《网络安全设计》04－安全威胁 3感染攻击

网络安全设计安全威胁⑶感染攻击Content什么是感染攻击？病毒攻击原理木马攻击原理蠕虫攻击原理恶意代码原理1《网络安全设计》安全威胁⑶感染攻击什么是感染攻击？InfectionAttack通过特殊设计的软件，对攻击对象的软件系统实施感染，达到继续传播给更多对象、实现特定的攻击目标的目的感染攻击具备以下一个到多个特征：传播性（自我复制并转移给其他未感染对象）自发性（自动判别对象状况、自动实施传播或攻击）隐蔽性（难以发现）顽固性（难以根除）危害性（引起DoS或泄密等多种严重后果）《网络安全设计》安全威胁⑶感染攻击2感染攻击种类三种虚拟“生物”病毒（Virus）蠕虫（Worm）木马（TrojanHorse）恶意代码——虚拟世界的“生物多样性”后门程序（backdoor）广告软件（adware）浏览器劫持（browserhijacker）行为记录（trackware）恶意共享软件（malicious

shareware）《网络安全设计》安全威胁⑶感染攻击3Virus《网络安全设计》安全威胁⑶感染攻击4病毒什么是病毒？Virus病毒（计算机病毒）是一种特殊的程序，寄生于宿主程序上，并可自我复制，感染其他程序《网络安全设计》安全威胁⑶感染攻击5宿主程序病毒代码程序程序程序病毒代码病毒代码病毒代码程序复制并感染病毒的性质寄生于宿主程序，不独立存在具有自我复制能力自动寻找未感染程序，实现病毒传播可携带各种攻击代码《网络安全设计》安全威胁⑶感染攻击6病毒传播三要素《网络安全设计》安全威胁⑶感染攻击7传染源原始病毒体已感染病毒的软件传播途径存储器内存运行网络传输易感人群操作系统应用程序宏代码消灭传染源，切断传播途径，保护易感人群病毒的危害性感染性自我复制和感染——实现传播自身攻击性病毒体中可“夹带”各种攻击代码窃取信息破坏系统定时爆发《网络安全设计》安全威胁⑶感染攻击8病毒踪迹特征编码病毒代码的编码组合、含有的字符串等特定类型感染指定的文件类型（.com/.exe等）特别行为（非共性）文件长度变长文件校验或签名错误额外的存储器读写或文件读写操作程序和系统运行效率降低《网络安全设计》安全威胁⑶感染攻击9病毒的反制措施病毒抵抗安全检测的方法抗特征码串比对加入随机数据；部分代码压缩或加密抗文件长度检查嵌入宿主“空腔”内；原程序代码压缩抗宿主文件校验模拟或伪造校验抗异常文件搜索制作“同伴”文件抗应用程序排查驻留在操作系统或固件中抗异常行为判别实行“有节制”的感染《网络安全设计》安全威胁⑶感染攻击10病毒分类⑴按病毒活跃程度分：在野病毒——活跃（有效）的病毒实验室病毒——在“可控”环境下的病毒归档病毒——已知且已被防范的病毒《网络安全设计》安全威胁⑶感染攻击11有效的病毒都是在野病毒但在野病毒可能是未知的病毒分类⑵按病毒感染对象分：引导扇区病毒可执行文件病毒DOS病毒Windows病毒虚拟机文件病毒宏病毒脚本病毒Java病毒Flash病毒复合型病毒《网络安全设计》安全威胁⑶感染攻击12病毒分类⑶按病毒设计技术分：同伴病毒空腔病毒隧道病毒直接行动病毒（非常驻病毒）内存病毒隐秘型病毒潜伏型病毒多态病毒《网络安全设计》安全威胁⑶感染攻击13病毒激活方式启动计算机（或插入存储介质）时引导扇区病毒、内存病毒操作系统文件病毒运行可执行文件时大部分可执行文件病毒浏览或自动预览时虚拟机脚本型病毒定时或符合特定条件时隐秘型、潜伏型病毒《网络安全设计》安全威胁⑶感染攻击14病毒关键技术寄生感染复制《网络安全设计》安全威胁⑶感染攻击15病毒技术原理⑴寄生《网络安全设计》安全威胁⑶感染攻击16宿主程序启动运行病毒代码宿主程序常规运行宿主程序退出病毒技术原理⑵攻击《网络安全设计》安全威胁⑶感染攻击17病毒代码启动病毒感染进程满足条件？实施攻击病毒进程退出（返回宿主程序）YN病毒代码（病毒体）病毒技术原理⑶感染《网络安全设计》安全威胁⑶感染攻击18病毒感染开始打开指定路径搜索指定类型文件未感染？复制到宿主文件感染更多？病毒感染结束YNYN病毒技术原理⑷复制《网络安全设计》安全威胁⑶感染攻击19病毒复制开始打开未感染宿主文件将宿主文件头部指令移到指定位置（如末尾）将病毒体复制到宿主文件指定位置（如末尾）病毒复制结束在宿主文件头部插入调用或跳转到病毒体指令保存已感染宿主文件修改感染后的宿主文件的校验或签名数据感染病毒后的宿主程序跳转到病毒体宿主程序原有代码病毒体宿主程序原头部指令病毒技术演化示意图《网络安全设计》安全威胁⑶感染攻击20病毒防范安装病毒防火墙（杀毒软件）及时更新病毒防火墙代码库不下载和使用盗版软件不随便点击运行来源不明的程序不打开可疑邮件不访问不良网站《网络安全设计》安全威胁⑶感染攻击21Worm《网络安全设计》安全威胁⑶感染攻击22蠕虫什么是蠕虫？Worm蠕虫是一种通过网络大量复制并广泛传播的特殊病毒程序。