現代密碼學理論與實踐第19章惡意軟件

1、現代密碼學理論與實踐第19章 惡意軟件Fourth Edition by William StallingsSlides by 楊壽保syanghttp:/syang2012年12月2022/8/281/41現代密碼學理論與實踐-19：惡意軟件本章要點惡意軟件是指為了惡意的目的而蓄意植入系統的軟件病毒是指通過修改其他程序而達到“感染”目的的軟件，這種更改包括復制一個能夠繼續(xù)感染其他程序的病毒程序。蠕蟲是指通過復制自身，并將副本通過網絡傳到其他計算機上的程序。當傳到其他計算機上，它又開始重復做同樣的事情，除了不斷繁殖傳播之外，蠕蟲還經常含有其他有害的功能。拒絕服務攻擊是指阻止合法用戶正常地使用服

2、務。分布式拒絕服務攻擊是指從多個源端發(fā)起的拒絕服務攻擊。2022/8/282現代密碼學理論與實踐-19：惡意軟件19.1 病毒及相關威脅惡意程序大致分兩類：依賴于宿主的和獨立于宿主的，前者是不能獨立于應用程序或系統程序的程序段例如病毒、邏輯炸彈和后門；后者是可以被操作系統調度和執(zhí)行的自包含程序例如蠕蟲和僵尸(Zombie)程序惡意程序也可以分為不進行復制的和進行復制的，前者是在宿主程序被調用執(zhí)行某一特定功能時被激活，如邏輯炸彈、后門和僵尸；后者是獨立的程序段，當被執(zhí)行時復制自身，如病毒和蠕蟲后門也稱為陷門(Trapdoor), 是程序的秘密入口，使用戶可以不按照通常的安全訪問步驟獲得訪問權，用

3、于程序的調試。后門是用來識別一些特殊的輸入次序的代碼，可以被利用以非法進入系統。2022/8/283現代密碼學理論與實踐-19：惡意軟件惡意程序的分類2022/8/284現代密碼學理論與實踐-19：惡意軟件惡意程序邏輯炸彈Logic Bomb是嵌在合法程序中的、只有當特定的事件出現時才會進行破壞的一組程序代碼。特洛伊木馬Trojan Horse是一種實際上或表面上有某種有用功能的程序，內部含有隱蔽代碼，當其被調用時會產生一些意想不到的后果，使計算機潛伏執(zhí)行非授權功能。僵尸Zombie秘密地接管Internet上的其他計算機，并使用該計算機發(fā)起攻擊，這種攻擊很難通過追蹤僵尸的創(chuàng)建者查出來，被用在

4、拒絕服務攻擊上。 肉雞，就是擁有管理權限的遠程計算機，也就是受別人控制的遠程計算機。肉雞可以是各種系統的，更可以是一家公司、企業(yè)、學校甚至是政府軍隊的服務器。一般所說的肉雞是一臺開了3389端口的Win2K系統的服務器，所以3389端口沒必要開時關上最好。 2022/8/285現代密碼學理論與實踐-19：惡意軟件2022/8/286現代密碼學理論與實踐-19：惡意軟件19.1.2 病毒的特性病毒是一種可以通過修改自身來感染其他程序的程序病毒的四個階段潛伏階段，處于休眠，直至被觸發(fā)傳染階段，復制自身，傳染其他觸發(fā)階段，被特定事件所激活發(fā)作階段，條件成熟，發(fā)作破壞病毒的結構病毒可以被放在可執(zhí)行文件

5、首部、尾部或以其他方式嵌入宿主程序，首先被執(zhí)行的應當是病毒簡單的病毒壓縮的病毒2022/8/287現代密碼學理論與實踐-19：惡意軟件病毒的邏輯簡單的和壓縮的program CV := goto main; 01234567; subroutine infect-executable := loop: file := get-random-executable-file; if (first-line-of-file = 01234567) then goto loop; (1) compress file; (2) prepend CV to file; main: main-program

6、 := if ask-permission then infect-executable; (3) uncompress rest-of-file; (4) run uncompressed file; Figure 19.2 Logic for a Compression Virus2022/8/288現代密碼學理論與實踐-19：惡意軟件病毒的壓縮過程2022/8/289現代密碼學理論與實踐-19：惡意軟件病毒的種類和宏病毒病毒的種類寄生性病毒常駐存儲器病毒引導扇區(qū)病毒隱蔽性病毒多態(tài)性病毒變形病毒宏病毒宏病毒不依賴于單一平臺 宏病毒只感染文檔文件宏病毒很容易傳播2022/8/2810現代密碼

