惡性代碼理解及趨勢

1、SecurityE-ResponseCenter 2005-02-21惡性代碼(di m)的理解與趨勢共五十八頁目錄(ml)惡性代碼的定義(dngy)及種類惡性代碼現(xiàn)況惡性代碼預(yù)防與對應(yīng)可疑樣本收集方法2共五十八頁惡性( xng)代碼的定義及種類3共五十八頁計(jì)算機(jī)惡性( xng)代碼的定義定義(dngy)給他人心理上和實(shí)際上受危害的計(jì)算機(jī)程序或可以運(yùn)行的部分.趨勢偷偷地在其它位置上復(fù)制(COPY)自身的程序,統(tǒng)稱為惡性代碼趨勢4共五十八頁是計(jì)算機(jī)病毒 ? 還是惡性( xng)代碼 ?惡性( xng)代碼的比較自我復(fù)制感染對象存在形式復(fù)原方法計(jì)算機(jī)病毒OO需要宿住對象治療特洛伊木馬XX獨(dú)立刪除蠕

2、蟲OX獨(dú)立刪除蠕蟲和病毒是根據(jù)有沒有住宿環(huán)境區(qū)分5共五十八頁惡性代碼(di m)的種類計(jì)算機(jī)病毒(Computer Virus)文件病毒 : 大部分是Window上用的文件病毒Boot/文件病毒 : 幾乎滅絕Macro/腳本(jiobn)病毒容易制作和變形比文件病毒傳播速度快6共五十八頁惡性( xng)代碼的種類特洛伊木馬(Trojan horse) 程序沒有自我復(fù)制能力的惡性代碼泄漏特定(tdng)信息(鍵盤輸入信息), 不經(jīng)過允許的PC遠(yuǎn)程控制7共五十八頁惡性代碼(di m)的種類蠕蟲(Worm) 程序(chngx)通過電子郵件/網(wǎng)絡(luò)復(fù)制自己的惡性代碼通過電子郵件的附件文件形式擴(kuò)散 利用安

3、全漏洞的蠕蟲增多8共五十八頁惡性代碼的感染(gnrn)途徑 過去軟驅(qū)通過計(jì)算機(jī)通信系統(tǒng)下載已經(jīng)感染的文件通過網(wǎng)絡(luò)(ftp, http, 新聞集團(tuán)等)下載已經(jīng)感染的文件主要文件名 : 成人資料,Crack, 外掛,密碼,正版.現(xiàn)在安全漏洞(OS, Program, 人)通過電子郵件的附件文件，急速擴(kuò)散盲目共享文件夾 通過Intranet,文件服務(wù)器共享文件CD-ROM, 在線聊天, P2P9共五十八頁感染(gnrn)惡性代碼的途徑安全漏洞MS Explorer, MS Office, Outlook等.感染文件自動(dòng)(zdng)運(yùn)行，自動(dòng)(zdng)持續(xù)擴(kuò)散陸續(xù)發(fā)現(xiàn)的新安全漏洞共享文件夾電子郵件的

4、附件10共五十八頁可能(knng)有害程序Spyware: 獲取用戶的個(gè)人信息如 IP 地址，用戶名，密碼(m m)Key logger : 保存用戶Key輸入(存在個(gè)人信息泄漏的可能性)Adware : 廣告軟件統(tǒng)計(jì)并適時(shí)打開特定窗口固定特定網(wǎng)頁11共五十八頁安博士研究所的政策(zhngc)可能有害的程序(chngx)不是惡性代碼診斷可能有害的程序AdwareKeyloggerHacking tool遠(yuǎn)程控制工具12共五十八頁惡性代碼(di m)現(xiàn)況13共五十八頁惡性代碼(di m)現(xiàn)況 按階段的特點(diǎn)* 一般惡性( xng)代碼的 life cycle出現(xiàn)急速擴(kuò)散 初期 擴(kuò)散急速減少殘存消滅

