恶意移动代码分析与研究.ppt

恶意移动代码分析与研究 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望主要内容主要内容n n当前的安全状况n n攻防主体n n主要研究成果n n防治周期理论n n主动防治系统n nOpen Problems漏洞越来越多漏洞越来越多攻击越来越容易攻击越来越容易病毒数量增长越来越快病毒数量增长越来越快风险越来越大风险越来越大全球基础设施全球基础设施区域性网络区域性网络多个网络多个网络单个网络单个网络单台计算机单台计算机攻击目标和攻击目标和破坏程度破坏程度First GenFirst Gen Boot Boot virusesviruses周周Second GenSecond Gen Macro Macro virusesviruses Denial of Denial of serviceservice天天Third GenThird Gen Distributed Distributed denial of denial of serviceservice Blended Blended threatsthreats时时Next GenNext Gen Flash Flash threatsthreats Massive Massive worm-worm-driven driven DDoSDDoS Damaging Damaging payload payload wormsworms分分1980s1990sTodayFutureRapidly Escalating Threat to Businesses病毒、蠕虫、病毒、蠕虫、DDoS组合攻击组合攻击Server-level DDoS&worm attacksInfrastructure-level DDoS attacksBandwidth-level DDoS attacksAttack zombies:Use valid protocolsSpoof source IPMassively distributedInternet面临的安全挑战面临的安全挑战n n如何防范自动化攻击？n n如何防范快速突发攻击？n n如何防范大规模攻击？恶意移动代码主要特性恶意移动代码主要特性n n破坏性(Malicious Code,Malware)n n移动性(Mobile Code)通过网络通过网络通过人通过人恶意移动代码主要种类恶意移动代码主要种类n nInternet 蠕虫n n病毒邮件n n文件系统病毒n n网页脚本n n木马恶意移动代码的简单比较恶意移动代码的简单比较Internet Internet 蠕虫蠕虫病毒邮件病毒邮件文件系统文件系统病毒病毒网页脚本网页脚本木马木马传播速度传播速度极快极快快快一般一般慢慢慢慢传播方式传播方式自动自动半自动半自动半自动半自动人工人工人工人工影响对象影响对象网络网络网络网络主机主机主机主机主机主机防治难度防治难度难难难难易易易易一般一般经济损失经济损失严重严重较大较大较大较大一般一般一般一般各种恶意移动代码的融合趋势各种恶意移动代码的融合趋势n n病毒、蠕虫、木马之间的界限已经不再明显；n n综合使用多种攻击手段：传播：计算机系统的漏洞、电子邮件、文传播：计算机系统的漏洞、电子邮件、文件共享、件共享、WebWeb浏览等浏览等社会工程（社会工程（social engineering)social engineering)攻防主体攻防主体n n影响网络安全的三支力量HackerHackerVXerVXerCrackerCrackern n防范主体网络运营商、服务提供商、用户；网络运营商、服务提供商、用户；系统厂商、防毒产品厂商；系统厂商、防毒产品厂商；科研技术人员、政府主管部门；科研技术人员、政府主管部门；蠕虫的历史回顾蠕虫的历史回顾n nXerox PRACXerox PRAC，19801980年年n nMorris WormMorris Worm，19881988年年1111月月2 2日日 n nWANK WormWANK Worm，19891989年年1010月月1616日日 n nADM WormADM Worm，19981998年年5 5月月 n nMillenniumMillennium，19991999年年9 9月月 n nRamen WormRamen Worm，20012001年年1 1月月 n nLion WormLion Worm，20012001年年3 3月月2323日日n nAdore WormAdore Worm，20012001年年4 4月月3 3日日 n nCheese WormCheese Worm，20012001年年5 5月月 n nSadmind/IIS WormSadmind/IIS Worm，20012001年年5 5月月 n nCodeRed WormCodeRed Worm，20012001年年7 7月月1919日日 n nNimda WormNimda Worm，20012001年年9 9月月1818日日n nSlapperSlapper，20022002年年9 9月月1414日日 n nSlammerSlammer，20032003年年1 1月月2525日日n nDvldr32Dvldr32，20032003年年3 3月月7 7日日n nMSBlasterMSBlaster，20032003年年8 8月月1212日日n nNachiNachi，20032003年年8 8月月1818日日2004年蠕虫年蠕虫n nMyDoom.C2004年2月9日n nWitty Worm 2004年3月20日n nSasser Worm 2004年4月30日n nSanty Worm2004年12月21日蠕虫的爆发周期越来越短蠕虫的爆发周期越来越短漏洞发现攻击代码蠕虫爆发控制清除越来越短 越来越长，越来越难 n n漏洞公布和蠕虫爆发的间隔越来越短最佳时机及时太晚了恶意移动代码主要研究内容恶意移动代码主要研究内容n n恶意代码的工作机制恶意代码的工作机制 其他工作的基础其他工作的基础n n传播模型传播模型 现有模型忽略太多因素而缺乏指导意义现有模型忽略太多因素而缺乏指导意义n n仿真仿真 仿真仿真InternetInternet难度较大难度较大n n检测检测 检测结果出来为时已晚检测结果出来为时已晚n n抑制抑制 现实需求现实需求CCERT的科研优势的科研优势n n长期对恶意移动代码研究的积累；n n迅速有效的响应机制；n n第一手的网络数据；CodeRed蠕虫监测数据蠕虫监测数据Blaster&Nachi监测数据监测数据Sasser蠕虫监测数据蠕虫监测数据Witty 蠕虫监测数据蠕虫监测数据主要研究成果主要研究成果n n针对蠕虫个体实体结构模型实体结构模型功能结构模型功能结构模型n n针对网络利用利用DNSDNS服务抑制蠕虫传播服务抑制蠕虫传播Internet Internet 蠕虫蠕虫主动防治系统主动防治系统实体结构模型实体结构模型功能结构模型功能结构模型利用利用DNS服务抑制蠕虫传播服务抑制蠕虫传播Internet 蠕虫防治周期蠕虫防治周期n n预防阶段n n检测阶段n n遏制阶段n n清除阶段Internet 蠕虫蠕虫主动防治系统主动防治系统网络技术发展带来的变化网络技术发展带来的变化n nP2POverlayOverlay网络构成的相对独立网络；网络构成的相对独立网络；IRCIRC、MSNMSN、QQQQ、BTBT、eMuleeMulen nIPv6网络规模网络规模加密传输加密传输IPv4 的Internet，Slammer 蠕虫，10分钟后，感染了大多数有漏洞的计算机IPv6 的Internet，28年后，感染第一台主机IPv6网络的抗扫描特性网络的抗扫描特性恶意移动代码的技术发展趋势恶意移动代码的技术发展趋势n n结合人工智能技术；n n动态功能升级技术；n n多平台传播技术；n n分布式实体技术；Santy蠕虫蠕虫n n描述：20042004年年1212月月2121日发现，截止到日发现，截止到1212月月2222日，日，googlegoogle可以统计到被可以统计到被santysanty蠕虫破坏的网站蠕虫破坏的网站已经达到已经达到2600026000多；多；利用论坛系统利用论坛系统phpBBphpBB的漏洞传播；的漏洞传播；n n智能特性：从搜索引擎从搜索引擎googlegoogle得到攻击站点列表；得到攻击站点列表；n n存在形式：脚本代码；脚本代码；Santy蠕虫引出的新问题蠕虫引出的新问题n n如何检测智能蠕虫？不需扫描，流量无明显异常；不需扫描，流量无明显异常；查询条件的无穷组合；查询条件的无穷组合；脚本代码的任意变化；脚本代码的任意变化；n n如何防治智能蠕虫？IPv6IPv6的抗扫描特性不再适用；的抗扫描特性不再适用；封锁搜索引擎？海量信息如何查找；封锁搜索引擎？海量信息如何查找；搜索引擎屏蔽？查询合法性的不可判定；搜索引擎屏蔽？查询合法性的不可判定；Open Problemsn n蠕虫爆发预警n n仿真环境与蠕虫传播模拟n n良性蠕虫的控制策略n n恶意移动代码来源定位n n网络安全生态理论参考文献参考文献n n蠕虫的行为特征描述和工作原理分析蠕虫的行为特征描述和工作原理分析,http:/ nInternetInternet蠕虫研究蠕虫研究，http:/ n大规模网络中大规模网络中Internet Internet 蠕虫主动防治技术研究蠕虫主动防治技术研究 -利用利用DNS DNS 服务抑制蠕虫传播服务抑制蠕虫传播,http:/ n主动主动InternetInternet蠕虫防治技术蠕虫防治技术-接种疫苗接种疫苗,http:/ nInternetInternet蠕虫主动防治系统原理与设计蠕虫主动防治系统原理与设计,http:/