《2012版07(恶意代码分析与防治 )网络安全课件》由会员分享,可在线阅读,更多相关《2012版07(恶意代码分析与防治 )网络安全课件(74页珍藏版)》请在金锄头文库上搜索。
1、网络安全攻击术 第7章 恶意代码分析与防治,内容预览,恶意代码的发展史和恶意代码长期存在的原因 恶意代码实现机理、定义以及攻击方法 恶意代码生存技术、隐藏技术 恶意代码防范方法 恶意代码实例分析,一、恶意代码概述,代码是指计算机程序代码,可以被执行完成特定功能。任何事物都有正反两面,人类发明的所有工具既可造福也可作孽,这完全取决于使用工具的人。 软件工程师们编写了大量的有用的软件(操作系统,应用系统和数据库系统等)的同时,黑客们在编写编写扰乱社会和他人的计算机程序,这些代码统称为恶意代码(Malicious Codes)。,1.1 研究恶意代码的必要性,在Internet安全事件中,恶意代码造
2、成的经济损失占有最大的比例。恶意代码主要包括: 计算机病毒(Virus) 蠕虫(Worm) 木马(Trojan Horse) 后门(Backdoor) 逻辑炸弹(Logic Bomb)等等 恶意代码成为信息战、网络战的重要手段。日益严重的恶意代码问题,不仅使企业及用户蒙受了巨大经济损失,而且使国家的安全面临着严重威胁。,1.2 恶意代码的发展史,恶意代码经过20多年的发展,破坏性、种类和感染性都得到增强。随着网络传播的恶意代码对人们日常生活影响越来越大。 黑客、病毒木马制作者的“生存方式”也在发生变化。 病毒的“发展”已经呈现多元化的趋势,类似熊猫烧香、灰鸽子等大张旗鼓进行攻击、售卖的病毒已经
3、越来越少,而以下载器、文件夹伪装者为代表的“隐蔽性”顽固病毒频繁出现,同时有针对性的木马、病毒也已经成为新增病毒的主流。,恶意代码的发展,恶意代码发展的3个主要特征,恶意代码从80 年代发展至今体现的3个主要特征: 恶意代码日趋复杂和完善: 从非常简单的,感染游戏的Apple II 病毒发展到复杂的操作系统内核病毒和今天主动式传播和破坏性极强的蠕虫和木马。 恶意代码在快速传播机制和生存性技术研究取得了很大的进展。 编制方法及发布速度更快: Internet 成为恶意代码发布并快速蔓延的平台。特别是过去5 年,不断涌现的恶意代码,证实了这一点。 早期,大多数攻击行为是由病毒和受感染的可执行文件引
4、起的。 现在,利用系统和网络的脆弱性进行传播和感染开创了恶意代码的新纪元。,1.3 恶意代码长期存在的原因,1. 系统漏洞层出不穷 AT&T 实验室的S. Bellovin 提供的安全报告进行过分析,分析结果表明,大约50%的计算机网络安全问题是由软件工程中产生的安全缺陷引起的,其中,很多问题的根源都来自于操作系统的安全脆弱性。 在信息系统的层次结构中,包括从底层的操作系统到上层的网络应用在内的各个层次都存在着许多不可避免的安全问题和安全脆弱性。而这些安全脆弱性的不可避免,直接导致了恶意代码的必然存在。,计算机技术发展的同时并未使系统的安全性得到增强。 技术进步带来的安全增强能力最多只能弥补由
5、应用环境的复杂性带来的安全威胁的增长程度。 计算机新技术的出现还很有可能使计算机系统的安全变得比以往更加脆弱。(脆弱性与规模成正比) 测试技术只能证明系统存在脆弱性,不能证明系统不存在脆弱性。,2. 利益驱使 目前,网络购物、网络支付、网络银行和网上证券交易系统的已经普及,各种盗号木马甚至被挂在了金融、门户等网站上,给用户造成了严重的经济损失。 如果下载网银木马,该木马会监视 IE 浏览器正在访问的网页,如果发现用户正在登录某银行的网上银行,就会弹出伪造的登录对话框,诱骗用户输入登录密码和支付密码,通过邮件将窃取的信息发送出去,威胁用户网上银行帐号密码的安全。 骗取 IP 流量,所谓的IP 流
