第九讲 恶意代码概述课件.ppt

恶意代码的分析与防范,河北师范大学网络中心 王方伟,恶意代码概述,信息安全威胁安全保障措施恶意代码的定义恶意代码的产生恶意代码的类型恶意代码的历史,一、信息安全所面临的威胁,计算机信息安全（computer system security）中的“安全”一词是指将服务与资源的脆弱性降到最低限度。脆弱性是指计算机系统的任何弱点。 信息安全包括的属性有：机密性、完整性、可用性、非否认性、可控性、,一、信息安全所面临的威胁,机密性是指保护数据不受非法截获和未经授权浏览。这一点对于敏感数据的传输尤为重要，同时也是通信网络中处理用户的私人信息所必须的。通常所面临的问题：窃听QQ、MSN聊天记录窃听移动电话通话窃取网银账号偷看他人文档、照片等等,一、信息安全所面临的威胁,完整性是指能够保障被传输、接收或存储的数据是完整的和未被篡改的。这一点对于保证一些重要数据的精确性尤为关键。通常所面临的问题：篡改网页信息，涂鸦留言网站挂马破坏本地文档,一、信息安全所面临的威胁,可用性是指尽管存在可能的突发事件如供电中断、自然灾害、事故或攻击等，但用户依然可得到或使用数据，服务也处于正常运转状态。通常所面临的问题：停电：2003年北美大停电恐怖主义：2001年911袭击自然灾害：2008年5月12日汶川地震， 2011年3月11号日本地震,一、信息安全所面临的威胁,非否认性是指能够保证信息行为人不能否认其信息行为。这一点可以防止参与某次通信交换的一方事后否认本次交换曾经发生过。通常所面临的问题：电子购物：赖账问题网络犯罪：案件现场取证网上发帖的追踪问题,一、信息安全所面临的威胁,可控性是指对信息及信息系统实施安全监控。这一点可以确保管机构对信息的传播及内容具有控制能力。通常所面临的问题：网络蠕虫网络警察内容过滤翻墙,已知安全事件V.S.带来损失的安全事件,病毒、蠕虫或特洛伊木马，分别为75.3%和48.8%,引发网络安全事件的主要原因分析,值得关注的信息安全问题,可能直接危害国家安危的信息安全问题有：网络及信息系统出现大面积瘫痪2001年，中美黑客大战；2007年，爱俄网络战；2008年，俄格战争；世博会安全吗？网上内容与舆论失控2009年，新疆7.5事件；谣言 2011年5月21日全球大地震,值得关注的信息安全问题,可能直接危害国家安危的信息安全问题有：网上信息引发社会危机2010年，麻疹疫苗风波；社会群体事件如何监控？有组织的网络犯罪2009年，麻城警方破获“黑色靓点犯罪团伙” ；蠕虫、木马泛滥成灾如何打击防范网络犯罪？,二、信息安全的保障措施,信息安全发展的四个阶段,年代,通信安全发展时期COMSEC,从有人类以来,60年代中期,计算机安全发展时期COMPUSEC,80年代中期,信息安全发展时期INFOSEC,90年代中期,信息安全保障发展时期 IA,安全保障能力,信息安全关键技术,安全检测与风险评估网络信任体系可信计算访问控制身份认证密码技术内容安全(包括反垃圾邮件)人工免疫安全协议恶意行为及恶意代码检测 信息隐藏,网络监控无线通信安全嵌入式安全新技术： 量子密码 生物密码云安全其他,攻击造成原因统计,客户采用的安全手段,保障信息安全的手段,法律：全国相关法律条例100余项。中华人民共和国刑法中华人民共和国计算机信息系统安全保护条例计算机病毒防治管理办法中华人民共和国电信条例技术：管理三分技术，七分管理教育全国高等院校开办信息安全专业，50余家,二、恶意代码的定义,恶意代码-Malicious Software, malware把未经授权便干扰或破坏计算机系统/网络功能的程序或代码（一组指令）称之为恶意程序。一组指令：二进制文件脚本语言宏语言,恶意代码的功能,删除敏感信息作为网络传播的起点监视键盘收集你的相关信息常访问的站点search的关键词上网偏好/时间获取屏幕在系统上执行指令/程序,恶意代码的功能（Cont）,窃取文件，如文档/音视频数据/财务/技术/商业机密开启后门，作为攻击其他计算机的起点/（肉鸡）隐藏在你主机上的所有活动 诱骗访问恶意网站,你能干什么，恶意代码就能干什么！,三、恶意代码的产生,恶意代码也是软件恶意的用户同构计算环境日益减少的信息孤岛缺乏安全知识的用户群我们的世界不是和平的世界,3.1 恶意代码也是软件,与我们平时所使用的各种软件程序从本质上看并没有什么区别它也是人们通过一定的语言编写出来的正常的程序或软件是用来帮助人们解决某些问题的，而病毒程序是专门用来搞破坏的。,如何区分：结构特征（静态） 行为特性（动态）,3.2 恶意的用户,2/8原则小部分人挑战自己的智慧大部分人获得财富（偷）技术：各种弱口令/配置缓冲区溢出 SQL注入,3.3 同构计算环境,操作系统同构(来源：Net Applications，2010.5)Windows91.28%Mac5.27%Linux1.13%Java Me0.73%iPhone0.60%Symbian0.26%应用程序同构：HtmlXmlJavapdfdoc网络协议同构：TCP/IP,3.4 日益减少的信息孤岛,空前的连通性：ATM/短信中心/网上银行/软交换/OA/高校/军事设备/电子商务/电子政务/公交系统/电力系统/三网融合/坏事传千里：光速是约每秒30万千米中国互联网通讯国际带宽接近1000G2011年12月，全国网民5.13亿，手机网民3.56亿，网站数量230万个,3.5 缺乏安全知识的用户群,不了解计算机的复杂性不了解恶意软件带来的风险管理和教育不到位缺乏安全防护技术手段,3.6 我们的世界不是和平的世界,霸权主义恐怖主义各种黑客组织信息战,四、恶意代码的类型,恶意代码的分类实例,不感染的依附性恶意代码(1) 特洛伊木马关于特洛伊木马（Trojan Horse）有一个典故。大约在公元前12世纪，因为特洛伊王子劫持了斯巴达国王梅尼拉斯的妻子海伦，希腊向特洛伊城宣战。战争持续了10年，特洛伊城非常坚固，希腊军队无法攻入。后来，希腊军队撤退，在特洛伊城外留下了很多巨大的木马。特洛伊城的军民以为这是希腊军队留给他们的礼物，就将这些木马运进城内。没想到木马中隐藏有希腊最好的战士，到了夜晚，这些希腊士兵在奥迪塞斯的带领下打开特洛伊城的城门，于是希腊军队夺下了特洛伊城。据说“小心希腊人的礼物”这一谚语也是出于这个典故。,在计算机领域，特洛伊木马是一段吸引人而不为人警惕的程序，但它们可以执行某些秘密任务。大多数安全专家统一认可的定义是：“特洛伊木马是一段能实现有用的或必需的功能的程序，但是同时还完成一些不为人知的功能，这些额外的功能往往是有害的。”这个定义中有3点需要进一步解释：第一，“有用的或必需的功能的程序”只是诱饵，就像典故里的特洛伊木马，表面看上去很美但实际上暗藏危机。第二，“为人不知的功能”定义了其欺骗性，是危机所在之处，为几乎所有的特洛伊木马所必备的特点。,第三，“往往是有害的”定义了其恶意性，恶意企图包括： （1）试图访问未授权资源（如盗取口令、个人隐私或企业机密）； （2）试图阻止正常访问（如拒绝服务攻击）； （3）试图更改或破坏数据和系统（如删除文件、创建后门等）。特洛伊木马一般没有自我复制的机制，所以不会自动复制自身。电子新闻组和电子邮件是特洛伊木马的主要传播途径。特洛伊木马的欺骗性是其得以传播的根本原因。特洛伊木马经常伪装成游戏软件、搞笑程序、屏保、非法软件、色情资料等，上载到电子新闻组或通过电子邮件直接传播，很容易被不知情的用户接收和继续传播。,1997年4月，一伙人开发出一个名叫AOL4FREE.COM的特洛伊木马，声称可以免费访问AOL(美国在线服务)，但它却损坏了执行它的机器硬盘。(2) 逻辑炸弹逻辑炸弹（Logic bomb）是一段具有破坏性的代码，事先预置于较大的程序中，等待某扳机事件发生触发其破坏行为。扳机事件可以是特殊日期，也可以是指定事件。逻辑炸弹往往被那些有怨恨的职员利用，他们希望在离开公司后，通过启动逻辑炸弹来损伤公司利益。一旦逻辑炸弹被触发，就会造成数据或文件的改变或删除、计算机死机等破坏性事件。,一个著名的例子是美国马里兰州某县的图书馆系统，开发该系统的承包商在系统中插入了一个逻辑炸弹，如果承包商在规定日期得不到全部酬金，它将在该日期使整个系统瘫痪。