恶意代码的攻击原理与监测技术

恶意代码的攻击原理与监测技术主讲人：樊亦胜内容什么是恶意代码恶意代码是如何工作的利用常规工具对恶意代码进行分析恶意代码的检测与清除什么是恶意代码恶意代码的定义（一）恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒、特洛伊木马、计算机蠕虫、后门、逻辑炸弹等。（百度百科）恶意代码是嵌入到网页的脚本，一般使用Javascript编写，受影响的也是微软视窗系统的InternetExplorer浏览器。它们在未经浏览者同意的情况下自动打开广告，开启新页面，严重影响浏览者的正常访问。除此之外，它们还通过系统调用修改浏览器的默认主页，修改注册表，添加系统启动程序，设置监视进程等。（WIKIPEDIA）恶意代码的定义（二）恶意代码（UnwantedCode）是指没有作用却会带来危险的代码，一个最安全的定义是把所有不必要的代码都看作是恶意的，不必要代码比恶意代码具有更宽泛的含义，包括所有可能与某个组织安全策略相冲突的软件。恶意代码的分类计算机病毒（Virus）木马程序（Trojan/BackdoorProgram）网络蠕虫（NetworkWorm）黑客程序（HackProgram）垃圾邮件（Spam）恶意网页（MaliciousHTML）密码窃取程序（PasswordStealer）间谍程序（Spyware）手机病毒一些具有代表性的恶意代码1998年，CIH病毒1999年，梅丽莎(Melissa)2000年，爱虫病毒(Iloveyou)2001年，红色代码(CodeRed)2003年，冲击波(Blaster)2004年，震荡波(Sasser)2006年，熊猫烧香(Nimaya)2007年，网游大盗、机器狗2008年，扫荡波（Worm.SaodangBo.a.94208）2009年，木马下载器、Conficker等变种2010年，极虎病毒2011年，鬼影病毒2013年，QVOD变种2012年的情况2012年1月-12月，瑞星“云安全”系统共截获新增病毒样本1,181万余个。2012年全年截获挂马网站516万个（以网页个数统计），比2011年同期增加了48.7%。2012年，360安全中心共截获新增恶意程序样本13.7亿个（以MD5计算），较2011年增加29.7%。2012年，360安全软件拦截恶意程序攻击415.8亿次，较2011年增加了76.1%。2012年-2013年主要的恶意代码Apache服务器mod_rewrite漏洞，超过半数服务器受到影响APT（AdvancedPersistentThreat）攻击者利用flash中的可执行代码漏洞植入恶意代码获取网民和企业信息QVOD变种利用网页视频种入后门程序恶意代码是如何工作的计算机病毒模块传染模块破坏模块引导模块引导模块引导模块的功能是借助宿主程序，将病毒程序从外存引进内存，以便使传染模块和破坏模块进入活动状态。病毒如何引导通过修改程序入口，寄生于程序文件修改磁盘引导扇区，结果启动分区入口修改注册表或启动程序组利用系统服务利用系统和应用程序扩展接口、hook函数BrowerHelperObjects（BHOs）IFSHook传染模块传染模块的功能将病毒迅速传染，尽可能扩大染毒范围。病毒的传染模块由两部分组成：条件判断部分和程序主体部分，前者负责判断传染条件是否成立，后者负责将病毒程序与宿主程序链接，完成传染病毒的工作。传染途径U盘等存储介质网络电子邮件系统漏洞破坏模块病毒编制者的意图，就是攻击破坏计算机系统，所以破坏模块是病毒程序的核心部分。网络蠕虫利用操作系统或应用程序的漏洞，或者缺省配置的不安全性。产生特定的后门服务，或添加后门帐号。漏洞侵入后可执行任何文件。系统缺省安装存在这些漏洞，并且大多数的系统管理员并不主动打补丁。主动往网络中发送数据（感染下一个机器或数据外泄）。蠕虫的工作方式扫描由蠕虫的搜索模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得的了一个可攻击的对象攻击找到攻击对象，取得对主机的权限，获得一个shell，得到了这个shell后就可以获得控制权。复制繁殖模块通过原主机和新主机之间的交互，将蠕虫程序复制到新主机并启动蠕虫传播方式利用Windows操作系统漏洞传播RPC漏洞(Blaster)利用应用程序漏洞传播FTP服务程序(Ramen)、IIS服务器漏洞(Nimda)、SQLServer数据库(Slammer)利用浏览器传播通过修改web服务器的内容，把一小段JavaScript代码附加到HTML或者ASP文件上，IE自动执行代码(Nimda,CodeRed)利用Email传播通过MAPI获得感染机器的通讯录中邮件地址列表，通过Windows的邮件客户端把蠕虫代码作为邮件附件发送给其他主机,而未打补丁的IE会自动执行邮件中的附件，从而使蠕虫激活.(求职信蠕虫、小邮差蠕虫)依赖网络共享利用共享网络资源进行传播(Nimda)蠕虫的攻击行为消耗系统资源，降低系统性能造成网络拥塞，实施拒绝服务攻击利用弱口令攻击蠕虫与计算机病毒异同普通病毒蠕虫病毒存在形式寄存文件独立程序运行机制宿主程序运行主动攻击感染目标本地文件网络计算机木马程序木马是一个程序，驻留在计算机里，可以随计算机自动启动并在某一端口进行侦听，在对接收的数据识别后，对目标计算机执行特定的操作。其实质只是一个通过端口进行通信的网络客户/服务程序。