《网络安全设计》安全威胁⑶感染攻击23若每台计算机传播n个蠕虫，则传播进行k次后，影响数量为：蠕虫的性质不需要宿主程序，独立存在必须通过网络进行复制和传播需要借助网络应用程序实现发送传播速度快、范围广（指数级）可在用户不参与的情况下传播短时间内大量消耗网络资源《网络安全设计》安全威胁⑶感染攻击24蠕虫传播工具电子邮件（Email）即时通信（IM）《网络安全设计》安全威胁⑶感染攻击25共同点：保存有通讯录可用于发送信息可携带程序蠕虫激活方式自动激活方式利用某些版本的邮件客户端程序具备的“预览”功能，自动执行恶意邮件携带的蠕虫脚本代码干预激活方式采用带有欺骗性的标题或内容的消息，吸引用户点击打开，从而启动运行蠕虫脚本代码《网络安全设计》安全威胁⑶感染攻击26XXXXXXXXXXXX蠕虫技术原理《网络安全设计》安全威胁⑶感染攻击27获取通讯录中的所有联系人地址生成包含蠕虫本身的消息或邮件激活蠕虫向所有联系人发送该消息或邮件讨论《网络安全设计》安全威胁⑶感染攻击28如何防范蠕虫？TrojanHorse《网络安全设计》安全威胁⑶感染攻击29木马什么是木马？TrojanHorse特洛伊木马（简称木马）是一种潜伏于计算机中，在一定条件下或受控实施攻击的软件《网络安全设计》安全威胁⑶感染攻击30在特洛伊城久攻不下时，进攻方假装撤退，留下的木马被守城方当作战利品拉到城内。埋伏在木马中的士兵趁夜而出，里应外合，一举攻下特洛伊城。木马的性质隐蔽性用户难以发现自己已经被殖入木马危害性各种攻击手段可造成泄露和破坏顽固性木马采用多种形式驻留，难以彻底清除《网络安全设计》安全威胁⑶感染攻击31木马伪装术以多种形式潜伏和运行木马使用多种启动方式，例如：随操作系统启动、随文件运行而启动、随动态库调用启动等木马刻意变换文件名，或采用与操作系统核心程序非常类似的文件名，借以伪装自身。同时修改文件显示和访问属性、伪装图标，“混迹”于系统内核程序中木马驻留在系统（外存）的各个位置，如：系统文件、应用程序、注册表、启动组等木马在内存或进程表中隐蔽得很深，甚至一般权限的用户使用一般的命令无法发现该进程的存在《网络安全设计》安全威胁⑶感染攻击32木马的引入途径随Email/IM传播附加在盗版软件上通过诱骗下载执行利用某些操作系统存在的漏洞，通过Script、ActiveX及ASP、CGI交互脚本的方式殖入《网络安全设计》安全威胁⑶感染攻击33木马技术原理《网络安全设计》安全威胁⑶感染攻击34被攻击者攻击者①植入木马②侦听端口③激活木马，发送命令④执行任务木马的踪迹例：冰河木马殖入系统后，其相关痕迹如下——C:\winnt\system32目录下将安装sysexplr.exe和kernel32.exe两个文件修改txt文件关联方式为MICROSOFTWINDOWS(TM)修改注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunServices下键值改为： c:\winnt\system32\kernel32.exe HKEY_CLASSES_ROOT\txtfile\shell\open\command下键值改为： c:\winnt\system32\sysexplr.exe（原为Notepad.exe）侦听端口号缺省为7626《网络安全设计》安全威胁⑶感染攻击35病毒、蠕虫、木马比较《网络安全设计》安全威胁⑶感染攻击36病毒蠕虫木马传播速度快很快较慢传播途径存储或网络邮件或IM文件或网络特征明显不明显不太明显隐蔽性较差较强很强复制能力强很强不强独立性寄生（感染）独立，非文件型独立文件顽固性较强无法评价很强危险性强强强危害破坏文件和系统网络阻塞盗取信息和账号等查杀技术较成熟无专用工具Malware《网络安全设计》安全威胁⑶感染攻击37恶意代码恶意软件《网络安全设计》安全威胁⑶感染攻击38恶作剧程序播种机程序后门程序（与木马有“异曲同工”之恶）垃圾邮件（稍后讨论）/连锁信邮件流氓软件（强制安装、难以卸载）广告软件间谍软件浏览器劫持软件行为记录软件恶意共享软件垃圾邮件SPAM无特定接收对象、非自愿接收的群发邮件不良影响——蠕虫攻击的载体积累效应，可能引发DDoS攻击极大地浪费Internet带宽、计算、存储资源干扰用户正常的邮件接收可携带病毒或其它恶意软件《网络安全设计》安全威胁⑶感染攻击39Internet上80%～90%的电子邮件都是垃圾邮件垃圾邮件的发送获取发送账号注册免费邮件账号利用无需发送认证的系统或盗取邮件账号自建邮件发送软件（群发器）获取目标邮件地址列表用户名排列组合（同一目标域名下）广泛搜集电子邮件地址利用蠕虫或木马获取用户地址簿群发邮件《网络安全设计》安全威胁⑶感染攻击40垃圾邮件的特征静态特征（单一邮件所具备）简短，且链接所占内容比例高收件人数量众多、收件人字段与账号不同无法反向解析域名、域名与发送地址不符含有特定关键字、蠕虫或病毒动态特征（多邮件发送行为）短时间内大量内容相同的邮件不同于通常流量分布的突发流量《网络安全设计》安全威胁⑶感染攻击41垃