当图书馆因系统响应时间过长准备扣留最后酬金时，承包商指出了逻辑炸弹的存在，并威胁如果酬金不到位的话就会让它爆炸。,(3) 后门或陷门后门（backdoor）或陷门（trapdoor）是进入系统或程序的一个秘密入口，它能够通过识别某种特定的输入序列或特定账户，使访问者绕过访问的安全检查，直接获得访问权利，并且通常高于普通用户的特权。多年来，程序员为了调试和测试程序一直合法地使用后门，但当程序员或他所在的公司另有企图时，后门就变成了一种威胁。,不感染的独立性恶意代码(1) 点滴器点滴器（dropper）是为传送和安装其他恶意代码而设计的程序，它本身不具有直接的感染性和破坏性。点滴器专门对抗反病毒检测，使用了加密手段，以阻止反病毒程序发现它们。当特定事件出现时，它便启动，将自身包含的恶意代码释放出来。,(2) 恶作剧恶作剧（hoax）是为欺骗使用者而设计的程序，它侮辱使用者或让其做出不明智的举动。恶作剧通过“心理破坏”达到“现实破坏”。例如，UltraCool声称“如果不按退出按钮的话，一个低水平的硬盘格式化会在27秒内完成”，然而如果一直用鼠标按住退出按钮的话，直到计时到0时，便会出现一个“只是玩笑”的信息。这只是愚弄而已，严重的问题是有些恶作剧会让受骗者相信他的数据正在丢失或系统已经损坏需要重新安装，惊惶失措的受骗者可能会做出不明智的操作，如设法恢复丢失的数据或阻止数据再次丢失，或进行系统重新安装而致使数据丢失甚至无法进入系统，从而导致真正的破坏。,可感染的依附性恶意代码计算机病毒（viru）是一段附着在其他程序上的可以进行自我繁殖的代码。由此可见，计算机病毒是既有依附性，又有感染性。由于绝大多数恶意代码都或多或少地具有计算机病毒的特征，因此在下一节中专门论述计算机病毒，这里不多做解释。,可感染的独立性恶意代码(1) 蠕虫计算机蠕虫（worm）是一种通过计算机网络能够自我复制和扩散的程序。蠕虫与病毒的区别在于“附着”。蠕虫不需要宿主，不会与其他特定程序混合。因此，与病毒感染特定目标程序不同，蠕虫感染的是系统环境（如操作系统或邮件系统）。蠕虫利用一些网络工具复制和传播自身，其中包括：电子邮件蠕虫会把自身的副本邮寄到其他系统中；远程执行蠕虫能够执行在其他系统中的副本；远程登录蠕虫能够像用户一样登录到远程系统中，然后使用系统命令将其自身从一个系统复制到另一个系统中。,上述方式的递归过程，即新感染系统采取同样的上述方式进行复制和传播，使得蠕虫传播非常迅速。蠕虫可以大量地消耗计算机时间和网络通信带宽，导致整个计算机系统及其网络的崩溃，成为拒绝服务攻击的工具。,五、恶意代码的历史,1981年-在APPLE-II的计算机游戏中发现Elk clonerElk Cloner: The program with a personality（Elk Cloner：有个性的项目） It will get on all your disks（它会占领你所有的磁盘） It will infiltrate your chips（它会潜入你的芯片） Yes its Cloner!（它就是Cloner！） It will stick to you like glue（它会像胶水一样粘着你） It will modify ram too（它也会修改你的内存） Send in the Cloner!（传播Cloner！）1983年， Fred Cohen： 计算机病毒（Virus）是一段附着在其它程序上的、可以自我繁殖的程序代码。复制后生成的新病毒同样具有感染其它程序的功能。,恶意代码的历史,1981年-1982年，第一次报道的计算机病毒：其中包括在AppleII计算机系 统的游戏中被发现的ELK Cloner。1986年，第1个PC病毒：Brain virus感染了Microsoft的Dos操作系统。 当时主流的Dos系统和此后的Windows系统将成为病毒和蠕虫攻击的主要目标。1988年，Morris蠕虫，由Robert Tappan Morris编写，当年11月发布。这个最早的蠕虫致使早期的Internet大面积瘫痪。1990年，第一个多态的计算机病毒出现。