病毒间谍软件最新趋势.ppt

病毒间谍软件最新趋势 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望提纲趋势总结趋势总结业界新闻业界新闻安全漏洞安全漏洞病毒病毒RootkitRootkit间谍软件间谍软件网络钓鱼网络钓鱼监测和防护监测和防护趋势总结从以前大规模的，无特定目的的网络攻击转为小从以前大规模的，无特定目的的网络攻击转为小从以前大规模的，无特定目的的网络攻击转为小从以前大规模的，无特定目的的网络攻击转为小规模的，特定用户和目的的攻击规模的，特定用户和目的的攻击规模的，特定用户和目的的攻击规模的，特定用户和目的的攻击钱，钱，钱！窃取个人和公司银行账户窃取个人和公司银行账户窃取信用卡号码窃取信用卡号码 实施实施DDoSDDoS攻击攻击创建代理服务器创建代理服务器ZombieZombie网络网络散布广告软件散布广告软件 自动拨号自动拨号等等等等最新统计数据数据来源数据来源 Symantec 2006Symantec 2006年年3 3月发布的互联网安月发布的互联网安全报告全报告18961896新的安全漏洞被发现，增幅新的安全漏洞被发现，增幅40%40%80%80%有害软件试图窃取用户机密信息有害软件试图窃取用户机密信息 IEIE安全漏洞安全漏洞 2424；FirefoxFirefox安全漏洞安全漏洞 1313平均时间从安全漏洞发现到平均时间从安全漏洞发现到补丁提供：补丁提供：4949天天出现代码利用安全漏洞：出现代码利用安全漏洞：6.86.8天天最容易被感染的系统：无补丁最容易被感染的系统：无补丁Win2K Win2K 业界新闻无论你喜欢与否，微软发布了一系列产品或服务无论你喜欢与否，微软发布了一系列产品或服务 安全漏洞最严重的安全漏洞最严重的安全漏洞WMFWMF安全漏洞安全漏洞OfficeOffice最新安全漏洞最新安全漏洞MS06-048 PowerpointMS06-048 PowerpointMS06-039 Onenote,ProjectMS06-039 Onenote,ProjectMS06-038 MS06-038 病毒传播方式传播方式利用操作系统的安全漏洞利用操作系统的安全漏洞社会工程？社会工程？Social EngineeringSocial Engineering分类分类后门后门 -Backdoor-Backdoor木马木马 -Trojan-Trojan蠕虫蠕虫 -Worm-Worm文件感染器文件感染器 -File infector(virus)-File infector(virus)系统安全漏洞缓存溢出（缓存溢出（Buffer OverrunBuffer Overrun ）Code Red:IISCode Red:IIS缓存溢出缓存溢出Blaster:DCOM RPCBlaster:DCOM RPC缓存溢出缓存溢出Zotob:PnPZotob:PnP缓存溢出缓存溢出堆栈缓存溢出Top of StackReturn Addresschar128void UnSafeRecv(char*payload)strcpy(localBuffer,payload);char localBuffer128;典型攻击模式攻击方攻击方攻击方攻击方用户用户用户用户OSOS存在安全漏洞存在安全漏洞存在安全漏洞存在安全漏洞 恶意的网络数据恶意的网络数据恶意的网络数据恶意的网络数据缓存溢出缓存溢出缓存溢出缓存溢出恶意代码被执行恶意代码被执行恶意代码被执行恶意代码被执行发出下载请求发出下载请求发出下载请求发出下载请求有害软件主体有害软件主体有害软件主体有害软件主体 有害软件主体执行，系有害软件主体执行，系有害软件主体执行，系有害软件主体执行，系统被全面感染统被全面感染统被全面感染统被全面感染,开始攻开始攻开始攻开始攻击其他机器击其他机器击其他机器击其他机器社会工程攻击者通过某种手段，例如虚假信息，诱使用户攻击者通过某种手段，例如虚假信息，诱使用户执行一定的动作，已达到控制系统，窃取信息的执行一定的动作，已达到控制系统，窃取信息的目的目的用户参与用户参与典型攻击模式邮件蠕虫邮件蠕虫攻击方攻击方攻击方攻击方用户用户用户用户有害软件作为附件有害软件作为附件有害软件作为附件有害软件作为附件发送电子邮件发送电子邮件发送电子邮件发送电子邮件打开附件打开附件打开附件打开附件有害代码执行有害代码执行有害代码执行有害代码执行搜集邮件地址搜集邮件地址搜集邮件地址搜集邮件地址发送新的邮件以传播发送新的邮件以传播发送新的邮件以传播发送新的邮件以传播 最流行的病毒SoberSober反病毒软件文件扫描文件扫描基于特征代码（基于特征代码（signaturesignature）应用程序应用程序应用程序应用程序反病毒反病毒反病毒反病毒驱动程序驱动程序驱动程序驱动程序实时防护1.1.反病毒驱动程序截获应用程序的文件调用反病毒驱动程序截获应用程序的文件调用2.2.监控监控I/OI/O操作，以便反病毒软件扫描文件操作，以便反病毒软件扫描文件文件系统文件系统文件系统文件系统驱动程序驱动程序驱动程序驱动程序反病毒软件反病毒软件反病毒软件反病毒软件局限性反病毒软件工作基于病毒样本的特征代码反病毒软件工作基于病毒样本的特征代码对于小规模传播的病毒，可能没有特征代码对于小规模传播的病毒，可能没有特征代码病毒爆发和反病毒软件公司提供特征代码之间有时间间病毒爆发和反病毒软件公司提供特征代码之间有时间间隔隔仅依靠反病毒软件保护系统安全是不完善的仅依靠反病毒软件保护系统安全是不完善的间谍软件间谍软件间谍软件未经用户允许，有以下行为的软件：未经用户允许，有以下行为的软件：广告，收集用户个人信息，广告，收集用户个人信息，修改系统配置等等。修改系统配置等等。传播途径通过弹出对话框或其它手段诱使用户通过弹出对话框或其它手段诱使用户安装电子邮件邀请访问特定的网站安装电子邮件邀请访问特定的网站附加在其它软件中一起安装附加在其它软件中一起安装感染间谍软件的症状广告框总是自动弹出广告框总是自动弹出IEIE的缺省主页和搜索配置未经允许被修改的缺省主页和搜索配置未经允许被修改IEIE出现不熟悉的工具条，凭无法被正常删除出现不熟悉的工具条，凭无法被正常删除计算机性能下降计算机性能下降操作系统频繁崩溃操作系统频繁崩溃热门间谍软件WebSearchWebSearch反间谍软件和反病毒软件类似，主要是基于对文件的扫描。和反病毒软件类似，主要是基于对文件的扫描。扫描基于间谍软件特征代码的数据库扫描基于间谍软件特征代码的数据库http:/ x防护措施安装反间谍软件安装反间谍软件尽量从正式网站下载软件尽量从正式网站下载软件注意注意IEIE中中Internet secure zoneInternet secure zone的配置的配置Rootkit历史历史术语来自于术语来自于UnixUnix系统。最早的一个版本是出现在系统。最早的一个版本是出现在SunOS SunOS 4 4 用于修改操作系统，以改变操作系统的表现行为用于修改操作系统，以改变操作系统的表现行为的工具软件的工具软件 。而这种改变，往往不是操作系统设。而这种改变，往往不是操作系统设计时所期望的计时所期望的 隐藏信息RootkitRootkit可用于隐藏以下系统信息可用于隐藏以下系统信息:运行进程运行进程服务服务TCP/IPTCP/IP端口端口文件文件注册信息注册信息RegistryRegistry用户帐号用户帐号新的威胁越来越多的越来越多的WindowsWindows系统的系统的RootkitRootkit越来越多的有害软件，间谍软件和越来越多的有害软件，间谍软件和RootkitRootkit 绑定绑定Win32 API Win32 API 调用调用Kernel32.dll(CreateFileW)Ntdll.dll(ZwCreateFile)User modeKernel modeKiServiceTable(NtCreateFile)ApplicationApplicationInt 2EInt 2ENTExecutives 类型User-Mode API User-Mode API 截获截获Kernel-Mode API Kernel-Mode API 截获截获Kernel-Mode Kernel-Mode 数据结构修改数据结构修改检测RootkitOffline OSOffline OS检测检测APIAPI副作用检测副作用检测RootkitRootkit检测工具检测工具Strider/GhostbusterStrider/Ghostbuster，MS ResearchMS ResearchRootkitRevealerRootkitRevealer，SysinternalsSysinternals官方提供的工具官方提供的工具重新安装系统重新安装系统 删除RootkitRootkit实例为什么为什么SonySony的用来保护的用来保护CDCD版权的程序被反病毒公版权的程序被反病毒公司检测为司检测为Rootkit?Rootkit?Phishing复制一个官方网站的主页，复制一个官方网站的主页，诱使用户输入个人的机密信诱使用户输入个人的机密信息，如银行账号，密码等等。息，如银行账号，密码等等。实例1实例2Phishing的最新统计数据数据来源数据来源 Symantec 2005Symantec 2005年年3 3月发布的互联网安全月发布的互联网安全报告报告Symantec Brightmail AntiSpam Symantec Brightmail AntiSpam 每周截获的每周截获的phishingphishing攻击从攻击从9 9百万次增长到百万次增长到3 3千千3 3百万次百万次防护http:/ 及时安装操作系统的补丁及时安装操作系统的补丁尽量避免运行在系统管理员模式尽量避免运行在系统管理员模式反病毒软件，反间谍软件反病毒软件，反间谍软件特定的硬件配置特定的硬件配置资源Windows Windows 安全安全安全安全http:/