网络攻防技术 第6章 恶意代码

第六章恶意代码本章主要内容6.1恶意代码概述6.2恶意代码关键技术6.3恶意代码的防范技术6.1恶意代码概述恶意代码（maliciouscode,malware）指的是通过存储介质和网络进行传播，从一台计算机系统到另外一台计算机系统，未经授权破坏计算机系统完整性的程序或代码。4产生阶段（1986年～1989年）：磁芯大战、Pakistan病毒、黑色星期五、Morris蠕虫6.1恶意代码概述（1）恶意代码的发展历程5产生阶段的主要特征：1.攻击的目标单一，传染磁盘引导扇区或可执行文件；2.通过截获系统中断向量的方式监视系统的运行状态，并在一定的条件下对特定目标进行传染；3.传染目标以后有明显特征；4.不具有自我保护的措施，容易被分析和解剖。6.1恶意代码概述61.目标趋于混合型，可同时传染磁盘引导扇区和可执行文件；2.以更为隐蔽的方法驻留内存和传染目标；3.开始采取自我保护措施，增加分析和查杀的难度；4.变种多，更新快，隐蔽性更强。6.1恶意代码概述综合发展阶段（1989年～1992年）：7成熟发展阶段（1992年～1995年）：典型代表：如病毒构造集(VirusConstructionSet)

、“幽灵”病毒、DIR2病毒。6.1恶意代码概述8具有多态性或“自我变形”能力，是恶意代码的成熟发展阶段。成熟发展阶段的主要特征：6.1恶意代码概述9互联网爆发阶段（1996年～

2005年）：如CIH病毒、、Melissa病毒、“爱虫”病毒、“红色代码”蠕虫、“冲击波”、“震荡波”、“熊猫烧香”。6.1恶意代码概述10互联网爆发阶段的主要特征：1.类型多样化，不再局限于可执行文件；2.更多以互联网作为传播渠道；3.攻击目标突破软件限制；4.变种多，更新快，隐蔽性更强，破坏性更大。6.1恶意代码概述11APT出现：Stuxnet、Flame、Duqu、BlackEnergy等专业综合阶段（2006年至今）：6.1恶意代码概述12专业综合阶段的主要特征：1.政府、军队等大玩家开始介入，出现攻守不对等性；2.目标更加明确，传播不再以扩散为主，而是定向传播；3.利用的0day漏洞进行传播和植入的种类更多；4.样本更难于捕获，保护能力更强，代码更难于分析；6.1恶意代码概述6.1恶意代码概述恶意代码都有哪些种类？它们各自的特点是什么？（2）恶意代码的分类包含了迄今为止的所有对计算机及网络系统构成威胁的程序，如病毒、木马、蠕虫、逻辑炸弹、网络钓鱼、勒索软件、BotNet、等。6.1恶意代码概述计算机病毒是一种计算机程序，它递归地、明确地复制自已或其演化体。

--美.Cohen编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。--《计算机信息系统安全保护条例》计算机病毒6.1恶意代码概述病毒特点可执行性非授权性自我复制性破坏性6.1恶意代码概述特洛伊木马（TrojanHorse）来源于古希腊的神话故事“木马记”。6.1恶意代码概述特洛伊木马是一种基于远程控制的黑客工具，它隐藏在目标系统中，能控制整个系统，并能和特定控制者进行信息交互的程序。控制端木马端网络通信

木马的实质是C/S结构的网络程序木马定义6.1恶意代码概述木马的特点隐蔽性非授权性可控性高效性6.1恶意代码概述木马功能

保留访问权限

远程控制远程文件操作

远程命令执行

信息收集收集系统关键信息收集密码或密码文件

其它的特殊功能6.1恶意代码概述蠕虫蠕虫是一种智能化、自动化的攻击程序或代码，它主动扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者互联网从一个节点传播到另外一个节点。6.1恶意代码概述蠕虫工作流程6.1恶意代码概述本章主要内容6.1恶意代码概述6.2恶意代码关键技术6.3恶意代码的防范技术6.2恶意代码的关键技术植入技术邮件植入下载漏洞利用网页植入文件感染其它移动介质（1）恶意代码入侵技术利用移动介质植入移动介质植入利用主机配置中存在的缺陷或者漏洞实现介质中的恶意代码的加载和复制。例：AutorunStuxnetStuxnet病毒首先侵入位于互联网中的主机感染U盘，利用LNK漏洞传播到工业专用内部网络6.2恶意代码的关键技术邮件植入

