《網(wǎng)絡(luò)安全設(shè)計》04－安全威脅 3感染攻擊

網(wǎng)絡(luò)安全設(shè)計安全威脅⑶感染攻擊Content什么是感染攻擊？病毒攻擊原理木馬攻擊原理蠕蟲攻擊原理惡意代碼原理1《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊什么是感染攻擊？InfectionAttack通過特殊設(shè)計的軟件，對攻擊對象的軟件系統(tǒng)實(shí)施感染，達(dá)到繼續(xù)傳播給更多對象、實(shí)現(xiàn)特定的攻擊目標(biāo)的目的感染攻擊具備以下一個到多個特征：傳播性（自我復(fù)制并轉(zhuǎn)移給其他未感染對象）自發(fā)性（自動判別對象狀況、自動實(shí)施傳播或攻擊）隱蔽性（難以發(fā)現(xiàn)）頑固性（難以根除）危害性（引起DoS或泄密等多種嚴(yán)重后果）《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊2感染攻擊種類三種虛擬“生物”病毒（Virus）蠕蟲（Worm）木馬（TrojanHorse）惡意代碼——虛擬世界的“生物多樣性”后門程序（backdoor）廣告軟件（adware）瀏覽器劫持（browserhijacker）行為記錄（trackware）惡意共享軟件（malicious

shareware）《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊3Virus《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊4病毒什么是病毒？Virus病毒（計算機(jī)病毒）是一種特殊的程序，寄生于宿主程序上，并可自我復(fù)制，感染其他程序《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊5宿主程序病毒代碼程序程序程序病毒代碼病毒代碼病毒代碼程序復(fù)制并感染病毒的性質(zhì)寄生于宿主程序，不獨(dú)立存在具有自我復(fù)制能力自動尋找未感染程序，實(shí)現(xiàn)病毒傳播可攜帶各種攻擊代碼《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊6病毒傳播三要素《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊7傳染源原始病毒體已感染病毒的軟件傳播途徑存儲器內(nèi)存運(yùn)行網(wǎng)絡(luò)傳輸易感人群操作系統(tǒng)應(yīng)用程序宏代碼消滅傳染源，切斷傳播途徑，保護(hù)易感人群病毒的危害性感染性自我復(fù)制和感染——實(shí)現(xiàn)傳播自身攻擊性病毒體中可“夾帶”各種攻擊代碼竊取信息破壞系統(tǒng)定時爆發(fā)《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊8病毒蹤跡特征編碼病毒代碼的編碼組合、含有的字符串等特定類型感染指定的文件類型（.com/.exe等）特別行為（非共性）文件長度變長文件校驗(yàn)或簽名錯誤額外的存儲器讀寫或文件讀寫操作程序和系統(tǒng)運(yùn)行效率降低《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊9病毒的反制措施病毒抵抗安全檢測的方法抗特征碼串比對加入隨機(jī)數(shù)據(jù)；部分代碼壓縮或加密抗文件長度檢查嵌入宿主“空腔”內(nèi)；原程序代碼壓縮抗宿主文件校驗(yàn)?zāi)M或偽造校驗(yàn)抗異常文件搜索制作“同伴”文件抗應(yīng)用程序排查駐留在操作系統(tǒng)或固件中抗異常行為判別實(shí)行“有節(jié)制”的感染《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊10病毒分類⑴按病毒活躍程度分：在野病毒——活躍（有效）的病毒實(shí)驗(yàn)室病毒——在“可控”環(huán)境下的病毒歸檔病毒——已知且已被防范的病毒《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊11有效的病毒都是在野病毒但在野病毒可能是未知的病毒分類⑵按病毒感染對象分：引導(dǎo)扇區(qū)病毒可執(zhí)行文件病毒DOS病毒W(wǎng)indows病毒虛擬機(jī)文件病毒宏病毒腳本病毒Java病毒Flash病毒復(fù)合型病毒《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊12病毒分類⑶按病毒設(shè)計技術(shù)分：同伴病毒空腔病毒隧道病毒直接行動病毒（非常駐病毒）內(nèi)存病毒隱秘型病毒潛伏型病毒多態(tài)病毒《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊13病毒激活方式啟動計算機(jī)（或插入存儲介質(zhì)）時引導(dǎo)扇區(qū)病毒、內(nèi)存病毒操作系統(tǒng)文件病毒運(yùn)行可執(zhí)行文件時大部分可執(zhí)行文件病毒瀏覽或自動預(yù)覽時虛擬機(jī)腳本型病毒定時或符合特定條件時隱秘型、潛伏型病毒《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊14病毒關(guān)鍵技術(shù)寄生感染復(fù)制《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊15病毒技術(shù)原理⑴寄生《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊16宿主程序啟動運(yùn)行病毒代碼宿主程序常規(guī)運(yùn)行宿主程序退出病毒技術(shù)原理⑵攻擊《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊17病毒代碼啟動病毒感染進(jìn)程滿足條件？實(shí)施攻擊病毒進(jìn)程退出（返回宿主程序）YN病毒代碼（病毒體）病毒技術(shù)原理⑶感染《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊18病毒感染開始打開指定路徑搜索指定類型文件未感染？復(fù)制到宿主文件感染更多？病毒感染結(jié)束YNYN病毒技術(shù)原理⑷復(fù)制《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊19病毒復(fù)制開始打開未感染宿主文件將宿主文件頭部指令移到指定位置（如末尾）將病毒體復(fù)制到宿主文件指定位置（如末尾）病毒復(fù)制結(jié)束在宿主文件頭部插入調(diào)用或跳轉(zhuǎn)到病毒體指令保存已感染宿主文件修改感染后的宿主文件的校驗(yàn)或簽名數(shù)據(jù)感染病毒后的宿主程序跳轉(zhuǎn)到病毒體宿主程序原有代碼病毒體宿主程序原頭部指令病毒技術(shù)演化示意圖《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊20病毒防范安裝病毒防火墻（殺毒軟件）及時更新病毒防火墻代碼庫不下載和使用盜版軟件不隨便點(diǎn)擊運(yùn)行來源不明的程序不打開可疑郵件不訪問不良網(wǎng)站《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊21Worm《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊22蠕蟲什么是蠕蟲？Worm蠕蟲是一種通過網(wǎng)絡(luò)大量復(fù)制并廣泛傳播的特殊病毒程序?！毒W(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊23若每臺計算機(jī)傳播n個蠕蟲，則傳播進(jìn)行k次后，影響數(shù)量為：蠕蟲的性質(zhì)不需要宿主程序，獨(dú)立存在必須通過網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播需要借助網(wǎng)絡(luò)應(yīng)用程序?qū)崿F(xiàn)發(fā)送傳播速度快、范圍廣（指數(shù)級）可在用戶不參與的情況下傳播短時間內(nèi)大量消耗網(wǎng)絡(luò)資源《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊24蠕蟲傳播工具電子郵件（Email）即時通信（IM）《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊25共同點(diǎn)：保存有通訊錄可用于發(fā)送信息可攜帶程序蠕蟲激活方式自動激活方式利用某些版本的郵件客戶端程序具備的“預(yù)覽”功能，自動執(zhí)行惡意郵件攜帶的蠕蟲腳本代碼干預(yù)激活方式采用帶有欺騙性的標(biāo)題或內(nèi)容的消息，吸引用戶點(diǎn)擊打開，從而啟動運(yùn)行蠕蟲腳本代碼《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊26XXXXXXXXXXXX蠕蟲技術(shù)原理《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊27獲取通訊錄中的所有聯(lián)系人地址生成包含蠕蟲本身的消息或郵件激活蠕蟲向所有聯(lián)系人發(fā)送該消息或郵件討論《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊28如何防范蠕蟲？TrojanHorse《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊29木馬什么是木馬？TrojanHorse特洛伊木馬（簡稱木馬）是一種潛伏于計算機(jī)中，在一定條件下或受控實(shí)施攻擊的軟件《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊30在特洛伊城久攻不下時，進(jìn)攻方假裝撤退，留下的木馬被守城方當(dāng)作戰(zhàn)利品拉到城內(nèi)。埋伏在木馬中的士兵趁夜而出，里應(yīng)外合，一舉攻下特洛伊城。