CIW网络安全认证培训(木马的原理、病毒的危害).ppt

CIW网络安全认证培训,第四讲 病毒与木马技术,学习目标,2008年病毒、木马整体情况木马技术分析病毒和木马的防范2009年病毒、木马发展趋势2009年反病毒技术发展趋势,2008年病毒、木马整体情况,2008年病毒、木马整体情况,2008年，中国新增病毒、木马数量呈爆炸式增长，总数量已突破千万。病毒制造的模块化、专业化以及病毒“运营”模式的互联网化成为2008年病毒发展的三大显著特征。同时，病毒制造者的“逐利性”依旧没有改变，网页挂马、漏洞攻击成为黑客获利的主要渠道。,2008年病毒、木马整体情况,2008年，新增病毒、木马数量呈几何级增长。据金山公司监测数据显示，2008年，金山毒霸共截获新增病毒、木马13899717个，与2007年相比增长48倍。在新增的病毒、木马中，新增木马数为7801911个，占全年新增病毒、木马总数的56.13%；黑客后门类占全年新增病毒、木马总数的21.97%；而网页脚本所占比例从去年的0.8%跃升至5.96%，成为增长速度最快的一类病毒。金山公司统计数据显示，90%的病毒依附网页感染用户。,2008年病毒、木马的特点分,2008年是病毒、木马异常活跃的一年。从病毒传播的角度看2008年大量的病毒通过网页挂马方式进行传播，主要利用的是Real play，Adobe flash和IE漏洞进行传播。从病毒的运作模式看2008年大量病毒采用的方式是下载器对抗安全软件，关闭安全软件然后下载大量盗号木马到用户电脑盗取用户网游的账号发送到黑客的数据库。从病毒的危害来看2008年绝大多数流行的病毒都为网游盗号类木马，其次是远程控制类木马。,2008年病毒、木马的特点,1、病毒制造进入“机械化”时代由于各种病毒制作工具的泛滥和病毒制作的分工更加明细和程式化，病毒作者开始按照既定的病毒制作流程制作病毒。病毒制造进入了“机械化”时代这种“机械化”很大程度上得益于病毒制作门槛的降低和各种制作工具的流行。“病毒制造机”是网上流行的一种制造病毒的工具，病毒作者不需要任何专业技术就可以手工制造生成病毒。此类病毒作者可根据自己对病毒的需求，在相应的制作工具中定制和勾选病毒功能。病毒傻瓜式制作导致病毒进入“机械化”时代。病毒的机械化生产导致病毒数量的爆炸式增长。反病毒厂商传统的人工收集以及鉴定方法已经无法应对迅猛增长的病毒。,2008年病毒、木马的特点,2、病毒制造的模块化、专业化特征明显病毒团伙按功能模块发外包生产或采购技术先进的病毒功能模块，使得病毒的各方面功能都越来越“专业”，病毒技术得以持续提高和发展，对网民的危害越来越大，而解决问题也越来越难。例如年底出现的“超级AV终结者”集病毒技术之大成，是模块化生产的典型代表。,2008年病毒、木马的特点,在专业化方面，病毒制造业被自然的分割成以下几个环节：病毒制作者、病毒批发商、病毒传播者、“箱子”批发商、“信封”批发商、“信封”零售终端。病毒作者包括有“资深程序员”，甚至可能有逆向工程师。病毒批发商购买病毒源码，并进行销售和生成木马。病毒传播者负责将病毒通过各种渠道传播出去，以盗取有价值的QQ号码、游戏帐号、装备等。“箱子”批发商通过出租或者销售“箱子”（即可以盗取虚拟资产的木马，可以将盗取的号码收集起来）牟利，他们往往拥有自己的木马或者木马生成器。“信封”批发商通过购买或者租用“箱子”，通过出售收获的信封牟利。“信封”零售终端负责过滤“信封”中收集到的有价值的虚拟资产并进行销售。每个环节各司其职，专业化趋势明显。,2008年病毒、木马的特点,3、病毒“运营”模式互联网化病毒团伙经过2008一年的运营已经完全转向互联网，攻击的方式一般为：通过网站入侵-写入恶意攻击代码-利用成为新型网络病毒传播的主要方式,网民访问带有挂马代码的正常网站时，会受到漏洞攻击而不知不觉中毒。这种传播方式的特点是快速、隐敝性强、适合商业化运营（可像互联网厂商一样精确统计收益，进行销售分成）。