《網(wǎng)絡(luò)空間安全概論》課件5-2（2）惡意代碼

1惡意代碼惡意代碼也稱為惡意軟件，惡意代碼（MaliciousCode）或者叫惡意軟件Malware（MaliciousSoftware）是一種程序，具有在信息系統(tǒng)上執(zhí)行非授權(quán)進程能力的代碼。2計算機病毒特洛伊木馬下載者木馬根工具箱邏輯炸彈網(wǎng)絡(luò)蠕蟲肉雞間諜軟件惡意廣告軟件恐嚇軟件勒索軟件后門惡意代碼種類1.病毒41病毒計算機病毒：一組能夠進行自我傳播、需要用戶干預(yù)來觸發(fā)執(zhí)行的破壞性程序或代碼。同時，它們還可以把自己的副本分發(fā)到其他文件、程序或電腦中去。當(dāng)被感染文件執(zhí)行操作的時候（例如：打開一個文件，運行一個程序，點擊郵件的附件等），病毒程序會進行自我復(fù)制。如CIH、愛蟲、新歡樂時光、求職信、惡鷹、rose…5計算機病毒的特征非授權(quán)可執(zhí)行性感染性寄生性隱蔽性潛伏性可觸發(fā)性破壞性主動攻擊性手機病毒運行平臺是手機。手機功能越強大,一旦中毒,危害越巨大(GPS,相機,短信,電話,聯(lián)系人,日程表…)由于當(dāng)前病毒和木馬越來越多的結(jié)合在一起，因此統(tǒng)稱為手機病毒木馬，或者手機惡意軟件2.蠕蟲782蠕蟲蠕蟲:一組能夠進行自我傳播、不需要用戶干預(yù)即可觸發(fā)執(zhí)行的破壞性程序或代碼。如：紅色代碼、SQL蠕蟲王、沖擊波、震蕩波、極速波…蠕蟲不修改文件，而是常駐在內(nèi)存里并復(fù)制自己。蠕蟲使用操作系統(tǒng)的一部分，這部分對于用戶來說是自動且無形的。蠕蟲的自我復(fù)制不像其他的病毒，它可以自動創(chuàng)建與它的功能完全相同的副本，并在沒人干涉的情況下自動運行。9蠕蟲病毒的特點傳播途徑是網(wǎng)絡(luò)傳播速度快傳播面積廣可能造成的危害程度高10計算機病毒與蠕蟲的區(qū)別1、蠕蟲是一個可以獨立運行的程序。但病毒不能獨立存在，必須將自身的代碼附著在其他程序中，其程序的激活依賴于宿主程序的執(zhí)行。2、蠕蟲可以自動傳播，不需要利用文件寄生技術(shù)；而病毒要依賴于宿主文件進行傳播。因為蠕蟲程序自身包含了傳播代碼，這些代碼會自動將蠕蟲程序從一個系統(tǒng)發(fā)送到另一個系統(tǒng)。3、蠕蟲通常感染的對象是有相應(yīng)漏洞或者其他脆弱性的計算機系統(tǒng)，而病毒的感染對象則是計算機中的文件系統(tǒng)。11名稱計算機病毒蠕蟲存在形式寄生于其它程序獨立程序感染目標(biāo)本地文件網(wǎng)絡(luò)中的計算機傳播途徑感染文件或可移動磁盤網(wǎng)絡(luò)傳播傳播形式

需要人為干預(yù)，例如，運行感染病毒的程序，使用感染病毒的磁盤

不需要人為干預(yù)，蠕蟲會利用系統(tǒng)漏洞或系統(tǒng)脆弱性、電子郵件等將自身副本發(fā)送到其它系統(tǒng)蠕蟲與病毒的區(qū)別3.木馬133木馬特洛伊木馬從表面上看是正常的程序、具有正常的功能，但是實際上卻隱藏著帶有惡意目的的程序。一些木馬程序會通過覆蓋系統(tǒng)中已經(jīng)存在的文件的方式存在于系統(tǒng)之中，同時它可以攜帶惡意代碼，還有一些木馬會以一個軟件的身份出現(xiàn)（例如：一個可供下載的游戲），但它實際上是一個竊取密碼的工具。早在1983年，計算機科學(xué)的先驅(qū)肯-湯普森就提出了木馬的概念。他提到在UNIX上運行的一個小程序，這個小程序可以用來記錄用戶登錄時使用的用戶名和密碼14特洛伊木馬通常由一個客戶端和一個服務(wù)器端構(gòu)成，客戶端放在木馬控制者的電腦中，服務(wù)器端放置在被入侵電腦中，木馬控制者通過客戶端與被入侵電腦的服務(wù)器端建立遠(yuǎn)程連接。