1、病毒蠕虫木马,计算机网络与攻防技术,恶意代码,恶意代码(malicious code)是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。恶意代码常常设计为通过向你的电子邮件列表中所有的朋友和同事的地址发送它自己。恶意代码传染的结果包括浪费资源、破坏系统、破坏一致性,数据丢失和被窃并能让客户端的用户失去信心,eg: IM,网页,网游,Malicious Software,分类,不感染的依附性恶意代码不感染的独立性恶意代码可感染的依附性恶意代码可感染的独立性恶意代码。目前发现并命名的主要
2、恶意代码按上述分类方法的分类结果如表所示。,恶意代码的分类实例,8.1 计算机病毒,计算机病毒的概念 一种能够自身复制自身并以其他程序为宿主的可执行的代码 -Fred Cohen 编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 -中华人民共和国计算机信息系统安全保护条例 计算机病毒潜入到计算机内部时会附着在程序中,当宿主程序启动后,病毒就随之被激活并感染系统中的其它部分 计算机病毒可以分作良性和恶性,8.1 计算机病毒,计算机病毒的分类 文件型病毒 引导扇区病毒 混合性病毒 宏病毒 隐形飞机式病毒 密文病毒 多态病毒 Scri
3、pt病毒 电子邮件病毒,文件型病毒,这一类病毒主要是感染计算机中的个别文件,当这些文件被执行,病毒程序就跟着被执行。寄生在主程序上的方式主要有3种将病毒加于文件之前,则病毒先于文件代码激活将病毒置于文件之后,但在执行文件的开端会加入一个跳转指令到病毒程序病毒文件直接将执行文件程序覆盖,当受感染文件执行时,病毒就开始作用了。按照传染方式不同,文件型的病毒又分成非常驻型以及常驻型两种。,引导扇区病毒,藏匿和感染软盘或硬盘的第一个扇区,即平常我们所说的引导扇区引导型病毒借由引导动作而侵入内存,若用已经感染的磁盘引导,那么病毒将立即感染到硬盘。使得病毒可以在每次开机时, 在操作系统还没被加载之前就被加
4、载到内存中, 这个特性使得病毒可以针对各类中断得到完全的控制, 并且拥有更大的能力进行传染与破坏。现在这类病毒比较少见。,计算机病毒特性,传染性病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。病毒程序一旦进入计算机并得以执行,就会寻找符合感染条件的目标,将其感染,达到自我繁殖的目的。所谓“感染”,就是病毒将自身嵌入到合法程序的指令序列中,致使执行合法程序的操作会招致病毒程序的共同执行或以病毒程序的执行取而代之。,计算机病毒特性,隐蔽性很高编程技巧、短小精悍的一段代码不容易区别短时间里传染大量其他程序计算机系统通常仍能正常运行,计算机病毒特性,潜伏性病毒进入系统之后一般不会马上发作潜伏
5、性越好,在系统中的存在时间就会越长,传染范围也就会越大利用内部触发机制在屏幕上显示信息、图形或特殊标识执行破坏系统的操作,如格式化磁盘、删除文件、加密数据、封锁键盘、毁坏系统等触发条件可能是预定时间或日期、特定数据出现、特定事件发生等。,计算机病毒特性,多态性病毒试图在每一次感染时改变它的形态,使对它的检测变得更困难采用特殊加密技术编写,这种病毒在每感染一个对象时,采用随机方法对病毒主体进行加密。 一个多态病毒还是原来的病毒,放入宿主程序的代码互不相同,不能通过扫描特征字符串来发现病毒代码的主要部分相同,但表达方式发生变化,也就是同一程序由不同的字节序列表示国际上造成全球范围传播和破坏的第一例
6、多态型病毒是TEQUTLA病毒,从该病毒的出现到编制出能够完全查出该病毒的软件,研究人员花费了九个月的时间。,计算机病毒特性,破坏性占用系统资源,取决于病毒程序自身破坏程度主要取决于病毒设计者的目的e.g. 熊猫烧香 拷贝文件到C:WINDOWSSystem32Driversspoclsv.exe添加注册表自启动每隔1秒寻找桌面窗口, 关闭标题中含有以下字符的程序 网镖、杀毒、毒霸、瑞星、江民、超级兔子等每隔18秒点击病毒作者指定的网页每隔10秒下载病毒作者指定的文件每隔6秒删除安全软件在注册表中的键值感染扩展名为exe,pif,com,src的文件, 并在扩展名为htm, html, asp
7、, php, jsp, aspx的文件中添加木马程序,IE就会不断的在后台点击写入的网址,达到增加点击量的目的删除扩展名为gho的文件, 使用户的系统备份文件丢失,ID = $44444444; /感染标记,Virus Operation,virus phases: P194dormant waiting on trigger eventpropagation replicating to programs/diskstriggering by event to execute payloadexecution of payload,判断感染,计算机病毒的生命周期,休眠阶段(Dormant p