例如“机器狗”病毒，“商人”购买之后，就可以通过“机器狗”招商。因为机器狗本身并不具备“偷”东西的功能，只是可以通过对抗安全软件保护病毒，因此“机器狗”就变成了病毒的渠道商，木马及其他病毒都纷纷加入“机器狗”的下载名单。病毒要想加入这些渠道商的名单中，必须缴纳大概3000块钱左右的“入门费”。而“机器狗”也与其他类似的“下载器”之间互相推送，就像正常的商业行为中的资源互换。这样，加入了渠道名单的病毒就可以通过更多的渠道进入用户的电脑。病毒通过哪个渠道进入的，就向哪个渠道缴费。,2008年病毒、木马的特点,此外，病毒的推广和销售都已经完全互联网化。病毒推广的手法包括通过一些技术论坛进行推广，黑客网站也是推广的重要渠道，此外还包括百度贴吧、QQ群等渠道进行推广。其销售渠道也完全互联网化，销售的典型渠道包括：公开拍卖网站，比如淘宝、易趣等。还有通过QQ直销，或者通过专门网站进行销售。,2008年病毒、木马的特点,4、病毒团伙对于“新”漏洞的利用更加迅速 IE 0day漏洞被利用成2008年最大安全事件。当ms08-67漏洞被爆光后部分流行木马下载器就将此漏洞的攻击代码集成到病毒内部实现更广泛的传播。而年底出现的IE0day漏洞，挂马集团从更新挂马连接添加IE 0day漏洞攻击代码到微软更新补丁已经过了近10天。期间有上千万网民访问过含有此漏洞攻击代码的网页。此外，2008年Flash player漏洞也给诸多网民造成了损失。由于软件在自身设计、更新、升级等方面的原因，存在一些漏洞，而这些漏洞会被黑客以及恶意网站利用。在用户浏览网页的过程中，通过漏洞下载木马病毒入侵用户系统，进行远程控制、盗窃用户帐号和密码等，从而使用户遭受损失。,2008年病毒、木马的特点,5、病毒与安全软件的对抗日益激烈在病毒产业链分工中，下载器扮演了黑社会的角色，它结束并破坏杀毒软件，穿透还原软件，保护盗号木马顺利下载到用户机器上，通过保护费和下载量分脏。下载者在2008年充当了急先锋，始终跑在对抗杀毒软件的第一线，出尽风头且获得丰厚回报。从AV终结者的广泛流行就不难看出，对抗杀毒软件已经成为下载者病毒的必备技能。,2008年病毒、木马的特点,纵观08年的一些流行病毒，如机器狗、磁碟机、AV终结者等等，无一例外均为对抗型病毒。而且一些病毒制作者也曾扬言“饿死杀毒软件”。对抗杀毒软件和破坏系统安全设置的病毒以前也有，但08年表现得尤为突出。主要是由于大部分杀毒软件加大了查杀病毒的力度，使得病毒为了生存而必须对抗杀毒软件。这些病毒使用的方法也多种多样，如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows自动升级等功能。病毒与杀毒软件对抗特征主要表现为对抗频率变快,周期变短,各个病毒的新版本更新非常快,一两天甚至几个小时更新一次来对抗杀毒软件。,木马技术分析,木马的定义和特征,木马，其实质只是一个非法的、未经许可安装和运行的网络客户端/服务器程序有明确的窃取敏感信息和恶意控制主机的意图，如窃取银行帐户密码非常隐蔽，非专业人员很难发现其踪迹难以清除对受害者造成的损失巨大,木马的破坏性,木马具有捕获每一个用户屏幕、每一次键击事件的能力。完全的控制宿主主机。可以打开摄像头、麦克风，并将得到的图像、声音传给木马控制者带有包嗅探器，它能够捕获和分析流经网卡的每一个数据包随意操控PC本身资源的能力，而且还能够冒充PC合法用户，例如冒充合法用户发送邮件、修改文档，甚至进行银行转帐操作,木马的植入,利用系统漏洞，远程下载并执行木马安装程序捆绑在下载的其他软件中，用户安装该软件的同时安装木马伪装为其他软件（如破解工具、漂亮的屏保等）利用IE漏洞可以通过Script、ActiveX及Asp、PHP、Cgi等交互脚本的方式植入社会工程（如谎称是朋友寄给你的贺卡）,木马的隐藏,在任务栏里隐形在任务管理器里隐形无进程、无端口的DLL（动态链接库）木马,木马的启动方式,自动启动（注册表、win.ini、system.ini等）捆绑到其他的程序上Dll的形式注入到系统服务中，随服务的启动而启动,反弹型特洛伊木马,可穿透防火墙，控制局域网机器服务器端主动发起连接，控制端监听80端口自动上线通知Email发送读取主页空间的某个文件网络神偷、灰鸽子、魔法控制解决方法安装防病毒软件和个人防火墙检查可疑的进程和监听端口提高安全警惕性,多线程技术,一个木马同时运行多个线程。