攻击者将木马程序伪装之后添加到邮件的附件中发送给目标用户，并通过邮件的主题和内容诱骗用户打开附件。例：乌克兰“电厂事件”6.2恶意代码的关键技术利用漏洞进行植入

操作系统、应用软件在设计和实现时可能存在逻辑或编程漏洞，从而导致攻击者利用该漏洞获取目标系统的权限，继而通过创建通道植入木马。6.2恶意代码的关键技术网页植入将被挂马的网页以链接方式直接传播或植入第三方软件。网页挂马：页面中加入恶意脚本或漏洞利用程序；多媒体文件：在RM、RMVB、WMV中加入木马，播放文件时弹出页面进行植入；电子书：电子书由多个网页文件组合而成，攻击者可将一个恶意网页加入到电子书中实现植入。6.2恶意代码的关键技术下载植入木马通过诱骗用户下载并安装至目标计算机的过程称为下载植入。伪装文件捆绑6.2恶意代码的关键技术中间人攻击植入通过在目标系统外连的链路上进行监听，利用软件自动更新植入木马。6.2恶意代码的关键技术（2）木马的隐藏文件隐藏进程隐藏通信隐藏启动隐藏6.2恶意代码的关键技术文件隐藏骗骗菜鸟-设置文件为系统隐藏文件,伪装高明一点-替换系统DLL再高明一点-躲进回收站(autorun.inf)更高级-写入固件最好-木马运行期间没有文件6.2恶意代码的关键技术进程隐藏使用隐蔽性、欺骗性强的进程名称使用动态链接库在其它进程空间中插入代码过滤进程信息6.2恶意代码的关键技术DLL木马硬性-替换系统DLL软性-DLL注入安装系统钩子远程线程插入借壳-svchost服务6.2恶意代码的关键技术利用系统钩子钩子（Hook）：是WindowsHook消息处理机制的一个平台，应用程序可以在上面设置子程序以监视指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标窗口处理之前处理它。钩子机制允许应用程序截获处理Windows消息或特定事件。6.2恶意代码的关键技术远程线程插入技术在另一个合法进程中插入自己的代码不会多出单独的进程6.2恶意代码的关键技术RootKit技术隐藏挂接NtQuerySystemInformation函数修改ActiveProcessLinks6.2恶意代码的关键技术38SSDT(系统服务分配表)Windows应用层的API封装在Ntdll.dll中,然后通过Int2E或SYSENTER进入到内核模式，通过服务ID,找到SSDT中对应的系统函数。SSDTHook6.2恶意代码的关键技术39一个例子6.2恶意代码的关键技术typedefstructSystemServiceDescriptorTable{UINT*ServiceTableBase;//addressoftheSSDTUINT*ServiceCounterTableBase;//notusedUINTNumberOfService;//numberofsystemcallsUCHAR*ParameterTableBase;//bytearray}SystemServiceDescriptorTable,*PSystemServiceDescriptorTable;406.2恶意代码的关键技术（3）通信隐藏本地-端口隐藏复用端口修改系统关键数据数据包隐藏ICMPUDPHTTP隧道不规则IP报文6.2恶意代码的关键技术42利用ICMP协议通信可利用ICMP回送应答(type=8)报文传送数据，摆脱端口的约束。规范约定ICMP报文中的标识符和序列号字段由发送端任意选择，因此在ICMP包中标识符、序列号和选项数据等部分都可用来秘密携带信息。由于防火墙、入侵检测系统等网络设备通常只检查ICMP报文的首部，因此使用ICMP建立秘密通道时可直接将数据放到选项字段中，达到隐蔽效果。6.2恶意代码的关键技术43利用HTTP隧道通信思路：防火墙只对HTTP报文的某些字段如POST、GET等命令头进行检查，因此，若伪装成合法HTTP数据报文，即可成功穿透防火墙。方法：将传递数据全部封装到HTTP协议报文中传递，目标端口设置为80，利用HTTP协议在应用程序与远程主机之间建立一条安全传输隧道，以躲避防火墙的检测。6.2恶意代码的关键技术（4）启动隐藏明目张胆-系统启动目录历史教训-系统启动配置文件曾经辉煌-修改文件关联、映像劫持屡试不爽-捆绑文件瞒过菜鸟-修改注册表经常采用-服务、借壳、替换系统DLL隐蔽启动-驱动加载查无可查-木马运行期间隐藏启动方式6.2恶意代码的关键技术启动目录开始->程序->启动影响：Win2k\XP\Win7等;C:\DocumentsandSettings\Administrator(AllUsers)\「开始」菜单\程序\启动快捷方式劫持？6.2恶意代码的关键技术系统启动配置文件DOS–C盘根目录：AUTOEXEC.bat,Config.sys;Win98–Windows目录：WinStart.bat，DosStart.bat;Win2000/XP/Win7—windows目录：system.ini,win.ini,wininit.ini6.2恶意代码的关键技术修改系统配置文件SYSTEM.INI——Windows目录下语法[boot] Shell=Explorer.exetrojan.exe6.2恶意代码的关键技术修改系统配置文件WIN.INI——Windows目录下语法

