信息安全技術(shù)與應(yīng)用 課件 第三章 安全漏洞與惡意代碼

第1節(jié)安全漏洞的產(chǎn)生與發(fā)展第3章目

錄01安全漏洞的概念02安全漏洞的分類03安全漏洞的發(fā)展趨勢01安全漏洞的概念什么是安全漏洞？安全漏洞定義計算機信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、運行等過程中，有意或無意產(chǎn)生的缺陷。這些缺陷以不同形式存在于計算機信息系統(tǒng)的各個層次和環(huán)節(jié)之中，一旦被惡意主體所利用，就會對計算機信息系統(tǒng)的安全造成損害，從而影響計算機信息系統(tǒng)的正常運行。 --《GB/T28458--2012信息安全技術(shù)安全漏洞標(biāo)識與描述規(guī)范》安全漏洞的危害被攻擊者植入惡意代碼信息被竊取造成病毒傳播，危害其他主機常見的安全漏洞軟件層面硬件層面應(yīng)用軟件漏洞系統(tǒng)軟件漏洞操作系統(tǒng)漏洞Web漏洞、APP漏洞CVE-2019-5736、CVE-2021-44832MS17-010、CVE-2019-0708、CVE-2020-0796物理計算機鼠標(biāo)USB接收器主機接口漏洞、物理環(huán)境漏洞Razer鼠標(biāo)本地權(quán)限升級（LPE）漏洞LogitechUnifyingUSB接收器漏洞（CVE-2019-13054）CVE簡介什么是CVE？01.CVE（通用漏洞披露）=CommonVulnerabilitiesandExposures，是一個安全項目，它由美國國土安全部資助，Mitre公司進行維護主要關(guān)注公開發(fā)布的軟件漏洞。02.03.04.05.一旦漏洞被記錄下來，Mitre就會為其提供一個唯一的ID。具體某一個漏洞的編號：CVE+年份+4位隨機數(shù)字(也有5位數(shù)字的情況)。如：CVE-2018-7600CVE可以從商業(yè)編號機構(gòu)（非政府機構(gòu)）獲取其數(shù)字ID，這些機構(gòu)將編號用于其自身的產(chǎn)品中以便發(fā)現(xiàn)漏洞和風(fēng)險。現(xiàn)在的安全工具，比如漏掃，都支持或者兼容CVE漏洞，就是CVE里有的漏洞，它都能作為漏洞庫進行檢測。CVE特點CVE的特點50為每個漏洞和暴露確定了唯一的名稱給每個漏洞和暴露一個標(biāo)準(zhǔn)化的描述不是一個數(shù)據(jù)庫，而是一個字典任何完全迥異的漏洞庫都可以用同一個語言表述由于語言統(tǒng)一，可以使得安全事件報告更好地被理解，實現(xiàn)更好的協(xié)同工作可以成為評價相應(yīng)工具和數(shù)據(jù)庫的基準(zhǔn)非常容易從互聯(lián)網(wǎng)查詢和下載安全漏洞產(chǎn)生的原因1、技術(shù)原因軟件系統(tǒng)規(guī)模的迅速膨脹及內(nèi)部結(jié)構(gòu)的日益復(fù)雜，直接導(dǎo)致軟件系統(tǒng)復(fù)雜性的提高，使軟件系統(tǒng)質(zhì)量難以控制，安全性降低。2、經(jīng)濟原因軟件系統(tǒng)開發(fā)過程需要研發(fā)人員投入大量的人力和物力。軟件開發(fā)過程中考慮的安全問題越多，需要投入的人數(shù)就會越多，成本就會越高。因此從經(jīng)濟的角度考慮，軟件系統(tǒng)開發(fā)的過程不可避免的會引入安全漏洞。安全漏洞產(chǎn)生的原因3、環(huán)境原因4、安全缺陷軟件系統(tǒng)的運行環(huán)境發(fā)生了改變。從傳統(tǒng)的封閉、靜態(tài)和可控變?yōu)殚_放、動態(tài)和難控。在這樣的應(yīng)用環(huán)境下，不僅會產(chǎn)生更多的漏洞類型和數(shù)量，而且漏洞產(chǎn)生的危害和影響要遠遠超過在非網(wǎng)絡(luò)或同構(gòu)網(wǎng)絡(luò)環(huán)境下的漏洞的危害和影響程度。安全缺陷是軟件、硬件或協(xié)議在開發(fā)維護和運行使用階段產(chǎn)生的安全錯誤實例。安全缺陷存在于軟件系統(tǒng)生命周期的各個階段。2021年12月10日凌晨，被全球廣泛應(yīng)用的組件ApacheLog4j被曝出一個高危漏洞，攻擊者僅需一段代碼就可遠程控制受害者服務(wù)器。經(jīng)專家研判，該漏洞影響范圍極大，且利用方式十分簡單，攻擊者僅需向目標(biāo)輸入一段代碼，不需要用戶執(zhí)行任何多余操作即可觸發(fā)該漏洞，使攻擊者可以遠程控制用戶受害者服務(wù)器，90%以上基于java開發(fā)的應(yīng)用平臺都會受到影響，全球范圍內(nèi)的大多數(shù)科技公司都可能會受到影響，如百度、蘋果公司等。1、上述案例屬于什么攻擊類型？2、若系統(tǒng)存在上述漏洞并被攻擊后，系統(tǒng)會被如何操作？案例分析02安全漏洞的分類按漏洞成因分類邊界條件錯誤處理邏輯錯誤對象驗證錯誤環(huán)境錯誤數(shù)據(jù)驗證錯誤同步錯誤配置錯誤其他訪問驗證錯誤意外處理錯誤設(shè)計缺陷安全漏洞按照形成原因，可分為以下類別：--《GB∕T33561-2017信息安全技術(shù)安全漏洞分類》按漏洞空間分類--《GB∕T33561-2017信息安全技術(shù)安全漏洞分類》安全漏洞按空間，可分為以下類別：1應(yīng)用層2系統(tǒng)層3網(wǎng)絡(luò)層安全漏洞可處于計算機信息系統(tǒng)的各個層面，應(yīng)用層漏洞主要來自應(yīng)用軟件或數(shù)據(jù)的缺陷，如Web程序、數(shù)據(jù)庫軟件、各種應(yīng)用軟件等。系統(tǒng)層漏洞主要來自計算機操作系統(tǒng)的缺陷，如桌面操作系統(tǒng)、服務(wù)器操作系統(tǒng)、嵌入式操作系統(tǒng)、網(wǎng)絡(luò)操作系統(tǒng)等。網(wǎng)絡(luò)層漏洞主要來自網(wǎng)絡(luò)的缺陷，如網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源訪問控制、數(shù)據(jù)傳輸保密與完整性、遠程接入安全、域名系統(tǒng)安全和路由系統(tǒng)安全等。01020304安全漏洞按時間，可分為以下類別：按漏洞時間分類--《GB∕T33561-2017信息安全技術(shù)安全漏洞分類》生成階段發(fā)現(xiàn)階段利用階段修補階段按漏洞時間分類生成階段在計算機信息系統(tǒng)的分析設(shè)計、開發(fā)實現(xiàn)、配置運維過程引入缺陷或錯誤等問題，存在的問題在執(zhí)行時形成了安全漏洞，可分為以下類別。01.分析設(shè)計開發(fā)實現(xiàn)配置運維在計算機信息系統(tǒng)的需求分析與設(shè)計過程中，由于缺乏風(fēng)險分析，引用不安全的對象，強調(diào)易用和功能、性能使得安全性折中等因素而產(chǎn)生安全漏洞。在計算機信息系統(tǒng)的開發(fā)過程中，由于開發(fā)人員在技術(shù)實現(xiàn)中有意或者無意引入缺陷產(chǎn)生安全漏洞。在計算機信息系統(tǒng)的運行維護過程中，由于運維人員處理計算機信息系統(tǒng)相互關(guān)聯(lián)、配置、結(jié)構(gòu)不當(dāng)?shù)仍虍a(chǎn)生安全漏洞。02.發(fā)現(xiàn)階段安全漏洞首次被漏洞發(fā)現(xiàn)者、使用者或廠商識別，可分為以下類別。未確認(rèn)安全漏洞首次被發(fā)現(xiàn)，并未給出漏洞資料和可以確認(rèn)漏洞成因、危害等證據(jù)。待確認(rèn)已確認(rèn)安全漏洞由漏洞發(fā)現(xiàn)者報告廠商或漏洞管理組織，具有漏洞分析報告或能夠重現(xiàn)漏洞的場景。安全漏洞由漏洞發(fā)現(xiàn)者、使用者或廠商正式確認(rèn)或者發(fā)布，具有標(biāo)識與描述等相關(guān)信息。按漏洞時間分類利用階段03.全漏洞按照信息驗證、公開、利用及信息擴散范圍，可分為以下類別：未驗證驗證未公開公開安全漏洞沒有可驗證的方法，其成因、危害不可重現(xiàn)。安全漏洞已有可驗證的方法，其成因、危害可被重現(xiàn)。安全漏洞相關(guān)信息未向公眾發(fā)布，擴散范圍有限。安全漏洞的相關(guān)信息已向公眾發(fā)布。按漏洞時間分類04.修補階段安全漏洞按照修補狀態(tài)，可分為以下類別：未修補臨時修補正式修補漏洞發(fā)現(xiàn)后，尚未進行任何修補。漏洞發(fā)現(xiàn)后，采用臨時應(yīng)急修補方案，該方案可能會以損失功能性為代價，但漏洞并未得到實際修補。漏洞發(fā)現(xiàn)后，經(jīng)測試確認(rèn)并提供修補方案或補丁程序，保證計算機信息系統(tǒng)的正常使用。按漏洞時間分類03安全漏洞的發(fā)展趨勢漏洞挖掘利益化發(fā)現(xiàn)者從最初的好奇與技術(shù)炫耀逐漸向有強大經(jīng)濟利益推動的產(chǎn)業(yè)化方向發(fā)展。據(jù)統(tǒng)計，95%的APT攻擊均為利益驅(qū)使（如：勒索軟件）。大部分企業(yè)被黑客竊取的數(shù)據(jù)信息，會被放到黑市上售賣（如：暗網(wǎng)）。利益化趨勢“暗網(wǎng)”某交易平臺正在出售數(shù)據(jù)一個漏洞信息或是補丁被發(fā)布后，會立即引來攻擊者對其進行分析與研究，從而導(dǎo)致利用腳本很快出現(xiàn)。當(dāng)某種利用方案被公開或開始傳播之后，通常也會立即被分析，從而導(dǎo)致漏洞信息的公開與發(fā)布。漏洞的利用更加迅速ApacheLog4j2遠程執(zhí)行代碼漏洞被披露僅11天后，已有攻擊者利用此漏洞成功攻擊比利時國防部計算機網(wǎng)絡(luò)。Log4j2漏洞事件演進時間線根據(jù)國家信息安全漏洞庫(CNNVD)的統(tǒng)計資料，傳統(tǒng)軟硬件廠商漏洞數(shù)量居高不下，移動系統(tǒng)漏洞數(shù)量持續(xù)增長。軟硬件安全漏洞的數(shù)量日益增長信息安全產(chǎn)品自身漏洞頻繁出現(xiàn)知名殺毒軟件、安全防護軟件連續(xù)爆出嚴(yán)重漏洞，安全軟件不安全任天行網(wǎng)絡(luò)安全管理系統(tǒng)內(nèi)置報表存在任意文件下載漏洞(CNVD-2021-46911)奇安信天擎終端安全管理系統(tǒng)存在前臺SQL注入漏洞(CNVD-2021-32799)McAfee、卡巴斯基、Sophos、Eset、RAV本章介紹了安全漏洞的概念、常見的安全漏洞以及安全漏洞產(chǎn)生的原因。常見安全漏洞可以分為：按漏洞成因、按漏洞空間、按漏洞時間三大類。目前，安全漏洞的發(fā)展趨勢，呈現(xiàn)出：漏洞的發(fā)現(xiàn)與挖掘利益化、漏洞的利用更加迅速、軟硬件安全漏洞的數(shù)量日益增長、信息安全產(chǎn)品自身漏洞頻繁出現(xiàn)等趨勢。總結(jié)01.02.03.電腦安裝了殺毒軟件是否一定就是安全的？為什么？1思考題謝謝第2節(jié)安全漏洞的檢測與修復(fù)第3章目

