2024年-C惡意代碼分類學(xué)習(xí)課件

軟件安全

C8惡意代碼及其分類1

本講提綱8.1惡意代碼的定義與發(fā)作趨勢(shì)8.2惡意代碼的功能8.3惡意代碼的分類28.1惡意代碼的定義與發(fā)作趨勢(shì)惡意代碼（MaliciousCode，或MalCode），也稱惡意軟件（MalWare）。設(shè)計(jì)目的是用來(lái)實(shí)現(xiàn)惡意功能的代碼或程序。正常軟件也會(huì)引發(fā)安全問(wèn)題，但絕大多數(shù)情況下并非作者有意。3惡意代碼發(fā)作趨勢(shì)42010年金山數(shù)據(jù)5移動(dòng)智能終端惡意軟件增長(zhǎng)迅猛62011－2013年移動(dòng)惡意軟件累計(jì)增長(zhǎng)數(shù)量情況2011－2013年安天實(shí)驗(yàn)室歷年移動(dòng)惡意軟件累計(jì)數(shù)量統(tǒng)計(jì)圖

7X臥底－移動(dòng)智能終端威脅的始作俑者8NSA－ANT工具箱

－APT攻擊成為關(guān)注重點(diǎn)98.2惡意代碼的功能攻擊目的是什么？攻擊目標(biāo)有哪些？攻擊手段有哪些？108.2.1攻擊目的惡作劇、炫耀等經(jīng)濟(jì)利益商業(yè)競(jìng)爭(zhēng)政治目的軍事目的等11黑色產(chǎn)業(yè)鏈－示意圖12黑色產(chǎn)業(yè)鏈－運(yùn)轉(zhuǎn)模式138.2.2攻擊目標(biāo)個(gè)人計(jì)算機(jī)服務(wù)器移動(dòng)智能終端手機(jī)、平板等智能設(shè)備特斯拉汽車、智能家居、智能手表等通信設(shè)備路由器、交換機(jī)等安全設(shè)備等防火墻、IDS、IPS、VDS等攻擊目標(biāo)范圍：定點(diǎn)攻擊郵件、IP、域名、QQ等服務(wù)器列表、特定人員名單等群體性殺傷掛馬攻擊、釣魚攻擊病毒、蠕蟲自動(dòng)擴(kuò)散148.2.3攻擊手段－如何達(dá)到攻擊目的？獲取數(shù)據(jù)靜態(tài)數(shù)據(jù)：文件、數(shù)據(jù)庫(kù)等；動(dòng)態(tài)數(shù)據(jù)：口令、內(nèi)存、計(jì)算機(jī)網(wǎng)絡(luò)流量、通信網(wǎng)絡(luò)數(shù)據(jù)、可移動(dòng)存儲(chǔ)介質(zhì)、隔離電腦等；破壞系統(tǒng)數(shù)據(jù)：刪除、修改數(shù)據(jù)；系統(tǒng)服務(wù)：通用Web服務(wù)系統(tǒng)，數(shù)據(jù)庫(kù)系統(tǒng)，特定行業(yè)服務(wù)系統(tǒng)（如工控）等。支撐設(shè)備：網(wǎng)絡(luò)設(shè)備、線路等。動(dòng)態(tài)控制與滲透拓展攻擊路徑等中間系統(tǒng)相關(guān)人員158.3惡意代碼的分類惡意代碼，即廣義上的計(jì)算機(jī)病毒。其可分為：計(jì)算機(jī)病毒、蠕蟲木馬、后門Rootkit僵尸(bot)流氓軟件、間諜軟件廣告軟件、Exploit、黑客工具等。16網(wǎng)絡(luò)惡意代碼的分類計(jì)算機(jī)病毒：一組能夠進(jìn)行自我傳播、需要用戶干預(yù)來(lái)觸發(fā)執(zhí)行的破壞性程序或代碼。如CIH、愛蟲、美麗莎、新歡樂(lè)時(shí)光、求職信、惡鷹、rose、威金、熊貓燒香、小浩、機(jī)器狗、磁碟機(jī)、AV終結(jié)者、Flame…網(wǎng)絡(luò)蠕蟲:一組能夠進(jìn)行自我傳播、不需要用戶干預(yù)即可觸發(fā)執(zhí)行的破壞性程序或代碼。其通過(guò)不斷搜索和侵入具有漏洞的主機(jī)來(lái)自動(dòng)傳播。如紅色代碼、SQL蠕蟲王、沖擊波、震蕩波、極速波、魔波、震網(wǎng)…17一種被業(yè)界廣泛采用的分類方法1988年Morris蠕蟲爆發(fā)后，EugeneH.Spafford為了區(qū)分蠕蟲和病毒，給出蠕蟲和計(jì)算機(jī)病毒的定義：“計(jì)算機(jī)蠕蟲可以獨(dú)立運(yùn)行，并能把自身的一個(gè)包含所有功能的版本傳播到另外的計(jì)算機(jī)上”“計(jì)算機(jī)病毒是一段代碼，能把自身加到其他程序包括操作系統(tǒng)上；它不能獨(dú)立運(yùn)行，需要由它的宿主程序運(yùn)行來(lái)激活它”