8、hase)在这个阶段,病毒并不发作,而是静静等待触发条件的满足,例如某一程序的运行、某一文件的打开或者敏感字符的出现等等。繁殖阶段(Propagation phase)病毒对自身进行复制,并潜入到其它程序或者拷贝到磁盘上的系统区。每个被感染的程序就又会成为病毒源,而且也进入繁殖阶段.触发阶段(Triggering phase)病毒启动其设计之功能。相对于休眠阶段,在本阶段中,病毒能夠在受到某些系统事件的驱动(如已经复制达到某個次数),而启动其功能执行階段(Execution phase)病毒的功能已经被執行,其影响可能是无伤大雅的,如在屏幕上显示一段信息;也可能伤害力十足,如中止其他程式运行以
9、及文件。,Virus Structure,program V :=goto main;1234567;subroutine infect-executable :=loop:file := get-random-executable-file;if (first-line-of-file = 1234567) then goto loopelse prepend V to file; subroutine do-damage :=whatever damage is to be donesubroutine trigger-pulled :=return true if some condit
10、ion holdsmain: main-program :=infect-executable;if trigger-pulled then do-damage;goto next;next:,A virus can be prepended or postpended to an executable program, or it can be embedded in some other fashion. The key to its operation is that the infected program, when invoked, will first execute the v
11、irus code and then execute the original code of the program.,Logic for a Compression Virus,program CV :=goto main;01234567;subroutine infect-executable :=loop:file := get-random-executable-file;if (first-line-of-file = 1234567) then goto loop(1)compress files; (2)prepend CV to file; subroutine do-da
12、mage :=whatever damage is to be donesubroutine trigger-pulled :=return true if some condition holdsmain: main-program :=if ask-permission then infect-executable;(3)uncompress rest-of-file;(4)run uncompressed files;goto next;next:,病毒压缩过程,Macro Virus,宏,译自英文单词Macro。宏是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们
13、在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,当在工作时,就可以直接利用事先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。 OFFICE中的WORD和EXCEL都有宏。Word便为大众事先定义一个共用的通用模板(Normaldot),里面包含了基本的宏。只要一启动Word,就会自动运行Normaldot文件。如果在Word中重复进行某项工作,可用宏使其自动执行。Word提供了两种创建宏的方法:宏录制器和Visual Basic编辑器。宏将一系列的Word命令和指令组合在一起,形成一
14、个命令,以实现任务执行的自动化。在默认的情况下,Word将宏存贮在 Normal模板中,以便所有的Word文档均能使用,这一特点几乎为所有的宏病毒所利用。如果撰写了有问题的宏,感染了通用模板(Normaldot),那么只要一执行Word,这个受感染的通用模板便会传播到之后所编辑的文档中去,如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。这就是我们日常所说的寄存在文档或模板的宏中的计算机宏病毒。,人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染,而对外来的文档文件基本是直接浏览使用,这给Word宏病毒传播带来很多便利。,Macro Virus,Nuclear宏病毒这是
