恶意代码原理、技术与防范 课件 5-蠕虫

第五章蠕虫引言近年来，随着软件分析、漏洞挖掘技术的发展，各种漏洞层出不穷。攻击者利用信息系统和软件存在的漏洞，制造蠕虫、木马等攻击程序，可以在短时间内控制大量主机，进行非法活动，对网络安全构成重大威胁。本章详细介绍蠕虫的相关概念、工作原理以及传播模型，通过对典型蠕虫“震网”的剖析使大家深入了解蠕虫如何在现实应用中传播和工作，并对防范蠕虫提供相应的指导。蠕虫概述蠕虫的工作原理典型蠕虫分析蠕虫防范1

基本概念4定义：计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。特征：强调自身副本的完整性和独立性

。

病毒蠕虫存在形式寄生独立个体复制机制插入到宿主程序(文件)中自身的拷贝传染机制宿主程序运行漏洞、邮件传染目标主要是针对本地文件主要针对网络主机触发传染计算机使用者程序自身/漏洞影响重点文件系统网络性能、系统性能用户角色病毒传播中的关键环节可能无关防治措施从宿主程序中摘除漏洞打补丁(Patch)定义与特征1

基本概念根据利用漏洞的类型，可以分类：邮件蠕虫：利用MIME漏洞进行传播；网页蠕虫：利用IFrame漏洞和MIME漏洞或浏览器下载漏洞进行传播；系统蠕虫：利用RPC、LSASS、IIS等漏洞传播，造成被感染系统性能迅速降低，甚至系统崩溃。5分类邮件蠕虫MIME协议:电子邮件规范，提供了一种可以在邮件中附加多种不同编码文件的方法。------=_NextPart_001_007B_01C3115F.80DFC5E0--

Content-Type:application/msword;name="readme.doc"Content-Transfer-Encoding:base64Content-Disposition:attachment;filename="readme.doc"

--content--6漏洞？如果附件与命名不一致，浏览器如何处理？Content-Type:audio/x-wav

;name="read.exe"1

基本概念分类1

基本概念网页蠕虫Iframe：iframe是用于在网页中加入一个或多个页面的技术，它用来实现“框架”结构。分类<iframesrc=“URL”width=“w”height=“h”style=“s”

frameborder="b"></iframe>蠕虫利用过程：攻击者构造一个恶意网页并通过iframe引用，并设置iframe的长宽高和线框为0以隐藏其页面，使得浏览该网页的用户成为受害者。

1

基本概念行为特征主动攻击；行踪隐蔽；利用系统、网络应用服务漏洞；造成网络拥塞；降低系统性能；产生安全隐患；反复性/破坏性。8蠕虫概述蠕虫的工作原理典型蠕虫分析蠕虫防范2工作原理与传播模型蠕虫的组成与结构组成结构2工作原理与传播模型工作流程一般分为“扫描→攻击→复制”三个阶段。11工作流程2工作原理与传播模型传统IP扫描策略的不足传统的IP扫描策略是随机选取某一段IP地址，然后对这一地址段上的主机进行扫描。但是对于某一目标网段，大量蠕虫程序的扫描容易引起严重的网络拥塞，导致被检测。12改进扫描对象随机；扫描次数限制；扫描时间分散。工作流程2工作原理与传播模型13确定蠕虫传播的弱点预测大规模爆发的时机预估可能造成的损失经典的传播模型SIS模型SIR模型节点状态易感染被感染易感染被感染免疫传播模型为什么要研究蠕虫的网络传播模型？2工作原理与传播模型14SIR模型(Kermack-Mckendrick)：三个假设：(1)网络内主机为常数N，即不考虑关机断网等情况；(2)在t时刻，感染率为β，即1台已感染的主机扫描到易感染主机的数量与网络内主机数量之比.(3)在t时刻，恢复率为γ，即从已感染主机转换为免疫的主机数量与已感染主机数量之比。三种主机状态的迁移关系：Susceptible易感染状态Infective已感染状态Recovered被清除免疫状态传播模型2工作原理与传播模型15蠕虫爆发定理：一个大规模蠕虫爆发的充分必要条件是初始易感主机的数目S(t)>ρ。结论：采取各种防治手段降低蠕虫感染率，通过先进的治疗手段提高恢复率，使S(t)≤ρ。I(t)表示在时刻t被感染的主机数；R(t)表示在时刻t被恢复的主机数；S(t)表示在时刻t尚未感染的主机数；N表示主机总数。感染的主机数与感染强度示意图传播模型2工作原理与传播模型16蠕虫技术的发展趋势1.网络技术：通信模式的发展—分布式；传播模式的发展—综合传播手段；2.功能：动态功能升级技术；与其它恶意代码技术的结合3.专用性：新型应用的蠕虫：如工业控制系统发展趋势蠕虫概述蠕虫的工作原理典型蠕虫分析蠕虫防范3震网蠕虫剖析Stuxnet蠕虫是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用windows系统和西门子SIMATICWinCC系统的7个漏洞进行攻击。破坏性：造成伊朗核电站用于铀浓缩的离心机高故障率，阻碍了伊朗核开发计划。Stuxnet开启了恶意代码的新时代，是首款用于实战的代码型武器。18（1）特点传播特点：定向内含IP地址路径，清晰表明主要针对中东地区的网络；传播媒介为U盘和内部局域网，说明目标不是互联网机器；形态特点：复杂体积大结构复杂驱动有签名载荷加密保护193震网蠕虫剖析3震网蠕虫剖析20（2）组织架构主Dropper加载执行后将释放主Stuxnet模块；主模块初始化执行，注入到合法进程；安装模块检测配置和环境，执行安装动作，加载驱动程序；感染模块负责USB和网络的传播控制；ROOTKIT模块负责文件的隐藏；加载模块由LNK漏洞触发，安装主Dropper文件。3震网蠕虫剖析（3）主Dropper模块主Dropper模块即~WTR4132.TMP文件，是一个DLL文件，由Explorer.exe加载。21疑问：如何让explorer.exe加载dll？3震网蠕虫剖析22WTR4132.TMP结构.stub节Main.dllPE结构，DLL系统配置主要功能rootkit如何将这个动态库加载到内存运行？3震网蠕虫剖析传统的加载DLL手段--LoadLibrary：其参数要求被加载的动态库在磁盘中以文件的形态存在。与当前的maindll在内存的形态并不相符。23Stunet的独特方式1—内存加载dll：在内存中申请一个存放dll的空间；Hookntdll.dll的6个函数；利用LoadLibrary直接从内存指定位置加载main.dll.