为了逃避反病毒系统，这种病毒在每次运行时都会变换自己的表现形式，从而解开了多态病毒代码的序幕 ，今天人们仍在研究开发这种病毒。,恶意代码的历史,1992年，病毒构造集（Virus Construction Set)发布，这是一个简单的工具包，用户可用此工具自己定制恶意代码。1995年，首次发现宏病毒，宏病毒使用Microsoft Word的宏语言实现，感染.doc文件，此类技术很快便波及其他程序中的宏语言。1998年，Back Orifice：这个工具在7月由cDc黑客组织发布，它允许用户通过网络远程控制windows系统。1998年，CIH病毒造成数十万台计算机受到破坏。1999年，发布了TFN（Tribe Flood Network）和Trin00。这些工具能使 攻击者可以通过单台客户机控制数百，甚至数千台安装了僵尸程序的计算 机发起DDOS或者其他攻击,恶意代码的历史,1999年，knart内核级rootkit发布，Knark包含一个用于修改Linux内核的完整工具包，攻击者可以非常有效的隐藏文件，进程和网络行为。1999年，Melissa病毒大爆发，Melissa病毒通过E-mail附件快速传播而使E-mail服务器和网络负载过重，它还将敏感的文档在用户不知情的情况下 服务器和网络负载过重，它还将敏感的文档在用户不知情的情况下按地址簿中的地址发出。2000年5月，爆发的“爱虫”病毒及其以后出现的50多个变种病毒，是近年来让计算机信息界付出极大代价的病毒，仅一年时间共感染了4000多万台计算机，造成大约87亿美元的经济损失。,恶意代码的历史,2001年8月，“红色代码”蠕虫利用微软Web服务器IIS4.0或5.0中Index服务的安全漏洞，攻破目标机器，并通过自动扫描方式传播蠕虫，在互联网上大规模泛滥。2003年，SLammer 蠕虫在10 分钟内导致互联网90脆弱主机受到感染 2003年，SLammer 蠕虫在10分钟内导致互联网90脆弱主机受到感染。同年8月，“冲击波”蠕虫爆发，8天内导致全球电脑用户损失高达20亿美元之多。2004年到2006年，震荡波蠕虫、爱情后门、波特后门等恶意代码利用电子邮件和系统漏洞对网络主机进行疯狂传播。2007年熊猫烧香，2007年春节爆发，原创者为湖北人，将受感染计算机的文件图标改为“熊猫烧香”,恶意代码的特征,可以总结出恶意代码从80年代发展至今体现出来的3个主要特征恶意代码日趋复杂和完善：从非常简单的，感染游戏的Apple II病毒发展到复杂的操作系统内核病毒和今天主动式传播和破坏性极强的蠕虫。恶意代码在快速传播机制和生存性技术研究取得了很大的成功。创新性工具和技术的发布速度加快：恶意代码刚出现时发展较慢，但是随着网络飞速发展，Internet成为恶意代码发布并快速蔓延的平台。特别是过去十年，不断涌现的恶意代码，证实了这一点。从病毒到蠕虫，又到内核的开发趋势：对于过去的恶意代码，大多数活动都围绕着病毒和感染可执行程序进行，然而现在，我们看到这些活动主要集中在蠕虫和内核级的系统开发上活动主要集中在蠕虫和内核级的系统开发上。,一点常识,1、DOS病毒命名,按病毒发作的时间命名 ：黑色星期五 ；按病毒发作症状命名：“小球” /“火炬” /Yankee 按病毒自身包含的标志命名：以病毒中出现的字符串、病毒标识、存放位置或病发表现时病毒自身宣布的名称来命名 ，Mar_ijunana及Stoned，DiskKiller,DOS病毒命名,按病毒发现地命名 ：Jurusalem(耶路撒冷)病毒，Vienna(维也纳)病毒 按病毒的字节长度命名： 以病毒传染文件时文件的增加长度或病毒自身代码的长度来命名，如1575、2153、1701、1704、1514、4096,2、恶意代码的命名,反病毒公司为了方便管理，会按照恶意软件的特性，将恶意软件（广义病毒）进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。一般格式为： .,恶意代码的命名,病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。