恶意代码的攻击原理与监测技术主讲人:樊亦胜•内容什么是恶意代码恶意代码是如何工作的利用常规工具对恶意代码进行分析恶意代码的检测与清除什么是恶意代码•恶意代码的定义(一)•恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒、特洛伊木马、计算机蠕虫、后门、逻辑炸弹等。(百度百科)•恶意代码是嵌入到网页的脚本,一般使用Javascript编写,受影响的也是微软视窗系统的InternetExplorer浏览器。它们在未经浏览者同意的情况下自动打开广告,开启新页面,严重影响浏览者的正常访问。除此之外,它们还通过系统调用修改浏览器的默认主页,修改注册表,添加系统启动程序,设置监视进程等。(WIKIPEDIA)•恶意代码的定义(二)•恶意代码(UnwantedCode)是指没有作用却会带来危险的代码,一个最安全的定义是把所有不必要的代码都看作是恶意的,不必要代码比恶意代码具有更宽泛的含义,包括所有可能与某个组织安全策略相冲突的软件。•恶意代码的分类•计算机病毒(Virus)•木马程序(Trojan/BackdoorProgram)•网络蠕虫(NetworkWorm)•黑客程序(HackProgram)•垃圾邮件(Spam)•恶意网页(MaliciousHTML)•密码窃取程序(PasswordStealer)•间谍程序(Spyware)•手机病毒•一些具有代表性的恶意代码•1998年,CIH病毒•1999年,梅丽莎(Melissa)•2000年,爱虫病毒(Iloveyou)•2001年,红色代码(CodeRed)•2003年,冲击波(Blaster)•2004年,震荡波(Sasser)•2006年,熊猫烧香(Nimaya)•2007年,网游大盗、机器狗•2008年,扫荡波(Worm.SaodangBo.a.94208)•2009年,木马下载器、Conficker等变种•2010年,极虎病毒•2011年,鬼影病毒•2013年,QVOD变种•2012年的情况•2012年1月-12月,瑞星“云安全”系统共截获新增病毒样本1,181万余个。•2012年全年截获挂马网站516万个(以网页个数统计),比2011年同期增加了48.7%。•2012年,360安全中心共截获新增恶意程序样本13.7亿个(以MD5计算),较2011年增加29.7%。•2012年,360安全软件拦截恶意程序攻击415.8亿次,较2011年增加了76.1%。•2012年-2013年主要的恶意代码•Apache服务器mod_rewrite漏洞,超过半数服务器受到影响•APT(AdvancedPersistentThreat)攻击者利用flash中的可执行代码漏洞植入恶意代码获取网民和企业信息•QVOD变种利用网页视频种入后门程序恶意代码是如何工作的•计算机病毒模块传染模块破坏模块引导模块•引导模块•引导模块的功能是借助宿主程序,将病毒程序从外存引进内存,以便使传染模块和破坏模块进入活动状态。•病毒如何引导•通过修改程序入口,寄生于程序文件•修改磁盘引导扇区,结果启动分区入口•修改注册表或启动程序组•利用系统服务•利用系统和应用程序扩展接口、hook函数–BrowerHelperObjects(BHOs)–IFSHook•传染模块•传染模块的功能将病毒迅速传染,尽可能扩大染毒范围。•病毒的传染模块由两部分组成:条件判断部分和程序主体部分,前者负责判断传染条件是否成立,后者负责将病毒程序与宿主程序链接,完成传染病毒的工作。•传染途径•U盘等存储介质•网络•电子邮件•系统漏洞•破坏模块•病毒编制者的意图,就是攻击破坏计算机系统,所以破坏模块是病毒程序的核心部分。•网络蠕虫•利用操作系统或应用程序的漏洞,或者缺省配置的不安全性。•产生特定的后门服务,或添加后门帐号。•漏洞侵入后可执行任何文件。•系统缺省安装存在这些漏洞,并且大多数的系统管理员并不主动打补丁。•主动往网络中发送数据(感染下一个机器或数据外泄)。•蠕虫的工作方式•扫描–由蠕虫的搜索模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得的了一个可攻击的对象•攻击–找到攻击对象,取得对主机的权限,获得一个shell,得到了这个shell后就可以获得控制权。•复制–繁殖模块通过原主机和新主机之间的交互,将蠕虫程序复制到新主机并启动•蠕虫传播方式•利用Windows操作系统漏洞传播–RPC漏洞(Blaster)•利用应用程序漏洞传播–FTP服务程序(Ramen)、IIS服务器...