一旦連接建立，木馬控制者就可以通過對被入侵電腦發(fā)送指令來傳輸和修改文件。15特洛伊木馬隱蔽性使用TCP協(xié)議，服務(wù)端偵聽，客戶端連接。這是最簡單，最早，最廣泛使用的一種通訊方案。使用工具可以很容易的發(fā)現(xiàn)在某一端口上偵聽的進程，以及進程對應(yīng)的可執(zhí)行文件。如果服務(wù)端裝有防火墻，那么客戶端發(fā)起的連接就會被防火墻攔截。如果局域網(wǎng)內(nèi)通過代理上網(wǎng)的電腦，因為本機沒有獨立的IP地址(只有局域網(wǎng)的IP地址)，所以也不能正常使用。16特洛伊木馬隱蔽性使用TCP協(xié)議，反向連接技術(shù)。防火墻對于連入的連接往往會進行非常嚴(yán)格的過濾，但是對于連出的連接卻疏于防范。于是，出現(xiàn)了反彈式（主動式）木馬，即：被控制端（受害者）主動連接控制端（黑客）。為了隱蔽起見，控制端的監(jiān)聽端口一般開在80(提供HTTP服務(wù)的端口)，這樣，即使用戶使用端口掃描軟件檢查自己的端口，會以為是自己在瀏覽網(wǎng)頁(防火墻也會這么認(rèn)為的)。17特洛伊木馬隱蔽性連接請求連接請求8018特洛伊木馬隱蔽性這種反向連接技術(shù)要解決的一個問題是，被控制端如何找到控制端？方法是控制端通過一個有固定IP或者固定域名的第三方發(fā)布自己的IP，比如通過一個公共的郵箱，通過一個個人主頁。當(dāng)控制端想與被控制端建立連接時，它首先登錄某個WEB服務(wù)器，把信息寫到主頁上面的一個文件，并打開端口監(jiān)聽，等待被控制端的連接；被控制端定期的用HTTP協(xié)議讀取這個文件的內(nèi)容。如網(wǎng)絡(luò)神偷。1920特洛伊木馬隱蔽性使用UDP協(xié)議通信。被控制端偵聽，控制端連接；控制端偵聽，被控制端端連接。方法和安全性與使用TCP協(xié)議差不多。需要注意的是UDP不是一個可靠的協(xié)議，所以，必須在UDP協(xié)議的基礎(chǔ)上設(shè)計一個自己的可靠的報文傳遞協(xié)議。21特洛伊木馬隱蔽性解決防火墻問題：在服務(wù)端和客戶端試圖建立連接時都會引起防火墻報警。一種方法是代碼注入，服務(wù)端將自己注入到一個可以合法的與外界進行網(wǎng)絡(luò)通訊的進程(比如IE，ICQ，IIS等）的地址空間中，然后或者可以以一個新線程的形式運行，或者只是修改宿主進程，截獲宿主進程的網(wǎng)絡(luò)系統(tǒng)調(diào)用(WinSock)。如果是以新線程的形式運行，那么然后或者可以被動偵聽，或者可以主動連接。22特洛伊木馬隱蔽性用ICMP來通訊。使用TCP/IP協(xié)議族中的ICMP協(xié)議而非TCP/UDP來進行通訊，從而瞞過Netstat和端口掃描軟件。ICMP是IP協(xié)議的附屬協(xié)議，它是由內(nèi)核或進程直接處理而不需要通過端口。一般的ICMP木馬會監(jiān)聽ICMP報文，當(dāng)出現(xiàn)特殊的報文時（比如特殊大小的包、特殊的報文結(jié)構(gòu)等）它就會打開TCP端口等待控制端的連接.一個真正意義上的ICMP木馬則會嚴(yán)格地使用ICMP協(xié)議來進行數(shù)據(jù)和控制命令的傳遞（數(shù)據(jù)放在ICMP的報文中）。23特洛伊木馬隱蔽性進程隱藏就是指把木馬寫入到驅(qū)動和內(nèi)核的級別，通過攔截系統(tǒng)調(diào)用的服務(wù)，用替代系統(tǒng)功能（改寫驅(qū)動程序或動態(tài)鏈接庫）或者說是嵌入式的方法，例如，如果系統(tǒng)運行windows.exe，實際上同時運行了木馬和windows.exe。