网络安全-19：恶意软件

Chapter19

恶意软件《密码编码学与网络安全》

2023/2/41西安电子科技大学计算机学院病毒和其它恶意代码计算机病毒已众所周知是一种具有恶意代码的软件破坏性是明显的在新的报告，小说，电影中都有描述(经常被夸大)得到更多的关注还是很令人担心的

2023/2/42西安电子科技大学计算机学院恶意软件2023/2/43西安电子科技大学计算机学院后门或陷门进入程序的秘密入口允许绕过一般的安全过程而访问系统已被开发人员广泛使用当留在产品中后，若被攻击者发现则成为一个威胁。在OS中很难避免需要良好的软件开发和升级2023/2/44西安电子科技大学计算机学院逻辑炸弹最古老的恶意软件之一在合法程序中嵌入逻辑炸弹代码当指定的条件满足时，激活发作：如

一些文件的出现或消失特殊的日期或时间特定的用户当发作时，一般都会毁坏系统修改/删除文件或磁盘,宕机,等2023/2/45西安电子科技大学计算机学院特洛伊木马具有副作用的程序表面上很有用很诱人如游戏,软件升级等

运行时，完成一些附加的任务允许攻击者间接地获得他们直接无法获得的访问常用于病毒、蠕虫的扩散或后门的安装或者就直接破坏数据2023/2/46西安电子科技大学计算机学院Zombie（肉机）被其它网络计算机所秘密控制的程序或计算机使用他们以完成间接攻击常用于发起分布式拒绝服务攻击(DDoS)利用网络系统中的已知漏洞2023/2/47西安电子科技大学计算机学院病毒能够自身复制且能附着在其它代码上的一段代码生物病毒既要能复制自己也要有载体承载代码用以进行自身复制代码同时也可完成某些转换任务2023/2/48西安电子科技大学计算机学院病毒操作病毒状态:潜伏阶段传染阶段触发阶段发作阶段与特定OS相关利用某些功能或弱点2023/2/49西安电子科技大学计算机学院病毒结构programV:= {gotomain; 1234567; subroutineinfect-executable:= {loop: file:=get-random-executable-file; if(first-line-of-file=1234567)thengotoloop elseprependVtofile;} subroutinedo-damage:={whateverdamageistobedone} subroutinetrigger-pulled:={returntrueifconditionholds}

main:main-program:= {infect-executable; iftrigger-pulledthendo-damage;

gotonext;} next:}2023/2/410西安电子科技大学计算机学院2023/2/411西安电子科技大学计算机学院病毒的种类依攻击方法分类如下：寄生性病毒常驻存储器病毒引导扇区病毒隐蔽性病毒多态性病毒

变异病毒（改变行为或外观）

2023/2/412西安电子科技大学计算机学院宏病毒宏病毒依附于某些数据文件通过使用数据文件而得到解释运行如Word/Excel宏尤其，用自动命令或命令宏现在，病毒代码与平台独立。是一种主要的新病毒传染方式模糊了数据和程序的区别“易于使用”vs“安全性”Word对其安全性进行了改进

不再是主要的病毒威胁2023/2/413西安电子科技大学计算机学院Email病毒通过邮件的使用进行扩散，邮件的附件包含宏病毒如Melissa病毒当用户打开附件时发作或者在邮件程序打开邮件阅读时发作因此传播非常快常以MicrosoftOutlookmail和Word/Excel文档为目标

需要更加安全的OS和应用程序2023/2/414西安电子科技大学计算机学院蠕虫复制但不感染程序典型地通过网络进行扩散如1988年的Morris蠕虫成立了

CERTs

利用用户分散的特权或系统弱点

广泛地被黑客用于产生肉机,接着再进行进一步的攻击，例如DoS

。主要问题是持久在线的系统缺乏安全性，尤其是PC。2023/2/415西安电子科技大学计算机学院蠕虫操作蠕虫的状态如同病毒:潜伏阶段传染阶段查找下一个感染目标建立与远程目标的连接复制自己到远程系统触发阶段发作阶段2023/2/416西安电子科技大学计算机学院Morris蠕虫众所周知的典型蠕虫病毒由RobertMorris于1988年设计目标Unix系统采用多种传播技术破译本地口令文件，获得简单口令利用finger协议的漏洞在发送邮件的远程处理中设置陷门上述攻击只要有一个能成功，就复制自己进行传播。2023/2/417西安电子科技大学计算机学院蠕虫技术跨平台多途径（Multiexploit）：以各种方法利用系统漏洞传播迅猛变形：改变外形以逃避检查变异：改变外观和行为传播工具：不断制作新肉机零日利用：利用系统未知的风险2023/2/418西安电子科技大学计算机学院病毒对策最好的对策就是预防，但一般不太可能。因此需要：检测鉴别（种类）删除2023/2/419西安电子科技大学计算机学院防病毒软件第一代扫描器用病毒的标识鉴定病毒或通过程序长度的改变第二代启发式规则来发现病毒或采用程序的密码哈希来发现改变第三代通过驻留内存的程序，主动设置陷阱来发现病毒。第四代防病毒技术的综合如

扫描和行为陷阱，访问控制等……2023/2/420西安电子科技大学计算机学院高级防病毒技术通用解密技术在运行前，采用CPU仿真来检测程序的特征和行为数字免疫系统(IBM)通用的仿真和病毒检测任何病毒进入到组织都会被捕获，分析，检测屏蔽，删除。2023/2/421西安电子科技大学计算机学院数字免疫系统2023/2/422西安电子科技大学计算机学院行为阻止软件和OS集成在一起实时监视程序行为如文件访问，磁盘格式化，可执行模块或系统配置的变化，网络的访问。对于可能的破坏行为如果检测到，就阻止终止。比扫描器有优越性

（因为最终总要执行恶意行为）但是在检测到之前，恶意代码已经开始运行。2023/2/423西安电子科技大学计算机学院分布式拒绝服务攻击(DDoS)DistributedDenialofService(DDoS)攻击带来来巨大的安全威胁使得网络系统不可用用无用的消息填满信道采用大量肉机（zombies）混合攻击与防御技术抗衡2023/2/424西安电子科技大学计算机学院分布式拒绝服务攻击2023/2/425西安电子科技大学计算机学院2023/2/426西安电子科技大学计算机学院2023/2/427西安电子科技大学计算机学院构造DDoS攻击网络必须感染大量“肉机”需要:实现DDoS攻击的软件许多系统上未打补丁的弱点扫描发现具有弱点的系统随机,IP目录,拓扑,本地子网2023/2/428西安电子科技大学计算机学院DDoS

对策三条防御路线:攻击的预防和先发制人(事前)攻击的检测和过滤(事中)攻击源的追溯和确定(事后)有大范围攻击的