錄01安全漏洞的檢測02安全漏洞的修復(fù)01安全漏洞的檢測安全漏洞檢測技術(shù)漏洞檢測分類已知漏洞的檢測未知漏洞的檢測已知漏洞的檢測主要是通過安全掃描技術(shù)，檢測系統(tǒng)是否存在已公布的安全漏洞未知漏洞檢測的目的在于發(fā)現(xiàn)軟件系統(tǒng)中可能存在但尚未發(fā)現(xiàn)的漏洞?，F(xiàn)有的未知漏洞檢測技術(shù)有以下幾種源代碼掃描反匯編掃描環(huán)境錯誤注入安全掃描也稱為脆弱性評估（VulnerabilityAssessment），其基本原理是采用模擬黑客攻擊的方式對目標(biāo)可能存在的已知安全漏洞進行逐項檢測，可以對工作站、服務(wù)器、交換機、數(shù)據(jù)庫等各種對象進行安全漏洞檢測。安全漏洞掃描針對已知漏洞的檢測安全漏洞掃描原理源代碼掃描主要針對開放源代碼的程序，通過檢查程序中不符合安全規(guī)則的文件結(jié)構(gòu)、命名規(guī)則、函數(shù)、堆棧指針等，進而發(fā)現(xiàn)程序中可能隱含的安全缺陷。這種漏洞分析技術(shù)需要熟練掌握編程語言，并預(yù)先定義出不安全代碼的審查規(guī)則，通過表達式匹配的方法檢查源程序代碼。針對未知漏洞的檢測源代碼掃描源代碼掃描原理反匯編掃描反匯編掃描反匯編掃描對于不公開源代碼的程序來說往往是最有效的發(fā)現(xiàn)安全漏洞的辦法。分析反匯編代碼需要有豐富的經(jīng)驗，也可以使用輔助工具來幫助簡化這個過程，但不可能有一種完全自動的工具來完成這個過程。例如，利用反匯編程序IDA就可以得到目標(biāo)程序的匯編腳本語言，再對匯編出來的腳本語言進行掃描，進而識別一些可疑的匯編代碼序列。環(huán)境錯誤注入環(huán)境錯誤注入總結(jié)環(huán)境錯誤注入指的是，在軟件運行的環(huán)境中故意注入人為的錯誤，并驗證反應(yīng)，這是驗證計算機和軟件系統(tǒng)的容錯性、可靠性的一種有效方法。在測試過程中，錯誤被注入到環(huán)境中，所以產(chǎn)生了干擾。上述幾種檢測方法中，安全掃描技術(shù)主要是針對已知漏洞的檢測，后面三種主要是針對未知漏洞的檢測。對于未知漏洞的檢測，源代碼掃描、反匯編掃描屬于靜態(tài)檢測技術(shù)，而環(huán)境錯誤注入屬于動態(tài)檢測技術(shù)。02安全漏洞的修復(fù)漏洞修復(fù)前的準(zhǔn)備常見漏洞修復(fù)的方法操作系統(tǒng)漏洞更新/升級版本、安裝補丁、安裝防火墻或其他安全防護設(shè)備應(yīng)用程序漏洞更新/升級版本、安裝補丁Web網(wǎng)站漏洞修改源代碼、安裝WAF或其他安全防護設(shè)備什么是補??？對于操作系統(tǒng)而言，補?。≒atch）指的是：解決系統(tǒng)漏洞問題的程序。常見系統(tǒng)補丁分類高危漏洞補丁軟件安全更新補丁可選的高危漏洞補丁其他及功能性更新補丁無效補?。ㄒ堰^期補丁、已忽略補丁、已屏蔽補?。┞┒葱迯?fù)的注意事項為什么要安裝補丁？安裝補丁是漏洞修復(fù)的技術(shù)手段之一。數(shù)據(jù)顯示，及時安裝有效補丁可避免約95%的信息安全損失。補丁修復(fù)中存在的兩難問題打什么樣的補??？——補丁質(zhì)量問題如何打補??？——操作方式問題什么時間打補丁？——修復(fù)時機問題漏洞修復(fù)的方式WindowsMS17-010漏洞補丁文件01.手動補丁修復(fù)補丁存在方式的分類從文件類型角度以源代碼形式存在以二進制形式存在從內(nèi)存角度文件補?。ɡ溲a?。﹥?nèi)存補丁（熱補?。┤绾蜗螺d補丁01.手動補丁修復(fù)訪問/zh-cn/download/windows.aspx進入微軟補丁下載頁面漏洞修復(fù)的方式如何安裝補丁01.手動補丁修復(fù)在微軟官網(wǎng)下載補丁文件后，雙擊補丁程序，最后重啟系統(tǒng)即可。漏洞修復(fù)的方式打開漏洞修補工具（電腦管家、安全衛(wèi)士），找到“漏洞修復(fù)”功能即可下載。2.第三方軟件補丁修復(fù)如何下載補丁漏洞修復(fù)的方式2.第三方軟件補丁修復(fù)在漏洞修補工具（電腦管家、安全衛(wèi)士），單擊“安裝”按鈕，即可下載并安裝補丁。如何安裝補丁漏洞修復(fù)的方式漏洞檢測及修復(fù)案例永恒之藍是指2017年4月14日晚，黑客團體ShadowBrokers（影子經(jīng)紀(jì)人）公布一大批網(wǎng)絡(luò)攻擊工具，其中包含“永恒之藍”工具，“永恒之藍”利用Windows系統(tǒng)的SMB協(xié)議漏洞可以獲取系統(tǒng)最高權(quán)限。5月12日，不法分子通過改造“永恒之藍”制作了wannacry勒索病毒，英國、俄羅斯、整個歐洲以及中國國內(nèi)多個高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機構(gòu)專網(wǎng)中招，被勒索支付高額贖金才能解密恢復(fù)文件。MS17-010遠程溢出漏洞是SMB協(xié)議漏洞之一，是通過TCP端口445和139來利用SMBv1和NBT中的遠程代碼執(zhí)行漏洞。利用該漏洞，惡意代碼會掃描開放445文件共享端口的Windows機器，攻擊者可以不需要身份驗證就能夠獲得系統(tǒng)的SYSTEM權(quán)限，通過專門制作的數(shù)據(jù)包來執(zhí)行任意代碼。案例背景MetasploitFramework（簡稱MSF）是一款開源的安全漏洞檢測框架，可以幫助安全和IT專業(yè)人士識別安全性問題，提供真正的安全風(fēng)險情報。模塊是通過Metasploit框架所裝載、集成并對外提供的最核心的滲透測試功能實現(xiàn)代碼。分為滲透攻擊模塊（Exploits)、輔助模塊（Aux)、攻擊載荷模塊（Payloads)、空指令模塊（Nops)、編碼器模塊（Encoders)、后滲透攻擊模塊（Post)。這些模塊擁有非常清晰的結(jié)構(gòu)和一個預(yù)定義好的接口，并可以組合支持信息收集、滲透攻擊與后滲透攻擊拓展。

