《26恶意代码 计算机系统安全(第2版)课件》由会员分享,可在线阅读,更多相关《26恶意代码 计算机系统安全(第2版)课件(69页珍藏版)》请在金锄头文库上搜索。
1、1,恶意代码,曹天杰 中国矿业大学计算机科学与技术学院,2,恶意代码,从广义上定义,恶意代码指具有在信息系统上执行非授权进程能力的代码。 通常恶意代码具有各种各样的形态,能够引起计算机不同程度的故障,破坏计算机正常运行。早期的恶意代码主要是指计算机病毒(Virus),但目前,蠕虫(Worm)、恶意网页(malicious web page)、特洛伊木马(Trojan Horse)、逻辑炸弹(Logic bombs)以及后门(backdoor)等其他形式的恶意代码日益兴盛。,3,恶意代码危害的例子,用于DDoS攻击 破坏用户数据 泄漏用户秘密 更改手机设置 即时通信中插入恶意的图片和声音文件
2、弹出广告 更改IE设置 ,4,恶意代码的简单比较,5,各种恶意代码的融合趋势,病毒、蠕虫、木马之间的界限已经不再明显; 综合使用多种攻击手段: 传播:计算机系统的漏洞、电子邮件、文件共享、Web浏览、即时通讯工具等 社会工程(social engineering ),6,恶意代码的分类,计算机病毒:一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。 如CIH、爱虫、新欢乐时光、求职信、恶鹰、rose 网络蠕虫:一组能够进行自我传播、不需要用户干预即可触发执行的破坏性程序或代码。 其通过不断搜索和侵入具有漏洞的主机来自动传播。 如红色代码、SQL蠕虫王、冲击波、震荡波、极速波 特洛
3、伊木马:是指一类看起来具有正常功能,但实际上隐藏着很多用户不希望功能的程序。通常由控制端和被控制端两端组成。 如冰河、网络神偷、灰鸽子,7,恶意代码的分类(续),后门:使得攻击者可以对系统进行非授权访问的一类程序。 如Bits、WinEggDrop、Tini RootKit:通过修改现有的操作系统软件,使攻击者获得访问权并隐藏在计算机中的程序。 如RootKit、Hkdef、ByShell 拒绝服务程序,黑客工具,广告软件,间谍软件,恶意网页,8,病毒发展史(续1),9,什么是计算机蠕虫,计算机蠕虫是指通过计算机网络传播的病毒,泛滥时可以导致网络阻塞甚至瘫痪。 第一个Internet蠕虫是出现
4、于1988年的Morris病毒,10,蠕虫病毒的特点,传播途径是网络 传播速度快 传播面积广 可能造成的危害程度高,11,蠕虫特点传播快,红色代码病毒(CodeRed) 爆发15分钟内,受害计算机遍布全球 爆发9小时内感染了超过250,000台计算机,没有文件实体,可以传播复制的 电子信号,网络幽灵,12,蠕虫特点传播广,13,蠕虫特点危害高,网络拥挤 2004年初,I-Worm/Netsky、I-Worm/BBEagle、I-Worm/MyDoom三大蠕虫病毒一齐爆发,蚕食25%网络带宽。 DoS(Denial of Service)攻击 I-Worm/MyDoom.a蠕虫定于爆发后1星期对
5、http:/发动DoS攻击。sco网站虽积极备战,但由于感染点过多,在遭受攻击当天即陷入瘫痪。 经济损失巨大 I-Worm/CodeRed: 20亿美元 I-Worm/Sobig: 26亿美元,14,计算机蠕虫的类型,系统漏洞型 群发邮件型 共享型 寄生型 混合型 ,15,系统漏洞型病毒,红色代码(IIS-Worm/CodeRed) 尼姆达(I-Worm/Nimda) 求职信(I-Worm/Klez) 冲击波(I-Worm/Blaster) 震荡波(I-Worm/Sasser) 安哥(Backdoor/Agobot) ,16,系统漏洞型病毒,特点:利用系统设计漏洞主动感染传播 软件系统漏洞曝光
6、数量逐年增加,漏洞型病毒滋生环境越来越好,软件系统漏洞曝光表,17,Internet,攻击模式,WORM_SASSER.A,染毒电脑,未修补漏洞的系统,已修补漏洞的系统,被感染,不被感染,不被感染,被感染,被感染,不被感染,不被感染,18,群发邮件型蠕虫,特点:种类、变种众多,是最常见的一类蠕虫病毒 求职信(I-Worm/Klez) 大无极(I-Worm/Sobig) 网络天空(I-Worm/Netsky) 雏鹰(I-Worm/BBEagle) 挪威客(I-Worm/MyDoom),19,共享型蠕虫,利用局域网共享或P2P共享软件传播的蠕虫 通常将自身复制到局域网共享文件夹或P2P软件的共享目
7、录 复本文件名通常很有诱惑力,引诱其他用户下载执行,20,寄生型蠕虫,利用已泛滥病毒做平台传播,达到迅速传播的目的 震荡波(I-Worm/Sasser)利用Windows系统漏洞传播 但震荡波病毒本身的设计也有漏洞 匕首病毒(I-Worm/Dabber)利用震荡波病毒程序的漏洞传播,21,混合型蠕虫,同时具有漏洞型、邮件型、共享型和寄生型的某些或全部特征 传播能力和危害最大 求职信(I-Worm/Klez) 超级密码杀手(爱情后门,I-Worm/Supkp) 网络天空(I-Worm/Netsky) 雏鹰(I-Worm/BBEagle) ,22,蠕虫的爆发周期越来越短,漏洞发现,攻击代码,蠕虫爆
8、发,控制,清除,越来越短,越来越长,越来越难,漏洞公布和蠕虫爆发的间隔越来越短,最佳时机,及时,太晚了,23,时间间隔,26 天,185 天,336 天,18 天,24,蠕虫功能结构模型,25,脚本病毒,更甚于宏病毒脚本病毒 脚本语言的广泛应用 “爱虫”(LoveLetter) 新的“欢乐时光”(VBS.KJ) “中文求职信”(donghe),26,网页病毒,利用IE的ActiveX漏洞的病毒 修改用户的IE设置、注册表选项 下载木马、恶意程序或病毒 格式化用户硬盘或删除用户的文件 不具有传染性,更重主动攻击性 恶意网站(“爱情森林”),27,特点和趋势,以网络环境传播为主,带有主动传播的特征
9、 网络蠕虫将成为最主要和破坏性最大的病毒 “网页病毒”将成为重要的破坏手段 技术上具有混合型特征(A、综合多种已有技术,B、蠕虫、木马、黑客程序相互结合) 对自身进行不断完善,形成家族 病毒依赖于系统,利用系统漏洞和内核 高级语言编写,更易于制造,28,特洛伊木马,一个特洛伊程序是:一种未经授权的程序,它包含在一段正常的程序当中。这个未经授权的程序提供了一些用户不知道的(也可能是不希望实现的)功能。,29,特洛伊木马启动方式,自动启动:木马一般会存在三个地方:注册表、win.ini、system.ini,因为电脑启动的时候,需要装载这三个文件,大部分木马是使用这三种方式启动的。 捆绑方式启动:
10、可以捆绑到一般的常用程序上。非捆绑方式的木马因为会在注册表等位置留下痕迹,所以,很容易被发现,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马有很强的隐蔽性。,30,加载方式,开始菜单的启动项,基本上没有木马会用这种方式。 在Winstart.bat中启动。 在Autoexec.bat和Config.sys中加载运行。 win.ini/system.ini:有部分木马采用,不太隐蔽。 注册表:隐蔽性强,多数木马采用。 服务:隐蔽性强,多数木马采用。 修改文件关联。,31,加载方式启动文件,Win.ini: Windows run=c:windowsfile.exe
11、load=c:windowsfile.exe System.ini: boot shell=explorer.exe file.exe,32,加载方式注册表,HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun,33,加载方式服务,34,加载方式修改文件关联,正常情况下TXT文件的打开方式是启动Notepad.EXE来打开TXT文件。关联木马通过修改关联方式来加载木马,则TXT文件打开方式就会被修改为用木马程序打开: HKEY_CLASSES_ROOTtxtfileshellopencommand %SystemRoot%system32NOTEPAD.E
12、XE %1 %path% 这样,当双击一个TXT文件,原本应用Notepad.EXE打开的TXT文件,现在却变成启动木马程序。,35,存放位置及文件名,木马的服务器程序文件一般位置是在c:windows和c:windowssystem中,因为windows的一些系统文件在这两个位置。 木马的文件名总是尽量和windows的系统文件接近, 比如木马SubSeven 1.7版本的服务器文件名是c:windowsKERNEL16.DL,而windows由一个系统文件是c:windowsKERNEL32.DLL,删除KERNEL32.DLL会让机器瘫痪。木马SubSeven 1.5版本服务器文件名是c
13、:windowswindow.exe, 少一个s,36,特洛伊木马隐蔽性,隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段来隐藏木马,这样服务端即使发现感染了木马,由于不能确定木马的具体位置,也就没有办法删掉。 首先应该明确的是受害者的机器上运行的木马程序我们称之为服务端,控制者机器上运行的我们称之为客户端,37,特洛伊木马隐蔽性,使用TCP协议,服务端侦听,客户端连接。这是最简单,最早,最广泛使用的一种通讯方案。 使用工具可以很容易的发现在某一端口上侦听的进程,以及进程对应的可执行文件。 如果服务端装有防火墙,那么客户端发起的连接就会被防火墙拦截。 如果局域网内通过代理上网的电脑,因
14、为本机没有独立的IP地址(只有局域网的IP地址),所以也不能正常使用。,38,特洛伊木马隐蔽性,使用TCP协议,客户端侦听,服务端连接。这就是所谓的反向连接技术了。 防火墙对于连入的连接往往会进行非常严格的过滤,但是对于连出的连接却疏于防范。于是,出现了反弹式(主动式)木马,即:服务端(被控制端)主动连接客户端(控制端),而不是被动的等待客户端发送命令。为了隐蔽起见,客户端的监听端口一般开在80(提供HTTP服务的端口),这样,即使用户使用端口扫描软件检查自己的端口,会以为是自己在浏览网页(防火墙也会这么认为的)。,39,特洛伊木马隐蔽性,连接请求,连接请求,80,40,特洛伊木马隐蔽性,这种
15、反向连接技术要解决的一个问题是,服务端如何找到客户端。 方法是客户端通过一个有固定IP或者固定域名的第三方发布自己的IP,比如通过一个公共的邮箱,通过一个个人主页。 当客户端想与服务端建立连接时,它首先登录某个WEB服务器,把信息写到主页上面的一个文件,并打开端口监听,等待服务端的连接;服务端则定期的用HTTP协议读取这个文件的内容,当发现是客户端让自己开始连接时,就主动连接,如此就可完成连接工作。如网络神偷。,41,特洛伊木马隐蔽性,使用UDP协议,服务端侦听,客户端连接;客户端侦听,服务端连接。 方法和安全性与使用TCP协议差不多。需要注意的是UDP不是一个可靠的协议,所以,必须在UDP协
16、议的基础上设计一个自己的可靠的报文传递协议。,42,特洛伊木马隐蔽性,解决防火墙问题,无论是服务端被动侦听,还是服务端主动连接,在服务端和客户端试图建立连接时都会引起防火墙得报警。 一种方法是代码注入,服务端将自己注入到一个可以合法的与外界进行网络通讯的进程(比如 IE, ICQ, IIS等)的地址空间中,然后或者可以以一个新线程的形式运行,或者只是修改宿主进程,截获宿主进程的网络系统调用(WinSock)。如果是以新线程的形式运行,那么然后或者可以被动侦听,或者可以主动连接。,43,特洛伊木马隐蔽性,用ICMP来通讯。 使用TCP/IP协议族中的ICMP协议而非TCP/UDP来进行通讯,从而瞒过Netstat和端口扫描软件。ICMP是IP协议的附属协议,它是由内核或进程直接处理而不需要通过端口。 一般的ICMP木马会监听ICMP报文,当出现特殊的报文