7、學理論與實踐-19：惡意軟件電子郵件病毒E-mail Viruses如果郵件接收者打開附件, Word的宏即被激活，這樣郵件病毒會給郵件地址列表中所有的用戶發(fā)去其自身的復制品郵件病毒并在本地制造破壞更強大的電子郵件病毒甚至都不需要打開附件，只在用戶打開含有病毒的郵件就會激活；一旦激活，就通過電子郵件地址列表迅速擴散傳播2022/8/2811現代密碼學理論與實踐-19：惡意軟件蠕蟲Worms 網絡蠕蟲病毒利用網絡連接從一個系統擴散到另一個系統，一旦在系統中激活，就表現為計算機病毒，可以植下特洛伊木馬程序或者做一系列破壞性活動。網絡蠕蟲病毒為復制自身，會利用一些網絡工具，如電子郵件系統遠程執(zhí)行功能

8、遠程登錄功能蠕蟲傳播階段執(zhí)行以下活動通過檢查主機列表或者類似的遠程系統地址列表來尋找新的感染對象通過遠程系統建立連接將其自身復制到遠程系統上并開始運行2022/8/2812現代密碼學理論與實踐-19：惡意軟件19.2 計算機病毒的防治策略反病毒方法檢測、鑒別、清除反病毒軟件的發(fā)展第一代：簡單掃描第二代：啟發(fā)式掃描第三代：主動設置陷阱第四代：全面的預防措施2022/8/2813現代密碼學理論與實踐-19：惡意軟件19.2.2 高級反病毒技術通用解密技術CPU仿真器病毒特征掃描器仿真控制模塊數字免疫系統每臺計算機監(jiān)視程序利用大量啟發(fā)式論據對病毒進行判斷管理機對樣本加密送病毒中心分析機將指令執(zhí)行的結

9、果返回管理機管理機將該指令送往已感染病毒的客戶機管理機還將該指令送往系統的其他客戶機全球用戶接收反病毒軟件的定期更新，免遭到新病毒攻擊2022/8/2814現代密碼學理論與實踐-19：惡意軟件數字免疫系統2022/8/2815現代密碼學理論與實踐-19：惡意軟件計算機病毒(virus)介紹三種病毒的機理CIH病毒Shakiras picturesNimda病毒的本質和分類一個分布式防病毒體系結構2022/8/2816現代密碼學理論與實踐-19：惡意軟件CIH病毒 4.26事件(一則報道)2022/8/2817現代密碼學理論與實踐-19：惡意軟件CIH病毒病毒影響：Win95/98類型：文件型病

10、毒，感染95/98環(huán)境下PE格式的exe文件病毒特點病毒代碼化整為零，插入到被感染文件中，受感染的.exe文件的長度沒有改變病毒代碼只有1K字節(jié)左右現象：突然顯示器黑屏、硬盤狂閃，無法重啟傳播方式：通過文件進行傳播。只要運行了帶病毒的文件，病毒就會駐留在系統內存中，以后，再運行PE格式的exe文件，這些文件就會染上病毒破壞：利用BIOS芯片可重寫的特性，向BIOS寫入亂碼直接破壞硬件設備2022/8/2818現代密碼學理論與實踐-19：惡意軟件CIH病毒原理CIH病毒駐留如果一個EXE程序已經被感染，則此程序的入口指針被改掉，首先執(zhí)行病毒的駐留部分用SIDT取得IDT表地址，修改INT3的中斷

11、入口，指向病毒代碼執(zhí)行INT 3，在ring 0執(zhí)行病毒代碼。判斷DR0寄存器是否為0，以便確定是否已經駐留在內存中，否則的話，執(zhí)行下面的過程：申請Windows的系統內存，以便把病毒體放到系統中。病毒代碼被分割到程序各個部分，所以要先把它們裝配起來在Windows內核中的文件系統處理函數中掛接鉤子，以截取文件調用的操作。因此，一旦系統出現要求打開文件的調用，則CIH病毒的感染部分代碼就會馬上截獲此文件恢復IDT表的INT3地址進入程序的正常執(zhí)行過程2022/8/2819現代密碼學理論與實踐-19：惡意軟件CIH病毒原理(續(xù)1)感染部分：對于文件調用的鉤子函數首先取到文件名字如果文件名為EXE