6、量指的是访问某个网站的独立IP 数量。IP 流量是评估一个网站的重要指标,因此一些商家就出售这些流量。,1.4 恶意代码的定义,早期恶意代码的主要形式是计算机病毒。 80年代,Cohen 设计出一种在运行过程中可以复制自身的破坏性程序,Adleman将它命名为计算机病毒,它是早期恶意代码。 Adleman将计算机病毒定义为: 一个具有破坏、传染或模仿特点的相同性质的程序集合。 这种定义有将病毒内涵扩大化的倾向,将任何具有破坏作用的程序都认为是病毒,掩盖了病毒潜伏、传染等其它重要特征。,恶意代码的定义,Grimes 将恶意代码定义为,经过存储介质和网络进行传播,从一台计算机系统到另外一台计算机系
7、统,未经授权认证破坏计算机系统完整性的程序或代码。 包括计算机病毒(Computer Virus)、蠕虫(Worms)、特洛伊木马(Trojan Horse)、逻辑炸弹(Logic Bombs)、病菌(Bacteria)、用户级RootKit、核心级RootKit等。 由此定义,恶意代码两个显著的特点是:非授权性和破坏性。,恶意代码的相关定义,1.6 恶意代码攻击机制,恶意代码的基本作用机制大体相同,其整个作用过程分为6个部分: 侵入系统。 侵入系统是恶意代码实现其恶意目的的必要条件。 恶意代码入侵的途径很多,如:从互联网下载的程序本身就可能含有恶意代码;接收已经感染恶意代码的电子邮件;从光盘
8、或软盘往系统上安装软件;黑客或者攻击者故意将恶意代码植入系统等。 维持或提升现有特权。 恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。,隐蔽策略。 为了不让系统发现恶意代码已经侵入系统,恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。 潜伏。 恶意代码侵入系统后,等待一定的条件,并具有足够的权限时,就发作并进行破坏活动。 破坏。 恶意代码的本质具有破坏性,其目的是造成信息丢失、泄密,破坏系统完整性等。 重复至对新的目标实施攻击过程。,恶意代码攻击模型,二、 恶意代码实现关键技术,恶意代码,首先必须具有良好隐蔽性,生存性,不能轻松被软件或者用户察觉。然后,必须具有良
9、好的攻击性。 关键技术包括: 恶意代码生存技术 恶意代码攻击技术 恶意代码的隐蔽技术,2.1 恶意代码生存技术,生存技术主要包括: 反跟踪技术 加密技术 模糊变换技术 自动生产技术。,A.反跟踪技术,恶意代码采用反跟踪技术可以提高自身的伪装能力和防破译能力,增加检测与清除恶意代码的难度。 目前常用的反跟踪技术有两类: 反动态跟踪技术 反静态分析技术。,反动态跟踪技术,检测跟踪 检测跟踪调试时和正常执行时的运行环境、中断入口和时间的差异,根据这些差异采取一定的措施,实现其反跟踪目的。 禁止跟踪中断 针对调试分析工具运行系统的单步中断和断点中断服务程序,恶意代码通过修改中断服务程序的入口地址实现其
10、反跟踪目的。 “1575”计算机病毒采用该方法将堆栈指针指向处于中断向量表中的INT 1至 INT 3区域,阻止调试工具对其代码进行跟踪。 封锁键盘输入和屏幕显示 破坏各种跟踪调试工具运行的必需环境。,反静态分析技术,对程序代码分块加密执行 为了防止程序代码通过反汇编进行静态分析,程序代码以分块的密文形式装入内存,在执行时由解密程序进行译码,某一段代码执行完毕后立即清除,保证任何时刻分析者不可能从内存中得到完整的执行代码; 伪指令法(Junk Code) 伪指令法系指在指令流中插入“废指令”,使静态反汇编无法得到全部正常的指令,不能有效地进行静态分析。 例如,“Apparition”是一种基于
11、编译器变形的Win32 平台的病毒,编译器每次编译出新的病毒体可执行代码时都要插入大量的伪指令,既达到了变形的效果,也实现了反跟踪的目的。,B. 加密技术,加密技术是恶意代码自我保护的一种手段, 加密技术和反跟踪技术的配合使用,使得分析者无法正常调试和阅读恶意代码,不知道恶意代码的工作原理,也无法抽取特征串。 从加密的内容上划分,加密手段分为信息加密、数据加密和程序代码加密三种。,C. 模糊变换技术,利用模糊变换技术,恶意代码每感染一个客体对象时,潜入宿主程序的代码互不相同。 同一种恶意代码具有多个不同样本,几乎没有稳定代码,采用基于特征的检测工具一般不能识别它们。 随着这类恶意代码的增多,不