木馬的性質(zhì)隱蔽性用戶難以發(fā)現(xiàn)自己已經(jīng)被殖入木馬危害性各種攻擊手段可造成泄露和破壞頑固性木馬采用多種形式駐留，難以徹底清除《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊31木馬偽裝術(shù)以多種形式潛伏和運(yùn)行木馬使用多種啟動方式，例如：隨操作系統(tǒng)啟動、隨文件運(yùn)行而啟動、隨動態(tài)庫調(diào)用啟動等木馬刻意變換文件名，或采用與操作系統(tǒng)核心程序非常類似的文件名，借以偽裝自身。同時修改文件顯示和訪問屬性、偽裝圖標(biāo)，“混跡”于系統(tǒng)內(nèi)核程序中木馬駐留在系統(tǒng)（外存）的各個位置，如：系統(tǒng)文件、應(yīng)用程序、注冊表、啟動組等木馬在內(nèi)存或進(jìn)程表中隱蔽得很深，甚至一般權(quán)限的用戶使用一般的命令無法發(fā)現(xiàn)該進(jìn)程的存在《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊32木馬的引入途徑隨Email/IM傳播附加在盜版軟件上通過誘騙下載執(zhí)行利用某些操作系統(tǒng)存在的漏洞，通過Script、ActiveX及ASP、CGI交互腳本的方式殖入《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊33木馬技術(shù)原理《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊34被攻擊者攻擊者①植入木馬②偵聽端口③激活木馬，發(fā)送命令④執(zhí)行任務(wù)木馬的蹤跡例：冰河木馬殖入系統(tǒng)后，其相關(guān)痕跡如下——C:\winnt\system32目錄下將安裝sysexplr.exe和kernel32.exe兩個文件修改txt文件關(guān)聯(lián)方式為MICROSOFTWINDOWS(TM)修改注冊表項(xiàng)：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunServices下鍵值改為： c:\winnt\system32\kernel32.exe HKEY_CLASSES_ROOT\txtfile\shell\open\command下鍵值改為： c:\winnt\system32\sysexplr.exe（原為Notepad.exe）偵聽端口號缺省為7626《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊35病毒、蠕蟲、木馬比較《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊36病毒蠕蟲木馬傳播速度快很快較慢傳播途徑存儲或網(wǎng)絡(luò)郵件或IM文件或網(wǎng)絡(luò)特征明顯不明顯不太明顯隱蔽性較差較強(qiáng)很強(qiáng)復(fù)制能力強(qiáng)很強(qiáng)不強(qiáng)獨(dú)立性寄生（感染）獨(dú)立，非文件型獨(dú)立文件頑固性較強(qiáng)無法評價很強(qiáng)危險性強(qiáng)強(qiáng)強(qiáng)危害破壞文件和系統(tǒng)網(wǎng)絡(luò)阻塞盜取信息和賬號等查殺技術(shù)較成熟無專用工具M(jìn)alware《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊37惡意代碼惡意軟件《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊38惡作劇程序播種機(jī)程序后門程序（與木馬有“異曲同工”之惡）垃圾郵件（稍后討論）/連鎖信郵件流氓軟件（強(qiáng)制安裝、難以卸載）廣告軟件間諜軟件瀏覽器劫持軟件行為記錄軟件惡意共享軟件垃圾郵件SPAM無特定接收對象、非自愿接收的群發(fā)郵件不良影響——蠕蟲攻擊的載體積累效應(yīng)，可能引發(fā)DDoS攻擊極大地浪費(fèi)Internet帶寬、計算、存儲資源干擾用戶正常的郵件接收可攜帶病毒或其它惡意軟件《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊39Internet上80%～90%的電子郵件都是垃圾郵件垃圾郵件的發(fā)送獲取發(fā)送賬號注冊免費(fèi)郵件賬號利用無需發(fā)送認(rèn)證的系統(tǒng)或盜取郵件賬號自建郵件發(fā)送軟件（群發(fā)器）獲取目標(biāo)郵件地址列表用戶名排列組合（同一目標(biāo)域名下）廣泛搜集電子郵件地址利用蠕蟲或木馬獲取用戶地址簿群發(fā)郵件《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊40垃圾郵件的特征靜態(tài)特征（單一郵件所具備）簡短，且鏈接所占內(nèi)容比例高收件人數(shù)量眾多、收件人字段與賬號不同無法反向解析域名、域名與發(fā)送地址不符含有特定關(guān)鍵字、蠕蟲或病毒動態(tài)特征（多郵件發(fā)送行為）短時間內(nèi)大量內(nèi)容相同的郵件不同于通常流量分布的突發(fā)流量《網(wǎng)絡(luò)安全設(shè)計》安全威脅⑶感染攻擊41垃