蠕虫病毒原理.ppt

蠕虫病毒原理,蠕虫病毒,蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。蠕虫病毒是自包含的程序(或是一套程序)，它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性会使得人们手足无策,蠕虫与漏洞,网络蠕虫最大特点是利用各种漏洞进行自动传播根据网络蠕虫所利用漏洞的不同，又可以将其细分邮件蠕虫主要是利用MIME(MultipurposeInternetMailExtensionProtocol，多用途的网际邮件扩充协议)漏洞,MIME描述漏洞,蠕虫与漏洞,网页蠕虫（木马）主要是利用IFrame漏洞和MIME漏洞网页蠕虫可以分为两种用一个IFrame插入一个Mail框架，同样利用MIME漏洞执行蠕虫，这是直接沿用邮件蠕虫的方法用IFrame漏洞和浏览器下载文件的漏洞来运作的，首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件，然后运行它，完成蠕虫传播系统漏洞蠕虫利用RPC溢出漏洞的冲击波、冲击波杀手利用LSASS溢出漏洞的震荡波、震荡波杀手系统漏洞蠕虫一般具备一个小型的溢出系统，它随机产生IP并尝试溢出，然后将自身复制过去它们往往造成被感染系统性能速度迅速降低，甚至系统崩溃，属于最不受欢迎的一类蠕虫,蠕虫的工作方式与扫描策略,蠕虫的工作方式一般是“扫描攻击复制”,蠕虫的工作方式与扫描策略,蠕虫的扫描策略现在流行的蠕虫采用的传播技术目标，一般是尽快地传播到尽量多的计算机中扫描模块采用的扫描策略是：随机选取某一段IP地址，然后对这一地址段上的主机进行扫描没有优化的扫描程序可能会不断重复上面这一过程，大量蠕虫程序的扫描引起严重的网络拥塞对扫描策略的改进在IP地址段的选择上，可以主要针对当前主机所在的网段进行扫描，对外网段则随机选择几个小的IP地址段进行扫描对扫描次数进行限制，只进行几次扫描把扫描分散在不同的时间段进行,蠕虫的工作方式与扫描策略,蠕虫常用的扫描策略选择性随机扫描(包括本地优先扫描)可路由地址扫描(RoutableScan)地址分组扫描(Divide-ConquerScan)组合扫描(HybridScan)极端扫描(ExtremeScan),从传播模式进行安全防御,对蠕虫在网络中产生的异常，有多种的的方法可以对未知的蠕虫进行检测，比较通用的方法是对流量异常的统计分析，主要包括对TCP连接异常的分析和ICMP数据异常分析的方法。,从传播模式进行安全防御,在蠕虫的扫描阶段，蠕虫会随机的或者伪随机的生成大量的IP地址进行扫描，探测漏洞主机。这些被扫描主机中会存在许多空的或者不可达的IP地址，从而在一段时间里，蠕虫主机会接收到大量的来自不同路由器的ICMP不可达数据包。流量分析系统通过对这些数据包进行检测和统计，在蠕虫的扫描阶段将其发现，然后对蠕虫主机进行隔离，对蠕虫其进行分析，进而采取防御措施。将ICMP不可达数据包进行收集、解析，并根据源和目的地址进行分类，如果一个IP在一定时间（T）内对超过一定数量（N）的其它主机的同一端口（P）进行了扫描，则产生一个发现蠕虫的报警（同时还会产生其它的一些报警）。,用Sniffer进行蠕虫检测,一般进行流量分析时，首先关注的是产生网络流量最大的那些计算机。利用Sniffer的HostTable功能，将所有计算机按照发出数据包的包数多少进行排序,发包数量前列的IP地址为的主机，其从网络收到的数据包数是0，但其向网络发出的数据包是445个；这对HTTP协议来说显然是不正常的，HTTP协议是基于TCP的协议，是有连接的，不可能是光发不收的，一般来说光发包不收包是种类似于广播的,同样，我们可以发现，如下IP地址存在同样的问题,首先我们对IP地址为的主机产生的网络流量进行过滤,蠕虫病毒流量分析,发出的数据包的内容,一、两种检测粒度的比较,在早期的snort在其virus.rules中，用了多达24条规则来检测名为NewApt的蠕虫，占了全部VX规则的28%。,粗糙的文件名检测法,粗检测粒度的表现,通过对病毒的分析来看，Worm.NewApt附件文件清单是26个，而不是24个。Rule(s)fromC&D没有错误，但Capture&Decode之外，希望能补充进，Code&Disassemblers,附件文件名检测方式弊端,对于那些随机选择附件名文件名或者提取本机文件的文件名作为自身名字的蠕虫无能为力。一个同名的正常附件，带来误报造成用户的恐慌。同时，修改文件名对于修改蠕虫是最容易的。,细粒度检测,站在基于文件系统的病毒分析来看，I-worm.NewApt完全可以靠文件体中如下的特征串来检测：|680401000056FF152CC04000568B75106884F7400056E8CC0800005903C650E83B07000083C40C6880F7400056E8B50800005903C650|,问题（一）网络检测与文件检测的不同,蠕虫在网络传输中的形态，不是2进制文件，而是经过编码后的，下面就是病毒特征码所对应的base64编码：GgEAQAAVv8VLMBAAFaLdRBohPdAAFbozAgAAFkDxlDoOwcAAIPEDGiA90AAVui1CAAAWQPGUOgkBwAAoeQBQQBZWUBQVuidCAAAWQPGUGjo90AA/9ej5AFBA同时新的问题产生：|0d0a|如何处理？,问题（二）特征码质量,特征码不能任意选取，而要求能够准确无误报的实现检测。长度要求复杂度要求其他要求,问题（三）如何面对更多层面的需求,IDS的规则问题只是我们问题的出发点。能否实现御毒于内网之外Firewall、Gap能否扩充反病毒能力骨干网络能否建立病毒疫情监控机制，甚至直接切断蠕虫传播,独立病毒分析的准备工作,对于网络安全企业的高手们来说，剖析几个蠕虫，提取特征码，没有问题，但要注意这是系统的工作：建立自己的病毒捕获网络，第一时间获得新病毒样本；建立完善的样本库建立自己的特征码分析体制，保证特征码的科学性，避免漏报和误报的可能。警告：对于firewall或者IDS开发部门来说，维持一个专门的VirusCert小组可能是得不偿失的。,第二章、结合文件级别反病毒