第06章恶意代码剖析.ppt

第6章 恶意代码 恶意代码造成的经济损失 Windows 7 苹果手机 恶意代码在安全方面的威胁 1991 海湾战争 美国使伊拉克从第三方买入的 打印机中植入可远程控制的恶意代码 ，使其整个计算机网络管理的雷达预警系统全面瘫痪。 恶意代码机理研究?未来恶意代码的趋势 中国首届网络安全宣传周 2014-11-24-30日 北京 360展台--绵羊墙 绵羊墙（The Wall of Sheep） 是在西方举行的各种黑客大会或安全大会上经常出现的趣味活动，源自于黑客大会的鼻祖Defcon。 2002年第十界Defcon大会的期间，一群参会的黑客偶然坐到一起，他们想扫描网络找出那些使用不安全的口令，用户密码上网和收发电子邮件的人，当他们破获这些人的信息后，会找一些餐厅用的纸盘子把这些人的用户名及其部分密码写在上面，并将这些纸盘子贴在墙上，还在墙上写了个大大的“Sheep”。黑客们这样做是想教育人们：“你很可能随时都被监视”。 Cookie 第6章 恶意代码 6.1 恶意代码的概念及关键技术 重点 6.2 计算机病毒 6.3 木马 6.4 蠕虫 6.5其他常见恶意代码 国家互联网应急中心 关于近期我国部分网站遭受页面劫持情况的提示 2015年4月26日以来，我国部分网站页面被劫持，经查是由于境外服务器对我国境内部分递归域名服务器投毒所致。 被污染域名为，投毒后递归域名服务器上该域名被指向或4或5。此事件发生后，运营商积极采取措施，对被投毒域名指向进行刷新或修改，及时控制了事件的进一步扩散。至4月30日12时，仍有少数递归域名服务器处于被污染状态。CNCERT提醒递归域名服务器所有者，采取有效措施，及时刷新被污染域名，避免给用户带来不便。 关于监控设备存在高危漏洞可被入侵控制并对外发动网络攻击的情况通报 ?2月27日，监控设备存在高危漏洞可被入侵控制并对外发动网络攻击的安全隐患问题引起社会广泛关注。因涉事监控设备在国内，特别是政府机关和公共行业的应用较广泛，存在风险较为严重。 ?自2013年起，“海康威视”产品陆续被曝光存在多个严重漏洞。截至2015年3月，国家信息安全漏洞共享平台（以下简称“CNVD”）共向“海康威视”的400邮箱通报了4起高危漏洞事件，主要危害是可获取后台管理权限或可取得系统服务器远程控制权限。 最新漏洞 [2015-5-15]关于虚拟机管理组件QEMU存在VENOM（毒液）高危漏洞的情况公告 [2015-04-21]关于微软IIS服务器存在远程代码执行漏洞威胁的情况通报 [2015-04-17]Microsoft发布2015年4月安全更新 [2015-04-17]Microsoft发布2015年4月安全更新 6.1 恶意代码的概念及关键技术 6.1.1 恶意代码的概念 6.1.2 恶意代码生存技术 6.1.3 恶意代码隐藏技术 6.1.1 恶意代码的概念 Grimes 恶意代码概念：经过存储介质和计算机网络进行传播，从一台计算机系统到另一台计算机系统，未经授权而破坏计算机系统的安全性和完整性的程序或代码。 恶意代码定义最显著的两个特点： 非授权 破坏 常见的恶意代码（3+4） 表6-1 p134 -6.1.1 恶意代码的概念 恶意代码分类： 依赖于宿主程序： 病毒、逻辑炸弹 后门 独立于宿主程序：蠕虫和僵尸 不进行复制：逻辑炸弹 后门 僵尸程序 进行复制： 病毒和蠕虫 -6.1.1 恶意代码的概念 恶意代码发展体现的3个特征： 恶意代码日趋复杂和完善 恶意代码编制方法和发布速度更快 从病毒-电子邮件蠕虫—利用系统漏洞主动攻击的恶意代码 6.1.2 恶意代码生存技术（4种） 1）反跟踪技术 2）加密技术： 3）模糊变换技术 4）自动生产技术 6.1.2 恶意代码生存技术（4种） 1）反跟踪技术 反动态跟踪： 禁止跟踪中断、封锁键盘输入和屏幕显示、检测（调试器）跟踪法、其他反跟踪技术。 反静态跟踪： 对恶意程序代码分块加密执行，伪指令法 2）加密技术： 与反跟踪技术配合使用，使分析者无法正常调用和阅读恶意代码，从而无法抽取恶意代码的特征串，也无法知道其工作机理。 3）模糊变换技术 指令替换技术 JMP CALL 指令压缩技术 指令扩展技术 伪指令技术 重编译技术 4）自动生产技术 计算机病毒生产器使得对计算机病毒一无所知的普通用户，也能组合出功能各异的计算机病毒。 6.1.3 恶意代码隐藏技术 本地隐藏 文件隐藏 恶意代码文件名改为系统合法程序名；操作系统命令；扇区标记为坏块隐藏 进程隐藏 附着或替换系统进程。 网络连接隐藏 熟知的网络端口来隐藏网络连接 HTTP 80 端口 编译器隐藏 植入者