例如：三个线程，其中一个为主线程，负责远程控制的工作。另外两个为辅助线程，其中一个辅助线程称为监视线程，它负责检查木马程序是否被删除和是否被停止自启动,木马发展的趋势和问题,当前木马/后门发展的趋势 驱动和内核级 拦截系统调用服务来实现系统级的隐蔽存在的问题 代码量多 影响一定的性能 实现需要高的技巧与技能,实验4-1,监听式木马反弹式木马木马的隐藏技术,病毒和木马的防范,Internet恶意网站传播,及时安装IE补丁并设置安全级别下载软件时避免一味地利用搜索引擎慎用Java Aplet和Active控件浏览正规、信誉度较好的网站警惕“网络钓鱼”圈套,局域网传播,建立文件服务器，删除无用的资源共享严格保障服务器安全性及安装防病毒产品客户端不应用建立永久共享，必要时只创建临时共享建立固定IP并进行MAC绑定管理机制,代码传播,利用系统或应用漏洞进行传播及时下载安装相关补丁及时更新病毒库,其他常见的防御措施,检查文件完整性检查注册表检查系统文件和启动项检查端口和网络连接检查补丁安装情况不要轻易暴露MAIL地址及IP地址,检查文件完整性,Tripwire商用产品md5sum/md5查看文件的时间戳和所在路径查看文件的版权信息检查隐藏在文件中的数据流Lads工具(http:/www.heysoft.de/nt/lads.zip)第一个采用ADS数据流的病毒W2K.Stream(河流3628)感染病毒所在目录，改变原文件大小为3628字节,检查系统文件和启动项,检查启动目录c:Documents and SettingsAll Users开始菜单程序启动c:Documents and SettingsAdministrator开始菜单程序启动c:Documents and Settings其它用户开始菜单程序启动c:Documents and SettingsDefault User开始菜单程序启动检查配置文件win.ini windows下面，“run=程序名”“load=程序名”system.ini文件中，在boot下面，“shell=文件名”。正确的文件名应该是“explorer.exe”,检查注册表,检查注册表启动项HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunHKLMSOFTWAREMicrosoftWindowsCurrentVersionRunonce检查Explorer启动项HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonShell(默认是explorer.exe)检查GINA调用HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon检查用户登陆项HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsHKEY_USERS用户的SID号SoftwareMicrosoftWindows NTCurrentVersionWindows检查load是否调用异常文件,检查端口和网络连接常用工具,netstat annetsessionfportPskillActive portsprocessXP个人防火墙（天网、绿色警戒）,狙剑,狙剑360安全卫士,实验4-2,木马的底层技术狙剑的使用,2009年病毒、木马发展趋势,2009年病毒、木马发展趋势,1、0Day漏洞将与日俱增2008年安全界关注的最多的不是Windows系统漏洞,而是每在微软发布补丁随后几天之后,黑客们放出来的0Day 漏洞,这些漏洞由于处在系统更新的空白期,使得所有的电脑都处于无补丁的可补的危险状态。