12、但使得病毒检测和防御软件的编写变得更加困难,而且还会增加反病毒软件的误报率。 目前,模糊变换技术主要分为5种:,(1)指令替换技术。 模糊变换引擎(Mutation Engine)对恶意代码的二进制代码进行反汇编,解码每一条指令,计算出指令长度,并对指令进行同义变换。 例如,将指令XOR REG,REG 变换为SUB REG,REG;寄存器REG1和寄存器REG2进行互换;JMP指令和CALL指令进行变换等。 (2)指令压缩技术。 模糊变换器检测恶意代码反汇编后的全部指令,对可进行压缩的一段指令进行同义压缩。压缩技术要改变病毒体代码的长度,需要对病毒体内的跳转指令进行重定位。 例如指令MOV
13、REG,12345678 / ADD REG,87654321 变换为指令MOV REG,99999999;指令MOV REG,12345678 / PUSHREG变换为指令PUSH 12345678等。,(3)指令扩展技术。 扩展技术把每一条汇编指令进行同义扩展,所有压缩技术变换的指令都可以采用扩展技术实施逆变换。 扩展技术变换的空间远比压缩技术大的多,有的指令可以有几十种甚至上百种的扩展变换。 扩展技术同样要改变恶意代码的长度,需要对恶意代码中跳转指令进行重定位。 (4)伪指令技术。 伪指令技术主要是对恶意代码程序体中插入无效指令, 例如空指令;JMP 下一指令和指令PUSH REG/MO
14、V REG,12345678/POP REG等。,D.自动生产技术,恶意代码自动生产技术是针对人工分析技术的。 “计算机病毒生成器”,使对计算机病毒一无所知的用户,也能组合出算法不同、功能各异的计算机病毒。,2.2 恶意代码攻击技术,常见的攻击技术包括: 进程注入技术 三线程技术 端口复用技术 超级管理技术 端口反向连接技术 缓冲区溢出攻击技术。,A. 进程注入技术,当前操作系统中都有系统服务和网络服务,它们都在系统启动时自动加载。 进程注入技术就是将这些与服务相关的可执行代码作为载体,恶意代码程序将自身嵌入到这些可执行代码之中,实现自身隐藏和启动的目的。 这种形式的恶意代码只须安装一次,以后
15、就会被自动加载到可执行文件的进程中,并且会被多个服务加载。 只有系统关闭时,服务才会结束,所以恶意代码程序在系统运行时始终保持激活状态。,B. 三线程技术,在Windows 操作系统中引入了线程的概念,一个进程可以同时拥有多个并发线程。 三线程技术就是指一个恶意代码进程同时开启了三个线程: 其中一个为主线程,负责远程控制的工作。 另外两个辅助线程是监视线程和守护线程,监视线程负责检查恶意代码程序是否被删除或被停止自启动。 守护线程注入其它可执行文件内,与恶意代码进程同步,一旦进程被停止,它就会重新启动该进程,并向主线程提供必要的数据,这样就能保证恶意代码运行的可持续性。,C. 端口复用技术,端
16、口复用技术,系指重复利用系统网络打开的端口(如25、80、135和139等常用端口)传送数据,这样既可以欺骗防火墙,又可以少开新端口。 端口复用是在保证端口默认服务正常工作的条件下复用,具有很强的欺骗性。 例如,特洛伊木马“Executor”利用80 端口传递控制信息和数据,实现其远程控制的目的。,D. 超级管理技术,一些恶意代码还具有攻击反恶意代码软件的能力。 为了对抗反恶意代码软件,恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击,使反恶意代码软件无法正常运行。 例如,“广外女生”是一个国产的特洛伊木马,它采用超级管理技术对“金山毒霸”和“天网防火墙”进行拒绝服务攻击。,E. 端口反向连接技术,防火墙对于外部网络进入内部网络的数据流有严格的访问控制策略,但对于从内网到外网的数据却疏于防范。 端口反向连接技术,指令恶意代码攻击的服务端(被控制端)主动连接客户端(控制端)。 国外的“Boinet”是最先实现这项技术的木马程序,国内最早实现端口反向连接技术的恶意代码是“网络神偷”。“灰鸽子”则是这项技术的集大成者,它内置FTP、域名、服务端主动连接这3 种服
