網(wǎng)絡(luò)安全-19：惡意軟件

Chapter19

惡意軟件《密碼編碼學(xué)與網(wǎng)絡(luò)安全》

2023/2/41西安電子科技大學(xué)計算機學(xué)院病毒和其它惡意代碼計算機病毒已眾所周知是一種具有惡意代碼的軟件破壞性是明顯的在新的報告，小說，電影中都有描述(經(jīng)常被夸大)得到更多的關(guān)注還是很令人擔(dān)心的

2023/2/42西安電子科技大學(xué)計算機學(xué)院惡意軟件2023/2/43西安電子科技大學(xué)計算機學(xué)院后門或陷門進入程序的秘密入口允許繞過一般的安全過程而訪問系統(tǒng)已被開發(fā)人員廣泛使用當(dāng)留在產(chǎn)品中后，若被攻擊者發(fā)現(xiàn)則成為一個威脅。在OS中很難避免需要良好的軟件開發(fā)和升級2023/2/44西安電子科技大學(xué)計算機學(xué)院邏輯炸彈最古老的惡意軟件之一在合法程序中嵌入邏輯炸彈代碼當(dāng)指定的條件滿足時，激活發(fā)作：如

一些文件的出現(xiàn)或消失特殊的日期或時間特定的用戶當(dāng)發(fā)作時，一般都會毀壞系統(tǒng)修改/刪除文件或磁盤,宕機,等2023/2/45西安電子科技大學(xué)計算機學(xué)院特洛伊木馬具有副作用的程序表面上很有用很誘人如游戲,軟件升級等

運行時，完成一些附加的任務(wù)允許攻擊者間接地獲得他們直接無法獲得的訪問常用于病毒、蠕蟲的擴散或后門的安裝或者就直接破壞數(shù)據(jù)2023/2/46西安電子科技大學(xué)計算機學(xué)院Zombie（肉機）被其它網(wǎng)絡(luò)計算機所秘密控制的程序或計算機使用他們以完成間接攻擊常用于發(fā)起分布式拒絕服務(wù)攻擊(DDoS)利用網(wǎng)絡(luò)系統(tǒng)中的已知漏洞2023/2/47西安電子科技大學(xué)計算機學(xué)院病毒能夠自身復(fù)制且能附著在其它代碼上的一段代碼生物病毒既要能復(fù)制自己也要有載體承載代碼用以進行自身復(fù)制代碼同時也可完成某些轉(zhuǎn)換任務(wù)2023/2/48西安電子科技大學(xué)計算機學(xué)院病毒操作病毒狀態(tài):潛伏階段傳染階段觸發(fā)階段發(fā)作階段與特定OS相關(guān)利用某些功能或弱點2023/2/49西安電子科技大學(xué)計算機學(xué)院病毒結(jié)構(gòu)programV:= {gotomain; 1234567; subroutineinfect-executable:= {loop: file:=get-random-executable-file; if(first-line-of-file=1234567)thengotoloop elseprependVtofile;} subroutinedo-damage:={whateverdamageistobedone} subroutinetrigger-pulled:={returntrueifconditionholds}

main:main-program:= {infect-executable; iftrigger-pulledthendo-damage;

gotonext;} next:}2023/2/410西安電子科技大學(xué)計算機學(xué)院2023/2/411西安電子科技大學(xué)計算機學(xué)院病毒的種類依攻擊方法分類如下：寄生性病毒常駐存儲器病毒引導(dǎo)扇區(qū)病毒隱蔽性病毒多態(tài)性病毒

變異病毒（改變行為或外觀）

2023/2/412西安電子科技大學(xué)計算機學(xué)院宏病毒宏病毒依附于某些數(shù)據(jù)文件通過使用數(shù)據(jù)文件而得到解釋運行如Word/Excel宏尤其，用自動命令或命令宏現(xiàn)在，病毒代碼與平臺獨立。是一種主要的新病毒傳染方式模糊了數(shù)據(jù)和程序的區(qū)別“易于使用”vs“安全性”Word對其安全性進行了改進

不再是主要的病毒威脅2023/2/413西安電子科技大學(xué)計算機學(xué)院Email病毒通過郵件的使用進行擴散，郵件的附件包含宏病毒如Melissa病毒當(dāng)用戶打開附件時發(fā)作或者在郵件程序打開郵件閱讀時發(fā)作因此傳播非常快常以MicrosoftOutlookmail和Word/Excel文檔為目標(biāo)

需要更加安全的OS和應(yīng)用程序2023/2/414西安電子科技大學(xué)計算機學(xué)院蠕蟲復(fù)制但不感染程序典型地通過網(wǎng)絡(luò)進行擴散如1988年的Morris蠕蟲成立了

