蠕虫病毒原理专家讲座

蠕虫病毒蠕虫病毒是一个常见计算机病毒。它是利用网络进行复制和传输，传染路径是经过网络和电子邮件。蠕虫病毒是自包含程序(或是一套程序)，它能传输本身功效拷贝或本身（蠕虫病毒）一些部分到其它计算机系统中(通常是经过网络连接)。蠕虫病毒传染目标是互联网内全部计算机.局域网条件下共享文件夹，电子邮件email，网络中恶意网页，大量存在着漏洞服务器等都成为蠕虫传输良好路径。网络发展也使得蠕虫病毒能够在几个小时内蔓延全球!而且蠕虫主动攻击性和突然暴发性会使得人们手足无策蠕虫病毒原理专家讲座第1页蠕虫与漏洞网络蠕虫最大特点是利用各种漏洞进行自动传输依据网络蠕虫所利用漏洞不一样，又能够将其细分邮件蠕虫主要是利用MIME(MultipurposeInternetMailExtensionProtocol，多用途网际邮件扩充协议)漏洞MIME描述漏洞蠕虫病毒原理专家讲座第2页蠕虫与漏洞网页蠕虫（木马）主要是利用IFrame漏洞和MIME漏洞网页蠕虫能够分为两种用一个IFrame插入一个Mail框架，一样利用MIME漏洞执行蠕虫，这是直接沿用邮件蠕虫方法用IFrame漏洞和浏览器下载文件漏洞来运作，首先由一个包含特殊代码页面去下载放在另一个网站病毒文件，然后运行它，完成蠕虫传输系统漏洞蠕虫利用RPC溢出漏洞冲击波、冲击波杀手利用LSASS溢出漏洞震荡波、震荡波杀手系统漏洞蠕虫普通具备一个小型溢出系统，它随机产生IP并尝试溢出，然后将本身复制过去它们往往造成被感染系统性能速度快速降低，甚至系统瓦解，属于最不受欢迎一类蠕虫蠕虫病毒原理专家讲座第3页蠕虫工作方式与扫描策略蠕虫工作方式普通是“扫描→攻击→复制”蠕虫病毒原理专家讲座第4页蠕虫工作方式与扫描策略蠕虫扫描策略现在流行蠕虫采取传输技术目标，普通是尽快地传输到尽可能多计算机中扫描模块采取扫描策略是：随机选取某一段IP地址，然后对这一地址段上主机进行扫描没有优化扫描程序可能会不停重复上面这一过程，大量蠕虫程序扫描引发严重网络拥塞对扫描策略改进在IP地址段选择上，能够主要针对当前主机所在网段进行扫描，对外网段则随机选择几个小IP地址段进行扫描对扫描次数进行限制，只进行几次扫描把扫描分散在不一样时间段进行蠕虫病毒原理专家讲座第5页蠕虫工作方式与扫描策略蠕虫惯用扫描策略选择性随机扫描(包含当地优先扫描)可路由地址扫描(RoutableScan)地址分组扫描(Divide-ConquerScan)组合扫描(HybridScan)极端扫描(ExtremeScan)蠕虫病毒原理专家讲座第6页从传输模式进行安全防御对蠕虫在网络中产生异常，有各种方法能够对未知蠕虫进行检测，比较通用方法是对流量异常统计分析，主要包含对TCP连接异常分析和ICMP数据异常分析方法。蠕虫病毒原理专家讲座第7页从传输模式进行安全防御在蠕虫扫描阶段，蠕虫会随机或者伪随机生成大量IP地址进行扫描，探测漏洞主机。这些被扫描主机中会存在许多空或者不可达IP地址，从而在一段时间里，蠕虫主机会接收到大量来自不一样路由器ICMP不可达数据包。流量分析系统经过对这些数据包进行检测和统计，在蠕虫扫描阶段将其发觉，然后对蠕虫主机进行隔离，对蠕虫其进行分析，进而采取防御办法。将ICMP不可达数据包进行搜集、解析，并依据源和目标地址进行分类，假如一个IP在一定时间（T）内对超出一定数量（N）其它主机同一端口（P）进行了扫描，则产生一个发觉蠕虫报警（同时还会产生其它一些报警）。蠕虫病毒原理专家讲座第8页用Sniffer进行蠕虫检测普通进行流量分析时，首先关注是产生网络流量最大那些计算机。利用SnifferHostTable功效，将全部计算机按照发出数据包包数多少进行排序蠕虫病毒原理专家讲座第9页发包数量前列IP地址为主机，其从网络收到数据包数是0，但其向网络发出数据包是445个；这对HTTP协议来说显然是不正常，HTTP协议是基于TCP协议，是有连接，不可能是光发不收，普通来说光发包不收包是种类似于广播蠕虫病毒原理专家讲座第10页一样，我们能够发觉，以下IP地址存在一样问题蠕虫病毒原理专家讲座第11页首先我们对IP地址为主机产生网络流量进行过滤蠕虫病毒原理专家讲座第12页蠕虫病毒流量分析蠕虫病毒原理专家讲座第13页发出数据包内容蠕虫病毒原理专家讲座第14页蠕虫病毒原理专家讲座第15页蠕虫病毒原理专家讲座第16页一、两种检测粒度比较在早期snort在其virus.rules中，用了多达24条规则来检测名为NewApt蠕虫，占了全部VX规则28%。蠕虫病毒原理专家讲座第17页

