《网络安全设计6》由会员分享,可在线阅读,更多相关《网络安全设计6(68页珍藏版)》请在金锄头文库上搜索。
1、恶意代码与计算机病毒的防治1 恶意代码2 计算机病毒3 防治措施1 1 恶意代码1.1 恶意代码的概念 代码是指计算机程序代码,可以被执行完成特定功能。任何事物都有正反两面,人类发明的所有工具既可造福也可作孽,这完全取决于使用工具的人。计算机程序也不例外,在善良的软件工程师们编写了大量的有用软件(操作系统、应用系统、数据库系统等)的同时,黑客们却在编写着扰乱社会和他人,甚至起着破坏作用的计算机程序,这就是恶意代码。4大类恶意代码目前发现并命名的主要恶意代码按上述分类方法的分类结果如下表所示。1 1 不感染的依附性恶意代码特洛伊木马(TrojanTrojan Horse Horse) 特洛伊木马
2、程序并不是一种病毒,因为它不具有病毒的可传染性、自我复制能力等特性,但是特洛伊木马程序具有很大的破坏力和危害性。 在计算机领域,特洛伊木马是一段吸引人而不为人警惕的程序,但它们可以执行某些秘密任务。大多数安全专家统一认可的定义是:“特洛伊木马是一段能实现有用的或必需的功能的程序,但是同时还完成一些不为人知的功能,这些额外的功能往往是有害的。”特洛伊木马的来历 来源于腊神话中的特洛伊战争年,始终未获成功,后来建造了一个大木马,并假装撤退,希腊将士却暗藏于马腹中。特洛伊人以为希腊人已走,就把木马当作是献给雅典娜的礼物搬入城中。晚上,木马中隐藏的希腊将士冲出来打开城门,希腊将士里应外合毁灭了特洛伊城
3、。后来我们把进入敌人内部攻破防线的手段叫做木马计,木马计中使用的里应外合的工具叫做特洛伊木马定义中有3 3点需要进一步解释:第一,“有用的或必需的功能的程序”只是诱饵,就像典故里的特洛伊木马,表面看上去很美但实际上暗藏危机。第二,“为人不知的功能”定义了其欺骗性,是危机所在之处,为几乎所有的特洛伊木马所必备的特点。第三,“往往是有害的”定义了其恶意性,恶意企图包括:(1)试图访问未授权资源(如盗取口令、个人隐私或企业机密);(2)试图阻止正常访问(如拒绝服务攻击);(3)试图更改或破坏数据和系统(如删除文件、创建后门等)。特洛伊木马程序的位置和危险级别: 特洛伊木马程序代表了一种很高级别的威胁
4、危险,主要是有以下几个原因。(1)特洛伊木马程序很难被发现。(2)在许多情况下,特洛伊木马程序是在二进制代码中发现的,它们大多以无法阅读的形式存在。(3)特洛伊木马程序可以作用于许多机器中。特洛伊木马的类型1远程访问型特洛伊木马2密码发送型特洛伊木马3键盘记录型特洛伊木马4毁坏型特洛伊木马5FTP型特洛伊木马特洛伊木马的检测 若要检测在文件或操作系统中特洛伊木马程序是否存在,首先用户必须对所用的操作系统有比较深入的认识,此外还应对加密知识和一些加密算法有一定的了解。1检测的基本方法2检测工具MD5特洛伊木马的防范1特洛伊木马的基本工作原理 特洛伊木马程序一般存在于注册表、win.ini文件或s
5、ystem.ini文件中,因为系统启动的时候需要装载这3个文件。 下面从几个方面具体说明特洛伊木马程序是怎样自动加载的。 在win.ini文件中的WINDOWS下面,“run=”和“load=”是可能加载特洛伊木马程序的途径。 在system ini文件中, “shell=explorer 程序名”,那么system.shell explorer.exe后面跟着的那个程序就是特洛伊木马程序。逻辑炸弹(LogicLogic bomb bomb) 逻辑炸弹是一段具有破坏性的代码,事先预置于较大的程序中,等待某扳机事件发生触发其破坏行为。扳机事件可以是特殊日期,也可以是指定事件。逻辑炸弹往往被那些有
