网络攻击与防护 课件 4-恶意代码攻防技术

恶意代码攻防技术前言恶意代码(maliciouscode)又称为恶意软件(malicioussoftware，Malware)，是能够在计算机系统中进行非授权操作的代码，使系统按照攻击者意愿执行任务的一组指令，在未被授权的情况下，以破环软硬设置、窃取用户信息、干扰用户正常使用为目的而编制的软件或代码片段。2017年5月12日，全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码WannaCry，该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑大量文件被加密。五个小时内，包括英国、俄罗斯、整个欧洲以及我国大量行业企业内网遭受大规模感染。企业、医疗、电力、能源、银行、交通等多个行业均受到不同程度的影响，对重要数据造成严重损失。恶意代码概述恶意代码分析木马勒索病毒脚本病毒恶意代码定义恶意代码(maliciouscode)又称为恶意软件(malicioussoftware，Malware)，是能够在计算机系统中进行非授权操作的代码，使系统按照攻击者意愿执行任务的一组指令，在未被授权的情况下，以破环软硬设置、窃取用户信息、干扰用户正常使用为目的而编制的软件或代码片段。通常把未经授权便干扰或破坏计算机系统/网络功能的程序或代码（一组指令）称之为恶意程序，一般包括：二进制文件、脚本语言或宏语言等。恶意代码的发展趋势种类越来越模糊不清传播采用多种模式或者利用多个漏洞多平台、多应用软件服务端和客户端都遭受攻击，利用客户端软件传播的恶意代码越来越多目的性、功利性更为突出攻击者越来越小心、恶意代码隐蔽性越来越强新的应用衍生出新的恶意代码，针对手机、新型网络应用的恶意代码越来越多恶意代码分类按照恶意代码工作机制分类分类蠕虫病毒后门木马有害工具流氓软件风险程序其他恶意代码分类根据依附性和传染性来分类：1、不感染的依附性恶意代码

逻辑炸弹、后门2、不感染的独立型恶意代码

特洛伊木马、rootkit后门3、可感染的依附性恶意代码 CIH、DIR24、可感染的独立型恶意代码

蠕虫病毒病毒的传播方式病毒的危害病毒激发对计算机数据信息的直接破坏作用占用磁盘空间和对信息的破坏抢占系统资源影响计算机运行速度计算机病毒的兼容性对系统运行的影响计算机病毒给用户造成严重的心理压力蠕虫的传播方式电子邮件系统漏洞Web浏览即时通信文件传播恶意代码概述恶意代码分析木马勒索病毒脚本病毒什么是静态分析恶意代码静态分析静态分析及对程序代码的分析，首先使用反汇编工具将程序由机器代码转换为汇编代码，然后根据汇编代码提取更高级的操作行为，将恶意代码转换为中间语言或者更有意义的表现形式，然后对恶意代码的执行流程、代码特征等进行分析。静态反汇编主要工具：objdump\IDApro\w32dasm静态分析主要分为两个方向，一个是静态常规信息分析，另一个是静态代码分析。静态分析-常规分析文件名分析：程序形态特性：文件位置特性：文件版本特性：文件长度特性：文件时间特性：数字签名：静态分析-代码分析格式分析：PE信息：API查看：字符串信息：资源信息：静态分析-格式分析分析样本文件类型：文本文件，PE文件，脚本文件等。是否加壳，通常我们如果对未脱壳前的样本无法确认它的编写语言的话，那么我们就可以认为此样本是一个加壳过的程序，然后可以开始对程序进行查壳，确定程序的加壳类型，如果无法查出壳类型，则我们可以认为它加的是一个未知壳。常用工具有peid查壳。是否有附加数据，可以通过PE文件的区段来确定是否有附加进去的数据。Stud_PE查看区段，Uedit32查看原始文件信息等。获取该样本的编写语言。静态分析-PE信息静态分析-API查看API操作特性API数量特性查看导入/导出表通过反汇编工具对静态的PE文件进行反汇编列出部分恶意代码常用API常用静态分析工具C32ASM静态反汇编工具W32dsm静态反汇编工具IDA静态反汇编工具其它常用工具恶意代码动态分析动态分析：动态分析即在运行程序的同时，观察其状态和执行流程的变化，获得执行的各种数据，进而对其进行分析。动态分析主要工具包括：调试工具和系统监视工具。恶意代码动态分析恶意代码动态分析步骤恶意代码动态分析工具恶意代码动态分析步骤格式分析