5、特點(diǎn)急速擴(kuò)散后急速減少不能形成自行減少趨勢(有的惡性代碼消滅其他惡性代碼-競爭)急速擴(kuò)散后急速減少的現(xiàn)象是殺毒軟件升級或采取了安全措施的結(jié)果14共五十八頁時(shí)間(shjin)擴(kuò)散(kusn)規(guī)模出現(xiàn)早期擴(kuò)散擴(kuò)散 = 出現(xiàn)感染急速減少殘存消滅安全產(chǎn)品 / 殺毒軟件升級 發(fā)布最新引擎早期截?cái)?從這里開始處于相對安全狀態(tài)07:00上午07:1010:00上午07:05惡性代碼現(xiàn)況15共五十八頁生成 病毒制作者制作完新病毒的起始點(diǎn)擴(kuò)散初期 病毒制作者初期發(fā)布的地區(qū)為中心擴(kuò)散的階段 只有殺毒軟件廠商等部分群組可探測到的階段 期待具有最大截?cái)嘈Ч碾A段急速擴(kuò)散 通過郵件急速擴(kuò)散的階段 一般用戶直接受到損害的

6、階段 引發(fā)最大損害的階段急速減少 擴(kuò)散程度急速下降的階段 殺毒軟件廠商發(fā)布的緊急制作的最新引擎是其主要原因殘存 再次被感染或部分沒有安裝殺毒軟件的系統(tǒng)中殘留著病毒的階段 沒有在所有的系統(tǒng)中升級到最新引擎而發(fā)生的問題消滅 基本不能發(fā)現(xiàn)病毒活動(dòng)的階段 像是被消滅，但是在特定的日期發(fā)作的病毒的情況，也有潛伏的情況惡性代碼(di m)現(xiàn)況 - LifeCycle階段特點(diǎn)16共五十八頁 攻擊者只需知道一個(gè)(y )漏洞. 防御者必須做好一切防御. 攻擊者隨時(shí)可以攻擊.1. 攻擊者 vs. 防御者3. 安全(nqun) vs. 使用便利性 安全解決方案 / 系統(tǒng)的使用并非簡單. 很難記住復(fù)雜而強(qiáng)力的密碼.

7、用戶喜歡簡單 / 單純的密碼.我也需要安全措施嗎?2. 相對較晚的安全措施 認(rèn)為商業(yè)上講安全措施是非重要的事情. 對于防御者來講在時(shí)間和費(fèi)用上受到限制.惡性代碼現(xiàn)況17共五十八頁惡性( xng)代碼現(xiàn)況* 對應(yīng)惡性代碼困難的理由 1) 具有多樣(du yn)的擴(kuò)散路徑18共五十八頁惡性( xng)代碼現(xiàn)況繁多的安全漏洞 vs. (相對) 較晚的對應(yīng)速度(sd)對于多樣的安全漏洞的對應(yīng)及收集信息很困難管理安全補(bǔ)丁困難對于對應(yīng)相應(yīng)漏洞而打補(bǔ)丁的意識晚 + 沒有關(guān)心惡性代碼出現(xiàn)變種時(shí)間短于用戶提高相應(yīng)認(rèn)識時(shí)間多樣的擴(kuò)散路徑電子郵件, 安全漏洞, 內(nèi)網(wǎng)共享文件夾, 應(yīng)用軟件, P2P, Messeng

8、er.事先100%截?cái)嗪芾щy - 需要使損失降到最小的對應(yīng)方案惡性代碼的種類增多Phishing, Keylogger, Adware, Spyware, 各種可能有害程序.殺毒軟件(安全)廠商的基本對應(yīng)時(shí)間* 對應(yīng)惡性代碼困難的理由 1) 19共五十八頁客戶端信息安全事故(shg)模式損壞(snhui)軟盤, 印刷品, CDRW盜竊及丟失重要計(jì)算機(jī)和硬盤信息由于惡性代碼損失數(shù)據(jù)惡用個(gè)人信息, 對外泄漏密碼 - 威脅電子商務(wù) - 降低信譽(yù)，敲詐電子貨幣(Cyber money)業(yè)務(wù)效率降低發(fā)送多量電子郵件20共五十八頁惡性( xng)代碼現(xiàn)況 2003年 vs. 2004年2003 2004

