惡意代碼的攻擊原理與監(jiān)測(cè)技術(shù)

惡意代碼的攻擊原理與監(jiān)測(cè)技術(shù)主講人：樊亦勝內(nèi)容什么是惡意代碼惡意代碼是如何工作的利用常規(guī)工具對(duì)惡意代碼進(jìn)行分析惡意代碼的檢測(cè)與清除什么是惡意代碼惡意代碼的定義（一）惡意代碼是指故意編制或設(shè)置的、對(duì)網(wǎng)絡(luò)或系統(tǒng)會(huì)產(chǎn)生威脅或潛在威脅的計(jì)算機(jī)代碼。最常見的惡意代碼有計(jì)算機(jī)病毒、特洛伊木馬、計(jì)算機(jī)蠕蟲、后門、邏輯炸彈等。（百度百科）惡意代碼是嵌入到網(wǎng)頁的腳本，一般使用Javascript編寫，受影響的也是微軟視窗系統(tǒng)的InternetExplorer瀏覽器。它們?cè)谖唇?jīng)瀏覽者同意的情況下自動(dòng)打開廣告，開啟新頁面，嚴(yán)重影響瀏覽者的正常訪問。除此之外，它們還通過系統(tǒng)調(diào)用修改瀏覽器的默認(rèn)主頁，修改注冊(cè)表，添加系統(tǒng)啟動(dòng)程序，設(shè)置監(jiān)視進(jìn)程等。（WIKIPEDIA）惡意代碼的定義（二）惡意代碼（UnwantedCode）是指沒有作用卻會(huì)帶來危險(xiǎn)的代碼，一個(gè)最安全的定義是把所有不必要的代碼都看作是惡意的，不必要代碼比惡意代碼具有更寬泛的含義，包括所有可能與某個(gè)組織安全策略相沖突的軟件。惡意代碼的分類計(jì)算機(jī)病毒（Virus）木馬程序（Trojan/BackdoorProgram）網(wǎng)絡(luò)蠕蟲（NetworkWorm）黑客程序（HackProgram）垃圾郵件（Spam）惡意網(wǎng)頁（MaliciousHTML）密碼竊取程序（PasswordStealer）間諜程序（Spyware）手機(jī)病毒一些具有代表性的惡意代碼1998年，CIH病毒1999年，梅麗莎(Melissa)2000年，愛蟲病毒(Iloveyou)2001年，紅色代碼(CodeRed)2003年，沖擊波(Blaster)2004年，震蕩波(Sasser)2006年，熊貓燒香(Nimaya)2007年，網(wǎng)游大盜、機(jī)器狗2008年，掃蕩波（Worm.SaodangBo.a.94208）2009年，木馬下載器、Conficker等變種2010年，極虎病毒2011年，鬼影病毒2013年，QVOD變種2012年的情況2012年1月-12月，瑞星“云安全”系統(tǒng)共截獲新增病毒樣本1,181萬余個(gè)。2012年全年截獲掛馬網(wǎng)站516萬個(gè)（以網(wǎng)頁個(gè)數(shù)統(tǒng)計(jì)），比2011年同期增加了48.7%。2012年，360安全中心共截獲新增惡意程序樣本13.7億個(gè)（以MD5計(jì)算），較2011年增加29.7%。2012年，360安全軟件攔截惡意程序攻擊415.8億次，較2011年增加了76.1%。2012年-2013年主要的惡意代碼Apache服務(wù)器mod_rewrite漏洞，超過半數(shù)服務(wù)器受到影響APT（AdvancedPersistentThreat）攻擊者利用flash中的可執(zhí)行代碼漏洞植入惡意代碼獲取網(wǎng)民和企業(yè)信息QVOD變種利用網(wǎng)頁視頻種入后門程序惡意代碼是如何工作的計(jì)算機(jī)病毒模塊傳染模塊破壞模塊引導(dǎo)模塊引導(dǎo)模塊引導(dǎo)模塊的功能是借助宿主程序，將病毒程序從外存引進(jìn)內(nèi)存，以便使傳染模塊和破壞模塊進(jìn)入活動(dòng)狀態(tài)。