Blaster 蠕虫,微软被通知漏洞存在,公布补丁,进攻样板程序出现,蠕虫出现,七月1日,七月16日,七月25日,八月11日,通知漏洞 RPC/DCOM 漏洞被发现 微软启动最高级别快速反应程序,安全公告 公布MS03-026 (7/16/03) 继续与安全分析家,媒体,IT社区,合作
16、伙伴,政府部门保持联系,进攻样板程序 X-focus (中国黑客组) 出版进攻样板程序 微软警告用户尽快安装补丁,蠕虫 Blaster 蠕虫出现; 变种及其它病毒同时出现 (例如. “SoBig”),Blaster 展现了安全分析师,软件公司,以及黑客之间的复杂的互动关系,补丁越来越多 进攻样板程序出现时间缩短 进攻样板程序越来越多精巧,网络进攻趋势,公布补丁之后 暴露日期,Forrester: “安装补丁结束了软件漏洞。当软件开发公司提供了补丁之后,是用户自己的责任去安装补丁。” 根据暴露日期提示, 如果 你的软件供应商是对产品漏洞负责,以及你及时安装补丁, 那么 你会发现你总能保护不受蠕虫的入侵 这说明软件的普及度并不直接与危险程度相关,使用普通用户帐号,益处 : 无法停止防火墙和反病毒程序的运行 无法危害系统文件和设置 无法安装恶意核心程序 恶意程序只能影响本帐号的程序及设置 无法篡改系统日志 还有很多 提升至管理员特权 改变运行方式 RunAs 快速用户切换 (FUS) 终端服务器进程,