如：KERNEL32.DLL.ASLR.XXXXZwMapViewofSectionZwCreateSectionZwOpenFileZwCloseZwQueryAttributesFileZwQuerySection3震网蠕虫剖析（4）安装机制Maindll已在内存中，为什么还要进一步安装？安全性考虑：存在explorer.exe没有保护，很容易被发现；权限：explorer只有用户权限，不具有最高权限；24步骤：脱壳UPX检测环境以决定是否执行将自已注入到其它进程，目标如何选择？如何注入？配置文件是否完整目标系统32或64位是否为管理员权限1.Csrss.exe-Win32.sys2.Taskscheduler否目标进程的选择：1.杀毒软件：KAV、Trend等，则以其主程序为目标2.其它：lsass.exe,winlogon.exe3震网蠕虫剖析25安装后生成文件：C:\WINDOWS\inf\oem7A.PNFC:\WINDOWS\inf\oem6C.PNFC:\WINDOWS\inf\mdmcpq3.PNFC:\WINDOWS\inf\mdmeric3.PNFC:\WINDOWS\system32\Drivers\mrxnet.sysC:\WINDOWS\system32\Drivers\mrxcls.sys驱动加载方式：伪造签名。首次安装合法使用ZwLoadDriver，以后利用注册表实现自动加载。通过设置防火墙的相关注册表项，关闭防火墙报警！3震网蠕虫剖析26（5）传播机制Stuxnet病毒首先侵入位于互联网中的主机感染U盘，利用LNK漏洞传播到工业专用内部网络利用LNK漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞在内网渗透抵达安装了WinCC系统的主机，展开攻击3震网蠕虫剖析27Stuxnet会在移动存储设备的根目录下创建如下病毒文件：~WTR4132.tmp和~WTR4141.tmp同时还会创建下列快捷方式文件，指向~WTR4141.tmp文件：CopyofShortcutto.lnkCopyofCopyofShortcutto.lnkCopyofCopyofCopyofShortcutto.lnkCopyofCopyofCopyofCopyofShortcutto.lnk有必要存在这么多的LNK文件吗？3震网蠕虫剖析28不同版本的Windows操作系统中~WTR4141.TMP的路径不同。Win7：\\.\STORAGE#Volume#_??_USBSTOR#Disk&Ven_____USB&Prod_FLASH_DRIVE&Rev_#12345000100000000173&0#{53f56307-b6bf-11d0-94f2-1300a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmpWindowsXP,WindowsServer2003andWindows2000:\\.\STORAGE#RemovableMedia#8&1c5235dc&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmpExplorer调用“Shell32.LoadCPLModule”API装载快捷方式的图标icon，该API调用LoadLibraryA执行~wtr4141.tmp的主函数。3震网蠕虫剖析29基于U盘的传播过程技巧:Hook函数以隐藏U盘中的代码文件FindFirstFileWFindNextFileWFindFirstFileExWNtQ