3.3 恶意代码概述

第3节恶意代码概述第3章目

录01恶意代码的概念02恶意代码的种类03常见恶意代码的工作机制04常见恶意代码的传播方式01恶意代码的概念什么是恶意代码？定义恶意代码是指能够引起计算机故障，破坏计算机数据，影响计算机系统的正常使用的程序代码或指令。——中国信息安全测评中心恶意软件也叫作恶意代码，指所有对计算机用户构成危害的程序或者文件，具体包括计算机病毒、蠕虫、特洛伊木马等。通常使受害者的数据、应用以及操作系统的机密性、完整性和可用性收到威胁。——GB/T40652--20211949年：冯·诺依曼在《复杂自动机组织论》提出概念1983年：真正的恶意代码在实验室产生1986年：第一个PC病毒：Brainvirus2001年：“尼姆达”蠕虫、“红色代码”蠕虫2006年：“熊猫烧香”病毒2010年：“震网”病毒(工业蠕虫)2017年：“WannaCry”勒索病毒2017年5月后：基本上为勒索类病毒的衍生版本（Petya、GandCrab5.2、WannaRen等）恶意代码的发展历程恶意代码的发展趋势1从传播速度上来看恶意代码爆发和传播速度越来越快2从攻击意图来看从游戏、炫耀逐步转向恶意牟利3从功能上来看恶意代码的分工越来越细4从实现技术来看恶意代码实现的关键技术不断变化5从传播范围来看恶意代码呈现多平台传播的特征02恶意代码的种类恶意代码分类01.03.04.02.分类计算机病毒（病毒）网络蠕虫（蠕虫）特洛伊木马（木马）其他：后门、Rookit、僵尸网络逻辑炸弹、间谍软件、风险程序2021年6月，东莞某三甲医院遭受勒索病毒攻击，导致全院系统瘫痪，严重影响市民就诊，接到紧急报告后，应急单位启动应急处置方法切断攻击源头，使恢复系统，当天上午十点医院门诊恢复正常。案例分析案例一案例二2019年5月17日，由于勒索病毒入侵到华容县某医院的病历、检验系统服务器，造成该院病历与检验系统的瘫痪，部分需要检验的病人无法进行正常检验，病人与家属意见很大；部分来该院诊疗的病人也不得不到邻近的华容县中医院或其他医院诊治。隐蔽性计算机病毒定义编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机正常使用，并能自我复制的一组计算机指令或者程序代码。

——GB/T37090--2018特性附加在正常软件或文档中，如：word、照片、邮件、网页。传染性能够自我复制，并把复制的病毒附加到无病毒程序中或替换磁盘引导区，使之成为新的病毒源，重复传染过程。潜伏性破坏性满足触发条件才执行恶意功能，如：特定日期。病毒侵入系统会对系统的运行造成不同程度的影响。计算机病毒计算机病毒的生命周期潜伏阶段传播阶段触发阶段发作阶段该阶段病毒处于休眠状态，这些病毒最终会被某些条件所激活。病毒程序将自身复制到其他程序或磁盘的某个区域上，或者传播到其他计算机中。病毒在被激活后，会执行某一特定功能从而达到某种目的。病毒在触发条件成熟时，即可在系统中发作。常见病毒CIH病毒

Melissa病毒

火焰病毒（Flame）网络蠕虫定义通过信息系统漏洞缺陷或信息系统使用者的弱点主动进行传播的恶意程序。

——GB/T37090--2018网络蠕虫分类漏洞利用类蠕虫口令破解类蠕虫电子邮件类蠕虫即时通信工具类蠕虫IRC类蠕虫P2P类蠕虫本地蠕虫2001年红色代码（CodeRed）和尼姆达（Nimda）2003年蠕虫王（Slammer）、冲击波（MSBlaster）2008年扫荡波（saodangbo）、2010年震网（StuxNet）网络蠕虫熊猫烧香组成模块探测模块（probe）完成对特定主机的脆弱性检测，决定采用何种攻击渗透方式传播模块（transport）采用各种形式生成各种形态蠕虫副本，在主机间完成副本传递蠕虫引擎模块（wormengine）决定采用何种搜索算法对本地或目标网络进行信息搜集负载模块（payload）网络蠕虫内部实现的伪代码常见蠕虫病毒特洛伊木马定义主动与攻击者通信，接收来自攻击者的指令，并能够根据指令对所在主机进行各种恶意操作的恶意程序。