6、怨恨的职员利用,他们希望在离开公司后,通过启动逻辑炸弹来损伤公司利益。一旦逻辑炸弹被触发,就会造成数据或文件的改变或删除、计算机死机等破坏性事件。后门(backdoorbackdoor)或陷门(trapdoortrapdoor) 后门或陷门是进入系统或程序的一个秘密入口,它能够通过识别某种特定的输入序列或特定账户,使访问者绕过访问的安全检查,直接获得访问权利,并且通常高于普通用户的特权。多年来,程序员为了调试和测试程序一直合法地使用后门,但当程序员或他所在的公司另有企图时,后门就变成了一种威胁。2. 2. 不感染的独立性恶意代码(1) 点滴器 点滴器(dropper)是为传送和安装其他恶意代码
7、而设计的程序,它本身不具有直接的感染性和破坏性。点滴器专门对抗反病毒检测,使用了加密手段,以阻止反病毒程序发现它们。当特定事件出现时,它便启动,将自身包含的恶意代码释放出来。3. 3. 可感染的依附性恶意代码 计算机病毒(viru)是一段附着在其他程序上的可以进行自我繁殖的代码。由此可见,计算机病毒是既有依附性,又有感染性。 由于绝大多数恶意代码都或多或少地具有计算机病毒的特征,因此在下一节中专门论述计算机病毒,这里不多做解释。4. 4. 可感染的独立性恶意代码(1) 蠕虫 计算机蠕虫(worm)是一种通过计算机网络能够自我复制和扩散的程序。蠕虫与病毒的区别在于“附着”。蠕虫不需要宿主,不会与
8、其他特定程序混合。因此,与病毒感染特定目标程序不同,蠕虫感染的是系统环境(如操作系统或邮件系统)。蠕虫利用一些网络工具复制和传播自身,其中包括: 电子邮件蠕虫会把自身的副本邮寄到其他系统中; 远程执行蠕虫能够执行在其他系统中的副本; 远程登录蠕虫能够像用户一样登录到远程系统中,然后使用系统命令将其自身从一个系统复制到另一个系统中。2003上半年互联网安全威胁整体攻击趋势 全球80%的攻击事件是来自排前10位的攻击来源地 平均每个企业每周大概遭到38次恶意攻击 对非公共服务的威胁增加 利用家庭和企业内部网络的常用网络服务,使得潜在受害者的数量大大增加WORM_MSBLAST.A 冲击波病毒的行为
9、模式自动清除方案 病毒码请更新到604以上,并使用TSC进行清除操作 建议阻挡端口 69/135/4444 MS03-026 是针对该病毒使用的Windows漏洞的补丁程序 建议安装,以避免同样的问题持续发生 下载地址:http:/ 病毒码下载地址:http:/ TSC下载地址:ftp:/ 传播速度惊人 受害面惊人 穿透深度惊人n 穿透深度 蠕虫和黑客越来越不满足于攻击在线的网站,各种致力于突破各种边界防线的攻击方式层出不穷。 一个新的攻击手段,第一批受害对象是那些24小时在线的网站主机和各种网络的边界主机; 第二批受害对象是与Internet联网的,经常收发邮件 的个人用户; 第三批受害对象
10、是OA网或其它二线内网的工作站; 终极的受害对象可能会波及到生产网络和关键资产 主机。红色代码2001年7月19日,全球的入侵检测系统(IDS)几乎同时报告遭到不名蠕虫攻击在红色代码首次爆发的短短9小时内,以迅雷不及掩耳之势迅速感染了250,000台服务器最初发现的红色代码蠕虫只是篡改英文站点主页,显示“Welcome to http:/! Hacked by Chinese!”随后的红色代码蠕虫便如同洪水般在互联网上泛滥,发动拒绝服务(DoS)攻击以及格式化目标系统硬盘,并会在每月20日28日对白宫的WWW站点的IP地址发动DoS攻击,使白宫的WWW站点不得不全部更改自己的IP地址。“红色代
