图恶意程式感染途径.PPTVIP

惡意程式自動更新行為分析之研究 吳宗儒2008.10.22 大綱 前言 文獻探討 惡意程式自動更新行為分析 結論、建議與未來研究 前言(1/3) 根據許多網路安全研究發現，惡意程式己成為當前網際網路環境中最嚴重的威脅之一，而近年來惡意程式也造成許多企業重大的損失。 美國安全局與聯邦調查局電腦犯罪與安全調查報告(CSI/FBI Computer Crime and Security Survey, 2006, 2007)： 1999~2006年電腦病毒等相關惡意程式攻擊，連續7年蟬聯造成經濟損失的主因，2007年則僅次於網路金融詐騙。 2006年惡意程式造成受訪的313個美國企業、政府機關、大學、醫療、金融機構等單位經濟損失高達16,615,160美元。 2007年對194個受訪者造成高達11,261,400美元的損失，並持續逐年攀升。 前言(2/3) 全球企業管理軟體領導公司CA 網際網路威脅前瞻報告(CA Internet Security Outlook, 2006, 2007)： 2006年木馬程式比例達所有惡意程式的62%。 2007年十大惡意程式中即有七件為木馬程式，這意味著惡意程式的發展趨勢正朝木馬程式靠攏。 網路上商業活動頻繁，惡意程式設計者想利用木馬程式隱匿性、精準式的鎖定目標攻擊方式等特性獲取不當利益。 混合式威脅（Blended threats）將持續惡化。 前言(3/3) 2008年6月我們於高雄大學校內發現一組惡意程式其特徵有： 大量的ARP欺騙攻擊。 自動植入大量惡意程式。 完整的自動更新的機制，其更新頻率極為頻繁。 其行為特性及更新機制產生了新型態的威脅，我們針對這類惡意程式的隱密性、多樣性、感染途徑與版本更新頻率做進一步的分析，以供日後要更深入研究時能有個初步的基礎。 文獻探討 惡意程式的定義為：任何惡意、未經授權存取、不符合預期的程式碼皆為之(F. Qattan…etc, 2004)。 惡意程式依照其存在的形式及行為特徵做區分則可分為三大基礎類型(SANS Institute. 2003)： 電腦病毒 網路蠕蟲 特洛伊木馬 惡意程式依據作者的目的，逐漸朝向綜合上述三大基礎類型惡意程式的優點，發展出兼具自動化、結構化、不易偵測等特性的混合式惡意程式，並利用這些惡意程式進行網路攻擊、破壞與資料竊取，藉以獲取不法的實質利益。 惡意程式自動更新行為分析分析環境的簡介 惡意程式自動更新行為分析惡意程式自動更新機制(1/2) 惡意程式自動更新行為分析惡意程式自動更新機制(2/2) Malware_exe01.exe ~ Malware_exeN.exe 皆為其他不同類型的惡意程式。 原始的惡意程式Downloader.exe下載Malware_list.txt後則自動更新自己，且依序下載並執行所有下載的惡意程式 。 隨著Downloader.exe的更新，下一次執行時可能會到另一個不同的網址下載http://Malware_site04/path4/Malware_list01.txt做為新的更新啟始點。 惡意程式自動更新行為分析惡意網站的隱密性(1/2) 在自動更新程序中，各惡意網站所使用的領域名稱(Domain Name) 皆不相同，且惡意網站在網際網路上只有 DNS 的正解，且無法利用DNS反解從IP得知其他領域名稱。 採用極具彈性的Downloader.exe的更新，以URL 為過濾機制的防護機制無法及時更新過濾名單(Access Control List)，將導致無法有效的防護管轄內的主機。 惡意程式自動更新行為分析惡意網站的隱密性(2/2) 利用虛擬主機的網站技術(Virtual host)，在同一台主機上不同的定義領域名稱會對應到不同的目錄，這使惡意網站可以同時在同一個網頁伺服程式上架設其他合法的網路服務掩護這些惡意的程式更新的行為。 攻擊者可入侵合法網站在不影響正常服務下建立惡意程式更新機制之環境，以檢視網路第三層IP資訊的連線記錄偵測方式而言，是無法輕易判斷這樣的惡意網站的正確位置。 惡意程式自動更新行為分析多樣而具彈性的攻擊形式 每次自動更新程序，皆會下載不同版本的Malware_list.txt，及其所列之惡意程式。 目前觀察到之惡意程式種類： 竊聽程式、特洛伊木馬程式 ARP Spoofing的攻擊程式 具有多層結構，可機動更新到不同網站或不同領域名稱。 多個惡意網站 多個不同領域名稱 惡意程式自動更新行為分析更新頻率(1/2) 在2008/7/14~2008/7/25這 12 天內，共出現了 40 個不同的惡意程式。 以檔案大小檢視變動並不大或是不變，但若以MD5/SHA檢查碼 (MD5/SHA Checksum)比較，可發現，這些檔名、大小相同