15、一个对OS文件和打印输出有破坏功能的宏病毒。打开一个染毒文档并打印的时侯,它会在您打印的最后一段加上“STOPALLFRENCHNUCLEARTESTINGINTHEPACIFIC!”,这个现象是在每分钟的55秒-60秒之间操作打印时发生。如果在每天17:00-18:00之间打开一个染毒文档,-会将PH33R病毒传染到计算机上,这是个驻留型病毒在每年的四月五日,该病毒会将计算机上IO.SYS,MSDOS.SYS文件清零,并且删除C盘根目录上的COMMAND.COM文件。,Email Virus,世界上最早的邮件系统出现在七十年代初期,病毒与邮件真正的结合是在WINDOWS操作系统出现并大量应用
16、以后的事第一个邮件病毒“美丽莎” 会通过OFFICE系统文档和邮件系统进行传播,发作当天就感染了6000多台电脑。2000年,邮件病毒-“爱虫”开始大面积泛滥,它的泛滥直接导致了邮件病毒查杀技术的出现,标志是瑞星公司推出的杀毒软件2001版美丽杀”感染电脑后只选择地址簿中的前50个地址发出带毒电子邮件,而“爱虫”病毒则是一个地址也不会漏掉,而且还会窃取电脑中的IRC和Outlook帐号密码.利用微软的VisualBasicScript来进入Outlook的地址簿发送邮件。 “爱虫”病毒还改写电脑中的一些文件名,其中包括JPEG和MP3文件。比如你电脑中有一个名为mymusic.mp3的文件,它
17、会把这个文件删除掉,然后换上一名为mymusic.vbs的文件。用户也许认为自己的音乐文件还在,但是实际上病毒已经用自己的代码替换了。,8.2 蠕虫,蠕虫的概念 计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上 网络蠕虫是借助网络进行传播,无须用户干预能够自主地或者通过开启文件共享功能而主动进攻的恶意代码 无须计算机使用者干预即可运行的独立程序,它通过不停地获得网络中存在漏洞的计算机的部分或全部控制权来进行传播,Worms,replicating but not infecting program typically spreads over a network
18、cf Morris Internet Worm in 1988led to creation of CERTs exhibits the same phases as virusThe propagation phase performssearch for other trusted systemsestablish a connection with a remote systemcopy itself to that remote system and cause it to runwidely used by hackers to create zombie PCs, subseque
19、ntly used for further attacks, esp DoS,它的编写者是美国康乃尔大学一年级研究生罗特莫里斯。这个程序只有99行,利用了Unix系统中的缺点,用Finger命令查联机用户名单,然后破译用户口令,用Mail系统复制、传播本身的源程序,再编译生成代码。他自己12岁就编出高质量电脑程序,18岁时,就具有在最负盛名的贝尔实验室和哈佛大学当过程序员的赫赫经历。难怪有人感叹:他的简历,简直像电脑名人录中的一样。,与计算机病毒的区别,蠕虫的传播过程,扫描攻击复制蠕虫程序,造成较大危害的蠕虫病毒,Recent Worm Attacks,new era of attacks f
20、rom mid-2001Code Redexploited bug in MS IIS to penetrate & spreadprobes random IPs for systems running IIS and spreadshad trigger time for denial-of-service attack2nd wave infected 360000 servers in 14 hoursCode Red 2had backdoor installed to allow remote control,“红色代码”主要有如下特征:造成大范围迅速的网络速度下降;入侵IIS服务
21、器,会将WWW英文站点改写为“Hello! Welcome to www.W! Hacked by Chinese!”,对网络上的其它服务器进行攻击,被攻击的服务器又可以继续攻击其它服务器。在每月的20-27日,向特定IP198.137.240.91(www. whitehouse. gov)发动攻击,“红色代码II”是“红色代码”的变种病毒,该病毒代码首先注册并创建300个病毒线程,当判断到系统默认的语言ID是中华人民共和国或中国台湾时,线程数猛增到600个,创建完毕后初始化病毒体内的一个随机数发生器,此发生器产生用于病毒感染的目标电脑IP地址。每个病毒线程每100毫秒就会向一随机地址的80