黑客在尝到0day漏洞攻击带来的巨大感染量和暴利以后会更加关注于0day漏洞的挖掘，2009年可能会出现大量新的0day漏洞（含系统漏洞及流行互联网软件的漏洞），病毒团伙利用0day漏洞的发现到厂商发布补丁这一时间差发动漏洞攻击以赚取高额利润。,2009年病毒、木马发展趋势,2、网页挂马现象日益严峻网页挂马已经成为木马、病毒传播的主要途径之一。入侵网站，篡改网页内容，植入各种木马，用户只要浏览被植入木马的网站，即有可能遭遇木马入侵，甚至遭遇更猛烈的攻击，造成网络财产的损失。2008年，网站被挂马现象屡见不鲜，大到一些门户网站，小到某地方电视台的网站，都曾遭遇挂马问题。伴随着互联网的日益普及，网页挂马已经成为木马、病毒传播的主要途径之一的今天，杀毒软件业界预测2009年网络挂马问题将更加严峻，更多的网站将遭遇木马攻击。,2009年病毒、木马发展趋势,3、病毒与反病毒厂商对抗将加剧随着反病毒厂商对于安全软件自保护能力的提升，病毒的对抗会越发的激烈。病毒不再会局限于结束和破坏杀毒软件，隐藏和局部寄生系统文件的弱对抗性病毒将会大量增加。4、新平台上的尝试 病毒、木马进入新经济时代后，肯定是无孔不入；网络的提速让病毒更加的泛滥。因此在2009年，我们可以预估vista系统，windows 7系统的病毒将可能成为病毒作者的新宠；当我们的智能手机进入3G时代后，手机平台的病毒/木马活动会上升。软件漏洞的无法避免，在新平台上的漏洞也会成为病毒/木马最主要的传播手段。,2009年反病毒技术发展趋势,2009年反病毒技术发展趋势,在病毒制作门槛的逐步降低，病毒、木马数量的迅猛增长，反病毒厂商与病毒之间的对抗日益激烈的大环境下，传统“获取样本-特征码分析-更新部署”的杀毒软件运营模式，已无法满足日益变化及增长的安全威胁。在海量病毒、木马充斥互联网，病毒制作者技术不断更新的大环境下，反病毒厂商必须要有更有效的方法来弥补传统反病毒方式的不足。紧随云计算、云存储之后，“云安全”应运而生。云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。云安全是我国企业创造的概念，在国际云计算领域独树一帜。,“云安全”的概念,“云安全（Cloud Security）”计划是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马，在这样的情况下，采用的特征库判别法显然已经过时。云安全技术应用后，识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库，而是依靠庞大的网络服务，实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”，参与者越多，每个参与者就越安全，整个互联网就会更安全。,“云安全”的不足与担忧,虽然云安全是未来的方向，但由于当前环境不成熟、技术不成熟、云安全标准混乱等问题，其发展受到局限。首先是云计算还在发展中，并且没在实际用户中成为绝对的主导，那依据他发展出来的云安全也只能在当前的安全软件上进行修补。其次是当前对于威胁文件的判断技术还不成熟，信用认证扫描的标准还没有定型，也很难让用户放心。再次，怎样保证用户的信息不会被泄露，如果有黑客或者某个厉害的云病毒攻破了云端，会不会有大量的用户信息会被客户端完全泄露。所以对于当前的安全软件来说，云安全只是在反应速度和效率上有所提高，部分厂商还提供了一些扫描评级的辅助功能，但是由于当前软件和网络的应用环境的制约，云安全当前只能是安全软件的一个有益的补充，完全意义上的云安全还有待时日。,病毒防治法律的理论分析,随着我国社会对网络信息依赖性的加深和系统、网络脆弱性的不断披露，病毒是我国网络信息安全的主要威胁之一。当今病毒呈现的几何式增长是与网络的发展有着密切的联系的病毒与破坏、入侵、阻塞、窃取等违法犯罪行为直接相关，并可为危害国家安全和社会治安管理秩序的有害数据的传播途径。病毒制作和传播过程中可能采用的加密手段亦与密码监管有关。围绕病毒防治开展的监管是维护网络信息安全的核心内容之一。,风险控制理论的一般原则,风险控制理论是侵权行为法的重要依据学说。其有着完备的经济学和管理理论基础。按照风险控制理论，法律义务的分配及其责任配置，以“公平”、能力和机会为原则。也即谁给社会带来了风险，谁就应当承担减小风险和救济风险的责任，谁有能力、机会处理风险，作为社会成员就应当承担这样的责任，化解风险。针对病毒防治，风险控制理论应当包括以下几点：（1）认识网络空间的高风险性；（2）按照“谁有能力，谁控制”、“谁受益，谁控制”的风险分配要求，合理分配相应的风险责任。网络信息提供商、服务商，企业主管CIO、政府行政长官必须承担职责；（3）在所有环节防治病毒的制作和传播，将威胁风险降低到最小程度；（4）保持持续作战、长期防治的警惕性，强调发现、检查、改进、再分析的螺旋式进步。,风险控制的法律实现,风险控制要求在立法上对职责、义务、法律责任分配作出强制性规定。（1）政府职责目前，美国在网络安全监管法律制度方面已经推行以CIO（首席信息官）为核心的负责机制，强调每个参与者均对互联网络安全负有责任（Everyone is responsible），网络安全保障不单是政府独立完成的事务，需要互联网用户的积极参与。（2）企业义务美国国土安全法、网络空间安全国家战略、萨班斯法等都对企业、公司内部治理结构的网络信息安全风险控制提出了要求，这也反映在ISO/IEC17799、ISO/IEC27001等国际标准中。,风险控制的法律实现,（3）公众义务公众教育是防治的基本，法律责任是风险控制的最终保障。按照木桶效应，网络信息安全由最低层次的保障程度决定的，即使个人和小型企业遭到病毒入侵，也会积累成对基础设施的重大威胁，典型的例子便是利用病毒实施的分布式拒绝服务攻击，因此贯彻一切参与者都是有义务的病毒防治理念极为必要。（4）病毒制作、传播者责任承担将风险责任（病毒事故的损失风险）负由病毒制作和传播者承担（目前显然行为人的违法风险极小），增大行为人违法成本，要求承担损失风险，弱化网络空间的安全风险是防治立法的最终落结。,风险控制的机构设置,1）信息安全委员会政府、公司等组织应建立信息安全委员会或类似机构（根据组织实体的性质和业务范围），以确保为互联网络下的信息安全工作提供明确的指导和管理支持。该委员会应该在组织内部通过适当的承诺和提供充足的资源来促进安全工作。且应有一名专员或经理负责和安全有关的所有行为。信息安全委员会可以作为现有管理团体的一部分，所承担的职责主要有：a）评审并批准信息安全方针和总体职责；b）监督信息资产面临重大威胁时所暴露出的重大变化；c）评审和监督信息安全事故；d）批准加强信息安全的主动行为。在较大的组织内部，有必要成立由各相关部门的管理代表组成的跨部门的信息安全委员会，以合作实施信息安全的控制措施。,风险控制的机构设置,2）安全专员或安全经理在人员设置上，应当任命信息安全专员（政府）、安全经理（公司）或其他名称的专人全面负责信息安全工作的开展和实施，并支持控制措施的鉴别工作。在职权分工上，分配资源和实施控制措施的责任一般由各部门负责人承担。通常应为每项信息资产指定专人来负责日常的安全工作。信息安全专员、安全经理可以把安全职责委托给各部门的负责人或服务提供商。然而，信息安全专员、安全经理对信息资产的安全负有最终的责任，并应有权确定责任人是否恰当的履行了职责。,风险控制的机构设置,对各个专员、经理所负责的安全领域进行清晰的描述是很重要的，特别应进行以下工作：a）对与各个系统相关的各种资产和安全过程应给予识别和明确的界定。