木马原则上和Laplink、PCanywhere等程序一样，只是一种远程管理工具木马本身不带伤害性，也没有感染力，所以不能称之为病毒(也有人称之为第二代病毒)木马的行为窃取数据接受操作者的指令远程管理服务器进程，监视服务器操作篡改、删除、修改文件和数据操纵注册表、毁坏系统木马的传播以邮件附件方式传播通过聊天工具传播通过软件下载的网络传播，把木马程序捆绑在正常的文件中，用户执行安装文件时就会运行木马。通过一般的网络病毒传播通过光盘和磁盘传播电子邮件一般针对Outlook/OutlookExpress。使用HTML格式的邮件，内嵌脚本通过WindowsScriptingHost执行附件程序。利用OutlookExpress或WindowsActiveDesktop的预览功能进行自动传播。通过“通讯簿”确定传播目标，标题较吸引人，或会随机改变，以迷惑收件人。利用常规工具对恶意代码进行分析恶意代码分析方法静态分析在不运行恶意代码的情况下，利用分析工具对恶意代码的静态特征和功能模块进行分析的方法动态分析是通过监视恶意代码运行过程从而了解恶意代码功能。静态分析基于代码特征的分析方法分析过程中，不考虑恶意代码的指令意义，而是分析指令的统计特性、代码的结构特性等。基于代码语义的分析方法考虑构成恶意代码的指令的含义，通过理解指令语义建立恶意代码的流程图和功能框图，进一步分析恶意代码的功能结构。基于代码特征的分析方法CreateMuetex函数创建互斥进程，如果进程中没有指定进程实例，则创建一个互斥体如CreateMuetex(null,null,”bingdu”)，在生成的PE文件中会存在一个静态数据“bingdu”，通过分析PE结构可以从静态数据节中提取静态数据。URLDownloadToFile函数URLDownloadToFile(0,"http:///bingdu.exe","c:\\bingdu.exe",0,0)从网站下载可执行程序到C盘根目录基于代码语义的分析方法基于代码语义的分析过程，首先使用反汇编工具对恶意代码执行体进行反汇编，然后通过理解恶意代码的反汇编程序了解恶意代码的功能。动态分析方法观察法利用系统监视工具观察恶意代码运行过程时系统环境的变化，通过分析这些变化判断恶意代码的功能。调试法通过跟踪恶意代码执行过程使用的系统函数和指令特征分析恶意代码功能的技术。观察法恶意代码作为一段程序在运行过程中通常会对系统造成一定的影响，有些恶意代码为了保证自己的自启动功能和进程隐藏的功能，通常会修改系统注册表和系统文件，或者会修改系统配置。通过网络进行传播、繁殖和拒绝服务攻击等破坏活动通过网络进行诈骗等犯罪活动通过网络将搜集到的机密信息传递给恶意代码的控制者在本地开启一些端口、服务等后门等待恶意代码控制者对受害主机的控制访问调试法单步跟踪恶意代码执行过程，监视恶意代码的每一个执行步骤，在分析过程中也可以在适当的时候执行恶意代码的一个片断，这种分析方法可以全面监视恶意代码的执行过程，但是分析过程相当耗时。利用系统hook技术监视恶意代码执行过程中的系统调用和API使用状态来分析恶意代码的功能，这种方法经常用于恶意代码检测。恶意代码分析流程分析恶意代码的加密和压缩特性评估恶意代码运行过程中对系统文件、注册表和网络通讯状态的影响判断恶意代码的功能模块构成对恶意代码进行单步跟踪调试，进行确认形成详细报告常用分析工具（演示）RegmonFilemonPEToolsOllyICE恶意代码的检测与清除恶意代码检测基本步骤确定恶意代码进程分析病毒行为清除代码文件、修改的注册表清除被感染文件中的恶意代码恢复系统设置确定恶意代码进程进程插入利用HOOK利用APPINIT加壳进程关于APPINITAppInit_Dlls键值位于注册表HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows任何使用到User32.dll的EXE、DLL、OCX等类型的PE文件都会读取这个地方，并且根据约定的规范将这个键值下指向的DLL文件进行加载，加载的方式是调用LoadLibraryPE格式PE的意思就是PortableExecutable（可移植的执行体）。它是Win32环境自身所带的执行体文件格式。它的一些特性继承自Unix的Coff(commonobjectfileformat)文件格式。关于映像劫持所谓的映像劫持（IFEO）就是ImageFileExecutionOptions，它位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\键值下。容易感染的注册表项run/runonce/runserviceexefile/comfile/txtfile…等文件关联HKEY_CLASSES_ROOT\.exe\(默认)的取值（exefile）HKEY_CLASSES_ROOT\exefile\Shell\Open\Command\(默认)的取值（”%1”%*）例如txtfile\(默认)=“NOTEPAD.EXE%1”InternetExplorer参数设置（修改主页等）HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Policies分支HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\容易感染的注册表项（续）BHOsHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObje