計算機病毒與防范技術第4章課件

計算機病毒與防范技術-計算機病毒與防范技術-1第4章網(wǎng)絡蠕蟲網(wǎng)絡蠕蟲的定義蠕蟲的起源發(fā)展蠕蟲的行為特征蠕蟲的工作原理蠕蟲的防范典型蠕蟲代碼的分析-第4章網(wǎng)絡蠕蟲網(wǎng)絡蠕蟲的定義-蠕蟲的原始定義蠕蟲病毒通常由兩部分組成：一個主程序和一個引導程序主程序的主要功能是搜索和掃描，這個程序能夠讀取系統(tǒng)的公共配置文件，獲得與本機聯(lián)網(wǎng)的客戶端信息，檢測到網(wǎng)絡中的哪臺機器沒有被占用，從而通過系統(tǒng)的漏洞，將引導程序建立到遠程計算機上引導程序實際上是蠕蟲病毒主程序（或一個程序段）自身的一個副本-蠕蟲的原始定義蠕蟲病毒通常由兩部分組成：一個主程序和一個引導蠕蟲的原始定義主程序和引導程序都有自動重新定位（autorelocation）的能力這些程序或程序段都能夠把自身的副本重新定位在另一臺機器上-蠕蟲的原始定義主程序和引導程序都有自動重新定位（autore蠕蟲與病毒之間的區(qū)別及聯(lián)系病毒蠕蟲存在形式寄生獨立個體復制機制插入到宿主程序(文件)中自身的拷貝傳染機制宿主程序運行系統(tǒng)存在漏洞(Vulnerability)搜索機制(傳染目標)主要是針對本地文件主要針對網(wǎng)絡上的其它計算機觸發(fā)傳染計算機使用者程序自身影響重點文件系統(tǒng)網(wǎng)絡性能、系統(tǒng)性能計算機使用者角色病毒傳播中的關鍵環(huán)節(jié)無關防治措施從宿主程序中摘除為系統(tǒng)打補丁(Patch)-蠕蟲與病毒之間的區(qū)別及聯(lián)系病毒蠕蟲存在形蠕蟲的行為特征主動攻擊行蹤隱蔽利用系統(tǒng)、網(wǎng)絡應用服務器漏洞造成網(wǎng)絡擁塞消耗系統(tǒng)資源，降低系統(tǒng)性能產(chǎn)生安全隱患反復性破壞性-蠕蟲的行為特征主動攻擊-蠕蟲定義的進一步說明蠕蟲的定義中強調(diào)了自身副本的完整性和獨立性，這也是區(qū)分蠕蟲和病毒的重要因素。可以通過簡單的觀察攻擊程序是否存在載體來區(qū)分蠕蟲與病毒-蠕蟲定義的進一步說明蠕蟲的定義中強調(diào)了自身副本的完整性和獨立蠕蟲的起源和發(fā)展1980年，XeroxPARC的研究人員JohnShoch和JonHupp在研究分布式計算、監(jiān)測網(wǎng)絡上的其他計算機是否活躍時，編寫了一種特殊程序，Xerox蠕蟲-蠕蟲的起源和發(fā)展1980年，XeroxPARC的研究人員J蠕蟲的起源和發(fā)展1988年11月2日，世界上第一個破壞性計算機蠕蟲正式誕生Morris蠕蟲利用sendmail的漏洞、fingerD的緩沖區(qū)溢出及REXE的漏洞進行傳播Morris在證明其結論的同時，也開啟了蠕蟲新紀元-蠕蟲的起源和發(fā)展1988年11月2日，世界上第一個破壞性計算蠕蟲的起源和發(fā)展2001年7月19日，CodeRed蠕蟲爆發(fā)，在爆發(fā)后的9小時內(nèi)就攻擊了25萬臺安裝有Microsoft的IIS網(wǎng)頁服務器。-蠕蟲的起源和發(fā)展2001年7月19日，CodeRed蠕蟲爆發(fā)蠕蟲的起源和發(fā)展2001年9月18日，Nimda蠕蟲被發(fā)現(xiàn)，不同于以前的蠕蟲，Nimda開始結合病毒技術。它通過電子郵件、網(wǎng)絡鄰近共享文件、IE瀏覽器的內(nèi)嵌MIME類型自動執(zhí)行漏洞、IIS服務器文件目錄遍歷的漏洞、CodeRedⅡ和sadmind/IIS蠕蟲留下的后門共五種方式進行傳播。