《网络空间安全概论》课件5-2（2）恶意代码

1恶意代码恶意代码也称为恶意软件，恶意代码（MaliciousCode）或者叫恶意软件Malware（MaliciousSoftware）是一种程序，具有在信息系统上执行非授权进程能力的代码。2计算机病毒特洛伊木马下载者木马根工具箱逻辑炸弹网络蠕虫肉鸡间谍软件恶意广告软件恐吓软件勒索软件后门恶意代码种类1.病毒41病毒计算机病毒：一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。同时，它们还可以把自己的副本分发到其他文件、程序或电脑中去。当被感染文件执行操作的时候（例如：打开一个文件，运行一个程序，点击邮件的附件等），病毒程序会进行自我复制。如CIH、爱虫、新欢乐时光、求职信、恶鹰、rose…5计算机病毒的特征非授权可执行性感染性寄生性隐蔽性潜伏性可触发性破坏性主动攻击性手机病毒运行平台是手机。手机功能越强大,一旦中毒,危害越巨大(GPS,相机,短信,电话,联系人,日程表…)由于当前病毒和木马越来越多的结合在一起，因此统称为手机病毒木马，或者手机恶意软件2.蠕虫782蠕虫蠕虫:一组能够进行自我传播、不需要用户干预即可触发执行的破坏性程序或代码。如：红色代码、SQL蠕虫王、冲击波、震荡波、极速波…蠕虫不修改文件，而是常驻在内存里并复制自己。蠕虫使用操作系统的一部分，这部分对于用户来说是自动且无形的。蠕虫的自我复制不像其他的病毒，它可以自动创建与它的功能完全相同的副本，并在没人干涉的情况下自动运行。9蠕虫病毒的特点传播途径是网络传播速度快传播面积广可能造成的危害程度高10计算机病毒与蠕虫的区别1、蠕虫是一个可以独立运行的程序。但病毒不能独立存在，必须将自身的代码附着在其他程序中，其程序的激活依赖于宿主程序的执行。2、蠕虫可以自动传播，不需要利用文件寄生技术；而病毒要依赖于宿主文件进行传播。因为蠕虫程序自身包含了传播代码，这些代码会自动将蠕虫程序从一个系统发送到另一个系统。3、蠕虫通常感染的对象是有相应漏洞或者其他脆弱性的计算机系统，而病毒的感染对象则是计算机中的文件系统。11名称计算机病毒蠕虫存在形式寄生于其它程序独立程序感染目标本地文件网络中的计算机传播途径感染文件或可移动磁盘网络传播传播形式

需要人为干预，例如，运行感染病毒的程序，使用感染病毒的磁盘

不需要人为干预，蠕虫会利用系统漏洞或系统脆弱性、电子邮件等将自身副本发送到其它系统蠕虫与病毒的区别3.木马133木马特洛伊木马从表面上看是正常的程序、具有正常的功能，但是实际上却隐藏着带有恶意目的的程序。一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中，同时它可以携带恶意代码，还有一些木马会以一个软件的身份出现（例如：一个可供下载的游戏），但它实际上是一个窃取密码的工具。早在1983年，计算机科学的先驱肯-汤普森就提出了木马的概念。他提到在UNIX上运行的一个小程序，这个小程序可以用来记录用户登录时使用的用户名和密码14特洛伊木马通常由一个客户端和一个服务器端构成，客户端放在木马控制者的电脑中，服务器端放置在被入侵电脑中，木马控制者通过客户端与被入侵电脑的服务器端建立远程连接。一旦连接建立，木马控制者就可以通过对被入侵电脑发送指令来传输和修改文件。15特洛伊木马隐蔽性使用TCP协议，服务端侦听，客户端连接。这是最简单，最早，最广泛使用的一种通讯方案。使用工具可以很容易的发现在某一端口上侦听的进程，以及进程对应的可执行文件。如果服务端装有防火墙，那么客户端发起的连接就会被防火墙拦截。如果局域网内通过代理上网的电脑，因为本机没有独立的IP地址(只有局域网的IP地址)，所以也不能正常使用。16特洛伊木马隐蔽性使用TCP协议，反向连接技术。防火墙对于连入的连接往往会进行非常严格的过滤，但是对于连出的连接却疏于防范。于是，出现了反弹式（主动式）木马，即：被控制端（受害者）主动连接控制端（黑客）。为了隐蔽起见，控制端的监听端口一般开在80(提供HTTP服务的端口)，这样，即使用户使用端口扫描软件检查自己的端口，会以为是自己在浏览网页(防火墙也会这么认为的)。