病毒如何引導(dǎo)通過修改程序入口，寄生于程序文件修改磁盤引導(dǎo)扇區(qū)，結(jié)果啟動(dòng)分區(qū)入口修改注冊(cè)表或啟動(dòng)程序組利用系統(tǒng)服務(wù)利用系統(tǒng)和應(yīng)用程序擴(kuò)展接口、hook函數(shù)BrowerHelperObjects（BHOs）IFSHook傳染模塊傳染模塊的功能將病毒迅速傳染，盡可能擴(kuò)大染毒范圍。病毒的傳染模塊由兩部分組成：條件判斷部分和程序主體部分，前者負(fù)責(zé)判斷傳染條件是否成立，后者負(fù)責(zé)將病毒程序與宿主程序鏈接，完成傳染病毒的工作。傳染途徑U盤等存儲(chǔ)介質(zhì)網(wǎng)絡(luò)電子郵件系統(tǒng)漏洞破壞模塊病毒編制者的意圖，就是攻擊破壞計(jì)算機(jī)系統(tǒng)，所以破壞模塊是病毒程序的核心部分。網(wǎng)絡(luò)蠕蟲利用操作系統(tǒng)或應(yīng)用程序的漏洞，或者缺省配置的不安全性。產(chǎn)生特定的后門服務(wù)，或添加后門帳號(hào)。漏洞侵入后可執(zhí)行任何文件。系統(tǒng)缺省安裝存在這些漏洞，并且大多數(shù)的系統(tǒng)管理員并不主動(dòng)打補(bǔ)丁。主動(dòng)往網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)（感染下一個(gè)機(jī)器或數(shù)據(jù)外泄）。蠕蟲的工作方式掃描由蠕蟲的搜索模塊負(fù)責(zé)探測(cè)存在漏洞的主機(jī)。當(dāng)程序向某個(gè)主機(jī)發(fā)送探測(cè)漏洞的信息并收到成功的反饋信息后，就得的了一個(gè)可攻擊的對(duì)象攻擊找到攻擊對(duì)象，取得對(duì)主機(jī)的權(quán)限，獲得一個(gè)shell，得到了這個(gè)shell后就可以獲得控制權(quán)。復(fù)制繁殖模塊通過原主機(jī)和新主機(jī)之間的交互，將蠕蟲程序復(fù)制到新主機(jī)并啟動(dòng)蠕蟲傳播方式利用Windows操作系統(tǒng)漏洞傳播RPC漏洞(Blaster)利用應(yīng)用程序漏洞傳播FTP服務(wù)程序(Ramen)、IIS服務(wù)器漏洞(Nimda)、SQLServer數(shù)據(jù)庫(Slammer)利用瀏覽器傳播通過修改web服務(wù)器的內(nèi)容，把一小段JavaScript代碼附加到HTML或者ASP文件上，IE自動(dòng)執(zhí)行代碼(Nimda,CodeRed)利用Email傳播通過MAPI獲得感染機(jī)器的通訊錄中郵件地址列表，通過Windows的郵件客戶端把蠕蟲代碼作為郵件附件發(fā)送給其他主機(jī),而未打補(bǔ)丁的IE會(huì)自動(dòng)執(zhí)行郵件中的附件，從而使蠕蟲激活.(求職信蠕蟲、小郵差蠕蟲)依賴網(wǎng)絡(luò)共享利用共享網(wǎng)絡(luò)資源進(jìn)行傳播(Nimda)蠕蟲的攻擊行為消耗系統(tǒng)資源，降低系統(tǒng)性能造成網(wǎng)絡(luò)擁塞，實(shí)施拒絕服務(wù)攻擊利用弱口令攻擊蠕蟲與計(jì)算機(jī)病毒異同普通病毒蠕蟲病毒存在形式寄存文件獨(dú)立程序運(yùn)行機(jī)制宿主程序運(yùn)行主動(dòng)攻擊感染目標(biāo)本地文件網(wǎng)絡(luò)計(jì)算機(jī)木馬程序木馬是一個(gè)程序，駐留在計(jì)算機(jī)里，可以隨計(jì)算機(jī)自動(dòng)啟動(dòng)并在某一端口進(jìn)行偵聽，在對(duì)接收的數(shù)據(jù)識(shí)別后，對(duì)目標(biāo)計(jì)算機(jī)執(zhí)行特定的操作。其實(shí)質(zhì)只是一個(gè)通過端口進(jìn)行通信的網(wǎng)絡(luò)客戶/服務(wù)程序。