-蠕蟲的起源和發(fā)展2001年9月18日，Nimda蠕蟲被發(fā)現(xiàn)，蠕蟲的起源和發(fā)展在2003年1月25日，蠕蟲W32/Slammer通過Microsoft的SQL服務器和MSDE2000（MicrosoftSQLServerDesktopEngine）的漏洞進行傳播。2003年7月21日，微軟公司公布Windows系統(tǒng)的一個RPC漏洞，2003年8月11日，“沖擊波”(worm.Blaster)開始在互聯(lián)網(wǎng)上傳播。-蠕蟲的起源和發(fā)展在2003年1月25日，蠕蟲W32/Slam蠕蟲的起源和發(fā)展2004年4月13日，微軟公布了一個嚴重等級的安全公告“MS04-011”。5月1日，一個新的蠕蟲—“震蕩波”(Worm.sasser)開始在互聯(lián)網(wǎng)肆虐該病毒利用windows平臺的LSASS(LocalSecurityAuthoritysubsystemServices)漏洞進行傳播成為2004年當之無愧的“毒王”-蠕蟲的起源和發(fā)展2004年4月13日，微軟公布了一個嚴重等級蠕蟲的起源和發(fā)展2005年8月14日狙擊波蠕蟲(Zotob)爆發(fā)，它利用了8月9日微軟發(fā)布的即插即用(PnP)中的漏洞(Ms05-039)，用戶電腦感染了該蠕蟲之后，在某些情況下會出現(xiàn)系統(tǒng)頻繁重啟的現(xiàn)象。2006年威金、熊貓燒香結合了病毒技術，具有很強的破壞性，中毒后計算機上面的EXE文件都會被破壞-蠕蟲的起源和發(fā)展2005年8月14日狙擊波蠕蟲(Zotob)蠕蟲程序的實體結構蠕蟲的基本結構-蠕蟲程序的實體結構蠕蟲的基本結構-蠕蟲的基本結構蠕蟲程序的功能結構-蠕蟲的基本結構蠕蟲程序的功能結構-蠕蟲的工作方式蠕蟲的工作方式一般是“目標定位→攻擊→復制”-蠕蟲的工作方式蠕蟲的工作方式一般是“目標定位→攻擊→復制”-蠕蟲的工作方式蠕蟲的掃描策略現(xiàn)在流行的蠕蟲采用的傳播技術目標，一般是盡快地傳播到盡量多的計算機中掃描模塊采用的掃描策略是：隨機選取某一段IP地址，然后對這一地址段上的主機進行掃描沒有優(yōu)化的掃描程序可能會不斷重復上面這一過程，大量蠕蟲程序的掃描引起嚴重的網(wǎng)絡擁塞-蠕蟲的工作方式蠕蟲的掃描策略-蠕蟲的工作方式對掃描策略的改進在IP地址段的選擇上，可以主要針對當前主機所在的網(wǎng)段進行掃描，對外網(wǎng)段則隨機選擇幾個小的IP地址段進行掃描對掃描次數(shù)進行限制，只進行幾次掃描把掃描分散在不同的時間段進行-蠕蟲的工作方式對掃描策略的改進-蠕蟲的工作方式掃描策略設計的原則盡量減少重復的掃描，使掃描發(fā)送的數(shù)據(jù)包總量減少到最小保證掃描覆蓋到盡量大的范圍處理好掃描的時間分布，使得掃描不要集中在某一時間內(nèi)發(fā)生怎樣找到一個合適的策略需要在考慮以上原則的前提下進行分析，甚至需要試驗驗證-蠕蟲的工作方式掃描策略設計的原則-蠕蟲的工作方式蠕蟲常用的掃描策略隨機掃描目前大多數(shù)蠕蟲所選擇的掃描策略蠕蟲通過產(chǎn)生偽隨機數(shù)列的方法，在互聯(lián)網(wǎng)地址空間中隨機的選取IP地址進行掃描隨機掃描具有算法簡單、易實現(xiàn)的特點。