MSF常用工具：

msfconsole（MSF接口，用于進入MSF框架）、msfvenom（可將攻擊載荷封裝成各種形式，如：exe、PHP、Java、apk、C、Python等）。前提準(zhǔn)備漏洞檢測及修復(fù)案例STEP3STEP1STEP2注：有關(guān)漏洞檢測與修復(fù)的詳細操作步驟，請參閱第三章/Windows遠程代碼執(zhí)行漏洞檢測與修復(fù).mp4MS17-010漏洞檢測與修復(fù)利用MSF掃描模塊檢測漏洞是否存在配置組策略禁止對445端口訪問（臨時修復(fù)）漏洞修復(fù)結(jié)果檢測安裝漏洞補丁（永久修復(fù)）漏洞修復(fù)結(jié)果檢測STEP5STEP4漏洞檢測及修復(fù)案例本章介紹了安全漏洞的檢測及分析方法、安全漏洞的修復(fù)方法。常見安全漏洞檢測方法有：安全漏洞掃描、源代碼掃描、反匯編掃描、環(huán)境錯誤注入。漏洞修復(fù)一般通過升級版本和安裝補丁進行修復(fù)，可以通過手動和第三方軟件修復(fù)?？偨Y(jié)01.01.02.02.01.03.系統(tǒng)漏洞的補丁文件，是否一定要在官網(wǎng)下載？能否在第三方下載站下載？1思考題謝謝第3節(jié)惡意代碼概述第3章目

錄01惡意代碼的概念02惡意代碼的種類03常見惡意代碼的工作機制04常見惡意代碼的傳播方式01惡意代碼的概念什么是惡意代碼？定義惡意代碼是指能夠引起計算機故障，破壞計算機數(shù)據(jù)，影響計算機系統(tǒng)的正常使用的程序代碼或指令?！袊畔踩珳y評中心惡意軟件也叫作惡意代碼，指所有對計算機用戶構(gòu)成危害的程序或者文件，具體包括計算機病毒、蠕蟲、特洛伊木馬等。通常使受害者的數(shù)據(jù)、應(yīng)用以及操作系統(tǒng)的機密性、完整性和可用性收到威脅?！狦B/T40652--20211949年：馮·諾依曼在《復(fù)雜自動機組織論》提出概念1983年：真正的惡意代碼在實驗室產(chǎn)生1986年：第一個PC病毒：Brainvirus2001年：“尼姆達”蠕蟲、“紅色代碼”蠕蟲2006年：“熊貓燒香”病毒2010年：“震網(wǎng)”病毒(工業(yè)蠕蟲)2017年：“WannaCry”勒索病毒2017年5月后：基本上為勒索類病毒的衍生版本（Petya、GandCrab5.2、WannaRen等）惡意代碼的發(fā)展歷程惡意代碼的發(fā)展趨勢1從傳播速度上來看惡意代碼爆發(fā)和傳播速度越來越快2從攻擊意圖來看從游戲、炫耀逐步轉(zhuǎn)向惡意牟利3從功能上來看惡意代碼的分工越來越細4從實現(xiàn)技術(shù)來看惡意代碼實現(xiàn)的關(guān)鍵技術(shù)不斷變化5從傳播范圍來看惡意代碼呈現(xiàn)多平臺傳播的特征02惡意代碼的種類惡意代碼分類01.03.04.02.分類計算機病毒（病毒）網(wǎng)絡(luò)蠕蟲（蠕蟲）特洛伊木馬（木馬）其他：后門、Rookit、僵尸網(wǎng)絡(luò)邏輯炸彈、間諜軟件、風(fēng)險程序2021年6月，東莞某三甲醫(yī)院遭受勒索病毒攻擊，導(dǎo)致全院系統(tǒng)癱瘓，嚴(yán)重影響市民就診，接到緊急報告后，應(yīng)急單位啟動應(yīng)急處置方法切斷攻擊源頭，使恢復(fù)系統(tǒng)，當(dāng)天上午十點醫(yī)院門診恢復(fù)正常。案例分析案例一案例二2019年5月17日，由于勒索病毒入侵到華容縣某醫(yī)院的病歷、檢驗系統(tǒng)服務(wù)器，造成該院病歷與檢驗系統(tǒng)的癱瘓，部分需要檢驗的病人無法進行正常檢驗，病人與家屬意見很大；部分來該院診療的病人也不得不到鄰近的華容縣中醫(yī)院或其他醫(yī)院診治。隱蔽性計算機病毒定義編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機正常使用，并能自我復(fù)制的一組計算機指令或者程序代碼。

——GB/T37090--2018特性附加在正常軟件或文檔中，如：word、照片、郵件、網(wǎng)頁。傳染性能夠自我復(fù)制，并把復(fù)制的病毒附加到無病毒程序中或替換磁盤引導(dǎo)區(qū)，使之成為新的病毒源，重復(fù)傳染過程。潛伏性破壞性滿足觸發(fā)條件才執(zhí)行惡意功能，如：特定日期。病毒侵入系統(tǒng)會對系統(tǒng)的運行造成不同程度的影響。計算機病毒計算機病毒的生命周期潛伏階段傳播階段觸發(fā)階段發(fā)作階段該階段病毒處于休眠狀態(tài)，這些病毒最終會被某些條件所激活。病毒程序?qū)⒆陨韽?fù)制到其他程序或磁盤的某個區(qū)域上，或者傳播到其他計算機中。病毒在被激活后，會執(zhí)行某一特定功能從而達到某種目的。病毒在觸發(fā)條件成熟時，即可在系統(tǒng)中發(fā)作。常見病毒CIH病毒

