《网络安全技术及应用第五章.ppt》由会员分享,可在线阅读,更多相关《网络安全技术及应用第五章.ppt(72页珍藏版)》请在三一办公上搜索。
1、2023/7/2,1,第五章 计算机病毒及恶意代码,本章学习重点掌握内容:传统病毒原理脚本病毒原理网络蠕虫原理木马技术网络钓鱼技术僵尸网络,2023/7/2,2,第五章 计算机病毒及恶意代码,5.1 计算机病毒概述5.2 传统的计算机病毒5.3 脚本病毒5.4网络蠕虫5.5木马技术5.6网络钓鱼5.7僵尸网络5.8浏览器劫持5.9 流氓软件,2023/7/2,3,5.1计算机病毒概述,5.1.1 计算机病毒的定义计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”,2023/7/2,4,5.1计算机病毒概述,5.1
2、.2计算机病毒历史1977年,美国著名的贝尔实验室中设计磁芯大战(Core War)的游戏,第一步将计算机病毒感染性的概念体现出来 第一个具备完整特征的计算机病毒出现于1987年,病毒C-BRAIN,由一对巴基斯坦兄弟:Basit和Amjad所写。目的是防止他们的软件被任意盗拷。只要有人盗拷他们的软件,C-BRAIN就会发作,将盗拷者的硬盘剩余空间给吃掉。,2023/7/2,5,5.1.2计算机病毒历史,DOS病毒,破坏表现:唱歌、删除文件、格式化硬盘、屏幕上显出各式各样的图形与音效。主要病毒如耶路撒冷、米开朗基罗、猴子病毒等。基于Windows运行环境的病毒,随着微软Office软件的普及,
3、出现了宏病毒,各种脚本病毒也日益增多著名病毒如 CIH病毒等。网络时代病毒已经突破了传统病毒的技术,融合许多网络攻击技术,如蠕虫技术、木马技术、流氓软件、网络钓鱼等,。,2023/7/2,6,5.1计算机病毒概述,5.1.3 计算机病毒特征破坏性 计算机所有资源包括硬件资源和软件资源,软件所能接触的地方均可能受到计算机病毒的破坏隐蔽性。通过隐蔽技术使宿主程序的大小没有改变,以至于很难被发现。潜伏性 长期隐藏在系统中,只有在满足特定条件时,才启动其破坏模块。传染性 指病毒具有把自身复制到其它程序中的特性,2023/7/2,7,5.1.3 计算机病毒特征,网络病毒又增加很多新的特点 主动通过网络和
4、邮件系统传播 计算机的病毒种类呈爆炸式增长变种多,容易编写,并且很容易被修改,生成很多病毒变种 融合多种网络技术,并被黑客所使用,2023/7/2,8,5.2 传统的计算机病毒,5.2.1 计算机病毒的基本机制分为三大模块:传染机制、破坏机制、触发机制。计算机病毒的传染机制 指计算机病毒由一个宿主传播到另一个宿主程序,由一个系统进入另一个系统的过程。触发机制计算机病毒在传染和发作之前,要判断某些特定条件是否满足,这个条件就是计算机病毒的触发条件。3、破坏机制 良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目标主机系统或信息产生严重破坏。,2023/7/2,9,5.2 传统的计算机病毒,5.2
5、.2 病毒分析Windows环境下,主要病毒有文件型病毒、引导性病毒和宏病毒等 文件型病毒文件型病毒主要感染可执行文件,Windows环境下主要为.EXE文件,为PE格式文件PE是 Win32环境自身所带的执行体文件格式。,2023/7/2,10,5.2.2 病毒分析,PE文件结构如图5-1所示,2023/7/2,11,5.2.2 病毒分析,当运行一个PE可执行文件时 当PE文件被执行,PE装载器检查 DOS MZ header 里的 PE header 偏移量。如果找到,则跳转到 PE header。PE装载器检查 PE header 的有效性。如果有效,就跳转到PE header的尾部。紧
6、跟 PE header 的是节表。PE装载器读取其中的节信息,并采用文件映射方法将这些节映射到内存,同时附上节表里指定的节属性。PE文件映射入内存后,PE装载器将处理PE文件中类似 import table(引入表)逻辑部分。,2023/7/2,12,5.2.2 病毒分析,感染PE文件,必须满足两个基本条件:是能够在宿主程序中被调用,获得运行权限;主要采用重定位的方法,改PE文件在系统运行PE文件时,病毒代码可以获取控制权,在执行完感染或破坏代码后,再将控制权转移给正常的程序代码。方法有:可以修改文件头中代码开始执行位置(AddressOfEntryPoint)在PE文件中添加一个新节 病毒进