但隨機掃描容易引起網(wǎng)絡阻塞-蠕蟲的工作方式蠕蟲常用的掃描策略-蠕蟲的工作方式選擇性隨機掃描會對整個地址空間的IP隨機抽取進行掃描所選的目標地址按照一定的算法隨機生成，互聯(lián)網(wǎng)地址空間中未分配的或者保留的地址塊不在掃描之列典型的有Slapper蠕蟲和Slammer蠕蟲。Slammer蠕蟲傳播非?？?，主要因為它采用UDP1434（SQLSERVER）端口的非連接的掃描，而且采用了大量線程的掃描方式，使得其掃描主要受帶寬的限制-蠕蟲的工作方式選擇性隨機掃描-蠕蟲的工作方式順序掃描宿主主機上的蠕蟲會隨機選擇一個C類網(wǎng)絡地址進行順序傳播該策略的不足是對同一臺主機可能重復掃描，引起網(wǎng)絡擁塞W32.Blaster是典型的順序掃描蠕蟲-蠕蟲的工作方式順序掃描-蠕蟲的工作方式初始列表掃描（hitlist）蠕蟲程序在釋放之前，預先形成一個易感主機的初試列表，然后對該列表地址進行嘗試攻擊和傳播一般是選擇網(wǎng)絡中的關鍵節(jié)點主機-蠕蟲的工作方式初始列表掃描（hitlist）-蠕蟲的工作方式初始列表生成方法有兩種，其一是通過小規(guī)模的掃描或者互聯(lián)網(wǎng)的共享信息產(chǎn)生初始列表，其二是通過分布式掃描可以生成全面的列表數(shù)據(jù)庫缺點是攻擊者收集這些攻擊目標時往往要花費很長的時間，在這個過程中所利用的漏洞有可能會被修復，而失去攻擊的機會-蠕蟲的工作方式-蠕蟲的工作方式可路由地址掃描蠕蟲依據(jù)網(wǎng)絡的路由信息，對地址空間進行選擇性掃描的一種策略蠕蟲的設計者通常利用BGP路由表的公開信息獲取互連網(wǎng)路由的IP地址前輟，從而達到驗證BGP數(shù)據(jù)庫可用性的目的提高了蠕蟲的傳播速度，但蠕蟲傳播時必須攜帶一個路由IP地址庫-蠕蟲的工作方式可路由地址掃描-蠕蟲的工作方式DNS掃描蠕蟲程序從DNS服務器上獲取所記錄的IP地址來建立蠕蟲掃描的目的地址庫所建立的目標地址庫具有針對性和可用性強的特點但蠕蟲程序需要攜帶大量的地址庫，因此傳播速度比較慢-蠕蟲的工作方式DNS掃描-蠕蟲的工作方式分治掃描網(wǎng)絡蠕蟲之間相互協(xié)作、快速搜索易感染主機的一種策略網(wǎng)絡蠕蟲發(fā)送地址庫的一部分給每臺被感染的主機，然后每臺主機再去掃描它所獲得的地址不足是存在“壞點”問題。在蠕蟲傳播的過程中，如果一臺主機死機或崩潰，那么所有傳給它的地址庫就會丟失。這個問題發(fā)生得越早，影響就越大-蠕蟲的工作方式分治掃描-蠕蟲的工作方式有三種方法能夠解決這個問題：（1）在蠕蟲傳遞地址庫之前產(chǎn)生目標列表；（2）通過計數(shù)器來控制蠕蟲的傳播情況，蠕蟲每感染一個節(jié)點，計數(shù)器加1，然后根據(jù)計數(shù)器的值來分配任務；（3）蠕蟲傳播的時候隨機決定是否重傳數(shù)據(jù)庫-蠕蟲的工作方式有三種方法能夠解決這個問題：-蠕蟲的工作方式置換列表掃描所有蠕蟲共用一張與整個地址空間相對應的偽隨機置換列表，并通過該表來選擇掃描目標被感染的主機以其在置換列表上的位置為掃描起點，并由該起點始沿著置換列表向下掃描，尋找新的漏洞主機。