编写语言？

加密？

附加数据？查壳脱壳动态分析恶意代码

字符参考

调用参考恶意代码动态分析步骤动态分析法API使用文件读写

新增？

删除？

改动？注册表读写

新增？

删除？

改动？内核调用恶意代码动态分析工具PEIDStud_PEOLLYDBG恶意代码分析处置流程对恶意代码文件进行“文件细化”处置。

加密压缩文件

包裹文件

嵌入/捆绑文件

其它类可细化文件恶意代码分析处置流程综合分析结论

本地行为

网络行为

传播方式

运行位置

感染方式

其它结果等恶意代码分析处置流程得出最终分析报告与恶意代码的解决方案。

特征码提取方式

手动清除方式

使用工具等恶意代码分析处置流程文件细化描述：加密压缩文件 －＞解压/解密包裹文件 －＞解压/安装嵌入/捆绑文件－＞提取其它类可细化文件－＞对应分析恶意代码分析处置流程文件细化恶意代码概述恶意代码分析木马勒索病毒脚本病毒木马的定义木马是指具有特殊功能的恶意代码，包含破坏文件、发送密码、记录键盘等特殊功能的后门程序。木马程序是一种客户机服务器程序，典型结构为客户端/服务器（Client/Server，C/S）模式，服务器端程序在运行时，攻击者可以使用对应的客户端直接控制目标主机。木马攻击原理木马程序是一种客户机服务器程序，典型结构为客户端/服务器（Client/Server，C/S）模式，服务器端程序在运行时，攻击者可以使用对应的客户端直接控制目标主机。木马程序的服务器端程序是需要植入到目标主机的部分，植入目标主机后作为响应程序。客户端程序是用来控制目标主机的部分，安装在控制者的计算机上，它的作用是连接木马服务器端程序，监视或控制远程计算机。木马的分类(1) 远程控制型木马(2)

密码发送型木马(3)

键盘记录型木马(4)

破坏型木马(5)

代理型木马(6)

FTP木马(7)

反弹端口型木马木马的传播方式漏洞传播系统漏洞；浏览器漏洞(网页木马)；其他应用软件漏洞（PDF、DOCetc）伪装传播捆绑；伪装成图片、文本等；合法软件社会工程电子邮件、论坛、SNS聊天软件木马的危害监视用户的操作

—包括：用户主机的进程、服务、桌面，键盘操作、摄像头等等窃取用户隐私

—包括：浏览的网页，聊天记录，输入的银行帐户密码，游戏帐户密码，窃取用户敏感文件让用户主机执行任意指令

—使用户主机沦为傀儡主机，接受并执行控制主机的指令你能做到的木马都有可能做到木马隐蔽技术隐藏通常包括本地隐藏和通信隐藏

其中本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、编译器隐藏等

通信隐藏主要包括通信内容隐藏和传输通道隐藏。RootKit技术

本地隐藏，就是rookit技术

恶意代码的隐藏或多或少都与RootKit技术相关木马隐蔽技术-本地隐蔽技术本地隐蔽是指为了防止本地系统管理人员觉察而采取的隐蔽手段。本地系统管理人员通常使用“查看进程列表”，“查看目录”，“查看内核模块”，“查看系统网络连接状态”等管理命令来检测系统是否被植入了恶意代码。

进程隐蔽

网络隐蔽

系统隐蔽木马隐蔽技术-本地隐蔽技术进程隐藏

进程迷惑：同名不同路径的进程，相似名称。Svc0host.exe DLL注入网络隐藏

端口复用

反弹端口系统隐藏

设置为隐藏系统文件

流文件木马隐蔽技术-网络隐蔽技术使用加密算法对所传输的内容进行加密能够隐蔽通信内容。隐蔽通信内容虽然可以保护通信内容，但无法隐蔽通信状态，因此传输信道的隐蔽也具有重要的意义。对传输信道的隐蔽主要采用隐蔽通道技术。隐蔽通道分为两种类型：（1）存储隐蔽通道存储隐蔽通道是一个进程能够直接或间接访问某存储空间，而该存储空间又能够被另一个进程所访问，这两个进程之间所形成的通道称之为存储隐蔽通道。（2）时间隐蔽通道时间隐蔽通道是一个进程对系统性能产生的影响可以被另外一个进程观察到并且可以利用一个时间基准进行测量，这样形成的信息传递通道称为时间隐蔽通道。木马隐蔽技术-RooTkit技术Rootkit通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的，Rootkit也可视为一项技术Windows平台上最早发现于1999 (NTRootkit,Hoglund):

不同于病毒

非破坏性的信息收集工具通常运行在核心(更易隐藏)