9、21共五十八頁惡性代碼(di m)現(xiàn)況 2004年特點(diǎn)病毒名稱舉報(bào)數(shù)1Win32/Netsky.worm.2956819,708 2Win32/Dumaru.Worm.923411,074 3Win32/Netsky.Worm.174246,571 4Win32/Netsky.Worm.28008 2,805 5Win32/Netsky.Worm.22016 2,723 變種急增基于IRCBot的變種登場蠕蟲急增 / 病毒急速減少惡用共享文件夾, P2P軟件的安全弱點(diǎn)使安全產(chǎn)品喪失功能大量發(fā)送電子郵件 / 誘發(fā)網(wǎng)絡(luò)負(fù)荷惡用OS及應(yīng)用程序的漏洞增加難以診斷(zhndun) / 治療的種類對于MS

10、的持續(xù)攻擊增加因廣告軟件 / 間諜軟件 / Spam的直接/間接的損害22共五十八頁惡性代碼現(xiàn)況(xin kun) 變種急增Agobot 感染(gnrn) PCInternetIRC ServerBot Command Send(DDoS, SyncFlooding, .)攻擊對象 PC(存在RPC漏洞)(存在脆弱的Password)TCP/135, 445 Port AttackIRC Connection(TCP/66676670, 7000,8000)TCP/135, 445 port AttackTCP/135, 445 Port AttackDestination IP Addres

11、s Rules: Local_IP or Random C-class.125523共五十八頁惡性代碼現(xiàn)況(xin kun) 變種急增特點(diǎn) 攻擊管理目的的共享文件夾IPC$攻擊RPC DCOM / DCOM2 / WebDAV 漏洞連接特定 IRC 服務(wù)器后執(zhí)行BOT管理者的命令(Trojan Horse + Backdoor + DDoS 攻擊 + SyncFlooding Attack.)強(qiáng)制結(jié)束特定程序(chngx) (regedit.exe, taskmgr.exe 等)防止特定安全產(chǎn)品的運(yùn)行 / 喪失預(yù)防功能 / 刪除妨礙安全產(chǎn)品的升級 (截?cái)嗌塈P)泄漏特定 S/W (FIFA,

12、 Warcraft, ) CD Key引發(fā)網(wǎng)絡(luò)過多流量 / 網(wǎng)絡(luò)癱瘓(被降低/停止正常業(yè)務(wù))因內(nèi)部代碼的Bug引發(fā)不可預(yù)料的癥狀(CPU 100%, 60秒后系統(tǒng)重啟Lsass.exe)到完全防御需要很長時(shí)間24共五十八頁惡性代碼現(xiàn)況(xin kun) 變種急增主要傳播對象存在(cnzi)脆弱密碼的系統(tǒng)沒有設(shè)置MS安全補(bǔ)丁存在應(yīng)用程序漏洞的系統(tǒng) (遠(yuǎn)程控制 / 管理工具, ftp 工具 .)25共五十八頁惡性代碼現(xiàn)況(xin kun) 變種急增惡性 IRCBot 變種急增的原因制作者間的組織活動(dòng)(hu dng)相互競爭,共享源代碼 / 技術(shù)利用自行解壓方法，制作變種更加簡單一般用戶對使用管理系

13、統(tǒng)的知識不足設(shè)置脆弱的密碼及未打補(bǔ)丁26共五十八頁惡性代碼(di m)現(xiàn)況 隱蔽型增加難于診斷 / 治療(zhlio)的惡性代碼LoveGate.worm, Korgo.worm, AgoBot.worm (Soundman.exe)只存在內(nèi)存中以Remote Thread形態(tài)寄生 (Explorer.exe / Korgo.worm)Kernel Mode Backdoor利用Kernel Driver 掛接 Native API Hooking附加在網(wǎng)頁瀏覽器 (BHO 形態(tài) : Browser Helper Object)使用Stealth方法掛接多樣的Win32 API來隱藏自己Ago

