网络信息对抗第六章恶意代码及其分析幻灯片.ppt

《网络信息对抗第六章恶意代码及其分析幻灯片.ppt》由会员分享，可在线阅读，更多相关《网络信息对抗第六章恶意代码及其分析幻灯片.ppt（75页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络信息对抗第六章恶意代码及其分析第1页，共75页，编辑于2022年，星期二网络信息对抗网络信息对抗第六章：恶意代码及其分析第六章：恶意代码及其分析第2页，共75页，编辑于2022年，星期二提纲提纲o恶意代码基础知识恶意代码基础知识o恶意代码分析技术恶意代码分析技术n课题实践：恶意代码静态分析课题实践：恶意代码静态分析o作业：分析一个自制恶意代码样本作业：分析一个自制恶意代码样本第3页，共75页，编辑于2022年，星期二恶意代码恶意代码(Malware)o恶意代码定义恶意代码定义nMalware is a set of instructions that run on your compute

2、r and make your system do something that an attacker wants it to do.n使计算机按照攻击者的意图运行以达到恶意目的的指令集合。n指令集合:二进制执行文件,脚本语言代码,宏代码,寄生在文件、启动扇区的指令流n恶意代码目的:技术炫耀/恶作剧,远程控制,窃取私密信息,盗用资源,拒绝服务/破坏,o恶意代码类型恶意代码类型n计算机病毒,蠕虫,恶意移动代码,后门,特洛伊木马,僵尸程序,Rootkit等n计算机病毒是最早出现的恶意代码，媒体/工业界的概念混淆，经常以计算机病毒(Computer Virus)等价于恶意代码第4页，共75页，编辑

3、于2022年，星期二恶意代码的类型恶意代码的类型第5页，共75页，编辑于2022年，星期二恶意代码的命名规则与分类体系恶意代码的命名规则与分类体系o恶意代码命名规则恶意代码命名规则n恶意代码类型.恶意代码家族名称.变种号o恶意代码分类的混淆恶意代码分类的混淆n反病毒工业界并没有形成规范的定义，概念混淆n各种恶意代码形态趋于融合o各种形态恶意代码在关键环节上具有其明确的定义特性各种形态恶意代码在关键环节上具有其明确的定义特性n传播、控制、隐藏、攻击n针对明确定义特性对恶意代码进行分类研究o僵尸程序、Rootkit、网页木马第6页，共75页，编辑于2022年，星期二恶意代码的发展史恶意代码的发展史

4、o1949年:Von Neumann提出计算机程序自我复制概念o1960年:康维编写出“生命游戏”,1961年AT&T实验室程序员编写出“Darwin”游戏，通过复制自身来摆脱对方控制o1970s早期:第一例病毒Creeper在APANET上传播o1983年:Fred Cohen给出计算机病毒定义o1983年:最著名的Backdoor,Thompson Ken(October 1983).Reflections on Trusting Trust(PDF).1983 Turing Award Lecture,ACM.o1986年:第一例PC病毒Braino1988年:第一例蠕虫Morris W

5、ormo1990年:SunOS rootkito1995年:Concept宏病毒o1998年:CIH病毒首例破坏计算机硬件的病毒o1998年:最著名的后门软件Back Orifice第7页，共75页，编辑于2022年，星期二恶意代码的发展史恶意代码的发展史o1999-2000年：邮件病毒/蠕虫,Melissa,ILOVEYOUo2001年(蠕虫年)：Code Red I/II,Nimdao2002年：反向连接木马Setiri,o2003年-2004年：蠕虫大爆发n2003:Slammer/Blaster/Nachi/Sobig/n2004:Mydoom/Witty/Sasser/Santy/o

6、2007-2008年：Storm wormn基于Overnet构建了Stromnet,一个专属的P2P网络第8页，共75页，编辑于2022年，星期二恶意代码发展史上著名的案例恶意代码发展史上著名的案例第9页，共75页，编辑于2022年，星期二国内著名的恶意代码实例与事件国内著名的恶意代码实例与事件o1986年，中国公安部成立计算机病毒研究小组o1989年，国内首例病毒攻击事件，Kill发布o90年代，反病毒业界逐步形成n冠群金辰、瑞星、江民、金山o90年代末新世纪初，本土化恶意代码流行n1998-CIH病毒n1999-冰河n2003-灰鸽子n2004-证券大盗n2007-2008：熊猫烧香，机

7、器狗、磁碟机第10页，共75页，编辑于2022年，星期二计算机病毒计算机病毒o定义定义n计算机病毒是一种能够自我复制的代码，通过将自身嵌入其他程序进行感染，而感染过程通常需要人工干预才能完成o特性特性n感染性：最本质的特性n潜伏性n可触发性n破坏性n衍生性第11页，共75页，编辑于2022年，星期二计算机病毒的感染机制计算机病毒的感染机制o感染可执行文件n前缀感染n后缀感染n插入感染o感染引导扇区o感染数据文件宏指令第12页，共75页，编辑于2022年，星期二计算机病毒的感染机制计算机病毒的感染机制第13页，共75页，编辑于2022年，星期二计算机病毒的传播机制计算机病毒的传播机制o计算机病毒

8、VS.蠕虫n病毒:借助人类帮助从一台计算机传至另一台计算机n蠕虫:主动跨越网络传播o传播方式n移动存储:软盘U盘n电子邮件及其下载:邮件病毒n文件共享:SMB共享服务、NFS、P2P第14页，共75页，编辑于2022年，星期二网络蠕虫网络蠕虫o网络蠕虫定义特性n主动传播性o网络蠕虫传播机制n主动攻击网络服务漏洞n通过网络共享目录n通过邮件传播第15页，共75页，编辑于2022年，星期二网络蠕虫网络蠕虫VS.计算机病毒计算机病毒第16页，共75页，编辑于2022年，星期二网络蠕虫的组成网络蠕虫的组成o蠕虫的“弹头”n渗透攻击模块o传播引擎nFTP/TFTP/HTTP/SMB/直接传送/单包o目标

9、选择算法+扫描引擎n扫描策略o有效负荷(攻击负荷)nPayload:传播自身,开放后门,DDoS攻击.第17页，共75页，编辑于2022年，星期二“红色代码红色代码”蠕虫蠕虫o2001年年7月月19日，日，”红色代码”蠕虫爆发o在红色代码首次爆发的短短9小时内，以迅雷不及掩耳之势迅速感染了250,000台服务器（通过IIS服务漏洞）o最初发现的红色代码蠕虫只是篡改英文站点主页，显示“Welcome to http:/!Hacked by Chinese!”o随后的红色代码蠕虫便如同洪水般在互联网上泛滥，并会在每月20日28日对白宫的WWW站点的IP地址发动DoS攻击，使白宫的WWW站点不得不全

10、部更改自己的IP地址。第18页，共75页，编辑于2022年，星期二后门后门oWar GamesnJoShuanFalken教授留下的WOPR系统访问后门oReflections on Trusting Trust(PDF).nKen Thompson,1983 Turing Award Lecture,ACM.nOne Unix host with Kens backdoor in Bell Labs,they never found the attacknTrust,but Test!nSource code Auditing is not enougho后门的定义n后门是允许攻击者绕过系统

11、常规安全控制机制的程序，按照攻击者自己的意图提供通道。第19页，共75页，编辑于2022年，星期二后门后门o后门类型n本地权限提升、本地帐号n单个命令的远程执行n远程命令行解释器访问NetCatn远程控制GUIVNC,BO,冰河,灰鸽子n无端口后门:ICMP后门,基于Sniffer非混杂模式的后门，基于Sniffer混杂模式的后门o自启动后门nWindows：自启动文件/文件夹；注册表自启动项；计划任务nLinux/Unix：inittab,rc.d/init.d,用户启动脚本,cron计划任务第20页，共75页，编辑于2022年，星期二木马木马o特洛伊木马(Trojan Horse)起源-特

12、洛伊战争o木马:特洛伊木马(Trojans)n定义:看起来具有某个有用或善意目的，但实际掩盖着一些隐藏恶意功能的程序。n错误观点:提供对受害计算机远程控制的任何程序，或受害计算机上的远程命令行解释器看做木马，他们应被视为后门。n如果将后门工具伪装成良性程序，才具备真正的木马功能。第21页，共75页，编辑于2022年，星期二木马木马第22页，共75页，编辑于2022年，星期二木马的常见伪装机制木马的常见伪装机制o命名伪装o软件包装o木马化软件发行站点nTcpdump/libpcap木马化事件o代码“Poisoning”n软件开发者/厂商有意给代码加入后门n“复活节彩蛋”:Excel 2000中隐

13、藏的赛车游戏第23页，共75页，编辑于2022年，星期二僵尸程序与僵尸网络僵尸程序与僵尸网络o僵尸程序(Bot)n来自于robot,攻击者用于一对多控制目标主机的恶意代码o僵尸网络（BotNet）n攻击者出于恶意目的，传播僵尸程序控制大量主机，并通过一对多的命令与控制信道所组成的网络。n定义特性：一对多的命令与控制通道的使用。o僵尸网络危害提供通用攻击平台n分布式拒绝服务攻击n发送垃圾邮件n窃取敏感信息n点击欺诈第24页，共75页，编辑于2022年，星期二僵尸网络类型僵尸网络类型oIRC僵尸网络n传统僵尸网络-基于IRC互联网实时聊天协议构建n著名案例:sdbot,agobot等oHTTP僵尸

14、网络n僵尸网络控制器Web网站方式构建n僵尸程序中的命令与控制模块：通过HTTP协议向控制器注册并获取控制命令n著名案例:bobax,rustock,霸王弹窗oP2P僵尸网络n命令与控制模块的实现机制P2P协议nP2P僵尸程序同时承担客户端和服务器的双重角色n著名案例:storm Worm第25页，共75页，编辑于2022年，星期二RootkitoRootkit的定义n一类隐藏性恶意代码形态，通过修改现有的操作系统软件，使攻击者获得访问权并隐藏在计算机中。oRootkit与特洛伊木马、后门nRootkit也可被视为特洛伊木马o获取目标操作系统上的程序或内核代码，用恶意版本替换它们nRootki

15、t往往也和后门联系在一起o植入Rootkit目的是为攻击者提供一个隐蔽性的后门访问o定义特性：隐藏性nRootkit分类:用户模式、内核模式第26页，共75页，编辑于2022年，星期二Rootkit和木马后门之间的位置对比和木马后门之间的位置对比o应用程序级木马后门:操作系统之上由攻击者添加至受害计算机的恶意应用程序o用户模式Rootkit：木马化操作系统用户模式应用程序o内核模式Rootkit：对内核组件的恶意修改和木马化第27页，共75页，编辑于2022年，星期二Rootkit和木马后门之间的位置对比和木马后门之间的位置对比第28页，共75页，编辑于2022年，星期二用户模式用户模式Roo

16、tkito用户模式Rootkitn恶意修改操作系统在用户模式下的程序/代码，达到隐藏目的oLinuxnLRK(Linux RootKit)nURK(Universal RootKit)：适用于多种Unix平台nLinux用户模式Rootkit的防御:文件完整性检测Tripwire,专用检测工具chkrootkitoWin32nFakeGINA,AFX Rootkit(DLL注入、API Hooking)第29页，共75页，编辑于2022年，星期二内核模式内核模式Rootkito内核模式Rootkitn恶意修改操作系统内核，从而达到更深的隐藏和更强的隐蔽性oLinux内核模式RootkitnAd

17、ore,Adore-ng,KIS(Kernel Intrusion System)n防御:SELinux,LIDS,检测:chkrootkit,KSTAT,.oWin32内核模式RootkitnNT Rootkit,Fu Rootkito虚拟机模式Rootkitn黑客帝国MatrixnLinux:UML,KMLnWin32:VM Rootkit第30页，共75页，编辑于2022年，星期二内核模式内核模式Rootkit第31页，共75页，编辑于2022年，星期二XueTr检测软件检测软件第32页，共75页，编辑于2022年，星期二恶意代码相关推荐书籍恶意代码相关推荐书籍o基础nEd.Skoudi

18、s,Lenny Zelter,Malware:Fighting Malicious Code(决战恶意代码决战恶意代码)电子工业出版社.n刘倍昌，走进计算机病毒走进计算机病毒，人民邮电出版社，2011o进阶nPeter Szor,The Art of Computer Virus Research and Defense(计算机病毒防范艺术计算机病毒防范艺术),机械工业出版社.n段钢(看雪学院),加密与解密加密与解密(第三版),电子工业出版社.n刘倍昌，计算机病毒揭秘与对抗，电子工业出版社，刘倍昌，计算机病毒揭秘与对抗，电子工业出版社，2011 第33页，共75页，编辑于2022年，星期二提纲

19、提纲o恶意代码基础知识恶意代码基础知识o恶意代码分析技术恶意代码分析技术n课题实践：恶意代码静态分析课题实践：恶意代码静态分析o作业：分析一个自制恶意代码样本作业：分析一个自制恶意代码样本第34页，共75页，编辑于2022年，星期二恶意代码分析恶意代码分析o没有分析的生活是毫无意义的。没有分析的生活是毫无意义的。o -苏格拉底第35页，共75页，编辑于2022年，星期二恶意代码分析恶意代码分析o恶意代码分析与良性代码分析恶意代码分析与良性代码分析n相同点：通用代码分析技术o恶意代码分析的关键点恶意代码分析的关键点n构建受控的分析环境,通过静态/动态方法实施分析第36页，共75页，编辑于2022

20、年，星期二恶意代码分析环境（病毒发烧友）恶意代码分析环境（病毒发烧友）o硬盘保护卡n快速恢复第37页，共75页，编辑于2022年，星期二基于虚拟化构建便携式分析环境基于虚拟化构建便携式分析环境第38页，共75页，编辑于2022年，星期二恶意代码自动分析环境（科学研究）恶意代码自动分析环境（科学研究）o国家国家242信息安全计划项目信息安全计划项目第39页，共75页，编辑于2022年，星期二恶意代码分析环境（反病毒厂商）恶意代码分析环境（反病毒厂商）第40页，共75页，编辑于2022年，星期二恶意代码分析方法概述恶意代码分析方法概述o静态分析静态分析n通过反病毒引擎扫描识别已知的恶意代码家族和变

21、种名n逆向分析逆向分析恶意代码模块构成，内部数据结构，关键控制流程等，理解恶意代码的机理，并提取特征码用于检测。o动态分析动态分析n通过在受控环境受控环境中执行目标代码执行目标代码，以获取目标代码的行为及运行结果。第41页，共75页，编辑于2022年，星期二恶意代码静态分析方法列表恶意代码静态分析方法列表第42页，共75页，编辑于2022年，星期二恶意代码的扫描恶意代码的扫描o使用反病毒软件进行检测n卡巴斯基、赛门铁克等n奇虎360、瑞星、金山、江民等oVirusTotaln“世界病毒扫描网”nhttps:/ can have your own AV engine with ClamAV.o从

22、反病毒厂商获得已知恶意代码的分析报告和结果(Google、百度、百度)第43页，共75页，编辑于2022年，星期二VirusTotal对示例恶意代码的识别对示例恶意代码的识别第44页，共75页，编辑于2022年，星期二文件格式确定文件格式确定ofile:确定恶意代码目标平台和文件类型nLinux平台包含命令：确定文件类型-平台oPEID:文件类型、编译链接器、是否加壳nWin32平台针对PE可执行文件oFile Analyzern分析Win32平台窗口程序中包含的特殊文件第45页，共75页，编辑于2022年，星期二PEiD第46页，共75页，编辑于2022年，星期二Windows File A

23、nalyzer第47页，共75页，编辑于2022年，星期二Strings命令-查看可打印字符串oStringsnLinux自带nWindows sysinternals strings工具nIDA Proo可能获得的有用信息可能获得的有用信息n恶意代码实例名n帮助或命令行选项n用户会话n后门口令n相关URL信息、Email地址n库、函数调用第48页，共75页，编辑于2022年，星期二反汇编反汇编(Disassemble)o反汇编:IDA Pro,Ollydbg,VC,第49页，共75页，编辑于2022年，星期二反编译反编译(Decompiler)o反编译:机器码(汇编语言)高级编程语言n逆向工

24、程(Reverse Engineering)n再工程(ReEngineering)o反编译工具n针对不同高级编程语言nJava反编译:JAD,JODE,DAVA,nC/C+反编译:REC,DCC,nDelphi,Flash,反编译第50页，共75页，编辑于2022年，星期二RecStudio第51页，共75页，编辑于2022年，星期二二进制程序结构和逻辑分析二进制程序结构和逻辑分析o程序结构n高层视图：Call Grapho用户函数o系统函数o函数调用关系n分析系统函数调用列表可在高层分析二进制程序的行为逻辑o程序逻辑n完备视图CFG(Control Flow Graph)第52页，共75页，

25、编辑于2022年，星期二WinGraph32第53页，共75页，编辑于2022年，星期二CFG（Control Flow Graph）oCFG:程序控制流图n基本块n分支n跳转n循环oCFG完备地反映了一个程序的执行逻辑n完备分析CFG:费时（右图：仅仅是一个小规模函数CFG）n选择性关注第54页，共75页，编辑于2022年，星期二恶意代码混淆机制技术原理恶意代码混淆机制技术原理o加密加密(encryption)n固定加密/解密器n对解密器进行特征检测o多样性多样性(Olgomorphic)n多样化解密器o多态多态(polymorphic)n多态病毒能够通过随机变换解密器从而使得每次感染所生成

26、的病毒实例都具有唯一性。n花指令,无序的指令变换,寄存器置换n应对：虚拟机执行脱壳o变形变形(metamorphic)n直接在病毒体上通过各种代码混淆技术n每个感染实例都具有不同的形式第55页，共75页，编辑于2022年，星期二恶意代码加壳恶意代码加壳o恶意代码加壳恶意代码加壳n常用壳:UPX,PEPack,ASPack,PECompact,n壳的分类：压缩壳、加密壳、伪装壳、n多重加壳：嵌套使用各类壳n终极免杀技术分类讲解o加壳其他应用场景加壳其他应用场景n减小应用程序大小规模n保护应用程序版权，加大破解难度:软件狗加密第56页，共75页，编辑于2022年，星期二脱壳脱壳o常见壳的自动脱壳工

27、具常见壳的自动脱壳工具nUPX:upx-dnPEPack:UnPEPack nASPack压缩壳:ASPack unpackern推荐：超级巡警脱壳器(VMUnpacker)o手工脱壳手工脱壳n关键步骤:寻找程序入口点，dump出程序，修复PE文件（导入、导出表等）n看雪学院:第57页，共75页，编辑于2022年，星期二超级巡警脱壳器超级巡警脱壳器第58页，共75页，编辑于2022年，星期二恶意代码动态分析方法列表恶意代码动态分析方法列表第59页，共75页，编辑于2022年，星期二动态分析中的监视与控制动态分析中的监视与控制o行为监视行为监视n一系列监控软件来控制和观察恶意代码的运行情况o网络