而木馬則嵌入在windows.exe中，能看到，但沒法刪除，因為windows.exe是系統(tǒng)進程，不允許刪除。這樣，就相當(dāng)于隱藏了木馬進程。24常見的木馬類型遠(yuǎn)程控制（如肉機）間諜軟件（如盜號、鍵盤記錄）毀壞代理木馬（跳板）下載器木馬Jasmine.More4.后門25264后門對計算機操作系統(tǒng)或軟件來說，后門是指可以繞過軟件的安全性控制而從比較隱秘的通道獲取對程序或系統(tǒng)訪問權(quán)的黑客方法。通常，在軟件開發(fā)時，設(shè)置后門可以方便修改和測試程序中的缺陷。入侵者完全控制系統(tǒng)后，為方便下次進入而設(shè)置后門。一般通過修改系統(tǒng)配置文件和安裝第三方后門工具來實現(xiàn)。具有隱蔽性，不易被系統(tǒng)管理員發(fā)現(xiàn)27后門具有隱蔽性，能繞開系統(tǒng)日志，不易被系統(tǒng)管理員發(fā)現(xiàn)等特點。在計算機中，入侵者可以通過端口、串/并口、無線設(shè)備連接等后門方式進行入侵。如果一個程序僅僅提供遠(yuǎn)程訪問，那么它只是一個后門。如果攻擊者將這些后門偽裝成某些其他良性程序，那么就變成了特洛伊木馬。28后門產(chǎn)生的必要條件1、必須以某種方式與其他終端節(jié)點相連。由于后門的利用都是從其他節(jié)點進行訪問，因此必須與目標(biāo)機使用雙絞線、光纖維、串/并口、藍(lán)牙、紅外等設(shè)備在物理信號上有所連接才可以對端口進行訪問。只有訪問成功，雙方才可以進行信號交流，攻擊方才有機會進行入侵。292、目標(biāo)機默認(rèn)開放的可供外界訪問的端口必須在一個以上。因為一臺默認(rèn)無任何端口開放的機器是無法連接通信的，而如果開放著的端口外界無法訪問，則同樣沒有辦法進行入侵。3、目標(biāo)機存在程序設(shè)計或人為疏忽，導(dǎo)致攻擊者能以權(quán)限較高的身份執(zhí)行程序。并不是任何一個權(quán)限的賬號都能夠被利用的，只有權(quán)限達到操作系統(tǒng)一定要求的才允許執(zhí)行修改注冊表，修改log記錄等相關(guān)修改30后門產(chǎn)生的原因1、操作系統(tǒng)自帶的服務(wù)，大多數(shù)的操作系統(tǒng)，如Unix、Linux、windows2000/xp在默認(rèn)安裝完成后，為了方便用戶的使用，會默認(rèn)開啟一定數(shù)量的服務(wù)（server），常見的有telnetserver、sshserver、sendmail等等，如果有的服務(wù)程序版本存在漏洞或者默認(rèn)配置的安全性不夠，則很容易被攻擊，從而成為攻擊者進入的通道。312、早期網(wǎng)絡(luò)協(xié)議安全性問題。由于在其的互聯(lián)網(wǎng)絡(luò)是用于軍方、高校及科研結(jié)構(gòu)，網(wǎng)絡(luò)協(xié)議的設(shè)計對安全性方面考慮較少。例如，目前我們所使用的IPV4協(xié)議，IP數(shù)據(jù)包的源地址可以被修改、MAC地址可以被偽造。323、軟件編寫不規(guī)范?，F(xiàn)在很多大型軟件都是模塊化編程，可能某些功能某塊之間出現(xiàn)漏洞，被攻擊者利用作為漏洞；也有可能是程序員作為程序測試用的通道沒有去除被攻擊者發(fā)現(xiàn)。33后門隱蔽性系統(tǒng)遭入侵后，采取以下措施不能保障安全管理員給系統(tǒng)打補丁修改帳號、密碼殺毒Jasmine.More5.著名的病毒34大腦病毒（1987）1987年，誕生了一款為大家所熟知的計算機病毒——C-BRAIN。