14、bot.worm (Soundman.exe)27共五十八頁對惡性代碼的舉報(bào)數(shù)仍持續(xù)增加腳本病毒逐漸消失 (15% 1% 以下)文件病毒逐漸減少 (30% 5%)蠕蟲的迅速增加 (55% 95%)利用(lyng)MS漏洞傳播的蠕蟲開發(fā)形成競爭2004年Windows 文件(wnjin)5%蠕蟲(漏洞)25%蠕蟲(Mail)70%蠕蟲55%Windows 文件30%腳本15%2003年28,22071,661100,539-20,00040,00060,00080,000100,000120,0002002年2003年2004年2.5倍1.4倍按年度 Top 20 惡性代碼 類別狀況按年度總舉報(bào)

15、數(shù)(資料出處 : 安博士公司 ASEC Annual Report 2004)惡性代碼現(xiàn)況 - 趨勢28共五十八頁惡性代碼(di m)現(xiàn)況 廣告軟件 / 間諜軟件特點(diǎn)2004年以后被侵害事例增多出現(xiàn)預(yù)想不到的現(xiàn)象固定初始地址自動(dòng)在桌面生成(shn chn)ICON根據(jù)搜索單詞連接到特定網(wǎng)站頻繁出現(xiàn)瀏覽器錯(cuò)誤連接到黃色網(wǎng)站，談出廣告窗口系統(tǒng)速度變緩慢29共五十八頁惡性代碼現(xiàn)況(xin kun) 廣告軟件 / 間諜軟件問題難以區(qū)分計(jì)算機(jī)病毒和可能有害程序出現(xiàn)廣告軟件, 鍵盤記錄, 間諜軟件殺毒軟件廠商(chngshng)所定義的惡性代碼有趣別難定診斷標(biāo)準(zhǔn)及危險(xiǎn)度 治療刪除文件，刪除注冊表值難以根除

16、治療后再次發(fā)生被感染及造成系統(tǒng)不穩(wěn)定30共五十八頁惡性代碼現(xiàn)況 對MS公司(n s)的持續(xù)攻擊共享/攻擊 MS的漏洞windows 95出來后 對系統(tǒng)漏洞攻擊成強(qiáng)化趨勢Word/Excel Macro Virus利用outlook的郵件病毒各種應(yīng)用軟件和網(wǎng)頁瀏覽器的漏洞喪失windows XP SP2的安全功能(gngnng)Win32/Bag.worm Family : 關(guān)閉SP2防火墻Win32/Zafi.worm 15993 : 修改注冊表值, 使得關(guān)閉SP2的防火墻和安全中心功能31共五十八頁惡性( xng)代碼預(yù)防及對應(yīng)32共五十八頁迅速(xn s)對應(yīng)惡性代碼(di m)預(yù)防及對應(yīng)

17、1. 確認(rèn) 癥狀, 規(guī)模, 擴(kuò)散與否2. 確保證據(jù) 電子郵件, 文件, 系統(tǒng)4. 緊急措施 內(nèi)部警告, 截?cái)喽丝?過濾郵件, 隔離系統(tǒng)3. 依賴分析33共五十八頁惡性代碼(di m)預(yù)防及對應(yīng) 緊急對應(yīng)殺毒軟件對應(yīng)前的對應(yīng)確認(rèn)實(shí)際被害/擴(kuò)散與否確認(rèn)是否出現(xiàn)同樣現(xiàn)象確認(rèn)是否通過特定端口傳輸?shù)木W(wǎng)絡(luò)流量139, 445 數(shù)據(jù)包增加確認(rèn)是否接受大量電子郵件 (帶有附件)被感染文件及依賴分析確認(rèn)可疑(ky)PC/ 文件確認(rèn)是否運(yùn)行非正常進(jìn)程/服務(wù)首先利用windows自帶工具利用個(gè)別工具確認(rèn)跟注冊表有關(guān)的部分 (利用各種工具及Ahnreport)34共五十八頁惡性代碼預(yù)防(yfng)及對應(yīng) 緊急對應(yīng)利用

18、殺毒軟件客服 = 緊急對應(yīng)SMS, 電子郵件, 電話(dinhu).新型, 變種, 可疑文件的分析Support停止/截?cái)嗤Ｖ故褂帽徽J(rèn)為可疑程序截?cái)?過濾特定端口 (IDS, IPS)截?cái)啾徽J(rèn)為可疑端口 (in, out)過濾題目，附件來防止擴(kuò)散解決內(nèi)部漏洞安全補(bǔ)丁安全通知緊急升級及檢查35共五十八頁惡性代碼預(yù)防(yfng)及對應(yīng) 確認(rèn)windows基本服務(wù)管理windows console程序, 生成/關(guān)閉線程, 支持16bit 虛擬(xn) MS-DOS 模式支持任務(wù)欄, 桌面等user shell 擔(dān)任Winlogon服務(wù)必要的認(rèn)證進(jìn)程打印機(jī), Spooling功能擔(dān)任從DLL運(yùn)行的另外

19、進(jìn)程的 host 功能開始/停止 系統(tǒng)服務(wù)Csrss.exeExplorer.exeLsass.exeSpoolsv.exeSvchost.exeServices.exe參考: Microsoft 技術(shù)資料 - Q263201(確認(rèn)非正常進(jìn)程)假裝正常進(jìn)程的惡性代碼正在增加，所以必須弄清正常的系統(tǒng)進(jìn)程* 其他注意事項(xiàng)V3 系統(tǒng)監(jiān)視MonSvcNT.exe36共五十八頁惡性代碼(di m)預(yù)防及對應(yīng) AhnreportAhnReport安博士公司發(fā)布的專用工具V3 產(chǎn)品安裝內(nèi)容 / 引擎版本Boot.ini, Win.ini, System.ini 等確認(rèn)運(yùn)行中的進(jìn)程, 安裝的軟件(run ji

20、n)信息, 網(wǎng)絡(luò)狀態(tài), 開始程序, 下載的 Active-X 下載地址/download/files/AhnReport.exe37共五十八頁惡性代碼預(yù)防(yfng)及對應(yīng) Ahnreport38共五十八頁惡性代碼預(yù)防(yfng)及對應(yīng) MS 網(wǎng)站安全漏洞主要 Microsoft 產(chǎn)品(OS, IE, O/OE, MS-Office, MS-SQL 等)按特定周期訪問windows update網(wǎng)站(wn zhn)打最新OS, Office補(bǔ)丁 39共五十八頁惡性代碼預(yù)防及對應(yīng)(duyng) MS 網(wǎng)站確認(rèn)安全漏洞 (MBSA - Microsoft Baseline Security Ana

21、lyzer)Microsoft 產(chǎn)品漏洞(ludng)掃描工具/korea/technet/security/tools/Tools/MBSAhome.asp40共五十八頁Windows 漏洞(ludng) 攻擊漏洞端口VulnerabilityAttack PortsRPC Locator Vulnerability (MS03-001)TCP/135WebDAV Vulnerability (MS03-013)TCP/80PRC DCOM Vulnerability (MS03-026)TCP/135, 445RPCSS (RPC DCOM2) Vulnerability (MS03-03

22、9)TCP/135UPnP Vulnerability (MS01-059)TCP/5000LSASS Vulnerability (MS04-011)TCP/445Shared Folder and Week-Password VulnerabilityTCP/139, 445WorkStation Service Vulnerability (MS04-012)TCP/80, 445Messenger Service Vulnerability (MS03-043)SQL Server 2000 / MSDE Vulnerability (MS02-061)UDP/143441共五十八頁惡

23、性代碼(di m)預(yù)防及對應(yīng)Microsoft MBSA (Microsoft Baseline Security Analyzer) 1.2 /korea/technet/security/tools/Tools/MBSAhome.asp/technet/security/tools/mbsahome.mspxXscan 1.3 Weak Password Scanner公開漏洞(ludng)源文件的網(wǎng)站, , , , 42共五十八頁惡性代碼預(yù)防(yfng)及對應(yīng)確認(rèn)異常的進(jìn)程和注冊表值/惡性代碼經(jīng)常添加的注冊表項(xiàng)HKLMSoftwareMicrosoftWindowsCurrentVers

24、ionRunServicesOnce(9x, Me)HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices(9x, Me)HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceHKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx存在相同(xin tn)進(jìn)程路徑!HKLMSoftwareMicrosoftWindowsCurrentVersionRunHKCUSoftwareMicrosoftWindowsCurrentVersionRunHKCUSo

25、ftwareMicrosoftWindowsCurrentVersionRunOnceHKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon Userinit(NT, 2000)HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon Shell(NT, 2000)43共五十八頁惡性( xng)代碼預(yù)防及對應(yīng)廣告(gunggo)軟件經(jīng)常改變的注冊表值HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain Start Page=HKEY_LOC

26、AL_MACHINESoftwareMicrosoftInternet ExplorerMain Start Page=HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain Search Page=HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain Search Bar=HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer SearchURL=HKEY_CURRENT_USERSoftwareMicrosoftInternet

27、ExplorerSearch CustomizeSearch=HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearch SearchAssistant=HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain Search Page=HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain Search Bar=HKEY_LOCAL_MACHINESoftwareMicrosoftInternet Explorer Searc

28、hURL=HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch CustomizeSearch=HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch SearchAssistant=HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain Default_Page_URL=HKEY_CURRENT_USERSoftwareMicrosoftInternet ExploreMain Start Page=44共五十

29、八頁惡性代碼對應(yīng)(duyng)方法 處理向?qū)ёR別惡性代碼的方法 使用AhnReport確認(rèn) 運(yùn)行中的確認(rèn)System32下的進(jìn)程沒有Version信息的文件(wnjin)確認(rèn)開始程序沒有路經(jīng)的文件重復(fù)運(yùn)行2次以上的進(jìn)程確認(rèn)網(wǎng)絡(luò)狀態(tài)Windows XP以上按Port 確認(rèn) Process45共五十八頁惡性( xng)代碼對應(yīng)方法 處理向?qū)ёR別惡性代碼的方法 Dos模式下Worm 文件的特點(diǎn)位于(wiy)System32下, 屬性為Hidden一般文件大小小于150KB搜索方法運(yùn)行DOS Prompt - 進(jìn)到System32運(yùn)行dir *.exe /od/a 確認(rèn)最近10日內(nèi)生成或改變的文件變更

30、可疑文件的擴(kuò)展名并重啟 - 確認(rèn)癥狀是否恢復(fù)正常46共五十八頁識別惡性( xng)代碼的方法識別(shbi)惡性代碼的方法 利用其他ToolsTCPViewer /支持Windows 9x/NT/2000/XP/2003F-Port (Command MODE)AutoRuns/ProcessExplorer/psToolsAutoRuns: 開始程序Process Explorer: 運(yùn)行中的進(jìn)程, 顯示DLL, 強(qiáng)制結(jié)束psTools: psexec, pskill, pslist等遠(yuǎn)程工具下載地址(freeware) - Utilities47共五十八頁惡性( xng)代碼預(yù)防及對應(yīng) T

31、CP View48共五十八頁惡性代碼預(yù)防(yfng)及對應(yīng) Procexp49共五十八頁惡性代碼(di m)預(yù)防及對應(yīng) Autoruns50共五十八頁惡性代碼(di m)對應(yīng)方法 手動(dòng)處理向?qū)謩?dòng)處理向?qū)謩?dòng)處理原理Worm/Trojan刪除等于治療!Worm/Trojan 結(jié)束進(jìn)程等與解決利用不能生成(shn chn)相同文件的原理手動(dòng)處理對象Windows 2000/XP/2003只限于Worm/Trojan (Virus例外)受限制事項(xiàng)不支持Windows 9XWorm/Trojan的碎文件/注冊表值51共五十八頁惡性( xng)代碼對應(yīng)方法 手動(dòng)處理向?qū)MD 處理(chl)方法順序 強(qiáng)制結(jié)束Worm/Trojan結(jié)束變更Worm/Tro