Melissa病毒

火焰病毒（Flame）網(wǎng)絡(luò)蠕蟲定義通過信息系統(tǒng)漏洞缺陷或信息系統(tǒng)使用者的弱點主動進行傳播的惡意程序。

——GB/T37090--2018網(wǎng)絡(luò)蠕蟲分類漏洞利用類蠕蟲口令破解類蠕蟲電子郵件類蠕蟲即時通信工具類蠕蟲IRC類蠕蟲P2P類蠕蟲本地蠕蟲2001年紅色代碼（CodeRed）和尼姆達（Nimda）2003年蠕蟲王（Slammer）、沖擊波（MSBlaster）2008年掃蕩波（saodangbo）、2010年震網(wǎng)（StuxNet）網(wǎng)絡(luò)蠕蟲熊貓燒香組成模塊探測模塊（probe）完成對特定主機的脆弱性檢測，決定采用何種攻擊滲透方式傳播模塊（transport）采用各種形式生成各種形態(tài)蠕蟲副本，在主機間完成副本傳遞蠕蟲引擎模塊（wormengine）決定采用何種搜索算法對本地或目標(biāo)網(wǎng)絡(luò)進行信息搜集負載模塊（payload）網(wǎng)絡(luò)蠕蟲內(nèi)部實現(xiàn)的偽代碼常見蠕蟲病毒特洛伊木馬定義主動與攻擊者通信，接收來自攻擊者的指令，并能夠根據(jù)指令對所在主機進行各種惡意操作的惡意程序。