FredCohen(1984)“計(jì)算機(jī)病毒是一種程序，它可以感染其它程序，感染的方式為在被感染程序中加入計(jì)算機(jī)病毒的一個(gè)副本，這個(gè)副本可能是在原病毒基礎(chǔ)上演變過(guò)來(lái)的”。18Flame（火焰）5種加密算法，3種壓縮技術(shù)，至少5種文件格式，65萬(wàn)行代碼，編寫復(fù)雜?？ò退够鶎?shí)驗(yàn)室表示，要全面了解Flame病毒，可能得花上10年時(shí)間。19Stuxnet(超級(jí)工廠病毒)

－內(nèi)網(wǎng)擺渡2010年7月大面積爆發(fā)。Stuxnet病毒被多國(guó)安全專家形容為全球首個(gè)“超級(jí)工廠病毒”。該病毒感染了全球超過(guò)45000個(gè)網(wǎng)絡(luò)，伊朗、印尼、美國(guó)等多地均不能幸免。其中，以伊朗遭到的攻擊最為嚴(yán)重，該病毒已經(jīng)造成伊朗布什爾核電站推遲發(fā)電，60%的個(gè)人電腦感染了這種病毒。

20網(wǎng)絡(luò)惡意代碼的分類（續(xù)）特洛伊木馬：是指一類看起來(lái)具有正常功能，但實(shí)際上隱藏著很多用戶不希望功能的程序。通常由控制端和被控制端兩端組成。如冰河、網(wǎng)絡(luò)神偷、灰鴿子、上興……后門：使得攻擊者可以對(duì)系統(tǒng)進(jìn)行非授權(quán)訪問(wèn)的一類程序。如Bits、WinEggDrop、Tini…2122網(wǎng)絡(luò)惡意代碼的分類（續(xù)）RootKit：通過(guò)修改現(xiàn)有的操作系統(tǒng)軟件，使攻擊者獲得訪問(wèn)權(quán)并隱藏在計(jì)算機(jī)中的程序。如RootKit、Hkdef、ByShell…僵尸程序，惡意網(wǎng)頁(yè)，拒絕服務(wù)程序，黑客工具，廣告軟件，間諜軟件……23僵尸程序24間諜軟件以主動(dòng)收集用戶個(gè)人信息、相關(guān)機(jī)密文件或隱私數(shù)據(jù)為主，搜集到的數(shù)據(jù)會(huì)主動(dòng)傳送到指定服務(wù)器。25廣告軟件未經(jīng)用戶允許，下載并安裝或與其他軟件捆綁通過(guò)彈出式廣告或以其他形式進(jìn)行商業(yè)廣告宣傳的程序。26流氓軟件具有一定的實(shí)用價(jià)值但具備電腦病毒和黑客軟件的部分特征的軟件（特別是難以卸載）；它處在合法軟件和電腦病毒之間的灰色地帶，同樣極大地侵害著電