粗糙文件名检测法content:"filename=\"THEOBBQ.EXE\"";content:"filename=\"COOLER3.EXE\"";content:"filename=\"PARTY.EXE\"";content:"filename=\"HOG.EXE\"";content:"filename=\"GOAL1.EXE\"";content:"filename=\"PIRATE.EXE\"";content:"filename=\"VIDEO.EXE\"";content:"filename=\"BABY.EXE\"";content:"filename=\"COOLER1.EXE\"";content:"filename=\"BOSS.EXE\"";content:"filename=\"G-ZILLA.EXE\"";content:"filename=\"COYPER..EXE\"";content:"filename=\"GADGET.EXE\"";content:"filename=\"IRNGLANT.EXE\"";content:"filename=\"CASPER.EXE\"";content:"filename=\"FBORFW.EXE\"";content:"filename=\"SADDAM.EXE\"";content:"filename=\"BBOY.EXE\"";content:"filename=\"MONICA.EXE\"";content:"filename=\"GOAL.EXE\"";content:"filename=\"PANTHER.EXE\"";content:"filename=\"CHESTBURST.EXE\"";content:"filename=\"FARTER.EXE\"";content:"filename=\"CUPID2.EXE\"";

蠕虫病毒原理专家讲座第18页粗检测粒度表现经过对病毒分析来看，Worm.NewApt附件文件清单是26个，而不是24个。Rule(s)fromC&D没有错误，但Capture&Decode之外，希望能补充进，Code&Disassemblers蠕虫病毒原理专家讲座第19页附件文件名检测方式弊端对于那些随机选择附件名文件名或者提取本机文件文件名作为本身名字蠕虫无能为力。一个同名正常附件，带来误报造成用户恐慌。同时，修改文件名对于修改蠕虫是最轻易。蠕虫病毒原理专家讲座第20页细粒度检测站在基于文件系统病毒分析来看，I-worm.NewApt完全能够靠文件体中以下特征串来检测：|680401000056FF152CC04000568B75106884F7400056E8CC0800005903C650E83B07000083C40C6880F7400056E8B50800005903C650……|蠕虫病毒原理专家讲座第21页问题（一）网络检测与文件检测不一样蠕虫在网络传输中形态，不是2进制文件，而是经过编码后，下面就是病毒特征码所对应base64编码：GgEAQAAVv8VLMBAAFaLdRBohPdAAFbozAgAAFkDxlDoOwcAAIPEDGiA90AAVui1CAAAWQPGUOgkBwAAoeQBQQBZWUBQVuidCAAAWQPGUGjo90AA/9ej5AFBA……同时新问题产生：|0d0a|怎样处理？蠕虫病毒原理专家讲座第22页问题（二）特征码质量特征码不能任意选取，而要求能够准确无误报实现检测。长度要求复杂度要求其它要求蠕虫病毒原理专家讲座第23页问题（三）怎样面对更多层面需求IDS规则问题只是我们问题出发点。能否实现御毒于内网之外Firewall、Gap能否扩充反病毒能力骨干网络能否建立病毒疫情监控机制，甚至直接切断蠕虫传输蠕虫病毒原理专家讲座第24页独立病毒分析准备工作对于网络安全企业高手们来说，剖析几个蠕虫，提取特征码，没有问题，但要注意这是系统工作：建立自己病毒捕捉网络，第一时间取得新病毒样本；建立完善样本库建立自己特征码分析体制，确保特征码科学性，防止漏报和误报可能。警告：对于firewall或者IDS开发部门来说，维持一个专门Vir