木馬原則上和Laplink、PCanywhere等程序一樣，只是一種遠(yuǎn)程管理工具木馬本身不帶傷害性，也沒有感染力，所以不能稱之為病毒(也有人稱之為第二代病毒)木馬的行為竊取數(shù)據(jù)接受操作者的指令遠(yuǎn)程管理服務(wù)器進(jìn)程，監(jiān)視服務(wù)器操作篡改、刪除、修改文件和數(shù)據(jù)操縱注冊(cè)表、毀壞系統(tǒng)木馬的傳播以郵件附件方式傳播通過聊天工具傳播通過軟件下載的網(wǎng)絡(luò)傳播，把木馬程序捆綁在正常的文件中，用戶執(zhí)行安裝文件時(shí)就會(huì)運(yùn)行木馬。通過一般的網(wǎng)絡(luò)病毒傳播通過光盤和磁盤傳播電子郵件一般針對(duì)Outlook/OutlookExpress。使用HTML格式的郵件，內(nèi)嵌腳本通過WindowsScriptingHost執(zhí)行附件程序。利用OutlookExpress或WindowsActiveDesktop的預(yù)覽功能進(jìn)行自動(dòng)傳播。通過“通訊簿”確定傳播目標(biāo)，標(biāo)題較吸引人，或會(huì)隨機(jī)改變，以迷惑收件人。利用常規(guī)工具對(duì)惡意代碼進(jìn)行分析惡意代碼分析方法靜態(tài)分析在不運(yùn)行惡意代碼的情況下，利用分析工具對(duì)惡意代碼的靜態(tài)特征和功能模塊進(jìn)行分析的方法動(dòng)態(tài)分析是通過監(jiān)視惡意代碼運(yùn)行過程從而了解惡意代碼功能。靜態(tài)分析基于代碼特征的分析方法分析過程中，不考慮惡意代碼的指令意義，而是分析指令的統(tǒng)計(jì)特性、代碼的結(jié)構(gòu)特性等?；诖a語義的分析方法考慮構(gòu)成惡意代碼的指令的含義，通過理解指令語義建立惡意代碼的流程圖和功能框圖，進(jìn)一步分析惡意代碼的功能結(jié)構(gòu)?；诖a特征的分析方法CreateMuetex函數(shù)創(chuàng)建互斥進(jìn)程，如果進(jìn)程中沒有指定進(jìn)程實(shí)例，則創(chuàng)建一個(gè)互斥體如CreateMuetex(null,null,”bingdu”)，在生成的PE文件中會(huì)存在一個(gè)靜態(tài)數(shù)據(jù)“bingdu”，通過分析PE結(jié)構(gòu)可以從靜態(tài)數(shù)據(jù)節(jié)中提取靜態(tài)數(shù)據(jù)。URLDownloadToFile函數(shù)URLDownloadToFile(0,"http:///bingdu.exe","c:\\bingdu.exe",0,0)從網(wǎng)站下載可執(zhí)行程序到C盤根目錄基于代碼語義的分析方法基于代碼語義的分析過程，首先使用反匯編工具對(duì)惡意代碼執(zhí)行體進(jìn)行反匯編，然后通過理解惡意代碼的反匯編程序了解惡意代碼的功能。動(dòng)態(tài)分析方法觀察法利用系統(tǒng)監(jiān)視工具觀察惡意代碼運(yùn)行過程時(shí)系統(tǒng)環(huán)境的變化，通過分析這些變化判斷惡意代碼的功能。調(diào)試法通過跟蹤惡意代碼執(zhí)行過程使用的系統(tǒng)函數(shù)和指令特征分析惡意代碼功能的技術(shù)。觀察法惡意代碼作為一段程序在運(yùn)行過程中通常會(huì)對(duì)系統(tǒng)造成一定的影響，有些惡意代碼為了保證自己的自啟動(dòng)功能和進(jìn)程隱藏的功能，通常會(huì)修改系統(tǒng)注冊(cè)表和系統(tǒng)文件，或者會(huì)修改系統(tǒng)配置。