17特洛伊木马隐蔽性连接请求连接请求8018特洛伊木马隐蔽性这种反向连接技术要解决的一个问题是，被控制端如何找到控制端？方法是控制端通过一个有固定IP或者固定域名的第三方发布自己的IP，比如通过一个公共的邮箱，通过一个个人主页。当控制端想与被控制端建立连接时，它首先登录某个WEB服务器，把信息写到主页上面的一个文件，并打开端口监听，等待被控制端的连接；被控制端定期的用HTTP协议读取这个文件的内容。如网络神偷。1920特洛伊木马隐蔽性使用UDP协议通信。被控制端侦听，控制端连接；控制端侦听，被控制端端连接。方法和安全性与使用TCP协议差不多。需要注意的是UDP不是一个可靠的协议，所以，必须在UDP协议的基础上设计一个自己的可靠的报文传递协议。21特洛伊木马隐蔽性解决防火墙问题：在服务端和客户端试图建立连接时都会引起防火墙报警。一种方法是代码注入，服务端将自己注入到一个可以合法的与外界进行网络通讯的进程(比如IE，ICQ，IIS等）的地址空间中，然后或者可以以一个新线程的形式运行，或者只是修改宿主进程，截获宿主进程的网络系统调用(WinSock)。如果是以新线程的形式运行，那么然后或者可以被动侦听，或者可以主动连接。22特洛伊木马隐蔽性用ICMP来通讯。使用TCP/IP协议族中的ICMP协议而非TCP/UDP来进行通讯，从而瞒过Netstat和端口扫描软件。ICMP是IP协议的附属协议，它是由内核或进程直接处理而不需要通过端口。一般的ICMP木马会监听ICMP报文，当出现特殊的报文时（比如特殊大小的包、特殊的报文结构等）它就会打开TCP端口等待控制端的连接.一个真正意义上的ICMP木马则会严格地使用ICMP协议来进行数据和控制命令的传递（数据放在ICMP的报文中）。23特洛伊木马隐蔽性进程隐藏就是指把木马写入到驱动和内核的级别，通过拦截系统调用的服务，用替代系统功能（改写驱动程序或动态链接库）或者说是嵌入式的方法，例如，如果系统运行windows.exe，实际上同时运行了木马和windows.exe。而木马则嵌入在windows.exe中，能看到，但没法删除，因为windows.exe是系统进程，不允许删除。这样，就相当于隐藏了木马进程。24常见的木马类型远程控制（如肉机）间谍软件（如盗号、键盘记录）毁坏代理木马（跳板）下载器木马Jasmine.More4.后门25264后门对计算机操作系统或软件来说，后门是指可以绕过软件的安全性控制而从比较隐秘的通道获取对程序或系统访问权的黑客方法。通常，在软件开发时，设置后门可以方便修改和测试程序中的缺陷。入侵者完全控制系统后，为方便下次进入而设置后门。一般通过修改系统配置文件和安装第三方后门工具来实现。具有隐蔽性，不易被系统管理员发现27后门具有隐蔽性，能绕开系统日志，不易被系统管理员发现等特点。在计算机中，入侵者可以通过端口、串/并口、无线设备连接等后门方式进行入侵。如果一个程序仅仅提供远程访问，那么它只是一个后门。如果攻击者将这些后门伪装成某些其他良性程序，那么就变成了特洛伊木马。28后门产生的必要条件1、必须以某种方式与其他终端节点相连。由于后门的利用都是从其他节点进行访问，因此必须与目标机使用双绞线、光纤维、串/并口、蓝牙、红外等设备在物理信号上有所连接才可以对端口进行访问。只有访问成功，双方才可以进行信号交流，攻击方才有机会进行入侵。292、目标机默认开放的可供外界访问的端口必须在一个以上。因为一台默认无任何端口开放的机器是无法连接通信的，而如果开放着的端口外界无法访问，则同样没有办法进行入侵。3、目标机存在程序设计或人为疏忽，导致攻击者能以权限较高的身份执行程序。并不是任何一个权限的账号都能够被利用的，只有权限达到操作系统一定要求的才允许执行修改注册表，修改log记录等相关修改30后门产生的原因1、操作系统自带的服务，大多数的操作系统，如Unix、Linux、windows2000/xp在默认安装完成后，为了方便用户的使用，会默认开启一定数量的服务（server），常见的有telnetserver、sshserver、sendmail等等，如果有的服务程序版本存在漏洞或者默认配置的安全性不够，则很容易被攻击，从而成为攻击者进入的通道。