——GB/T37090--2018特洛伊木馬分類遠程控制型木馬

信息竊取型木馬

破壞型木馬特洛伊木馬01.遠程控制型木馬完整的木馬程序一般由兩部分組成：一個是服務(wù)器端．一個是控制器端?？蛻舳耍河糜诠粽哌h程控制已植入木馬的計算機，或者獲取來自被植入木馬主機的數(shù)據(jù)。服務(wù)端：在用戶計算機中的木馬程序。危害遠程管理目標(biāo)主機的文件系統(tǒng)、服務(wù)、注冊表。通過遠程Shell進行命令操作或進一步植入功能更加強大的第三方惡意軟件。特洛伊木馬“灰鴿子”隱藏過程01.遠程控制型木馬冰河網(wǎng)絡(luò)神偷廣外女生網(wǎng)絡(luò)公牛黑洞上興彩虹橋PosionivyPCShare灰鴿子Melody...特洛伊木馬02.信息獲取型木馬組成部分客戶端：用于攻擊者遠程控制已植入木馬的計算機，或者獲取來自被植入木馬主機的數(shù)據(jù)。服務(wù)端：在用戶計算機中的木馬程序。獲取受害者電腦上相關(guān)個人信息為主要目的。危害典型的信息獲取型木馬卡巴斯基分類體系中木馬子類下的Trojan-Bank、Trojan-GameThief、Trojan-IM、Trojan-Spy、Trojan-PSW、Trojan-Mailfinder都可以歸于這一類別。特洛伊木馬02.信息獲取型木馬特洛伊木馬03.破壞型木馬危害對本地或遠程主機系統(tǒng)中的數(shù)據(jù)破壞、資源消耗為主。典型的破壞型木馬Trojan-DDoS、Trojan-Ransom、Trojan-ArcBomb等。后門開放特定端口，等待攻擊者連接，并接受攻擊者的指令執(zhí)行響應(yīng)的惡意操作的惡意程序。RootkitRootkit是一種特殊的惡意軟件，功能是在安裝目標(biāo)上隱藏自身及指定的文件、進程和網(wǎng)絡(luò)鏈接等信息，其一般都和木馬、后門等其他惡意程序結(jié)合使用。僵尸網(wǎng)絡(luò)主動與攻擊者通信，接受攻擊者的指令，并與其他感染此類惡意程序的主機一起對特定目標(biāo)發(fā)起攻擊的惡意程序。其他惡意代碼邏輯炸彈附著在其他軟件中，具有觸發(fā)執(zhí)行破壞能力的惡意程序。間諜軟件不知情下被安裝，執(zhí)行用戶非期望功能。風(fēng)險程序絕對不含有主動傳播行為的程序。其他惡意代碼03常見惡意代碼的工作機制惡意代碼的加載方式01.隨系統(tǒng)啟動而加載開始菜單中的啟動項啟動組包括那些隨著系統(tǒng)的啟動而啟動的應(yīng)用程序。01.隨系統(tǒng)啟動而加載啟動配置文件Autorun.batWin.iniSystem.ini過于明顯用戶登錄后才能啟動缺點惡意代碼的加載方式HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\loadHKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\UserinitHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce……01.隨系統(tǒng)啟動而加載注冊表加載位置Load鍵值Userinit鍵值RunRunServicesOnceRunServices隱蔽性強方式多樣注冊表啟動項優(yōu)勢惡意代碼的加載方式隱蔽性強無需用戶登錄權(quán)限較高01.隨系統(tǒng)啟動而加載服務(wù)單獨服務(wù)替換系統(tǒng)服務(wù)程序加載方式優(yōu)勢惡意代碼的加載方式01.隨系統(tǒng)啟動而加載組策略優(yōu)勢類似啟動項，但隱蔽性更高缺點需要用戶登錄惡意代碼的加載方式02.隨文件執(zhí)行加載方式感染/文件合并傳統(tǒng)病毒宏病毒程序合并惡意代碼的加載方式02.隨文件執(zhí)行加載方式隱蔽性強清理困難瀏覽器插件優(yōu)勢惡意代碼的加載方式02.隨文件執(zhí)行加載方式修改文件關(guān)聯(lián)正常情況下文本文件（.txt）關(guān)聯(lián)到記事本notepad.exe打開病毒修改文本文件（.txt）關(guān)聯(lián)到病毒文件打開優(yōu)勢隱蔽性強，可關(guān)聯(lián)任意類型文件，甚至可以關(guān)聯(lián)目錄操作惡意代碼的加載方式惡意代碼的隱藏技術(shù)惡意代碼進程隱藏技術(shù)-進程迷惑隨機進程名每次啟動生成不一樣的進程名，退出后無法查找系統(tǒng)進程類命名Windows.exe、System1.exe、Kernel.exe隨機進程名同名不同路徑的進程C:\windows\system32\iexplore.exe(木馬)C:\ProgramFiles\InternetExplorer\iexplore.exe(正常)名稱相近的程序svchost.exe(正常)svch0st.exe(木馬)惡意代碼進程隱藏技術(shù)-DLL注入什么是DLL注入？動態(tài)鏈接庫文件（DLL）注入技術(shù)是惡意代碼將DLL文件放進某個進程的地址空間里，讓它成為那個進程的一部分。DLL注入的優(yōu)勢無進程隱蔽性強清除難度大123惡意代碼的隱藏技術(shù)icmphttp80惡意代碼網(wǎng)絡(luò)隱藏技術(shù)-端口復(fù)用/無端口端口復(fù)用技術(shù)重復(fù)利用系統(tǒng)網(wǎng)絡(luò)打開的端口（如25、80、135和139等常用端口）傳送數(shù)據(jù)，這樣既可以欺騙防火墻，又可以少開新端口。端口復(fù)用是在保證端口默認(rèn)服務(wù)正常工作的條件下用，具有很強的欺騙性。無端口使用無端口的協(xié)議客戶機應(yīng)用服務(wù)器惡意代碼的隱藏技術(shù)端口反向連接技術(shù)，系指惡意代碼攻擊的服務(wù)端（被控制端）主動連接客戶端（控制端）。惡意代碼網(wǎng)絡(luò)隱藏技術(shù)-反彈端口攻擊者受害者攻擊者受害者惡意代碼的隱藏技術(shù)惡意代碼隱藏技術(shù)-系統(tǒng)隱藏默認(rèn)情況下，Windows不顯示隱藏文件和系統(tǒng)文件，惡意代碼將自身屬性設(shè)置為隱藏和系統(tǒng)文件以實現(xiàn)隱藏。惡意代碼的隱藏技術(shù)惡意代碼隱藏技術(shù)-流文件ADS(AlternateDataStreams)交換數(shù)據(jù)流NTFS文件系統(tǒng)下，每個文件都可以有多個數(shù)據(jù)流。一個文件以流的形式附加到另一個文件（載體）中，流文件對explorer.exe等文件管理軟件不可見，病毒可以利用此方式進行隱藏。惡意代碼的隱藏技術(shù)惡意代碼隱藏技術(shù)-流文件Hook（系統(tǒng)鉤子）鉤子機制允許應(yīng)用程序截獲處理window消息或特定事件。在目標(biāo)窗口處理消息前處理它。設(shè)置系統(tǒng)鉤子，勾取對文件及目錄操作獲得文件列表存放內(nèi)存地址獲取文件列表結(jié)果將病毒文件自身從列表結(jié)構(gòu)中刪除惡意代碼的隱藏技術(shù)惡意代碼的自我保護主程序被停止，重新啟動主程序重新啟動主進程從備份中還原惡意代碼進程保護-進程守護惡意代碼主程序?qū)崿F(xiàn)惡意代碼主功能守護程序監(jiān)視并保護主進程正常運行阻止主程序的退出重啟主程序從備份中還原主程序從網(wǎng)絡(luò)中重新下載主程序惡意代碼進程保護-設(shè)備驅(qū)動程序（超級權(quán)限）為什么是設(shè)備驅(qū)動程序？特點惡意代碼通過將自身注冊成為設(shè)備驅(qū)動，從而獲得較高權(quán)限，阻止反病毒軟件對它的查殺并干擾反惡意代碼軟件的正常運行。非常高的權(quán)限安全模式下可工作無法直接查殺……惡意代碼的自我保護檢測對抗技術(shù)-反動態(tài)調(diào)試動態(tài)調(diào)試的發(fā)現(xiàn)偽斷點校驗和發(fā)現(xiàn)調(diào)試檢測運行環(huán)境，發(fā)現(xiàn)調(diào)試工具反動態(tài)調(diào)試的實現(xiàn)封鎖鍵盤輸入和屏幕顯示中止調(diào)試軟件惡意代碼程序自動退出惡意代碼的自我保護UPX加殼程序檢測對抗技術(shù)-反靜態(tài)調(diào)試反靜態(tài)調(diào)試的實現(xiàn)加殼對惡意代碼的可執(zhí)行二進制程序進行壓縮，使其執(zhí)行流程發(fā)生變化。隨著加密密鑰的變化，惡意代碼會產(chǎn)生不同的表現(xiàn)形式，進一步提高了其抗靜態(tài)分析的能力。加密通過插入偽指令、混淆程序數(shù)據(jù)和控制流等方法，防止靜態(tài)分析和檢測。代碼混淆惡意代碼的自我保護04常見惡意代碼的傳播方式惡意代碼的傳播途徑[AutoRun]OPEN=Autorun.exeICON=icon.ico惡意代碼傳播方式-移動存儲自動播放功能Windows默認(rèn)自動執(zhí)行autorun.inf指定的文件設(shè)置組策略編輯器惡意代碼傳播方式-文件傳播文件感染軟件捆綁強制安裝