22、端口发送一长度为3818字节的病毒传染数据包。巨大的病毒数据包使网络陷于瘫痪。“红色代码II”病毒体内还包含一个木马程序,这意味着计算机黑客可以对受到入侵的计算机实施全程遥控,并使得“红色代码II”拥有前身无法比拟的可扩充性,只要病毒作者愿意,随时可更换此程序来达到不同的目的。,Recent Worm Attacks,Nimda E-Mail如果用户在一台存在漏洞的电脑上打开一个被Nimda感染的邮件附件,病毒就会搜索这台电脑上存储的所有邮件地址,然后向它们发送病毒邮件网络共享Nimda会搜索与被感染电脑连接的其他电脑的共享文件,来感染远程电脑上的共享文件,一旦那台电脑的用户运行这个被感染文件
23、,那么那台电脑的系统也将会被感染。Web服务器Nimda会搜索Web服务器,寻找Microsoft IIS存在的漏洞,一旦它找到存在漏洞的服务器,它就会复制自己的副本过去,并感染它和它的文件。Web终端如果一个Web终端访问了一台被Nimda感染的Web服务器,那么它也将会被感染。,病毒除了改变网页的目录以繁衍自身外没有其它破坏性的行为。但通过大量发送电子邮件和扫描网络可以导致网络的拒绝服务(DoS)。,CVE 111677:A vulnerability exists in Microsoft IIS 4 and 5 such that an attacker visiting an IIS
24、 web site can execute arbitrary code with the privileges of the IUSR_machinename account,, which is the anonymous user account for IIS,Recent Worm Attacks,SQL Worm利用了MS SQL2000服务远程堆栈缓冲区溢出通过发送消息到监听UDP的1434端口来查询目前可用的连接方式 客户端发送超长数据包时,将导致缓冲区溢出蠕虫病毒通过一段376个字节的恶意代码,远程获得对方主机的系统控制权限,使用GetTickCount获得一个随机数,进入一
25、个死循环继续传播。使用获得的随机数生成一个随机的ip地址(网络地址),然后将自身代码发送至1434端口,使用广播数据包方式发送自身代码该蠕虫对被感染机器并没有进行任何恶意破坏行为形成Udp Flood。一个百兆网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。,Recent Worm Attacks,Sasser Worm 部分步骤如下:开启一个FTP服务在TCP 5554端口,用来传送蠕虫程序 产生随机的网络地址,尝试连接这些地址的TCP 445端口并发送攻击程序,攻击成功,会在被攻击的机器TCP 9996端口上创建一个远程的shell, 执行命令让被攻击的机器连接到发起攻击的机器的
26、FTP 5554端口上下载蠕虫文件并运行。这个被下载来的蠕虫文件名是由4-5个随机的阿拉伯数字和_up.exe组成的(如23423 _up.exe),Recent Worm Attacks,Sasser Worm部分步骤如下:随机的地址按如下规则生成: 50%的机会是由系统随机生成的 25%的机会随机生成的ip地址的前八位(二进制)与本地的IP地址的前八位相同25%的机会随机生成的ip地址的前16位(二进制)与本地IP地址的前十六位相同,也就是说在被感染IP地址相同的B类地址中随机生成 发起128个线程对上面产生的IP 地址进行扫描 。新的变种会发起1024个线程扫描蠕虫的这个操作会占用大量的
27、系统资源,可能使CPU的负载到达100%无法响应系统的正常请求。,Recent Worm Attacks,Trojan Horse,program with hidden side-effects which is usually superficially attractiveeg game, s/w upgrade etc when run performs some additional tasksallows attacker to indirectly gain access they do not have directlyoften used to propagate a vir
28、us/worm or install a backdooror simply to destroy data,关于特洛伊木马(Trojan Horse)有一个典故。大约在公元前12世纪,因为特洛伊王子劫持了斯巴达国王梅尼拉斯的妻子海伦,希腊向特洛伊城宣战。战争持续了10年,特洛伊城非常坚固,希腊军队无法攻入。后来,希腊军队撤退,在特洛伊城外留下了很多巨大的木马。特洛伊城的军民以为这是希腊军队留给他们的礼物,就将这些木马运进城内。没想到木马中隐藏有希腊最好的战士,到了夜晚,这些希腊士兵在奥迪塞斯的带领下打开特洛伊城的城门,于是希腊军队夺下了特洛伊城。据说“小心希腊人的礼物”这一谚语也是出于这个典
29、故。,8.3 木马,木马的概念 来源于希腊神话木马屠城记 表面上是有用、实际目的却是危害计算机安全并导致严重破坏的计算机程序 木马程序本身不能做任何事情,必须依赖于用户的帮助来实现它们的目标。恶意程序通常都伪装成为升级程序、安装程序、图片等文件,来诱惑用户点击。一旦用户禁不起诱惑打开了以为来自合法来源的程序,特洛伊木马便趁机传播,从模仿到全民-灰鸽子的发展简史,2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒 经历了三大阶段,三个条件,第一,“有用的或必需的功能的程序”只是诱饵,就像典故里的特洛伊木马,表面看上去很美但实际上暗藏危机。第二,“为人不知的
30、功能”定义了其欺骗性,是危机所在之处,为几乎所有的特洛伊木马所必备的特点。“往往是有害的”定义了其恶意性,恶意企图包括: 试图访问未授权资源(如盗取口令、个人隐私或企业机密)试图阻止正常访问(如拒绝服务攻击)试图更改或破坏数据和系统(如删除文件、创建后门等)。电子邮件、IM是Trojan Horse主要传播途径,大多数木马都可以使木马的控制者登录到被感染电脑上,并拥有绝大部分的管理员级控制权限,采用C/S模式,2006年6月,木马伪装达芬奇密码借QQ传播通过QQ发送“在不?看这个片了吗?爆火达芬奇密码哈哈看看吧”等内容的消息,Trojan Horse,Trojan Horse,木马的特点,隐蔽
31、性一次执行后就会自动变更文件名,甚至隐形可能会自动复制到其他文件夹中做备份执行时不会在系统中显示出来。木马程序虽然在运行,但却不会在“任务栏”中产生一个图标进程插入。加壳,木马的特点,自启动潜入启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中利用注册表修改文件关联、注册为系统服务利用AUTOEXEC.BAT、CONFIG.SYS和WINSTART.BAT等系统文件利用计划任务定时启动捆绑文件(如修改系统文件explorer.exe在其中加入木马),木马的特点,欺骗性危害性潜伏性,木马的分类,远程控制型现今最广泛的特洛伊木马,目前所流行的大多数
32、木马程序都是基于这个目的而编写的。其工作原理非常简单,就是一种简单的客户/服务器程序。只要被控制主机连入网络,并与控制端客户程序建立网络连接控制者就能任意访问被控制的计算机。由于要达到远程控制的目的,所以,该种类的木马往往集成了其他种类木马的功能。,木马的分类,密码发送型专门为了盗取目标计算机上的各类密码而编写的。木马一旦被执行,就会自动搜索内存、Cache、临时文件架以及各种秘感文件,并且在受害者不知道的情况下把它们发送到指定的信箱。键盘记录型记录受害者的键盘敲击并且在文件里查找密码。最常见的就是针对QQ和网游的盗号木马,这类软件与一般的键盘记录软件大同小异,只是在进行键盘记录之前,先使用一
33、个名为FindWindow的API函数判断目标程序是否在运行。如果是的话,启动键盘记录功能,否则不动作。实现键盘记录这个功能时,大多数采用的是系统提供的钩子(HOOK)技术,钩住用户的击键行为。,木马的分类,破坏型破坏被感染计算机的文件系统它们可以自动删除受控主机上所有的exe、doc、ppt、ini和dll等文件,甚至远程格式化受害者硬盘,使其遭受系统崩溃或者重要数据丢失巨大损失FTP型木马打开被控主机系统上FTP服务监听的2l号端口,并且使得每一个试图连接该机器的用户使用匿名登录即可以访问,并且能够以最高权限进行文件的操作,如上传和下载等,破坏受害主机系统文件机密性。,木马的分类,DoS攻
34、击型DoS指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。由于现在的主机(包括PC机)配置相对来说都比较高,因此这种攻击成功的前提是需要有大量的分布攻击节点参与攻击过程,形成一个攻击平台,如僵尸网络Botnet。这个攻击平台由互联网上数百到数十万台计算机构成,这些计算机被黑客利用木马等手段植入了木马程序并暗中操控。利用这样的攻击平台,攻击者可以实施各种各样的破坏行为,而且使得这些破坏行为往往比传统的实施方式危害更大、防范更难还有一种类似DoS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件对特定的邮箱不停地发送邮件,一直到
35、对方瘫痪、不能接受邮件为止。,木马的分类,代理型黑客在进行入侵的时候,为了隐藏自己的信息,防止审计者发现自己的攻击足迹和身份,可以通过给受害主机安装代理木马,使其称为一个代理,通过控制这个代理来达到入侵的目的。攻陷远程主机使其成为攻击者发动攻击的跳板就是代理木马最重要的任务。反弹端口型木马主要针对在网络出口处设置了防火墙的用户环境,利用反弹端口原理,躲避防火墙拦截的一类木马的统称。反弹端口型软件的服务端(被控制端)主动连接客户端(控制端),为了隐蔽起见,客户端的监听端口一般开在80(提供HTTP服务的端口),这样,即使用户使用防火墙检查自己的端口,也会以为是自己在浏览网页。常见的反弹端口型木马主要有:灰鸽子、PcShare等。,Botnet,Botnet,Phisher,