312、早期网络协议安全性问题。由于在其的互联网络是用于军方、高校及科研结构，网络协议的设计对安全性方面考虑较少。例如，目前我们所使用的IPV4协议，IP数据包的源地址可以被修改、MAC地址可以被伪造。323、软件编写不规范。现在很多大型软件都是模块化编程，可能某些功能某块之间出现漏洞，被攻击者利用作为漏洞；也有可能是程序员作为程序测试用的通道没有去除被攻击者发现。33后门隐蔽性系统遭入侵后，采取以下措施不能保障安全管理员给系统打补丁修改帐号、密码杀毒Jasmine.More5.著名的病毒34大脑病毒（1987）1987年，诞生了一款为大家所熟知的计算机病毒——C-BRAIN。由一对巴基斯坦兄弟巴斯特（Basit）和阿姆捷特（Amjad）所写的，他们在当地经营一家贩卖个人计算机的商店，由于当地盗拷软件的风气非常盛行，因此他们的主要目的是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件，C-BRAIN就会发作，将盗拷者的剩余硬盘空间给“吃掉”。计算机病毒始祖。罗伯特·T·莫里斯（1988）1988年，莫里斯正在康奈尔大学读研究生，他想统计一下当时连接在网络上的计算机的数目，所以就写了一个程序，并且在11月2日从麻省理工学院的一台计算机上释放了出去。他撰写的这个程序有点问题，开始无休止地复制自身，并占据了大量的磁盘空间、运算资源以及网络带宽，最终导致了网络瘫痪和计算机死机。据统计，这个程序直接感染了大约6000台计算机，而间接受到影响的，则包括5个计算机中心和12个地区结点，以及在政府、大学、研究所和企业中的超过25万台计算机。熊猫烧香（2006年）在06年年底开始大规模爆发，能够终止大量的反病毒软件和防火墙软件进程，病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件，导致用户一打开这些文件，IE自动连接到指定病毒网址中下载病毒。病毒还可通过U盘和移动硬盘等进行传播。损失估计：上亿美元CIH病毒（1998年）名叫陈盈豪的台湾大学生所编写的，从中国台湾传入大陆地区的。以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介，经互联网各网站互相转载。从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。某些主板上的FlashRom中的BIOS信息将被清除损失估计：全球约5亿美元网游大盗（2007年）该病毒会盗取包括“魔兽世界”、“完美世界”、“征途”、等多款网游玩家的帐户和密码，并且会下载其它病毒到本地运行。损失估计：千万美元爱虫(Iloveyou，2000)2000年5月4日，一种名为“我爱你”的电脑病毒开始在全球各地迅速传播。这个病毒是通过MicrosoftOutlook电子邮件系统传播的，邮件的主题为“ILOVEYOU”，并包含一个附件。一旦在MicrosoftOutlook里打开这个邮件，系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。传染速度最快而且传染面积最广的计算机病毒估计损失：一天55亿美元冲击波(2003)利用IP扫描技术寻找网络上系统为Win2000或XP的计算机，找到后就利用DCOM/RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统奔溃。红色代码（2001）“红色代码”蠕虫采用了"缓存区溢出"的黑客技术，利用微软IIS的漏洞进行病毒的感染和传播。灰鸽子木马（2001）自2001年，灰鸽子诞生之日起，就被反病毒专业人士判定为最具危险性的后门程序，并引发了安全领域的高体积仅70kb隐蔽性更强体积仅70kb隐蔽性更强度关注。2004年、2005年、2006年，灰鸽子木马连续三年被国