在安裝其他軟件時被強制安裝上默認(rèn)安裝

在安裝其他軟件是被默認(rèn)安裝上惡意代碼的傳播途徑惡意代碼傳播方式-網(wǎng)頁1將木馬偽裝為頁面元素2利用腳本運行的漏洞3偽裝為缺失的組件4通過腳本運行調(diào)用某些com組件5利用軟件漏洞例如：在渲染頁面內(nèi)容的過程中利用格式溢出釋放或下載木馬惡意代碼的傳播途徑惡意代碼傳播方式-郵件社會工程學(xué)利用系統(tǒng)及郵件客戶端漏洞欺騙性標(biāo)題吸引人的標(biāo)題Iloveyou病毒庫娃……尼姆達（畸形郵件MIME頭）……惡意代碼的傳播途徑惡意代碼傳播方式-通訊與數(shù)據(jù)傳播即時通訊偽裝即時通訊中的用戶向其聯(lián)系人發(fā)送消息。使用欺騙性或誘惑性的字眼。P2P下載偽造有效資源進行傳播。惡意代碼的傳播途徑共享文件夾惡意代碼傳播方式-共享管理共享用戶共享典型病毒C盤、D盤……Windows安裝目錄用戶設(shè)置的共享LovegateSpybotSdbot……惡意代碼的傳播途徑被攻擊系統(tǒng)攻擊者惡意代碼傳播方式-主動放置利用系統(tǒng)提供的上傳渠道(FTP、論壇等)攻擊者已經(jīng)獲得系統(tǒng)控制權(quán)攻擊者是系統(tǒng)開發(fā)者......惡意代碼的傳播途徑惡意代碼傳播方式-通訊與數(shù)據(jù)傳播利用各種系統(tǒng)漏洞惡意代碼傳播方式-軟件漏洞利用各種系統(tǒng)漏洞利用服務(wù)漏洞緩沖區(qū)溢出：沖擊波、振蕩波IIS的unicode解碼漏洞：紅色代碼......惡意代碼的傳播途徑本章介紹了惡意代碼的概念、發(fā)展歷程、發(fā)展趨勢、分類、工作機制、傳播方式等內(nèi)容。惡意代碼包括計算機病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬和其他惡意代碼。惡意代碼包含有：移動介質(zhì)、文件傳播、網(wǎng)絡(luò)傳播、主動放置、軟件漏洞等傳播途徑。總結(jié)01.01.02.02.01.03.病毒（Virus）和蠕蟲（Worm）最大的區(qū)別是什么？1思考題謝謝第4節(jié)惡意代碼的檢測分析第3章目

錄01惡意代碼的檢測02惡意代碼的分析01惡意代碼的檢測常見惡意代碼的檢測方法特征碼掃描應(yīng)用最廣泛的惡意代碼檢測技術(shù)工作機制：特征匹配病毒庫（惡意代碼特征庫）掃描（特征匹配過程）優(yōu)點準(zhǔn)確(誤報率低)易于管理缺點效率問題（特征庫不斷龐大、依賴廠商）滯后（先有病毒后有特征庫，需要持續(xù)更新）特征碼掃描工具源代碼特征碼掃描結(jié)果特征碼掃描基于Python的惡意代碼特征碼掃描工具工具特點根據(jù)常見病毒特征碼進行檢測常見惡意代碼的檢測方法沙箱沙箱技術(shù)工作機制：在虛擬環(huán)境中觸發(fā)惡意代碼樣本置于沙箱中，觸發(fā)樣本表現(xiàn)出惡意行為對樣本進行惡意性判定和行為特征的揭示本地程序可疑程序操作系統(tǒng)和本地資源可疑程序優(yōu)點能發(fā)現(xiàn)高級惡意代碼（如：加殼混淆惡意代碼）能捕獲惡意代碼運行行為缺點部署沙箱技術(shù)的方式存在固有缺陷常見惡意代碼的檢測方法某個木馬行為分析結(jié)果行為檢測工作機制：基于統(tǒng)計數(shù)據(jù)惡意代碼行為有哪些行為符合度優(yōu)點缺點能檢測到未知病毒易于管理誤報率高（因為惡意代碼行為及正常軟件行為識別存在一定難度）難點：病毒不可判定原則常見惡意代碼的檢測方法02惡意代碼的分析惡意代碼分析技術(shù)惡意代碼分析技術(shù)-靜態(tài)分析概念程序靜態(tài)分析（ProgramStaticAnalysis）是指在不運行代碼的方式下，通過詞法分析、語法分析、控制流、數(shù)據(jù)流分析等技術(shù)對程序代碼進行分析，驗證代碼是否滿足規(guī)范性、安全性、可靠性、可維護性等指標(biāo)的一種代碼分析技術(shù)。優(yōu)點不需要運行惡意代碼，不會影響運行環(huán)境的安全。可以分析惡意代碼的所有執(zhí)行路徑。隨著復(fù)雜度的提高，執(zhí)行路徑數(shù)量龐大，冗余路徑增多，分析效率較低。缺點惡意代碼分析技術(shù)-動態(tài)分析概念動態(tài)分析技術(shù)是指在虛擬運行環(huán)境里，運行程序代碼并使用監(jiān)控及測試軟件分析的技術(shù)。若運行的程序代碼為惡意代碼，最終可檢測出惡意代碼行為。優(yōu)點缺點針對性強具有較高的準(zhǔn)確性由于分析過程中覆蓋的執(zhí)行路徑有限，分析的完整性難以保證。惡意代碼分析技術(shù)靜態(tài)分析技術(shù)文件名分析文件長度特征文件位置特征文件時間特征文件版本特征數(shù)字簽名程序形態(tài)特征常規(guī)分析格式分析PE信息API查看字符串信息資源信息靜態(tài)分析技術(shù)代碼分析樣本文件格式：PE文件（.exe、.dll）、腳本文件等。PE信息分析(是否加殼、加殼類型等)API調(diào)用附加數(shù)據(jù)分析（字符串、資源）常用靜態(tài)分析工具：IDAPro（交互式反匯編器專業(yè)版）動態(tài)分析技術(shù)動態(tài)分析的常見方法-程序功能分析在進行程序代碼動態(tài)分析時，需要根據(jù)程序的功能來判斷程序運行流程，并且需要在其中找出問題代碼的關(guān)鍵點，找到關(guān)鍵點后，即可進行下一步的調(diào)試。程序代碼動態(tài)分析關(guān)鍵判斷點是否進行API的調(diào)用是否進行文件的讀寫：包括新增內(nèi)容、刪除內(nèi)容、改動內(nèi)容是否進行注冊表的讀寫：新增注冊表、刪除注冊表、改動注冊表是否進行內(nèi)核的調(diào)用動態(tài)分析技術(shù)動態(tài)分析的常見方法-代碼行為分析通過分析程序的功能找到關(guān)鍵點后，還需要分析代碼的攻擊行為，根據(jù)攻擊行為可以進一步判斷是否為包含惡意帶代碼的攻擊程序。常見惡意代碼行為本地行為網(wǎng)絡(luò)行為傳播方式運行位置感染方式其他結(jié)果為惡意代碼查殺防御提供支撐！動態(tài)分析技術(shù)OllyDbg調(diào)試工具文件列表在動態(tài)分析技術(shù)中最重要的工具是調(diào)試器，分為如下兩種用戶模式例如：OllyDbg、x64dbg等。內(nèi)核模式例如：WinDbg。惡意代碼分析工具經(jīng)過UPX加殼的程序程序查殼工具-PEiD工具簡介PEiD可以用來檢測加殼器的類型或用來鏈接應(yīng)用程序的編譯器類型。使用方法直接載入惡意代碼文件即可。結(jié)果分析類似工具若掃描成功，會在文本框給出所加殼的信息。當(dāng)文本框不顯示時，可以看EP節(jié)點名字，可能就是所加殼的類型。ExeinfoPE惡意代碼分析工具注：通過IDAPro完整地分析惡意代碼程序，需要具備大量計算機基礎(chǔ)知識（匯編語言、C語言等），難度很大。IDAPro工具工作界面靜態(tài)分析工具-IDAPro工具簡介IDAPro是一款靜態(tài)反編譯軟件，主要通過反編譯、調(diào)試對程序代碼進行分析或進行漏洞研究。使用方法安裝工具后載入需要分析的程序即可。IDA反匯編流程確定需要進行反匯編的代碼區(qū)域逐條讀取指令，查表，輸出匯編語言描述符確定各個函數(shù)的起始和結(jié)束位置類似工具GhidraOllyDbg工具工作界面注：通過OllyDbg完整地調(diào)試惡意代碼程序，需要具備大量計算機基礎(chǔ)知識，難度較大。惡意代碼分析工具動態(tài)分析工具-OllyDbgOllyDbg是當(dāng)前主流的動態(tài)跟蹤調(diào)試工具，通過OllyDbg可以動態(tài)分析程序的運行過程及動態(tài)。OllyDbg常被用來破解軟件。免安裝版直接打開工具載入調(diào)試程序即可。嘗試正常運行程序判斷程序關(guān)鍵功能點判斷是否加殼進行程序運行流程調(diào)試X64Dbg、WinDbg、SoftICE工具簡介使用方法類似工具OllyDbg動態(tài)調(diào)試流程惡意代碼分析工具Web惡意代碼分析-Wireshark工具簡介Wireshark是一款網(wǎng)絡(luò)數(shù)據(jù)包分析工具。通過Wireshark可以分析網(wǎng)絡(luò)層的數(shù)據(jù)包詳細內(nèi)容，也可以分析應(yīng)用層的數(shù)據(jù)包（如：網(wǎng)站瀏覽數(shù)據(jù)）。使用方法選擇指定網(wǎng)絡(luò)接口開啟數(shù)據(jù)監(jiān)聽并分析。Wireshark流程捕獲數(shù)據(jù)包篩選分析條件分析數(shù)據(jù)包類似工具TcpDump（Linux平臺）持久性后門分析粘滯鍵后門腳本粘滯鍵后門啟動效果注：有關(guān)于后門分析的詳細操作步驟，請參閱第三章/持久性后門安全分析.mp4Windows常見后門-粘滯鍵后門后門簡介粘滯鍵指的是電腦使用中的一種快捷鍵，主要功能是方便Shift等鍵的組合使用。攻擊者利用粘滯鍵調(diào)用的特性，將cmd.exe植入到系統(tǒng)，形成持久性后門。植入方式攻擊者通常會在入侵系統(tǒng)后，通過遠程執(zhí)行命令或腳本植入后門，也會通過其他方式（如：釣魚郵件、釣魚網(wǎng)站等）誘導(dǎo)用戶植入。STEP1網(wǎng)站木馬動態(tài)分析注：有關(guān)于網(wǎng)站木馬分析的詳細操作步驟，請參閱第三章/利用流量分析工具分析網(wǎng)站木馬攻擊行為.mp4一句話木馬分析打開需要分析的數(shù)據(jù)包STEP2分析木馬連接地址STEP3分析木馬入口密碼STEP4分析攻擊者的操作行為講解了常見惡意代碼的檢測方法，如特征碼掃描、沙箱技術(shù)、行為檢測等；介紹靜態(tài)分析、動態(tài)分析的概念以及具體分析方法。講解常用的惡意代碼分析工具?？偨Y(jié)01.01.02.02.03.03.靜態(tài)分析技術(shù)常規(guī)分析方法有哪些？1思考題謝謝第5節(jié)惡意代碼防范第3章目