CERTs

利用用戶分散的特權(quán)或系統(tǒng)弱點

廣泛地被黑客用于產(chǎn)生肉機,接著再進行進一步的攻擊，例如DoS

。主要問題是持久在線的系統(tǒng)缺乏安全性，尤其是PC。2023/2/415西安電子科技大學(xué)計算機學(xué)院蠕蟲操作蠕蟲的狀態(tài)如同病毒:潛伏階段傳染階段查找下一個感染目標(biāo)建立與遠(yuǎn)程目標(biāo)的連接復(fù)制自己到遠(yuǎn)程系統(tǒng)觸發(fā)階段發(fā)作階段2023/2/416西安電子科技大學(xué)計算機學(xué)院Morris蠕蟲眾所周知的典型蠕蟲病毒由RobertMorris于1988年設(shè)計目標(biāo)Unix系統(tǒng)采用多種傳播技術(shù)破譯本地口令文件，獲得簡單口令利用finger協(xié)議的漏洞在發(fā)送郵件的遠(yuǎn)程處理中設(shè)置陷門上述攻擊只要有一個能成功，就復(fù)制自己進行傳播。2023/2/417西安電子科技大學(xué)計算機學(xué)院蠕蟲技術(shù)跨平臺多途徑（Multiexploit）：以各種方法利用系統(tǒng)漏洞傳播迅猛變形：改變外形以逃避檢查變異：改變外觀和行為傳播工具：不斷制作新肉機零日利用：利用系統(tǒng)未知的風(fēng)險2023/2/418西安電子科技大學(xué)計算機學(xué)院病毒對策最好的對策就是預(yù)防，但一般不太可能。因此需要：檢測鑒別（種類）刪除2023/2/419西安電子科技大學(xué)計算機學(xué)院防病毒軟件第一代掃描器用病毒的標(biāo)識鑒定病毒或通過程序長度的改變第二代啟發(fā)式規(guī)則來發(fā)現(xiàn)病毒或采用程序的密碼哈希來發(fā)現(xiàn)改變第三代通過駐留內(nèi)存的程序，主動設(shè)置陷阱來發(fā)現(xiàn)病毒。第四代防病毒技術(shù)的綜合如

掃描和行為陷阱，訪問控制等……2023/2/420西安電子科技大學(xué)計算機學(xué)院高級防病毒技術(shù)通用解密技術(shù)在運行前，采用CPU仿真來檢測程序的特征和行為數(shù)字免疫系統(tǒng)(IBM)通用的仿真和病毒檢測任何病毒進入到組織都會被捕獲，分析，檢測屏蔽，刪除。2023/2/421西安電子科技大學(xué)計算機學(xué)院數(shù)字免疫系統(tǒng)2023/2/422西安電子科技大學(xué)計算機學(xué)院行為阻止軟件和OS集成在一起實時監(jiān)視程序行為如文件訪問，磁盤格式化，可執(zhí)行模塊或系統(tǒng)配置的變化，網(wǎng)絡(luò)的訪問。對于可能的破壞行為如果檢測到，就阻止終止。比掃描器有優(yōu)越性

（因為最終總要執(zhí)行惡意行為）但是在檢測到之前，惡意代碼已經(jīng)開始運行。2023/2/423西安電子科技大學(xué)計算機學(xué)院分布式拒絕服務(wù)攻擊(DDoS)DistributedDenialofService(DDoS)攻擊帶來來巨大的安全威脅使得網(wǎng)絡(luò)系統(tǒng)不可用用無用的消息填滿信道采用大量肉機（zombies）混合攻擊與防御技術(shù)抗衡2023/2/424西安電子科技大學(xué)計算機學(xué)院分布式拒絕服務(wù)攻擊2023/2/425西安電子科技大學(xué)計算機學(xué)院2023/2/426西安電子科技大學(xué)計算機學(xué)院2023/2/427西安電子科技大學(xué)計算機學(xué)院構(gòu)造DDoS攻擊網(wǎng)絡(luò)必須感染大量“肉機”需要:實現(xiàn)DDoS攻擊的軟件許多系統(tǒng)上未打補丁的弱點掃描發(fā)現(xiàn)具有弱點的系統(tǒng)隨機,IP目錄,拓?fù)?本地子網(wǎng)2023/2/428西安電子科技大學(xué)計算機學(xué)院DDoS

對策三條防御路線:攻擊的預(yù)防和先發(fā)制人(事前)攻擊的檢測和過濾(事中)攻擊源的追溯和確定(事后)有大范圍攻擊的