通過網(wǎng)絡(luò)進(jìn)行傳播、繁殖和拒絕服務(wù)攻擊等破壞活動(dòng)通過網(wǎng)絡(luò)進(jìn)行詐騙等犯罪活動(dòng)通過網(wǎng)絡(luò)將搜集到的機(jī)密信息傳遞給惡意代碼的控制者在本地開啟一些端口、服務(wù)等后門等待惡意代碼控制者對(duì)受害主機(jī)的控制訪問調(diào)試法單步跟蹤惡意代碼執(zhí)行過程，監(jiān)視惡意代碼的每一個(gè)執(zhí)行步驟，在分析過程中也可以在適當(dāng)?shù)臅r(shí)候執(zhí)行惡意代碼的一個(gè)片斷，這種分析方法可以全面監(jiān)視惡意代碼的執(zhí)行過程，但是分析過程相當(dāng)耗時(shí)。利用系統(tǒng)hook技術(shù)監(jiān)視惡意代碼執(zhí)行過程中的系統(tǒng)調(diào)用和API使用狀態(tài)來分析惡意代碼的功能，這種方法經(jīng)常用于惡意代碼檢測(cè)。惡意代碼分析流程分析惡意代碼的加密和壓縮特性評(píng)估惡意代碼運(yùn)行過程中對(duì)系統(tǒng)文件、注冊(cè)表和網(wǎng)絡(luò)通訊狀態(tài)的影響判斷惡意代碼的功能模塊構(gòu)成對(duì)惡意代碼進(jìn)行單步跟蹤調(diào)試，進(jìn)行確認(rèn)形成詳細(xì)報(bào)告常用分析工具（演示）RegmonFilemonPEToolsOllyICE惡意代碼的檢測(cè)與清除惡意代碼檢測(cè)基本步驟確定惡意代碼進(jìn)程分析病毒行為清除代碼文件、修改的注冊(cè)表清除被感染文件中的惡意代碼恢復(fù)系統(tǒng)設(shè)置確定惡意代碼進(jìn)程進(jìn)程插入利用HOOK利用APPINIT加殼進(jìn)程關(guān)于APPINITAppInit_Dlls鍵值位于注冊(cè)表HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows任何使用到User32.dll的EXE、DLL、OCX等類型的PE文件都會(huì)讀取這個(gè)地方，并且根據(jù)約定的規(guī)范將這個(gè)鍵值下指向的DLL文件進(jìn)行加載，加載的方式是調(diào)用LoadLibraryPE格式PE的意思就是PortableExecutable（可移植的執(zhí)行體）。它是Win32環(huán)境自身所帶的執(zhí)行體文件格式。它的一些特性繼承自Unix的Coff(commonobjectfileformat)文件格式。關(guān)于映像劫持所謂的映像劫持（IFEO）就是ImageFileExecutionOptions，它位于注冊(cè)表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\鍵值下。容易感染的注冊(cè)表項(xiàng)run/runonce/runserviceexefile/comfile/txtfile…等文件關(guān)聯(lián)HKEY_CLASSES_ROOT\.exe\(默認(rèn))的取值（exefile）HKEY_CLASSES_ROOT\exefile\Shell\Open\Command\(默認(rèn))的取值（”%1”%*）例如txtfile\(默認(rèn))=“NOTEPAD.EXE%1”InternetExplorer參數(shù)設(shè)置（修改主頁等）HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Policies分支HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\容易感染的注冊(cè)表項(xiàng)（續(xù)）BHOsHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObje