《網(wǎng)絡(luò)空間安全概論》課件5-2（2）惡意代碼

1惡意代碼惡意代碼也稱為惡意軟件，惡意代碼（MaliciousCode）或者叫惡意軟件Malware（MaliciousSoftware）是一種程序，具有在信息系統(tǒng)上執(zhí)行非授權(quán)進(jìn)程能力的代碼。2計(jì)算機(jī)病毒特洛伊木馬下載者木馬根工具箱邏輯炸彈網(wǎng)絡(luò)蠕蟲(chóng)肉雞間諜軟件惡意廣告軟件恐嚇軟件勒索軟件后門(mén)惡意代碼種類1.病毒41病毒計(jì)算機(jī)病毒：一組能夠進(jìn)行自我傳播、需要用戶干預(yù)來(lái)觸發(fā)執(zhí)行的破壞性程序或代碼。同時(shí)，它們還可以把自己的副本分發(fā)到其他文件、程序或電腦中去。當(dāng)被感染文件執(zhí)行操作的時(shí)候（例如：打開(kāi)一個(gè)文件，運(yùn)行一個(gè)程序，點(diǎn)擊郵件的附件等），病毒程序會(huì)進(jìn)行自我復(fù)制。如CIH、愛(ài)蟲(chóng)、新歡樂(lè)時(shí)光、求職信、惡鷹、rose…5計(jì)算機(jī)病毒的特征非授權(quán)可執(zhí)行性感染性寄生性隱蔽性潛伏性可觸發(fā)性破壞性主動(dòng)攻擊性手機(jī)病毒運(yùn)行平臺(tái)是手機(jī)。手機(jī)功能越強(qiáng)大,一旦中毒,危害越巨大(GPS,相機(jī),短信,電話,聯(lián)系人,日程表…)由于當(dāng)前病毒和木馬越來(lái)越多的結(jié)合在一起，因此統(tǒng)稱為手機(jī)病毒木馬，或者手機(jī)惡意軟件2.蠕蟲(chóng)782蠕蟲(chóng)蠕蟲(chóng):一組能夠進(jìn)行自我傳播、不需要用戶干預(yù)即可觸發(fā)執(zhí)行的破壞性程序或代碼。如：紅色代碼、SQL蠕蟲(chóng)王、沖擊波、震蕩波、極速波…蠕蟲(chóng)不修改文件，而是常駐在內(nèi)存里并復(fù)制自己。蠕蟲(chóng)使用操作系統(tǒng)的一部分，這部分對(duì)于用戶來(lái)說(shuō)是自動(dòng)且無(wú)形的。蠕蟲(chóng)的自我復(fù)制不像其他的病毒，它可以自動(dòng)創(chuàng)建與它的功能完全相同的副本，并在沒(méi)人干涉的情況下自動(dòng)運(yùn)行。9蠕蟲(chóng)病毒的特點(diǎn)傳播途徑是網(wǎng)絡(luò)傳播速度快傳播面積廣可能造成的危害程度高10計(jì)算機(jī)病毒與蠕蟲(chóng)的區(qū)別1、蠕蟲(chóng)是一個(gè)可以獨(dú)立運(yùn)行的程序。但病毒不能獨(dú)立存在，必須將自身的代碼附著在其他程序中，其程序的激活依賴于宿主程序的執(zhí)行。2、蠕蟲(chóng)可以自動(dòng)傳播，不需要利用文件寄生技術(shù)；而病毒要依賴于宿主文件進(jìn)行傳播。因?yàn)槿湎x(chóng)程序自身包含了傳播代碼，這些代碼會(huì)自動(dòng)將蠕蟲(chóng)程序從一個(gè)系統(tǒng)發(fā)送到另一個(gè)系統(tǒng)。3、蠕蟲(chóng)通常感染的對(duì)象是有相應(yīng)漏洞或者其他脆弱性的計(jì)算機(jī)系統(tǒng)，而病毒的感染對(duì)象則是計(jì)算機(jī)中的文件系統(tǒng)。11名稱計(jì)算機(jī)病毒蠕蟲(chóng)存在形式寄生于其它程序獨(dú)立程序感染目標(biāo)本地文件網(wǎng)絡(luò)中的計(jì)算機(jī)傳播途徑感染文件或可移動(dòng)磁盤(pán)網(wǎng)絡(luò)傳播傳播形式

需要人為干預(yù)，例如，運(yùn)行感染病毒的程序，使用感染病毒的磁盤(pán)

不需要人為干預(yù)，蠕蟲(chóng)會(huì)利用系統(tǒng)漏洞或系統(tǒng)脆弱性、電子郵件等將自身副本發(fā)送到其它系統(tǒng)蠕蟲(chóng)與病毒的區(qū)別3.木馬133木馬特洛伊木馬從表面上看是正常的程序、具有正常的功能，但是實(shí)際上卻隱藏著帶有惡意目的的程序。一些木馬程序會(huì)通過(guò)覆蓋系統(tǒng)中已經(jīng)存在的文件的方式存在于系統(tǒng)之中，同時(shí)它可以攜帶惡意代碼，還有一些木馬會(huì)以一個(gè)軟件的身份出現(xiàn)（例如：一個(gè)可供下載的游戲），但它實(shí)際上是一個(gè)竊取密碼的工具。早在1983年，計(jì)算機(jī)科學(xué)的先驅(qū)肯-湯普森就提出了木馬的概念。他提到在UNIX上運(yùn)行的一個(gè)小程序，這個(gè)小程序可以用來(lái)記錄用戶登錄時(shí)使用的用戶名和密碼14特洛伊木馬通常由一個(gè)客戶端和一個(gè)服務(wù)器端構(gòu)成，客戶端放在木馬控制者的電腦中，服務(wù)器端放置在被入侵電腦中，木馬控制者通過(guò)客戶端與被入侵電腦的服務(wù)器端建立遠(yuǎn)程連接。一旦連接建立，木馬控制者就可以通過(guò)對(duì)被入侵電腦發(fā)送指令來(lái)傳輸和修改文件。15特洛伊木馬隱蔽性使用TCP協(xié)議，服務(wù)端偵聽(tīng)，客戶端連接。這是最簡(jiǎn)單，最早，最廣泛使用的一種通訊方案。使用工具可以很容易的發(fā)現(xiàn)在某一端口上偵聽(tīng)的進(jìn)程，以及進(jìn)程對(duì)應(yīng)的可執(zhí)行文件。如果服務(wù)端裝有防火墻，那么客戶端發(fā)起的連接就會(huì)被防火墻攔截。如果局域網(wǎng)內(nèi)通過(guò)代理上網(wǎng)的電腦，因?yàn)楸緳C(jī)沒(méi)有獨(dú)立的IP地址(只有局域網(wǎng)的IP地址)，所以也不能正常使用。16特洛伊木馬隱蔽性使用TCP協(xié)議，反向連接技術(shù)。防火墻對(duì)于連入的連接往往會(huì)進(jìn)行非常嚴(yán)格的過(guò)濾，但是對(duì)于連出的連接卻疏于防范。于是，出現(xiàn)了反彈式（主動(dòng)式）木馬，即：被控制端（受害者）主動(dòng)連接控制端（黑客）。為了隱蔽起見(jiàn)，控制端的監(jiān)聽(tīng)端口一般開(kāi)在80(提供HTTP服務(wù)的端口)，這樣，即使用戶使用端口掃描軟件檢查自己的端口，會(huì)以為是自己在瀏覽網(wǎng)頁(yè)(防火墻也會(huì)這么認(rèn)為的)。17特洛伊木馬隱蔽性連接請(qǐng)求連接請(qǐng)求8018特洛伊木馬隱蔽性這種反向連接技術(shù)要解決的一個(gè)問(wèn)題是，被控制端如何找到控制端？方法是控制端通過(guò)一個(gè)有固定IP或者固定域名的第三方發(fā)布自己的IP，比如通過(guò)一個(gè)公共的郵箱，通過(guò)一個(gè)個(gè)人主頁(yè)。當(dāng)控制端想與被控制端建立連接時(shí)，它首先登錄某個(gè)WEB服務(wù)器，把信息寫(xiě)到主頁(yè)上面的一個(gè)文件，并打開(kāi)端口監(jiān)聽(tīng)，等待被控制端的連接；被控制端定期的用HTTP協(xié)議讀取這個(gè)文件的內(nèi)容。如網(wǎng)絡(luò)神偷。1920特洛伊木馬隱蔽性使用UDP協(xié)議通信。被控制端偵聽(tīng)，控制端連接；控制端偵聽(tīng)，被控制端端連接。方法和安全性與使用TCP協(xié)議差不多。需要注意的是UDP不是一個(gè)可靠的協(xié)議，所以，必須在UDP協(xié)議的基礎(chǔ)上設(shè)計(jì)一個(gè)自己的可靠的報(bào)文傳遞協(xié)議。21特洛伊木馬隱蔽性解決防火墻問(wèn)題：在服務(wù)端和客戶端試圖建立連接時(shí)都會(huì)引起防火墻報(bào)警。一種方法是代碼注入，服務(wù)端將自己注入到一個(gè)可以合法的與外界進(jìn)行網(wǎng)絡(luò)通訊的進(jìn)程(比如IE，ICQ，IIS等）的地址空間中，然后或者可以以一個(gè)新線程的形式運(yùn)行，或者只是修改宿主進(jìn)程，截獲宿主進(jìn)程的網(wǎng)絡(luò)系統(tǒng)調(diào)用(WinSock)。如果是以新線程的形式運(yùn)行，那么然后或者可以被動(dòng)偵聽(tīng)，或者可以主動(dòng)連接。22特洛伊木馬隱蔽性用ICMP來(lái)通訊。使用TCP/IP協(xié)議族中的ICMP協(xié)議而非TCP/UDP來(lái)進(jìn)行通訊，從而瞞過(guò)Netstat和端口掃描軟件。ICMP是IP協(xié)議的附屬協(xié)議，它是由內(nèi)核或進(jìn)程直接處理而不需要通過(guò)端口。一般的ICMP木馬會(huì)監(jiān)聽(tīng)I(yíng)CMP報(bào)文，當(dāng)出現(xiàn)特殊的報(bào)文時(shí)（比如特殊大小的包、特殊的報(bào)文結(jié)構(gòu)等）它就會(huì)打開(kāi)TCP端口等待控制端的連接.一個(gè)真正意義上的ICMP木馬則會(huì)嚴(yán)格地使用ICMP協(xié)議來(lái)進(jìn)行數(shù)據(jù)和控制命令的傳遞（數(shù)據(jù)放在ICMP的報(bào)文中）。23特洛伊木馬隱蔽性進(jìn)程隱藏就是指把木馬寫(xiě)入到驅(qū)動(dòng)和內(nèi)核的級(jí)別，通過(guò)攔截系統(tǒng)調(diào)用的服務(wù)，用替代系統(tǒng)功能（改寫(xiě)驅(qū)動(dòng)程序或動(dòng)態(tài)鏈接庫(kù)）或者說(shuō)是嵌入式的方法，例如，如果系統(tǒng)運(yùn)行windows.exe，實(shí)際上同時(shí)運(yùn)行了木馬和windows.exe。而木馬則嵌入在windows.exe中，能看到，但沒(méi)法刪除，因?yàn)閣indows.exe是系統(tǒng)進(jìn)程，不允許刪除。這樣，就相當(dāng)于隱藏了木馬進(jìn)程。24常見(jiàn)的木馬類型遠(yuǎn)程控制（如肉機(jī)）間諜軟件（如盜號(hào)、鍵盤(pán)記錄）毀壞代理木馬（跳板）下載器木馬Jasmine.More4.后門(mén)25264后門(mén)對(duì)計(jì)算機(jī)操作系統(tǒng)或軟件來(lái)說(shuō)，后門(mén)是指可以繞過(guò)軟件的安全性控制而從比較隱秘的通道獲取對(duì)程序或系統(tǒng)訪問(wèn)權(quán)的黑客方法。通常，在軟件開(kāi)發(fā)時(shí)，設(shè)置后門(mén)可以方便修改和測(cè)試程序中的缺陷。入侵者完全控制系統(tǒng)后，為方便下次進(jìn)入而設(shè)置后門(mén)。一般通過(guò)修改系統(tǒng)配置文件和安裝第三方后門(mén)工具來(lái)實(shí)現(xiàn)。具有隱蔽性，不易被系統(tǒng)管理員發(fā)現(xiàn)27后門(mén)具有隱蔽性，能繞開(kāi)系統(tǒng)日志，不易被系統(tǒng)管理員發(fā)現(xiàn)等特點(diǎn)。在計(jì)算機(jī)中，入侵者可以通過(guò)端口、串/并口、無(wú)線設(shè)備連接等后門(mén)方式進(jìn)行入侵。如果一個(gè)程序僅僅提供遠(yuǎn)程訪問(wèn)，那么它只是一個(gè)后門(mén)。如果攻擊者將這些后門(mén)偽裝成某些其他良性程序，那么就變成了特洛伊木馬。28后門(mén)產(chǎn)生的必要條件1、必須以某種方式與其他終端節(jié)點(diǎn)相連。由于后門(mén)的利用都是從其他節(jié)點(diǎn)進(jìn)行訪問(wèn)，因此必須與目標(biāo)機(jī)使用雙絞線、光纖維、串/并口、藍(lán)牙、紅外等設(shè)備在物理信號(hào)上有所連接才可以對(duì)端口進(jìn)行訪問(wèn)。只有訪問(wèn)成功，雙方才可以進(jìn)行信號(hào)交流，攻擊方才有機(jī)會(huì)進(jìn)行入侵。292、目標(biāo)機(jī)默認(rèn)開(kāi)放的可供外界訪問(wèn)的端口必須在一個(gè)以上。因?yàn)橐慌_(tái)默認(rèn)無(wú)任何端口開(kāi)放的機(jī)器是無(wú)法連接通信的，而如果開(kāi)放著的端口外界無(wú)法訪問(wèn)，則同樣沒(méi)有辦法進(jìn)行入侵。3、目標(biāo)機(jī)存在程序設(shè)計(jì)或人為疏忽，導(dǎo)致攻擊者能以權(quán)限較高的身份執(zhí)行程序。并不是任何一個(gè)權(quán)限的賬號(hào)都能夠被利用的，只有權(quán)限達(dá)到操作系統(tǒng)一定要求的才允許執(zhí)行修改注冊(cè)表，修改log記錄等相關(guān)修改30后門(mén)產(chǎn)生的原因1、操作系統(tǒng)自帶的服務(wù)，大多數(shù)的操作系統(tǒng)，如Unix、Linux、windows2000/xp在默認(rèn)安裝完成后，為了方便用戶的使用，會(huì)默認(rèn)開(kāi)啟一定數(shù)量的服務(wù)（server），常見(jiàn)的有telnetserver、sshserver、sendmail等等，如果有的服務(wù)程序版本存在漏洞或者默認(rèn)配置的安全性不夠，則很容易被攻擊，從而成為攻擊者進(jìn)入的通道。312、早期網(wǎng)絡(luò)協(xié)議安全性問(wèn)題。由于在其的互聯(lián)網(wǎng)絡(luò)是用于軍方、高校及科研結(jié)構(gòu)，網(wǎng)絡(luò)協(xié)議的設(shè)計(jì)對(duì)安全性方面考慮較少。例如，目前我們所使用的IPV4協(xié)議，IP數(shù)據(jù)包的源地址可以被修改、MAC地址可以被偽造。323、軟件編寫(xiě)不規(guī)范?，F(xiàn)在很多大型軟件都是模塊化編程，可能某些功能某塊之間出現(xiàn)漏洞，被攻擊者利用作為漏洞；也有可能是程序員作為程序測(cè)試用的通道沒(méi)有去除被攻擊者發(fā)現(xiàn)。33后門(mén)隱蔽性系統(tǒng)遭入侵后，采取以下措施不能保障安全管理員給系統(tǒng)打補(bǔ)丁修改帳號(hào)、密碼殺毒Jasmine.More5.著名的病毒34大腦病毒（1987）1987年，誕生了一款為大家所熟知的計(jì)算機(jī)病毒——C-BRAIN。由一對(duì)巴基斯坦兄弟巴斯特（Basit）和阿姆捷特（Amjad）所寫(xiě)的，他們?cè)诋?dāng)?shù)亟?jīng)營(yíng)一家販賣(mài)個(gè)人計(jì)算機(jī)的商店，由于當(dāng)?shù)乇I拷軟件的風(fēng)氣非常盛行，因此他們的主要目的是為了防止他們的軟件被任意盜拷。只要有人盜拷他們的軟件，C-BRAIN就會(huì)發(fā)作，將盜拷者的剩余硬盤(pán)空間給“吃掉”。計(jì)算機(jī)病毒始祖。羅伯特·T·莫里斯（1988）1988年，莫里斯正在康奈爾大學(xué)讀研究生，他想統(tǒng)計(jì)一下當(dāng)時(shí)連接在網(wǎng)絡(luò)上的計(jì)算機(jī)的數(shù)目，所以就寫(xiě)了一個(gè)程序，并且在11月2日從麻省理工學(xué)院的一臺(tái)計(jì)算機(jī)上釋放了出去。