錄01惡意代碼的查殺方法02惡意代碼的防范措施01惡意代碼的查殺方法手動清除惡意代碼惡意代碼清除技術(shù)-感染引導(dǎo)區(qū)從備份修復(fù)引導(dǎo)區(qū)重建主引導(dǎo)區(qū)（FDISK/MBR）手動清除惡意代碼正常代碼惡意代碼正常代碼惡意代碼正常代碼惡意代碼附著型惡意代碼清除替換型惡意代碼清除惡意代碼清除技術(shù)-感染文件附著型逆向還原（從正常文件中刪除惡意代碼）替換型備份還原（正常文件替換感染文件）手動清除惡意代碼惡意代碼清除技術(shù)-獨立文件獨立可執(zhí)行程序（.exe等）終止進程、刪除獨立依附型（.dll.sys）內(nèi)存退出、刪除工具清除惡意代碼以騰訊電腦管家為例惡意代碼查殺工具常用工具360安全殺毒騰訊電腦管家火絨安全查殺方式快速查殺最容易感染病毒的關(guān)鍵位置全盤查殺指定位置查殺工具清除惡意代碼惡意代碼查殺工具查殺方式快速查殺全盤查殺掃描系統(tǒng)所有文件指定位置查殺工具清除惡意代碼惡意代碼查殺工具查殺方式快速查殺全盤查殺指定位置查殺關(guān)鍵位置內(nèi)存、啟動項、系統(tǒng)設(shè)置、常用軟件常用位置

自定義文件夾、系統(tǒng)桌面、磁盤、移動介質(zhì)工具清除惡意代碼注：在線查殺方式僅限于檢查支持上傳的惡意代碼文件。惡意代碼查殺工具-在線查殺在線查殺平臺VirustotalVirScan騰訊哈勃分析系統(tǒng)微步云沙箱工具清除惡意代碼惡意代碼查殺工具-在線查殺Virustotal查殺對象muma.exe文件步驟訪問Virustotal地址->上傳惡意代碼文件->分析掃描結(jié)果。（70款引擎，58款判斷為惡意文