恶性代码理解及趋势讲诉.ppt

SecurityE-ResponseCenter 2005-02-21,恶性代码的理解 与趋势,1,目录,恶性代码的定义及种类 恶性代码现况 恶性代码预防与对应 可疑样本收集方法,2,恶性代码的定义及种类,3,计算机恶性代码的定义,定义 给他人心理上和实际上受危害的计算机程序或可以运行的部分. 趋势 偷偷地在其它位置上复制(COPY)自身的程序,统称为恶性代码趋势,4,是计算机病毒 ? 还是恶性代码 ?,恶性代码的比较,蠕虫和病毒是根据有没有住宿环境区分,5,恶性代码的种类,计算机病毒(Computer Virus) 文件病毒 : 大部分是Window上用的文件病毒 Boot/文件病毒 : 几乎灭绝 Macro/脚本病毒 容易制作和变形 比文件病毒传播速度快,6,恶性代码的种类,特洛伊木马(Trojan horse) 程序 没有自我复制能力的恶性代码 泄漏特定信息(键盘输入信息), 不经过允许的PC远程控制,7,恶性代码的种类,蠕虫(Worm) 程序 通过电子邮件/网络复制自己的恶性代码 通过电子邮件的附件文件形式扩散 利用安全漏洞的蠕虫增多,8,恶性代码的感染途径,9,感染恶性代码的途径,安全漏洞 MS Explorer, MS Office, Outlook等 感染文件自动运行，自动持续扩散 陆续发现的新安全漏洞 共享文件夹 电子邮件的附件,10,可能有害程序,Spyware: 获取用户的个人信息 如 IP 地址，用户名，密码 Key logger : 保存用户Key输入(存在个人信息泄漏的可能性) Adware : 广告软件 统计并适时打开特定窗口 固定特定网页,11,安博士研究所的政策,可能有害的程序不是恶性代码 诊断可能有害的程序 Adware Keylogger Hacking tool 远程控制工具,12,恶性代码现况,13,恶性代码现况 按阶段的特点,* 一般恶性代码的 life cycle,出现,急速 扩散,初期 扩散,急速 减少,残存,消灭,14,时间,扩散规模,出现,安全产品 / 杀毒软件 升级 发布最新引擎,早期截断?,从这里开始处于 相对安全状态,07:00 上午,07:10,10:00 上午,07:05,恶性代码现况,15,恶性代码现况 - LifeCycle阶段特点,16,攻击者只需知道一个漏洞. 防御者必须做好一切防御. 攻击者随时可以攻击.,1. 攻击者 vs. 防御者,3. 安全 vs. 使用便利性,安全解决方案 / 系统的使用并非简单. 很难记住复杂而强力的密码. 用户喜欢简单 / 单纯的密码.,我也需要 安全措施吗?,2. 相对较晚的安全措施,认为商业上讲安全措施是非重要的事情. 对于防御者来讲在时间和费用上受到限制.,恶性代码现况,17,恶性代码现况,* 对应恶性代码困难的理由 1) 具有多样的扩散路径,18,恶性代码现况,繁多的安全漏洞 vs. (相对) 较晚的对应速度 对于多样的安全漏洞的对应及收集信息很困难 管理安全补丁困难 对于对应相应漏洞而打补丁的意识晚 + 没有关心 恶性代码出现变种时间短于用户提高相应认识时间 多样的扩散路径 电子邮件, 安全漏洞, 内网共享文件夹, 应用软件, P2P, Messenger 事先100%截断很困难 - 需要使损失降到最小的对应方案 恶性代码的种类增多 Phishing, Keylogger, Adware, Spyware, 各种可能有害程序 杀毒软件(安全)厂商的基本对应时间,* 对应恶性代码困难的理由 1),19,客户端信息安全事故模式,损坏软盘, 印刷品, CDRW,盗窃及丢失重要计算机和硬盘信息,由于恶性代码损失数据,恶用个人信息, 对外泄漏密码 - 威胁电子商务 - 降低信誉，敲诈电子货币(Cyber money),业务效率降低 发送多量电子邮件,20,恶性代码现况 2003年 vs. 2004年,2003 ,2004 ,21,恶性代码现况 2004年特点,变种急增 基于IRCBot的变种登场 蠕虫急增 / 病毒急速减少 恶用共享文件夹, P2P软件的安全弱点 使安全产品丧失功能 大量发送电子邮件 / 诱发网络负荷 恶用OS及应用程序的漏洞 增加难以诊断 / 治疗的种类 对于MS的持续攻击 增加因广告软件 / 间谍软件 / Spam的 直接/间接的损害,22,恶性代码现况 变种急增,Agobot 感染 PC,Internet,IRC Server,Bot Command Send (DDoS, SyncFlooding, .),攻击对象 PC (存在RPC漏洞) (存在脆弱的Password),TCP/135, 445 Port Attack,IRC Connection (TCP/66676670, 7000,8000),TCP/135, 445 port Attack,TCP/135, 445 Port Attack,Destination IP Address Rules: Local_IP or Random C-class.1255,23,恶性代码现况 变种急增,特点 攻击管理目的的共享文件夹IPC$ 攻击RPC DCOM / DCOM2 / WebDAV 漏洞 连接特定 IRC 服务器后执行BOT管理者的命令 (Trojan Horse + Backdoor + DDoS 攻击 + SyncFlooding Attack) 强制结束特定程序 (regedit.exe, taskmgr.exe 等) 防止特定安全产品的运行 / 丧失预防功能 / 删除 妨碍安全产品的升级 (截断升级IP) 泄漏特定 S/W (FIFA, Warcraft, ) CD Key 引发网络过多流量 / 网络瘫痪 (被降低/停止正常业务) 因内部代码的Bug引发不可预料的症状 (CPU 100%, 60秒后系统重启Lsass.exe) 到完全防御需要很长时间,24,恶性代码现况 变种急增,主要传播对象 存在脆弱密码的系统 没有设置MS安全补丁 存在应用程序漏洞的系统 (远程控制 / 管理工具, ftp 工具 ),25,恶性代码现况 变种急增,恶性 IRCBot 变种急增的原因 制作者间的组织活动 相互竞争,共享源代码 / 技术 利用自行解压方法，制作变种更加简单 一般用户对使用管理系统的知识不足 设置脆弱的密码及未打补丁,26,恶性代码现况 隐蔽型,增加难于诊断 / 治疗的恶性代码 LoveGate.worm, Korgo.worm, AgoBot.worm (Soundman.exe) 只存在内存中 以Remote Thread形态寄生 (Explorer.exe / Korgo.worm) Kernel Mode Backdoor 利用Kernel Driver 挂接 Native API Hooking 附加在网页浏览器 (BHO 形态 : Browser Helper Object) 使用Stealth方法 挂接多样的Win32 API来隐藏自己 Agobot.worm (Soundman.exe),27,对恶性代码的举报数仍持续增加 脚本病毒逐渐消失 (15% 1% 以下) 文件病毒逐渐减少 (30% 5%) 蠕虫的迅速增加 (55% 95%) 利用MS漏洞传播的蠕虫开发形成竞争,2004年,Windows 文件,5%,蠕虫(漏洞),25%,蠕虫(Mail),70%,蠕虫,55%,Windows 文件,30%,脚本,15%,2003年,按年度 Top 20 恶性代码 类别状况,按年度总举报数,(资料出处 : 安博士公司 ASEC Annual Report 2004),恶性代码现况 - 趋势,28,恶性代码现况 广告软件 / 间谍软件,特点 2004年以后被侵害事例增多 出现预想不到的现象 固定初始地址 自动在桌面生成ICON 根据搜索单词连接到特定网站 频繁出现浏览器错误 连接到黄色网站，谈出广告窗口 系统速度变缓慢,29,恶性代码现况 广告软件 / 间谍软件,问题 难以区分计算机病毒和可能有害程序 出现广告软件, 键盘记录, 间谍软件 杀毒软件厂商所定义的恶性代码有趣别 难定诊断标准及危险度 治疗 删除文件，删除注册表值难以根除 治疗后再次发生被感染及造成系统不稳定,30,恶性代码现况 对MS公司的持续攻击,共享/攻击 MS的漏洞 windows 95出来后 对系统漏洞攻击成强化趋势 Word/Excel Macro Virus 利用outlook的邮件病毒 各种应用软件和网页浏览器的漏洞 丧失windows XP SP2的安全功能 Win32/Bag.worm Family : 关闭SP2防火墙 Win32/Zafi.worm 15993 : 修改注册表值, 使得关闭SP2的防火墙和安全中心功能,31,恶性代码预防及对应,32,迅速对应,恶性代码预防及对应,1. 确认 症状, 规模, 扩散与否,2. 确保证据 电子邮件, 文件, 系统,4. 紧急措施 内部警告, 截断端口, 过滤邮件, 隔离系统,3. 依赖分析 ,33,恶性代码预防及对应 紧急对应,杀毒软件对应前的对应 确认实际被害/扩散与否 确认是否出现同样现象 确认是否通过特定端口传输的网络流量 139, 445 数据包增加 确认是否接受大量电子邮件 (带有附件) 被感染文件及依赖分析 确认可疑PC/ 文件 确认是否运行非正常进程/服务 首先利用windows自带工具 利用个别工具 确认跟注册表有关的部分 (利用各种工具及Ahnreport),34,恶性代码预防及对应 紧急对应,利用杀毒软件客服 = 紧急对应 SMS, 电子邮件, 电话 新型, 变种, 可疑文件的分析 S 停止/截断 停止使用被认为可疑程序 截断/过滤特定端口 (IDS, IPS) 截断被认为可疑端口 (in, out) 过滤题目，附件来防止扩散 解决内部漏洞 安全补丁 安全通知 紧急升级及检查,35,恶性代码预防及对应 确认windows基本服务,管理windows console程序, 生成/关闭线程, 支持16bit 虚拟 MS-DOS 模式,支持任务栏, 桌面等user shell,担任Winlogon服务必要的认证进程,打印机, Spooling功能,担任从DLL运行的另外进程的 host 功能,开始/停止 系统服务,Csrss.exe,Explorer.exe,Lsass.exe,Spoolsv.exe,Svchost.exe,Services.exe,参考: Microsoft 技术资料 - Q263201(确认非正常进程),假装正常进程的恶性代码正在增加，所以必须弄清正常的系统进程,* 其他注意事项,V3 系统监视,MonSvcNT.exe,36,恶性代码预防及对应 Ahnreport,AhnReport 安博士公司发布的专用工具 V3 产品安装内容 / 引擎版本 Boot.ini, Win.ini, System.ini 等 确认运行中的进程, 安装的软件信息, 网络状态, 开始程序, 下载的 Active-X 下载地址 /download/files/AhnReport.exe,37,恶性代码预防及对应 Ahnreport,38,恶性代码预防及对应 MS 网站,安全漏洞 主要 Microsoft 产品(OS, IE, O/OE, MS-Office, MS-SQL 等) 按特定周期访问windows update网站 打最新OS, Office补丁 ,39,恶性代码预防及对应 MS 网站,确认安全漏洞 (MBSA - Microsoft Baseline Security Analyzer) Microsoft 产品漏洞扫描工具 /korea/technet/security/tools/Tools/MBSAhome.asp,40,Windows 漏洞 攻击漏洞端口,41,恶性代码预防及对应,Microsoft MBSA (Microsoft Baseline Security Analyzer) 1.2 /korea/technet/security/tools/Tools/MBSAhome.asp /technet/security/tools/mbsahome.mspx Xscan 1.3 Weak Password Scanner 公开漏洞源文件的网站 , , , , ,42,恶性代码预防及对应,确认异常的进程和注册表值/恶性代码经常添加的注册表项 HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce(9x, Me) HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices(9x, Me) HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx 存在相同进程路径! HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKCUSoftwareMicrosoftWindowsCurrentVersionRun HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon Userinit(NT, 2000) HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon Shell(NT, 2000),43,恶性代码预防及对应,广告软件经常改变的注册表值 HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain “Start Page“= HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain “Start Page“= HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain “Search Page“= HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain “Search Bar“= HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer “SearchURL“= HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearch “CustomizeSearch“= HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearch “SearchAssistant“= HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain “Search Page“= HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain “Search Bar“= HKEY_LOCAL_MACHINESoftwareMicrosoftInternet Explorer “SearchURL“= HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch “CustomizeSearch“= HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch “SearchAssistant“= HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain “Default_Page_URL“= HKEY_CURRENT_USERSoftwareMicrosoftInternet ExploreMain “Start Page“=,44,恶性代码对应方法 处理向导,识别恶性代码的方法 使用AhnReport 确认 运行中的 确认System32下的进程 没有Version信息的文件 确认开始程序 没有路经的文件 重复运行2次以上的进程 确认网络状态 Windows XP以上 按Port 确认 Process,45,恶性代码对应方法 处理向导,识别恶性代码的方法 Dos模式下 Worm 文件的特点 位于System32下, 属性为Hidden 一般文件大小小于150KB 搜索方法 运行DOS Prompt - 进到System32 运行dir *.exe /od/a 确认最近10日内生成或改变的文件 变更可疑文件的扩展名并重启 - 确认症状是否恢复正常,46,识别恶性代码的方法,识别恶性代码的方法 利用其他Tools TCPViewer / 支持Windows 9x/NT/2000/XP/2003 F-Port (Command MODE) AutoRuns/ProcessExplorer/psTools AutoRuns: 开始程序 Process Explorer: 运行中的进程, 显示DLL, 强制结束 psTools: psexec, pskill, pslist等远程工具 下载地址(freeware) - Utilities,47,恶性代码预防及对应 TCP View,48,恶性代码预防及对应 Procexp,49,恶性代码预防及对应 Autoruns,50,恶性代码对应方法 手动处理向导,手动处理向导 手动处理原理 Worm/Trojan删除等于治疗! Worm/Trojan 结束进程等与解决 利用不能生成相同文件的原理 手动处理对象 Windows 2000/XP/2003 只限于Worm/Trojan (Virus例外) 受限制事项 不支持Windows 9X Worm/Trojan的碎文件/注册表值,51,恶性代码对应方法 手动处理向导,CMD 处理方法 顺序 强制结束Worm/Troj