如：TrojanWorm,恶意代码的命名,病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的。 CIH Sasser,恶意代码的命名,病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如：Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B，因此一般称为 “震荡波B变种”或者“震荡波变种B”。,恶意代码的命名,系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。,恶意代码的命名,蠕虫 蠕虫的前缀是：Worm。是通过网络或者系统漏洞进行传播，很大部分的蠕虫都有向外发送恶意邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。,恶意代码的命名,木马： Trojan.QQ3344黑客程序/工具：Hack.Nether.Client 脚本病毒：红色代码（Script.Redcode）欢乐时光（VBS.Happytime）十四日（Js.Fortnight.c.s）,恶意代码的命名,宏病毒：Macro第二前缀是：Word、Word97、Excel、Excel97，Macro.Melissa 后门病毒：Backdoor,恶意代码的命名,破坏性程序病毒：Harm玩笑病毒：Joke捆绑机病毒：Binder,恶意代码的命名,拒绝服务攻击程序：DoS漏洞溢出工具：Exploit,2008网络安全事件（部分摘录）,艳照门 :陈冠希网络战争：俄格大战杀毒软件免费化：奇虎360、瑞星卡卡 微软“黑屏”事件云安全：瑞星云杀毒、360云安全,2009网络安全事件（部分摘录）,Conficker蠕虫病毒攻击 ：微软RPC漏洞导致，阻止访问安全网站，阻止Windows升级Heartland Breach信用卡失窃 ：大量数据被泄露，涉及到1.3亿信用卡和相关交易数据 美国即将到来到的网络安全 ：奥巴马将网络安全威胁等同于核武和生物武器，中国威胁论hacktivist泛滥 ：因政治或社团目的而产生的黑客行为 ，对伊朗政府网站发动了拒绝服务攻击，声称伊朗总统选举内含欺诈。 苹果 iPhone 漏洞 ：“黑帽”(Blackhat)安全大会上，安全研究人员Miller在会议上展示如何通过手机短信对iPhone发动攻击，他表示只要通过一系列恶意短信即可控制iPhone 。,2010网络安全事件,中国式威胁 ：Google声称来源于中国的黑客组织对其进行大量网络攻击，谷歌中国搬家到HK。,2010网络安全事件,百度被黑 ：2010年1月12日上午7点到12点，百度造到Iranian Cyber Army 的域名劫持,2010网络安全事件,69圣战：2010.6.9，因韩国SuperJunior在世博会上未足额派送门票，导致踩踏事件,2011网络安全事件,谷歌Android市场出现恶意软件3月初，可窃取用户数据和未得手机主人确认许可下“拨出”电话或发昂贵的短信。,2011网络安全事件,索尼被黑，黑客借网络入侵炫耀4月，索尼影视、索尼欧洲、索尼希腊BMG网站、索尼泰国、索尼日本音乐、索尼爱立信加拿大等等，无一不成为黑客攻击的目标。,2011网络安全事件,RSA公布被攻击内幕：钓鱼邮件惹祸美国花旗银行6月8日证实，该银行系统日前被黑客侵入，21万北美地区银行卡用户的姓名、账户、电子邮箱等信息可能被泄露。,2011网络安全事件,国际货币基金组织(IMF)数据库遭“黑客”攻击,2011网络安全事件,CSDN密码泄漏，超1亿用户密码被泄12月21日，国内知名程序员网站CSDN的大量用户数据库被公布在互联网上，600多万个明文的注册邮箱和密码被曝光。12月22日，泄密事件继续扩大，更多网站卷入其中，网上曝出人人网、天涯 、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等多家知名网站的用户数据也被泄露,