[windows] load=trojan.exe run=trojan.exe6.2恶意代码的关键技术修改系统启动配置文件Wininit.ini——Windows目录下语法[rename]Null=filename1;删除文件filename1Filename2=filename3;用文件filename3替换filename2作用替换系统关键文件6.2恶意代码的关键技术注册表启动项[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]RunRunServicesRunOnceRunOnceExRunServicesOnce[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]RunRunOnceRunServicesOnce6.2恶意代码的关键技术dll木马启动Rundll32.exe：DLL全路径名,DLL入口点：用户可在任意时间加载；Appinit_dll:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows：系统启动时加载；KnownsDlls:HKLM\System\CurrentControlSet\Control\SessionManager\：必须与指定的软件同步加载。

6.2恶意代码的关键技术文件关联将木马程序作为某类文件的打开程序Example：冰河[HKEY_CLASSES_ROOT\exefile\shell\open\command]原值："%1"%*木马启动值：[木马全路径名][HKEY_CLASSES_ROOT\txtfile\shell\open\command]原值：C:\WINNT\system32\notepad.exe%1木马启动值：[木马全路径名]6.2恶意代码的关键技术映像劫持“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions\aa.exeDebugger=“bb.exe”6.2恶意代码的关键技术捆绑文件加载将木马绑定到其它程序中。当这些程序在传播的同时也实现了木马的传播。被绑定的文件一旦开始执行，木马就被启动。如木马绑定到浏览器，开机检查时没有发现木马端口，上网浏览后木马启动，将打开公开端口进行工作。6.2恶意代码的关键技术注册系统服务服务——执行指定系统功能的程序、例程或进程，以便支持其他程序，尤其是低层(接近硬件)程序如果木马把自己注册成系统服务，并设置成自动启用模式，那么它将随系统开机而启动[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet01\Services\][HKEY_LOCAL_MACHINE\SYSTEM\ControlSet02\Services\]6.2恶意代码的关键技术路径劫持利用文件运行时搜索路径顺序，而将其优先定义EXAMPLE：病毒CodeRed（红色代码）在C:\和D:\目录下放置两个约8KB的名为EXPLORER.EXE的文件。%SystemDrive%（C:\）%SystemRoot%\System32（C:\WINNT\SYSTEM32）%SystemRoot%（C:\WINNT）

操作系统