11、码”的蔓延速度尼姆达(Nimda)n尼姆达是在911 恐怖袭击整整一个星期后出现的,当时传言是中国为了试探美国对网络恐怖袭击的快速反应能力而散布了尼姆达病毒n尼姆达是在早上9:08发现的,明显比红色代码更快、更具有摧毁功能,半小时之内就传遍了整个世界。随后在全球各地侵袭了830万部电脑,总共造成将近10亿美元的经济损失n传播方式包括:电子邮件、网络临近共享文件、IE浏览器的内嵌MIME类型自动执行漏洞、IIS服务器文件目录遍历漏洞、CodeRedII和Sadmind/IIS蠕虫留下的后门等SQL Slammer蠕虫:nSlammer的传播数度比“红色代码”快两个数量级n在头一分钟之内,感染主机
12、数量每8.5秒增长一倍;n3分钟后该病毒的传播速度达到峰值(每秒钟进行5500万次扫描);n接下来,其传播速度由于自身挤占了绝大部分网络带宽而开始下降;n10分钟后,易受攻击的主机基本上已经被感染殆尽30分钟后在全球的感染面积RPC DCOM蠕虫n2003年8月11日首先被发现,然后迅速扩散,这时候距离被利用n漏洞的发布日期还不到1个月n该蠕虫病毒针对的系统类型范围相当广泛(包括Windows NT/2000/XP)n截至8月24日,国内被感染主机的数目为25-100万台n全球直接经济损失几十亿美金恶意代码与计算机病毒的防治1 恶意代码2 计算机病毒3 防治措施2.1 计算机病毒的概念 计算机
13、病毒是指一段具有自我复制和传播功能的计算机代码,这段代码通常能影响计算机的正常运行,甚至破坏计算机功能和毁坏数据。计算机病毒的特征n 病毒是一段可执行的程序n 病毒具有广泛的传染性n 病毒具有很强的隐蔽性n 病毒具有潜伏性n 病毒具有可触发性n 病毒具有破坏性2.2 计算机病毒的结构 计算机病毒主要由潜伏机制、传染机制和表现机制构成。在程序结构上由实现这3种机制的模块组成(见下图)。 若某程序被定义为计算机病毒,只有传染机制是强制性的,潜伏机制和表现机制是非强制性的。1. 潜伏机制潜伏机制的功能包括初始化、隐藏和捕捉。潜伏机制模块随着感染的宿主程序的执行进入内存,首先,初始化其运行环境,使病毒
14、相对独立于宿主程序,为传染机制做好准备。然后,利用各种可能的隐藏方式,躲避各种检测,欺骗系统,将自己隐蔽起来。最后,不停地捕捉感染目标交给传染机制,不停地捕捉触发条件交给表现机制。2. 传染机制传染机制的功能包括判断和感染。传染机制先是判断候选感染目标是否已被感染,感染与否通过感染标记来判断,感染标记是计算机系统可以识别的特定字符或字符串。一旦发现作为候选感染目标的宿主程序中没有感染标记,就对其进行感染,也就是将病毒代码和感染标记放入宿主程序之中。早期的有些病毒是重复感染型的,它不做感染检查,也没有感染标记,因此这种病毒可以再次感染自身。3. 表现机制表现机制的功能包括判断和表现。表现机制首先
15、对触发条件进行判断,然后根据不同的条件决定什么时候表现、如何表现。表现内容多种多样,然而不管是炫耀、玩笑、恶作剧,还是故意破坏,或轻或重都具有破坏性。表现机制反映了病毒设计者的意图,是病毒间差异最大的部分。潜伏机制和传染机制是为表现机制服务的。恶意代码与计算机病毒的防治1 恶意代码2 计算机病毒3 防治措施全面病毒爆发生命周期管理病毒破坏评估3 防治措施全球对防治病毒的关注和重视不断升温,病毒防治技术也随之迅速发展,与病毒制造技术展开了前所未有的竞赛。病毒制造技术与病毒防治技术是“矛”与“盾”的辩证发展关系,互为发展动力。防治病毒,顾名思义,一是“防”,二是“治”。“防”是主动的,“治”是被动
16、的。首先要积极地“防”,尽量避免病毒入侵,然而“防”是有时效性的,今天防住了,明天就有可能被突破。对于入侵的病毒当然要努力地“治”,以尽量减少和挽回病毒造成的损失,并且通过“治”的过程掌握病毒的机理,反过来又可以加强“防”了。因此,病毒防治应采取“以防为主、与治结合、互为补充”的策略,不可偏废任何一方面。3.1 病毒防治的技术:病毒防治技术分为“防”和“治”两部分。“防”毒技术包括预防技术和免疫技术;“治”毒技术包括检测技术和消除技术。1. 病毒预防技术病毒预防是指在病毒尚未入侵或刚刚入侵还未发作时,就进行拦截阻击或立即报警。病毒的传播途径和寄生场所都是实施病毒预防措施的对象。2. 病毒免疫技
17、术病毒具有传染性。一般情况下,病毒程序在传染完一个对象后,都要给被传染对象加上感染标记。传染条件的判断就是检测被攻击对象是否存在这种标记,若存在这种标记,则病毒程序不对该对象进行传染;若不存在这种标记,病毒程序就对该对象实施传染。最初的病毒免疫技术就是利用病毒传染这一机理,给正常对象加上这种标记,使之具有免疫力,从而可以不受病毒的传染。因此,当感染标记用作免疫时,也叫做免疫标记。例如,使用这种技术可有效地防御香港病毒、1575病毒等。3. 病毒检测技术病毒检测就是采用各种检测方法将病毒识别出来。识别病毒包括对已知病毒的识别和对未知病毒的识别。目前,对已知病毒的识别主要采用特征判定技术,即静态判
18、定技术,对未知病毒的识别除了特征判定技术外,还有行为判定技术,即动态判定技术。(1) 特征判定技特征判定技术术特征判定技术是根据病毒程序的特征,如感染标记、特征程序段内容、文件长度变化、文件校验和变化等,对病毒进行分类处理,而后在程序运行中凡有类似的特征点出现,则认定是病毒。特征判定技术主要有以下几种方法: 比较法。比较法的工作原理是,将可能的感染对象(引导扇区或计算机文件)与其原始备份进行比较,如果发现不一致则说明有染毒的可能性。比较法的优点是简单易行,不需要专用查毒软件,但缺点是无法确认发现的异常是否真是病毒,即使是病毒也不能识别病毒的种类和名称。4. 病毒消除技术病毒消除的目的是清除受害
19、系统中的病毒,恢复系统的原始无毒状态。具体来讲,就是针对系统中的病毒寄生场所或感染对象进行一一杀毒。对于不同的病毒类型及其感染对象,采取不同的杀毒措施(可以手工或自动)。(1) 消除引导型病毒(2) 消除文件型病毒(3) 消除宏病毒(4) 消除蠕虫病毒3.2 病毒防治的部署有效的病毒防治部署是采用基于网络的多层次的病毒防御体系。该体系在整个网络系统的各组成环节处,包括客户端、服务器、Internet网关和防火墙,设置防线,形成多道防线。即使病毒突破了一道防线,还有第二、第三道防线拦截,因此,能够有效地遏制病毒在网络上的扩散。网络病毒的概念 利用网络协议及网络的体系结构作为传播的途径或传播机制,
20、并对网络或联网计算机造成破坏的计算机病毒称为网络病毒。网络病毒的特点及危害n 破坏性强n 传播性强n 针对性强n 扩散面广n 传染方式多n 消除难度大常见的网络病毒n蠕虫病毒n多态病毒n伙伴病毒n梅利莎病毒nBO病毒n隐藏病毒nJAVA病毒网络病毒的特点及传播方式n传播速度快n扩散面广n难于彻底清除n传播的形式复杂多样n破坏性大单机版与网络版的区别n 全网统一配置防毒策略。n 全网统一查杀病毒,没有死角。n 全网统一升级版本统一。n 全网防毒状况一目了然。n 跨平台技术,全方位防病毒n 全网防毒工作轻松简单:自动安装、自动维护、自动更新3.3 病毒防治的管理病毒防治不仅是技术问题,更是社会问题
21、、管理问题和教育问题。作为社会问题,涉及国家法律和行政法规;作为管理问题,涉及管理制度、行为规章和操作规程;作为教育问题,涉及宣传和培训。因此,要做到以下几点:n建立和健全相应的国家法律和法规;n建立和健全相应的管理制度和规章;n加强和普及相应的知识宣传和培训。3.4 病毒防治软件1. 病毒防治软件的类型(1) 病毒扫描型病毒扫描型软件采用特征扫描法,根据病毒特征扫描可能的感染对象来发现病毒。这类软件具有检测速度快、误报率低和准确度高的优点,正因为能准确识别已知病毒,所以对被已知病毒感染的程序和数据一般都能恢复。但是,要一直保证病毒防治的有效性,病毒特征码库和扫描引擎必须经常升级,以便跟上病毒