28、控制网络控制n最安全的控制策略：与业务网络和互联网保持物理隔离第60页，共75页，编辑于2022年，星期二动态分析中的监视与控制动态分析中的监视与控制第61页，共75页，编辑于2022年，星期二基于快照比对的方法基于快照比对的方法o快照比对方法n1.对“干净”资源列表做快照n2.运行恶意代码（提供较充分的运行时间5分钟）n3.对恶意代码运行后的“脏”资源列表做快照n4.对比“干净”和“脏”快照，获取恶意代码行为结果o资源名称列表中的差异：发现新建、删除的行为结果o资源内容的差异：完整性校验，发现修改的行为结果o进行快照比对的工具nRegSnapn完美卸载nHoneyBow之MwFetchero

29、快照比对方法的弱点：无法分析中间行为，粗粒度第62页，共75页，编辑于2022年，星期二RegShot第63页，共75页，编辑于2022年，星期二动态行为监控方法动态行为监控方法o行为监控技术行为监控技术nNotification机制oWin32/Linux系统本身提供的行为通知机制nAPI Hooking技术o对系统调用或API调用进行劫持，监控行为o系统行为动态监控工具系统行为动态监控工具n文件行为监控:Filemon、ProcMonn进程行为监控:Process Explorer,lsofn注册表监控:Regmonn本地网络栈行为监控软件:lsof,TDImon,promiscdetec

30、tn完整的动态行为监控:MwSniffer,Sebek,第64页，共75页，编辑于2022年，星期二Process Monitor文件、进程监控文件、进程监控第65页，共75页，编辑于2022年，星期二Process Explorer进程行为监控进程行为监控第66页，共75页，编辑于2022年，星期二MwSniffer 系统行为监控系统行为监控第67页，共75页，编辑于2022年，星期二网络监控网络监控o恶意代码开放的本地端口n本机检查:fport,TCPView(win32),lsof(linux)n网络检查:nmapo恶意代码发起的网络连接n捕获:tcpdump,wireshark(eth

31、ereal),TDImonn分析:argus,wireshark,snortn重现:tcpreplayo控制恶意代码网络流nIPTables,Snort_inline,o恶意代码流行攻击方式-ARP欺骗nARP防火墙(360,AntiARP)第68页，共75页，编辑于2022年，星期二TCPView网络行为监控网络行为监控第69页，共75页，编辑于2022年，星期二“沙盒沙盒”技术技术-Sandboxo沙盒技术n用于安全运行程序的安全环境.n经常被用于执行和分析非可信的代码.o用于防御的沙盒技术nJava Applets,jail(virtual hosting),虚拟机,权能o用于恶意代码分

32、析的沙盒技术实例nNorman Sandbox(模拟器):http:/ OS):http:/www.cwsandbox.org/nFVM Sandbox(Native OS)轻量级并行化沙箱odeveloper:宋程昱o并行化-标配服务器64路并行第70页，共75页，编辑于2022年，星期二动态调试技术动态调试技术o动态调试n程序运行时刻n它的执行过程进行调试(debugging)n二进制调试o动态调试技术n断点n单步模式n寄存器和内存状态查看与修改o动态调试工具nWindows：Ollydbg、windbg、IDA Pro、SoftICEnLinux：gdb、systrace、ElfShel

33、l第71页，共75页，编辑于2022年，星期二作业作业o本次实践作业的任务是分析一个自制的恶意代码样本，以提高对恶意代码逆向工程分析技术的认识，并提高逆向工程分析的方法、工具和技术。第72页，共75页，编辑于2022年，星期二病毒样本分析登记表病毒样本分析登记表样本名称样本日期大小（Bytes）样本编号样本来源第73页，共75页，编辑于2022年，星期二病毒样本分析结果登记表病毒样本分析结果登记表项目项目属性属性详细描述详细描述备注备注自删除是启动方式Runkey释放文件否进程注入是网络连接TCP其他属性第74页，共75页，编辑于2022年，星期二病毒分析报告结构病毒分析报告结构o一、概述o二、行为预览n1.病毒名称n2.病毒类型n3.病毒大小n4.传播方式n5.相关文件n6.病毒具体行为oaobn7.感染类型n8.开放工具n9.加壳类型o三、清理方式n1.n2.n第75页，共75页，编辑于2022年，星期二