當它掃描到某一點并發(fā)現(xiàn)該點所對應的主機已經(jīng)被感染，會立即停止掃描，并在置換列表中隨機選擇一個新的起點繼續(xù)掃描確保了對整個網(wǎng)絡的徹底掃描，也避免了對同一臺機器的重復掃描-蠕蟲的工作方式置換列表掃描-蠕蟲的工作方式蠕蟲快速傳播的關鍵在于設計良好的掃描策略一般情況下，采用DNS掃描傳播的蠕蟲速度最慢，選擇性隨機掃描和路由掃描比隨機掃描的速度要快對于初始列表掃描，當列表超過1M字節(jié)時，蠕蟲傳播的速度就會比路由掃描蠕蟲慢；當列表大于6M時，蠕蟲傳播速度比隨機掃描還慢-蠕蟲的工作方式蠕蟲快速傳播的關鍵在于設計良好的掃描策略-蠕蟲的工作方式目前，網(wǎng)絡蠕蟲首先采用路由掃描，再利用隨機掃描進行傳播是最佳選擇掃描發(fā)送的探測包是根據(jù)不同的漏洞進行設計的不同的漏洞有不同的攻擊手法，關鍵的問題是對漏洞的理解和利用-蠕蟲的工作方式目前，網(wǎng)絡蠕蟲首先采用路由掃描，再利用隨機掃描蠕蟲的工作方式蠕蟲的攻擊機制緩沖區(qū)溢出漏洞內(nèi)存損壞漏洞-蠕蟲的工作方式蠕蟲的攻擊機制-漏洞與緩沖區(qū)溢出介紹漏洞是指任何軟件、硬件或實現(xiàn)中存在的缺陷，這些缺陷在滿足一定的條件時，可導致信息泄漏或資源失控或服務失效攻擊代碼是指可以用來體現(xiàn)漏洞的程序代碼，通過執(zhí)行這些程序代碼，可以展示漏洞，即出現(xiàn)信息泄漏或資源失控或服務失效這些結果。-漏洞與緩沖區(qū)溢出介紹漏洞是指任何軟件、硬件或實現(xiàn)中存在的缺陷漏洞與緩沖區(qū)溢出介紹緩沖區(qū)指的是程序運行時內(nèi)存中一塊連續(xù)的區(qū)域緩沖溢出是指當計算機程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過了緩沖區(qū)本身的容量，溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上-漏洞與緩沖區(qū)溢出介紹緩沖區(qū)指的是程序運行時內(nèi)存中一塊連續(xù)的區(qū)漏洞與緩沖區(qū)溢出介紹voidMyCopy(char*str){

chardstbuffer[256];strcpy(buffer,str);}intmain(){inti;

charsrcbuffer[512];for(i=0;i<511;i++)srcuffer[i]=’C’;MyCopy(srcbuffer);return0;}-漏洞與緩沖區(qū)溢出介紹voidMyCopy(char*str漏洞與緩沖區(qū)溢出介紹在C語言標準庫中就有許多能提供溢出的函數(shù)，如strcat()，strcpy()，sprintf()，vsprintf()，bcopy()，gets()和scanf()等等據(jù)統(tǒng)計，因特網(wǎng)上80%的攻擊采用了緩沖區(qū)溢出后執(zhí)行攻擊者的攻擊代碼-漏洞與緩沖區(qū)溢出介紹在C語言標準庫中就有許多能提供溢出的函數(shù)漏洞與緩沖區(qū)溢出介紹緩沖區(qū)溢出大致分為棧溢出和堆溢出。除此之外還有函數(shù)指針、off-by-one溢出、格式字符串攻擊等等。在.data、.bss和heap中溢出的情形，都稱為堆溢出這些數(shù)據(jù)區(qū)的特點是：數(shù)據(jù)的增長由低地址向高地址，而棧溢出則相反。-漏洞與緩沖區(qū)溢出介紹緩沖區(qū)溢出大致分為棧溢出和堆溢出。除此之漏洞與緩沖區(qū)溢出介紹近幾年爆發(fā)的蠕蟲都利用了緩沖區(qū)溢出技術W32/SlammerWorm.sasserworm.BlasterZotob溢出點定位是緩沖區(qū)溢出技術的核心-漏洞與緩沖區(qū)溢出介紹-漏洞與緩沖區(qū)溢出介紹隨著將來高級類型安全語言、編譯器、虛擬機等技術的應用，作為軟件漏洞之王的緩沖區(qū)溢出可能會逐漸消亡，程序設計中的邏輯錯誤將可能取代緩沖區(qū)溢出，成為漏洞的新主流-漏洞與緩沖區(qū)溢出介紹隨著將來高級類型安全語言、編譯器、虛擬機蠕蟲的工作方式復制復制模塊通過原主機和新主機的交互，將蠕蟲程序復制到新主機并啟動復制過程有很多種方法，可以利用系統(tǒng)本身的程序實現(xiàn)，也可以用蠕蟲自帶的程序實現(xiàn)復制過程實際就是一個文件傳輸?shù)倪^程。