(Bot)一种集后门与蠕虫一体的恶意程序通常使用IRC-Microsoft.ppt

恶意软件分析以及防御 凌云 计算机病毒分析师 安全商业和技术部 微软有限公司 概要 信息安全现状 恶意程序 病毒 蠕虫 (网络 , 电子邮件) 木马 (监视键盘,下载软件) 后门, 僵尸程序(Bot) 恶意系统软件 (Rootkit) 灰色程序 间谍软件, 广告软件 社会工程 (Social Engineering) 垃圾邮件 网络钓鱼 对策及预防 信息安全现状 2004下半年 1,403 新的软件漏洞被发现 13% 增长, 与前半年相比 97% 视为中等或严重 80% 可被远程攻击 70% 易被攻击 2004下半年 7,630 新的病毒,蠕虫被发现 64% 增长, 与前半年相比 其中 54% 盗窃信息 44% 增长, 与前半年相比 发展趋势 间谍软件广告软件猖獗 我们都清理过间谍软件广告软件 EarthLink 发现他们的用户平均每台机器 有 28 个间谍软件 间谍软件造成 40% 普通用户以及 25% 企业用户维修案例 Websense IT 调查 29% 企业个人计算机感染间谍软件 抵御恶意程序是当务之急 干扰正常工作, 降低工作效率 增加维护成本 潜在商业及技术泻密 网络恐怖攻击只不过是迟早尔已 什么是电脑病毒? 最早出现在70年代 David Gerrold 科幻小说 When H.A.R.L.I.E. was One. 最早科学定义出现在 1983: 在Fred Cohen (南加大) 的博士论文 “计算机病毒实验” “一种能把自己(或经演变)注入其它程序的计算机程序” 启动区病毒,宏(macro)病毒,脚本(script)病毒也是相同概念 传播机制同生物病毒类似.生物病毒是把自己注入细胞之中. 电脑病毒的工作原理 病毒三部曲: 住进阶段: 执行被感染的程序,病毒就加载入计算机内存 感染阶段: 病毒把自己注入其他程序,包括远程文件 执行阶段: 当某些条件成熟时, 一些病毒会有一些特别的行为. 例如重新启动,删除文件. 什么是电脑蠕虫? 最早出现在75年 John Brunner 的小说 The Shockwave Rider 定义: 一段能不以其他程序为媒介, 从一个电脑系统复制到另一个电脑系统的程序 (Symantec) 例如, Code Red 是蠕虫; Michelangelo, 通过启动程序传播, 是病毒 蠕虫的工作原理与病毒相似, 除了没有感染文件阶段 细微的区别经常使不同公司对于同一个恶意程序得出不同的分类 电脑蠕虫背景 1978年第一个电脑蠕虫在施乐(Xerox) PARC 实验室诞生 第一个流行电脑蠕虫 – Morris 1988 年康内尔大学研究生 Robert Morris Jr. 使美国很多大学的计算机系统崩溃 近来, 电子邮件(Klez, Nimda, Sober) 和网络 (Code Red, SQL.Slammer)蠕虫已经从流行规模上超过了电脑病毒 一些电子邮件和网络蠕虫成功地在短时间内传播 Melissa (1999) Code Red, Nimda (2001) SQL Slammer, Blaster, Sober (2003) 网络蠕虫传播基本原理 利用程序中缓冲区溢出的缺陷 进程劫持 注入现有的进程 从新启动后自动消失 增加侦测难度 例如: Code Red 超级电脑病毒 一种结合多种传播机制的恶意程序 感染文件 散播电子邮件 网络攻击 其他恶意程序 木马(Trojan) 一种不自我传播的恶意程序, 通常被用来窃听键盘和下载其他程序 后门(Backdoor) 一种能让黑客未经授权进入和使用本系统的恶意程序 僵尸(Bot) 一种集后门与蠕虫一体的恶意程序. 通常使用IRC (Internet Relay Chat) 接受和执行黑客命令. 僵尸 僵尸生态系统 僵尸 僵尸网 管理通道 看守者 从 MyDoom.A开始进入鼎盛期 打开后门 TCP port 3127 - 3198 下载和执行程序 利用被感染的计算机散发电子邮件 数以百万计的感染计算机被出卖给了垃圾邮件的制造者 被发现僵尸网 (2004年9月3日) 僵尸网发展趋势 源代码可在网上免费下载 修改, 编译, 散发 过去: 集中管理 一个 IRC 服务器管理所有僵尸 关闭服务器就破坏了僵尸网 现在: 提升 注册多个IRC 服务器 通讯加密 (AES-128 或更强) 今后: 分布式 (P2P)管理 对照分析: Napster: 集中管理, 容易被关闭 eDonkey: 分布式管理, 不容易被关闭 恶意系统程序 恶意程序, 间谍软件, 广告软件提升反侦测能力 恶意系统程序是一种提供反侦测能力技术 隐藏文件, 进程, 网络端口和连接, 系统设置, 系统服务 可以在恶意程序之中, 例如 Berbe