他撰寫(xiě)的這個(gè)程序有點(diǎn)問(wèn)題，開(kāi)始無(wú)休止地復(fù)制自身，并占據(jù)了大量的磁盤(pán)空間、運(yùn)算資源以及網(wǎng)絡(luò)帶寬，最終導(dǎo)致了網(wǎng)絡(luò)癱瘓和計(jì)算機(jī)死機(jī)。據(jù)統(tǒng)計(jì)，這個(gè)程序直接感染了大約6000臺(tái)計(jì)算機(jī)，而間接受到影響的，則包括5個(gè)計(jì)算機(jī)中心和12個(gè)地區(qū)結(jié)點(diǎn)，以及在政府、大學(xué)、研究所和企業(yè)中的超過(guò)25萬(wàn)臺(tái)計(jì)算機(jī)。熊貓燒香（2006年）在06年年底開(kāi)始大規(guī)模爆發(fā)，能夠終止大量的反病毒軟件和防火墻軟件進(jìn)程，病毒會(huì)刪除擴(kuò)展名為gho的文件，使用戶無(wú)法使用ghost軟件恢復(fù)操作系統(tǒng)。“熊貓燒香”感染系統(tǒng)的*.exe、*.com、*.pif、*.src、*.html、*.asp文件，導(dǎo)致用戶一打開(kāi)這些文件，IE自動(dòng)連接到指定病毒網(wǎng)址中下載病毒。病毒還可通過(guò)U盤(pán)和移動(dòng)硬盤(pán)等進(jìn)行傳播。損失估計(jì)：上億美元CIH病毒（1998年）名叫陳盈豪的臺(tái)灣大學(xué)生所編寫(xiě)的，從中國(guó)臺(tái)灣傳入大陸地區(qū)的。以熱門(mén)盜版光盤(pán)游戲如“古墓奇兵”或Windows95/98為媒介，經(jīng)互聯(lián)網(wǎng)各網(wǎng)站互相轉(zhuǎn)載。從硬盤(pán)主引導(dǎo)區(qū)開(kāi)始依次往硬盤(pán)中寫(xiě)入垃圾數(shù)據(jù)，直到硬盤(pán)數(shù)據(jù)被全部破壞為止。某些主板上的FlashRom中的BIOS信息將被清除損失估計(jì)：全球約5億美元網(wǎng)游大盜（2007年）該病毒會(huì)盜取包括“魔獸世界”、“完美世界”、“征途”、等多款網(wǎng)游玩家的帳戶和密碼，并且會(huì)下載其它病毒到本地運(yùn)行。損失估計(jì)：千萬(wàn)美元愛(ài)蟲(chóng)(Iloveyou，2000)2000年5月4日，一種名為“我愛(ài)你”的電腦病毒開(kāi)始在全球各地迅速傳播。這個(gè)病毒是通過(guò)MicrosoftOutlook電子郵件系統(tǒng)傳播的，郵件的主題為“ILOVEYOU”，并包含一個(gè)附件。一旦在MicrosoftOutlook里打開(kāi)這個(gè)郵件，系統(tǒng)就會(huì)自動(dòng)復(fù)制并向地址簿中的所有郵件電址發(fā)送這個(gè)病毒。傳染速度最快而且傳染面積最廣的計(jì)算機(jī)病毒估計(jì)損失：一天55億美元沖擊波(2003)利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2000或XP的計(jì)算機(jī)，找到后就利用DCOM/RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染，使系統(tǒng)操作異常、不停重啟、甚至導(dǎo)致系統(tǒng)奔潰。紅色代碼（2001）“紅色代碼”蠕蟲(chóng)采用了"緩存區(qū)溢出"的黑客技術(shù)，利用微軟IIS的漏洞進(jìn)行病毒的感染和傳播?；银澴幽抉R（2001）自2001年，灰鴿子誕生之日起，就被反病毒專業(yè)人士判定為最具危險(xiǎn)性的后門(mén)程序，并引發(fā)了安全領(lǐng)域的高體積僅70kb隱蔽性更強(qiáng)體積僅70kb隱蔽性更強(qiáng)度關(guān)注。2004年、2005年、2006年，灰鴿子木馬連續(xù)三年被國(guó)