12、后綴，則感染判斷EXE文件的格式是否為PE格式如果文件已被感染，或者不是PE格式，則進入病毒發(fā)作模塊否則，進行感染把病毒代碼放到PE格式的各個縫隙中首塊插入到PE格式頭部的自由空間中。PE格式通常有400多字節(jié)的自由空間，而病毒代碼的首塊必須包含駐留代碼(184字節(jié) for CIH 1.4)以及病毒塊鏈表修改文件入口地址，指向病毒駐留代碼，并且把原來的入口地址也記錄下來，以便能夠回到正常的執(zhí)行路徑上除了首塊病毒代碼之外，其他的塊插入到PE文件的各個section中。根據PE頭中每個section的參數信息，決定每個section可以存放的病毒代碼大小，依次填入病毒代碼，直到填完或者到達最后的s

13、ection最后，執(zhí)行寫盤操作，把病毒代碼寫入文件2022/8/2820現代密碼學理論與實踐-19：惡意軟件CIH病毒原理(續(xù)2)病毒發(fā)作不同版本有不同的邏輯在1.4版本中，發(fā)作日為4月26日，病毒取出系統時鐘的信息，進行判斷病毒破壞邏輯通過主板的BIOS端口地址0CFEH和0CFDH向BIOS引導塊（boot block）內各寫入一個字節(jié)的亂碼，造成主機無法啟動破壞硬盤，從硬盤的主引導區(qū)開始，寫入垃圾數據，直到所有的硬盤空間都被覆蓋病毒的檢測方法1：查找病毒特征碼：“CIH v1.”方法2：在DEBUG模式下，找到PE頭中的病毒感染標志病毒的清除是感染過程的逆過程2022/8/2821現代密

14、碼學理論與實踐-19：惡意軟件Shakiras pictures病毒2022/8/2822現代密碼學理論與實踐-19：惡意軟件Shakiras pictures郵件的附件附件(ShakiraPics.jpg.vbs)內容(6K多)2022/8/2823現代密碼學理論與實踐-19：惡意軟件Shakiras pictures郵件的病毒代碼把wapwvdfgcpw解出來之后，如下(主程序部分)2022/8/2824現代密碼學理論與實踐-19：惡意軟件Shakiras pictures郵件病毒發(fā)作流程改寫注冊表鍵HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

15、Registry利用Outlook給地址簿中所有用戶發(fā)信并置上標記：HKCUsoftwareShakiraPicsmailed = 1利用mirc發(fā)送病毒附件并置上標記：HKCUsoftwareShakiraPicsMirqued = 1對于當前文件系統中(所有遠程目錄)所有的vbs文件和vbe文件都替換成自己 循環(huán)+遞歸提醒用戶：“You have been infected by the ShakiraPics Worm”2022/8/2825現代密碼學理論與實踐-19：惡意軟件Shakiras pictures郵件病毒的思考腳本類型的Internet Worm其他還有“I love yo

16、u”病毒，等各種變種Mellisa病毒：Word宏病毒，通過郵件系統進行傳播病毒編寫簡單，而危害性大反映了MS產品的一個矛盾：功能與安全如何平衡？如何抑制這種類型的病毒用戶：提高警惕，不要輕易打開附件安裝防病毒軟件軟件廠商(MS)：增強腳本引擎的安全性(?)打開附件提醒用戶2022/8/2826現代密碼學理論與實踐-19：惡意軟件Nimda病毒2001年9月18日發(fā)現之后，迅速傳播開來受影響的操作系統Windows 9x/Me/Nt/2000感染途徑：文件感染、電子郵件附件、Web服務器攻擊，以及局域網上的共享文件功能服務器：沒打補丁的IIS Web Server客戶：沒打補丁的IE 5.01

17、/5.5，以及使用到IE功能的郵件客戶軟件，包括Outlook, Outlook Express等危害性受到感染的一臺機器會影響到其他的機器系統文件和文檔文件會受損網絡資源會被擁塞住解決方案為所用的軟件及時地打上補丁2022/8/2827現代密碼學理論與實踐-19：惡意軟件Nimda病毒的傳播2022/8/2828現代密碼學理論與實踐-19：惡意軟件Nimda病毒的感染過程文件感染感染EXE文件，不是把自己插入到EXE文件的頭或者尾部，而是把原來的EXE文件插進來，再改名為EXE的文件名運行的時候，先運行病毒，再提取出EXE并運行Email感染病毒從用戶地址簿、收件箱以及Web cache頁面

18、中抽取出email地址，然后構造一封郵件，內含一個附件readme.exe，送出去。一旦收到郵件的人打開附件，則馬上被感染。有些郵件客戶會自動瀏覽附件，則自動被感染。Web Server攻擊掃描并攻擊Web Server，一旦成功，則把病毒代碼附到Web頁面的最后，未打補丁的IE瀏覽到這樣的頁面的時候，也會自動被感染LAN共享攻擊打開一個共享系統，在administrators加入一帳戶，并打開C盤共享把一個受感染的email和一個受感染的riched20.dll寫到每一個共享可寫目錄中，如果共享目錄的系統打開這個email或者目錄中的Word、Wordpad或Outlook文檔，則此系統也會

19、被感染2022/8/2829現代密碼學理論與實踐-19：惡意軟件為什么郵件的附件會被自動執(zhí)行？頁面被自動瀏覽？在HTML email中，IE解析MIME頭部的時候出現漏洞2022/8/2830現代密碼學理論與實踐-19：惡意軟件Nimda的病毒體邏輯Nimda病毒主要的邏輯就是傳播自身不同的形態(tài)下使用不同的文件名，并且修改相應的注冊表鍵以便自己繼續(xù)獲得控制權，或者隱藏自身對安全功能的影響修改注冊表鍵，關閉隱藏文件的顯示功能加入一個“guest”帳號，并加到administrators和Guests組中，并且，共享C:目錄為可完全訪問。修改注冊表鍵，禁止共享安全性版權所有2022/8/2831現

20、代密碼學理論與實踐-19：惡意軟件引導型病毒啟動分區(qū)病毒特點在系統啟動的時候激活，先于操作系統分為MBR病毒和BR病毒病毒寄生在硬盤分區(qū)主引導程序所占據的硬盤0頭0柱面第1個扇區(qū)中，比如大麻(Stoned)病毒BR病毒是將病毒寄生在硬盤邏輯分區(qū)的0扇區(qū)，比如小球病毒這種病毒如何駐留到內存中，如何進入到系統中？往往與BIOS中斷有關聯，比如int 13h(硬盤中斷)引導分區(qū)中往往只是病毒的引導部分，病毒體通常放在別的扇區(qū)中傳染途徑軟盤啟動是最危險的檢測和消除相對而言，這種病毒比較容易檢測，只要檢查引導扇區(qū)就能確定由于內存中存在病毒，所以，簡單地改寫引導扇區(qū)并不能清除病毒，必須用干凈的盤啟動，殺滅

21、病毒，再啟動系統預防措施盡量關閉BIOS中軟盤啟動的選項硬盤的啟動分區(qū)留個備份2022/8/2832現代密碼學理論與實踐-19：惡意軟件懷念：DOS中的病毒DOS比較簡單，是一個單任務的操作系統系統管理的內存只有低端640K中斷int 10h和int 21h是重要的系統功能入口FAT文件系統也比較簡單主要的技術修改中斷向量任何一個程序都很容易就可以修改中斷向量常駐內存的技術駐留到高端可用內存區(qū)駐留到系統的低端內存區(qū)調試和檢查病毒代碼容易做到.com和.exe文件的格式是透明的C是關注的焦點之一一切盡在掌控中2022/8/2833現代密碼學理論與實踐-19：惡意軟件分布式拒絕服務攻擊DDoS20

22、22/8/2834現代密碼學理論與實踐-19：惡意軟件基于DDoS攻擊的洪泛攻擊分類2022/8/2835現代密碼學理論與實踐-19：惡意軟件基于DDoS攻擊的洪泛攻擊分類2022/8/2836現代密碼學理論與實踐-19：惡意軟件局域網ARP攻擊的原因 以太網內主機通信是靠MAC地址來確定目標的，ARP協議又稱“地址解析協議”，它負責通知計算機要連接的目標的地址，即以太網MAC地址。簡單說來就是通過IP地址來查詢目標主機的MAC地址，一旦這個環(huán)節(jié)出錯，就不能正常和目標主機進行通信，甚至使整個網絡癱瘓。在安裝了以太網網絡適配器的計算機中都有專門的ARP緩存，包含一個或多個表，用于保存IP地址以及經過解析的MAC地址。在Windows中要查看或者修改ARP緩存中的信息，可以使用arp命令來完成，比如在Windows XP的命令提示符窗口中鍵入“arp -a”或“arp -g”可以查看ARP緩存中的內容；鍵入“arp -d IPaddress”表示刪除指定的IP地址項(IPaddress表示IP地址)。協議的開放性給ARP攻擊造成了機會。2022/8/2837現代密碼學理論與實踐-19：惡意軟件局域網的ARP攻擊方法(1)通過偽造IP地址和MAC地址實現ARP欺騙攻擊用偽造源MAC地址發(fā)