-蠕蟲的工作方式復制-蠕蟲的防治策略從它的實體結構來考慮，如果破壞了它的實體組成的一個部分，則破壞了其完整性，使其不能正常工作，從而達到阻止其傳播的目的從它的功能組成來考慮，如果使其某個功能組成部分不能正常工作，也同樣能達到阻止其傳播的目的-蠕蟲的防治策略從它的實體結構來考慮，如果破壞了它的實體組成的蠕蟲的防治策略具體可以分為如下一些措施修補系統(tǒng)漏洞分析蠕蟲行為重命名或刪除命令解釋器(Interpreter)防火墻(Firewall)公告更深入的研究-蠕蟲的防治策略具體可以分為如下一些措施-蠕蟲的防范購買主流的網(wǎng)絡安全產(chǎn)品，并注意隨時更新提高防殺毒意識，不要輕易點擊陌生的站點不隨意查看陌生郵件，尤其是帶有附件的郵件防范局域網(wǎng)連接和資源共享帶來的安全隱患-蠕蟲的防范購買主流的網(wǎng)絡安全產(chǎn)品，并注意隨時更新-典型蠕蟲代碼的分析紅色代碼2(Worm.codeRedⅡ)背景病發(fā)癥狀漏洞介紹掃描策略程序流程-典型蠕蟲代碼的分析紅色代碼2(Worm.codeRedⅡ)-紅色代碼2(Worm.codeRedⅡ)病發(fā)癥狀在“

WINNT\SYSTEM32\LOGFILES\W3SVCI”目錄下的日志文件中含有以下內(nèi)容:GET，/default.ida，XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9O90%u6858%uebd3%u7801%u909o%u6858%uebd3%u780l%u909o%u9090%us190%u00e3%u0003%u8b00%u53lb%u53ff%u0078%u0000%u00=a-紅色代碼2(Worm.codeRedⅡ)病發(fā)癥狀GET，/d紅色代碼2(Worm.codeRedⅡ)使用netstat-a命令，在1025以上端口出現(xiàn)很多SYN-SENT連接請求，或者1025號以上的大量端口處于監(jiān)聽狀態(tài)在以下目錄中存在“Root.exe”文件C:\inetPub\Scripts\Root.exeD:\inetPub\Scripts\Root.exeC:\Programfiles\Commonfiles\System\MSADC\Root.exeD:\Programfiles\Commonfiles\System\MSADC\Root.exe在C，D盤根目錄下存在以下文件:C:\Explorer.exe，D:\Explorer.exe-紅色代碼2(Worm.codeRedⅡ)使用netstat-紅色代碼2(Worm.codeRedⅡ)掃描策略“紅色代碼Ⅱ”采取選擇隨機掃描的策略掃描的IP地址由以下策略獲取:假設隨機生成的IP地址的點分十進制格式為A.B.C.D，再假設本機的IP地址是E.F.G.H，則隨機生成的IP地址規(guī)則如下:（1）隨機生成1一254之間的隨機數(shù)，賦值給A，B，C，D（2）37.5%的概率生成的IP地址為E.F.C.D。即生成的IP前十六位和本機地址的前十六位相同，后十六位隨機生成-紅色代