由一對巴基斯坦兄弟巴斯特（Basit）和阿姆捷特（Amjad）所寫的，他們在當(dāng)?shù)亟?jīng)營一家販賣個人計算機的商店，由于當(dāng)?shù)乇I拷軟件的風(fēng)氣非常盛行，因此他們的主要目的是為了防止他們的軟件被任意盜拷。只要有人盜拷他們的軟件，C-BRAIN就會發(fā)作，將盜拷者的剩余硬盤空間給“吃掉”。計算機病毒始祖。羅伯特·T·莫里斯（1988）1988年，莫里斯正在康奈爾大學(xué)讀研究生，他想統(tǒng)計一下當(dāng)時連接在網(wǎng)絡(luò)上的計算機的數(shù)目，所以就寫了一個程序，并且在11月2日從麻省理工學(xué)院的一臺計算機上釋放了出去。他撰寫的這個程序有點問題，開始無休止地復(fù)制自身，并占據(jù)了大量的磁盤空間、運算資源以及網(wǎng)絡(luò)帶寬，最終導(dǎo)致了網(wǎng)絡(luò)癱瘓和計算機死機。據(jù)統(tǒng)計，這個程序直接感染了大約6000臺計算機，而間接受到影響的，則包括5個計算機中心和12個地區(qū)結(jié)點，以及在政府、大學(xué)、研究所和企業(yè)中的超過25萬臺計算機。熊貓燒香（2006年）在06年年底開始大規(guī)模爆發(fā)，能夠終止大量的反病毒軟件和防火墻軟件進程，病毒會刪除擴展名為gho的文件，使用戶無法使用ghost軟件恢復(fù)操作系統(tǒng)?！靶茇垷恪备腥鞠到y(tǒng)的*.exe、*.com、*.pif、*.src、*.html、*.asp文件，導(dǎo)致用戶一打開這些文件，IE自動連接到指定病毒網(wǎng)址中下載病毒。病毒還可通過U盤和移動硬盤等進行傳播。損失估計：上億美元CIH病毒（1998年）名叫陳盈豪的臺灣大學(xué)生所編寫的，從中國臺灣傳入大陸地區(qū)的。以熱門盜版光盤游戲如“古墓奇兵”或Windows95/98為媒介，經(jīng)互聯(lián)網(wǎng)各網(wǎng)站互相轉(zhuǎn)載。從硬盤主引導(dǎo)區(qū)開始依次往硬盤中寫入垃圾數(shù)據(jù)，直到硬盤數(shù)據(jù)被全部破壞為止。某些主板上的FlashRom中的BIOS信息將被清除損失估計：全球約5億美元網(wǎng)游大盜（2007年）該病毒會盜取包括“魔獸世界”、“完美世界”、“征途”、等多款網(wǎng)游玩家的帳戶和密碼，并且會下載其它病毒到本地運行。損失估計：千萬美元愛蟲(Iloveyou，2000)2000年5月4日，一種名為“我愛你”的電腦病毒開始在全球各地迅速傳播。這個病毒是通過MicrosoftOutlook電子郵件系統(tǒng)傳播的，郵件的主題為“ILOVEYOU”，并包含一個附件。一旦在MicrosoftOutlook里打開這個郵件，系統(tǒng)就會自動復(fù)制并向地址簿中的所有郵件電址發(fā)送這個病毒。傳染速度最快而且傳染面積最廣的計算機病毒估計損失：一天55億美元沖擊波(2003)利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2000或XP的計算機，找到后就利用DCOM/RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會被傳送到對方計算機中進行感染，使系統(tǒng)操作異常、不停重啟、甚至導(dǎo)致系統(tǒng)奔潰。紅色代碼（2001）“紅色代碼”蠕蟲采用了"緩存區(qū)溢出"的黑客技術(shù)，利用微軟IIS的漏洞進行病毒的感染和傳播?；银澴幽抉R（2001）自2001年，灰鴿子誕生之日起，就被反病毒專業(yè)人士判定為最具危險性的后門程序，并引發(fā)了安全領(lǐng)域的高體積僅70kb隱蔽性更強體積僅70kb隱蔽性更強度關(guān)注。2004年、2005年、2006年，灰鴿子木馬連續(xù)三年被國