通常被黑客手工安装

确保能再次进入系统

隐蔽地捕获密码，键击等木马攻击技术常见的攻击技术包括：（1）进程注入技术（2）三线程技术（3）端口复用技术（4）超级管理技术（5）端口反向连接技术（6）拒绝服务攻击技术木马进程注入技术当前操作系统中都有系统服务和网络服务，它们都在系统启动时自动加载。进程注入技术就是将这些与服务相关的可执行代码作为载体，恶意代码程序将自身嵌入到这些可执行代码之中，实现自身隐藏和启动的目的。比如恶意代码“WinEggDropShell”可以注入Windows下的大部分服务程序。木马三线程技术三线程技术就是指一个恶意代码进程同时开启了三个线程，其中一个为主线程，负责远程控制的工作。另外两个辅助线程是监视线程和守护线程，监视线程负责检查恶意代码程序是否被删除或被停止自启动。守护线程注入其它可执行文件内，与恶意代码进程同步，一旦进程被停止，它就会重新启动该进程，并向主线程提供必要的数据，这样就能保证恶意代码运行的可持续性。木马端口复用技术端口复用技术，系指重复利用系统网络打开的端口（如25、80、135和139等常用端口）传送数据，这样既可以欺骗防火墙，又可以少开新端口。端口复用是在保证端口默认服务正常工作的条件下复用，具有很强的欺骗性。超级管理技术为了对抗反恶意代码软件，恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击，使反恶意代码软件无法正常运行。“广外女生”是一个国产的特洛伊木马，它采用超级管理技术对“金山毒霸”和“天网防火墙”进行拒绝服务攻击。端口反向连接技术端口反向连接技术，系指恶意代码攻击的服务端（被控制端）主动连接客户端（控制端）。国外的“Boinet”是最先实现这项技术的木马程序，它可以通过ICO、IRC、HTTP和反向主动连接这4种方式联系客户端。国内最早实现端口反向连接技术的恶意代码是“网络神偷”。“灰鸽子”则是这项技术的集大成者，它内置FTP、域名、服务端主动连接这3种服务端在线通知功能。木马查杀木马查杀的方法：(1) 查看开放端口(2) 查看系统配置文件(3) 查看启动程序(4) 查看系统进程(5) 检查注册表(6) 恢复win.ini和system.ini系统配置(7) 停止可疑进程(8)修改注册表木马防护(1) 不打开来历不明的邮件(2) 不执行来历不明的软件(3) 修补漏洞和关闭可疑的端口(4) 规避共享文件夹(5) 运行实时监控程序冰河木马攻击实践1、木马服务端冰河木马攻击实践2、木马服务端上线冰河木马攻击实践3、文件管理器冰河木马攻击实践4、命令控制台恶意代码概述恶意代码分析木马勒索病毒脚本病毒勒索病毒简介

2017年5月12日，WannaCry勒索病毒通过CVE-2017-0143漏洞在全球范围传播，受到该病毒感染的磁盘文件资料都无法正常打开，只有支付价值相当于300美元的比特币才可解锁。2017年后连续爆发了大量勒索病毒，以2019年为例，就发生了多次攻击案例。2019年3月，挪威全球最大铝制品生产商之一NorskHydro遭遇勒索软件LockerGoga攻击，导致公司全球网络宕机，影响所有的生产系统以及办事处运营，最终导致公司被迫关闭多条自动化生产线。2019年5月，中国某网约车平台遭勒索软件定向打击，服务器核心数据惨遭加密，被攻击者索要巨额比特币赎金。2019年6月，全球最大飞机零件供应商ASCO，在比利时的工厂遭遇勒索病毒攻击，导致生产环境系统瘫痪，大约1000名工人停工，在德国、加拿大和美国的工厂也被迫停工。2019年10月，全球知名航运和电子商务巨头PitneyBowes遭受勒索软件攻击，攻击者加密公司系统数据，破坏其在线服务系统，导致公司超九成财富全球500强合作企业受波及。勒索病毒发展阶段勒索病毒的发展大致可以分为三个阶段。(1) 萌芽期1989年，世界上第一个以勒索目的的病毒AIDStrojan出现，这被看作是勒索病毒时代开端。(2) 成型期自2013年开始，CryptoLocker，CTBLocker等病毒的出现，标志着勒索病毒发展已经成(3)产业化自2016年开始，勒索病毒开始借助一些系统的零日漏洞主动发起网络攻击。(4) 多样化自2018年开始，常规的勒索木马技术日益成熟。病毒的攻击目标也已经从最初的大面积撒网无差别攻击，转向精准攻击高价值目标。勒索病毒攻击特征(1) 针对企业用户定向攻击(2) 以远程桌面协议爆破为主(3) 更多使用漏洞攻击(4) 入侵企业内网后横向渗透勒索病毒防护1.事前防护

提高安全防护意识。

计算机安装专业终端安全管理软件、杀毒软件等。2.事中应急

第一时间采用断网、断电措施3.事后处理

下载针对性专杀解密工具，做好数据备份。勒索病毒攻击实践勒索病毒勒索病毒攻击实践文档被加密后正文恶意代码概述恶意代码分析木马勒索病毒脚本病毒脚本病毒简介脚本病毒的介绍：脚本病毒是采用脚本语言设计的程序代码。脚本病毒主要采用脚本语言包括VBScript、JavaScript、PHP等。脚本病毒会利用文件系统对象，扫描系统中的文件，对规定的文件进行替换，拷贝文件到指定目录，修改注册表中键值，使得病毒代码能自启动。脚本病毒的特性是使用脚本语言编写，通过网页进行的传播的病毒，常见脚本文件后缀包括.VBS、.V