22、技术和反病毒技术的发展。病毒防治软件中以病毒扫描型为主,是最为流行的产品。2. 病毒防治软件的选购选购病毒防治软件时,需要注意的指标包括检测速度、识别率、清除效果、可管理性、操作界面友好性、升级难易度、技术支持水平等诸多方面。(1) 检测速度对于采用特征扫描法检测病毒的,一般选择每30秒能够扫描1000个文件以上的病毒防治软件。(2) 识别率识别率越高,误报率和漏报率也就越低。可通过使用一定数量的病毒样本进行测试来鉴别识别率的高低,测试环境应达到正规的病毒样本测试数量在10 000种以上,每种病毒的变种数量在200种以上。3. 病毒防治软件产品下面列出国内外主要的病毒防治产品及其查询网址。(1
23、) 国外病毒防治产品 VirusScan,网址http:/ Pandaguard,网址http:/ 国内病毒防治产品 KILL,网址http:/ KV,网址http:/ RAV,网址http:/ VRV,网址http:/ “求职信”系列及其他传播速度快,感染范围广反复感染,难以根除,具有顽强的生命力丰富的传播和破坏方式,使用了过去两年来几乎所有病毒的常用技术隐蔽性更好,使用加密技术破坏性惊人,泄漏用户信息尼姆达攻击手法常见计算机病毒(脚本病毒)更甚于宏病毒脚本病毒脚本语言的广泛应用“爱虫”(LoveLetter)新的“欢乐时光”(VBS.KJ)“中文求职信”(donghe)常见计算机病毒(恶意
24、代码和网页病毒)利用IE的ActiveX漏洞的病毒修改用户的IE设置、注册表选项下载木马、恶意程序或病毒格式化用户硬盘或删除用户的文件不具有传染性,更重主动攻击性恶意网站(“爱情森林”)常见计算机病毒(蠕虫加木马)蠕虫加木马 “红色代码”系列没有病毒实体、直接从内存到内存进行传染利用Windows服务器的系统漏洞使用主动传播方式,发动DoS (拒绝服务)攻击遭到攻击的计算机上植入木马程序,远程控制服务器常见计算机病毒( Nimda )Nimda 巨大的破坏性发生在9/18/2001在3个小时内超过100,000 计算机受到感染在24小时内超过1.2 亿PC遭到感染许多公司的网络瘫痪常见计算机病
25、毒( Nimda 1)未来计算机病毒的特点同黑客技术结合的网络病毒将成为计算机病毒的主流传统的计算机病毒为一种可执行程序,依靠某种媒介进行传播,比如软盘、光盘或者电子邮件。计算机病毒就好像刺猬,只要你不去碰它,它就不会来招惹你。以“冲击波”为代表的网络病毒:这种病毒是完全主动地直接扫描互联网上的计算机,一旦发现其没有安装补丁,就立即进入并开始发作。“冲击波”严格说来并不是一种病毒,更接近于一种感染行为。以前是要下载、拷贝才会中毒,现在只要你的系统有后门,有漏洞,就可能感染病毒。网络病毒原理简析微软Windows系统RPC DCOM接口堆缓冲区溢出漏洞分析远程过程调用(RPC)是Windows
26、操作系统使用的一个协议。RPC提供一种内部进程通讯机制,允许在一台电脑上运行的程序无缝的执行远程系统中的代码。协议本身源于开放软件基金会(OSF)RPC协议,但添加了一些Microsoft特定的扩展。在Windows RPC在分布式组件对象模型(DCOM)接口的处理中存在一个缓冲区溢出漏洞。Windows 的DCOM实现在处理一个参数的时候没有检查长度。通过提交一个超长(数百字节)的文件名参数可以导致堆溢出,从而使RpcSS 服务崩溃。精心构造提交的数据就可以在系统上以本地系统权限运行代码。攻击者可以在系统中采取任何行为,包括安装程序, 窃取更改或删除数据,或以完全权限创建新帐号。此漏洞可以通过135(TCP/UDP)、139、445、593等端口发起攻击。网络病毒原理简析防病毒软件的远程管理病毒库集中更新