——GB/T37090--2018特洛伊木马分类远程控制型木马

信息窃取型木马

破坏型木马特洛伊木马01.远程控制型木马完整的木马程序一般由两部分组成：一个是服务器端．一个是控制器端。客户端：用于攻击者远程控制已植入木马的计算机，或者获取来自被植入木马主机的数据。服务端：在用户计算机中的木马程序。危害远程管理目标主机的文件系统、服务、注册表。通过远程Shell进行命令操作或进一步植入功能更加强大的第三方恶意软件。特洛伊木马“灰鸽子”隐藏过程01.远程控制型木马冰河网络神偷广外女生网络公牛黑洞上兴彩虹桥PosionivyPCShare灰鸽子Melody...特洛伊木马02.信息获取型木马组成部分客户端：用于攻击者远程控制已植入木马的计算机，或者获取来自被植入木马主机的数据。服务端：在用户计算机中的木马程序。获取受害者电脑上相关个人信息为主要目的。危害典型的信息获取型木马卡巴斯基分类体系中木马子类下的Trojan-Bank、Trojan-GameThief、Trojan-IM、Trojan-Spy、Trojan-PSW、Trojan-Mailfinder都可以归于这一类别。特洛伊木马02.信息获取型木马特洛伊木马03.破坏型木马危害对本地或远程主机系统中的数据破坏、资源消耗为主。典型的破坏型木马Trojan-DDoS、Trojan-Ransom、Trojan-ArcBomb等。后门开放特定端口，等待攻击者连接，并接受攻击者的指令执行响应的恶意操作的恶意程序。RootkitRootkit是一种特殊的恶意软件，功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，其一般都和木马、后门等其他恶意程序结合使用。僵尸网络主动与攻击者通信，接受攻击者的指令，并与其他感染此类恶意程序的主机一起对特定目标发起攻击的恶意程序。其他恶意代码逻辑炸弹附着在其他软件中，具有触发执行破坏能力的恶意程序。间谍软件不知情下被安装，执行用户非期望功能。风险程序绝对不含有主动传播行为的程序。其他恶意代码03常见恶意代码的工作机制恶意代码的加载方式01.随系统启动而加载开始菜单中的启动项启动组包括那些随着系统的启动而启动的应用程序。01.随系统启动而加载启动配置文件Autorun.batWin.iniSystem.ini过于明显用户登录后才能启动缺点恶意代码的加载方式HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\loadHKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\UserinitHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce……01.随系统启动而加载注册表加载位置Load键值Userinit键值RunRunServicesOnceRunServices隐蔽性强方式多样注册表启动项优势恶意代码的加载方式隐蔽性强无需用户登录权限较高01.随系统启动而加载服务单独服务替换系统服务程序加载方式优势恶意代码的加载方式01.随系统启动而加载组策略优势类似启动项，但隐蔽性更高缺点需要用户登录恶意代码的加载方式02.随文件执行加载方式感染/文件合并传统病毒宏病毒程序合并恶意代码的加载方式02.随文件执行加载方式隐蔽性强清理困难浏览器插件优势恶意代码的加载方式02.随文件执行加载方式修改文件关联正常情况下文本文件（.txt）关联到记事本notepad.exe打开病毒修改文本文件（.txt）关联到病毒文件打开优势隐蔽性强，可关联任意类型文件，甚至可以关联目录操作恶意代码的加载方式恶意代码的隐藏技术恶意代码进程隐藏技术-进程迷惑随机进程名每次启动生成不一样的进程名，退出后无法查找系统进程类命名Windows.exe、System1.exe、Kernel.exe随机进程名同名不同路径的进程C:\windows\system32\iexplore.exe(木马)C:\ProgramFiles\InternetExplorer\iexplore.exe(正常)名称相近的程序svchost.exe(正常)svch0st.exe(木马)恶意代码进程隐藏技术-DLL注入什么是DLL注入？动态链接库文件（DLL）注入技术是恶意代码将DLL文件放进某个进程的地址空间里，让它成为那个进程的一部分。DLL注入的优势无进程隐蔽性强清除难度大123恶意代码的隐藏技术icmphttp80恶意代码网络隐藏技术-端口复用/无端口端口复用技术重复利用系统网络打开的端口（如25、80、135和139等常用端口）传送数据，这样既可以欺骗防火墙，又可以少开新端口。端口复用是在保证端口默认服务正常工作的条件下用，具有很强的欺骗性。无端口使用无端口的协议客户机应用服务器恶意代码的隐藏技术端口反向连接技术，系指恶意代码攻击的服务端（被控制端）主动连接客户端（控制端）。恶意代码网络隐藏技术-反弹端口攻击者受害者攻击者受害者恶意代码的隐藏技术恶意代码隐藏技术-系统隐藏默认情况下，Windows不显示隐藏文件和系统文件，恶意代码将自身属性设置为隐藏和系统文件以实现隐藏。恶意代码的隐藏技术恶意代码隐藏技术-流文件ADS(AlternateDataStreams)交换数据流NTFS文件系统下，每个文件都可以有多个数据流。一个文件以流的形式附加到另一个文件（载体）中，流文件对explorer.exe等文件管理软件不可见，病毒可以利用此方式进行隐藏。恶意代码的隐藏技术恶意代码隐藏技术-流文件Hook（系统钩子）钩子机制允许应用程序截获处理window消息或特定事件。在目标窗口处理消息前处理它。设置系统钩子，勾取对文件及目录操作获得文件列表存放内存地址获取文件列表结果将病毒文件自身从列表结构中删除恶意代码的隐藏技术恶意代码的自我保护主程序被停止，重新启动主程序重新启动主进程从备份中还原恶意代码进程保护-进程守护恶意代码主程序实现恶意代码主功能守护程序监视并保护主进程正常运行阻止主程序的退出重启主程序从备份中还原主程序从网络中重新下载主程序恶意代码进程保护-设备驱动程序（超级权限）为什么是设备驱动程序？特点恶意代码通过将自身注册成为设备驱动，从而获得较高权限，阻止反病毒软件对它的查杀并干扰反恶意代码软件的正常运行。非常高的权限安全模式下可工作无法直接查杀……恶意代码的自我保护检测对抗技术-反动态调试动态调试的发现伪断点校验和发现调试检测运行环境，发现调试工具反动态调试的实现封锁键盘输入和屏幕显示中止调试软件恶意代码程序自动退出恶意代码的自我保护UPX加壳程序检测对抗技术-反静态调试反静态调试的实现加壳对恶意代码的可执行二进制程序进行压缩，使其执行流程发生变化。随着加密密钥的变化，恶意代码会产生不同的表现形式，进一步提高了其抗静态分析的能力。加密通过插入伪指令、混淆程序数据和控制流等方法，防止静态分析和检测。代码混淆恶意代码的自我保护04常见恶意代码的传播方式恶意代码的传播途径[AutoRun]OPEN=Autorun.exeICON=icon.ico恶意代码传播方式-移动存储自动播放功能Windows默认自动执行autorun.inf指定的文件设置组策略编辑器恶意代码传播方式-文件传播文件感染软件捆绑强制安装

在安装其他软件时被强制安装上默认安装

在安装其他软件是被默认安装上恶意代码的传播途径恶意代码传播方式-网页1将木马伪装为页面元素2利用脚本运行的漏洞3伪装为缺失的组件4通过脚本运行调用某些com组件5利用软件漏洞例如：在渲染页面内容的过程中利用格式溢出释放或下载木马恶意代码的传播途径恶意代码传播方式-邮