b）对各项资产或安全过程的管理者的职责进行审批，并以文件的形式详细记录该职责。其授权级别应清晰定义并记录在案。一个风险分配的典型例子（从运营商层面）是：ISP、ICP应当对采用新技术是否可能导致“自动传播”进行评估，如果不经评估用于服务，则应当承担风险责任。从更深层次上，这实际上涉及到网络信息领域是否一味的追求前沿技术的问题。,协同理论及其基本思路,协同理论用于为“系统的各部分协同工作”提供理论支持。作为自组织理论，它研究有序结构如何通过自组织的方式形成。即研究系统各要素之间，要素与系统之间，系统与环境之间的协调、合作、同步、互补的互动关系。协同理论认为，系统要素在各自发挥作用时，必须借助于其他系统条件。假若能得到其他条件的配合，则可以发挥其应有的作用，反之则可能削弱其效能。按照协同理论具体做出了一下三点要求：（1）病毒防治法律制度要有“系统”的思想。防治病毒必须协调网络建设、运营和服务各方面，重视管理与技术保障之间的相互配合；（2）促进信息产业发展的同时，也要关注病毒的社会应急机制的建设，重视社会和经济的协调发展；（3）处理好“预防”与“治理”之间的协调关系。,实现协同理论的基本方法,（1）政府作为国家机器，应当作为协调机制的制定和发动者，加强病毒监管，防治有害数据泛滥。a.构建病毒防治信息共享发展的法律机制；b.在战略战术高度上的与反病毒团体，包括研究机构和厂商协作，建立病毒防治的技术法律保障机制；c.加强对关键基础设施的重监控；d.加强公众教育，共同构建网络信息安全文化。（2）服务机构整体而言，特别是ISP、ICP应当协同国家实施病毒防治的检测与控制，将保证网络安全连续运行提升到国家安全的高度加以贯彻。,实现协同理论的基本方法,（3）最终用户，包括中小企业是协同机制的基本要素。在使用网络过程中，要充分认识到“任何不当的行为，包括传播、制作病毒都可能引发整体网络的瘫痪”，积极配合病毒疫情开展报告、防治和统计。（4）考虑病毒事件的国际环境。从目前的病毒时间来看，其制作者和来源半数以上为国外，因此在强调国内协同的同时，应当强烈关注国际上病毒发作态势，开展病毒预警、技术信息共享、统计资料交流等。,国外病毒防治立法,美国病毒根除法案计算机欺诈与滥用法 欧盟 网络犯罪公约 其他国家,我国关于病毒防治的立法,刑法第286条治安管理处罚法第29条 计算机信息系统安全保护条例第23条 病毒防治管理办法计算机信息网络国际联网安全保护管理办法第6条 关于维护互联网安全的决定金融机构计算机信息系统安全保护工作暂行规定第26条 银行业金融机构信息系统风险管理指引第25条 电信条例第58条,我国病毒防治机构,（1）病毒防治产品检测机构我国于1996年12月26日正式组建了病毒防治产品检验中心。该中心通过中国考核合格检验实验室的认定，取得国家技术监督局颁发的中华人民共和国产品质量监督检验中心授权证书和质量认证合格证并经由公安部批准成立。其主要任务是：（a）编制社会公共安全行业标准（目前实施的标准是2000年病毒防治产品评级准则（GA243-2000）；建立中国病毒样本库。（b）按照公安部于1997年颁布的计算机信息系统安全专用产品检测和销售许可证管理办法，依据GA135-1996标准和各企业标准，检测国内外厂家送检的病毒防治产品，并出具检验报告。（c）承担应用软件是否含有病毒的认证工作。（d）其它有关技术纠纷的检验认定工作。此外还负责病毒的认定和建库工作。,我国病毒防治机构,国家病毒应急处理中心其主要工作任务是充分调动国内防病毒力量，快速发现病毒疫情，快速发应，快速处置，防止病毒对我国的计算机网络和信息系统造成重大破坏。即：病毒疫情发布由国家病毒应急处理中心作出。国家计算机网络应急处理协调中心其职责主要为协调各机关处理病毒等安全事故，其建议和处理不具有法律强制性。丰富一下内容,病毒防治的法律对策,建立完备的法律监管机制规范网络各方法律义务和责任 基础技术的法律保障 倡导信息安全文化 加强国际间合作,