7、行各种操作时需调用API函数,有两种解决方案。在感染PE文件的时候,可以搜索宿主的引入函数节的相关地址。解析导出函数节,尤其是Kernel32.DLL,2023/7/2,13,5.2.2 病毒分析,宏病毒 就是使用宏语言编写的程序,可以在一些数据处理系统中运行,存在于字处理文档、数据表格、数据库、演示文档等数据文件中 感染过程 改写Word宏改写文档自动执行宏,如AutoOpen、FileSave FilePrint等等,2023/7/2,14,5.2.2 病毒分析,转换成文档模板的宏 当宏病毒获得运行权限之后,把所关联的宿主文档转换成模板格式,然后把所有宏病毒复制到该模板之中 感染其它Wor
8、d文档 当其它的Word文件打开时,由于自动调用该模板因而会自动运行宏病毒,2023/7/2,15,5.2.2 病毒分析,宏病毒具有如下特点 传播快Word文档是交流最广的文件类型。人们大多对外来的文档文件基本是直接浏览使用,这给Word宏病毒传播带来很多便利。制作、变种方便Word使用宏语言WordBasic来编写宏指令。用户很方便就可以看到这种宏病毒的全部面目。把宏病毒稍微加以改变,立即就生产出了一种新的宏病毒.破坏性大,2023/7/2,16,5.2 传统的计算机病毒,5.2.3 传统计算机病毒防御文件型病毒一般采用以下一些方法 安装最新版本、有实时监控文件系统功能的防病毒软件。及时更新
9、病毒引擎,最好每周更新一次,并在有病毒突发事件时立即更新。经常使用防毒软件对系统进行病毒检查。对关键文件,如系统文件、重要数据等,在无毒环境下备份。在不影响系统正常工作的情况下对系统文件设置最低的访问权限。,2023/7/2,17,5.2.3 传统计算机病毒防御,宏病毒的预防与清除找到一个无毒的Normal.dot 文件的备份,将位于“MSOffice Template”文件夹下的通用模板Normal.dot文件替换掉;对于已染病毒的文件,先打开一个无毒Word文件,按照以下菜单打开对话框:工具-宏-安全性,设置安全性为高,2023/7/2,18,5.3 脚本病毒,5.3.1 脚本病毒概述脚本
10、病毒依赖一种特殊的脚本语言(如:VBScript、JavaScript等)起作用,同时需要应用环境能够正确识别和翻译这种脚本语言中嵌套的命令,脚本病毒可以在多个产品环境中进行。脚本病毒具有如下特征 编写简单。由于脚本的简单性,使以前对病毒不了解的人都可以在很短的时间里编出一个新型病毒。病毒源码容易被获取、变种多。其源代码可读性非常强,2023/7/2,19,5.3.1 脚本病毒概述,感染力强。采用脚本高级语言可以实现多种复杂操作,感染其它文件或直接自动运行。破坏力强。脚本病毒可以寄生于HTML或邮件通过网络传播,其传播速度非常快。脚本病毒不但能够攻击被感染的主机,获取敏感信息,删除关键文件;更
11、可以攻击网络或者服务器,造成拒绝服务攻击,产生严重破坏。传播范围广。这类病毒通过HTML文档,Email附件或其它方式,可以在很短时间内传遍世界各地。采用多种欺骗手段。脚本病毒为了得到运行机会,往往会采用各种让用户不大注意的手段,,2023/7/2,20,5.3 脚本病毒,5.3.2 脚本病毒原理脚本病毒的传播分析 脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其它同类程序中间:脚本病毒通过网络传播的几种方式通过电子邮件传播 通过局域网共享传播感染HTML、ASP、JSP、PHP等网页通过浏览器传播 通过U盘自动运行传播其它的传播方式,2023/7/2,21,
12、5.3.2 脚本病毒原理,脚本病毒的获得控制权的方法分析修改注册表项 修改自动加载项通过映射文件执行方式欺骗用户,让用户自己执行desktop.ini和folder.htt互相配合如果用户的目录中含有这两个文件,当用户进入该目录时,就会触发folder.htt中的病毒代码。直接复制和调用可执行文件,2023/7/2,22,5.3 脚本病毒,5.3.3 脚本病毒防御脚本病毒要求被感染系统具有如下支持能力:VBScript代码是通过Windows Script Host来解释执行的,wscript.exe就是该功能的相关支持程序。绝大部分VBS脚本病毒运行的时候需要对象FileSystemObje
13、ct的支持。通过网页传播的病毒需要ActiveX的支持通过Email传播的病毒需要邮件软件的自动发送功能支持。,2023/7/2,23,5.3.3 脚本病毒防御,因此可以采用以下方法防御脚本病毒可以通过打开“我的计算机”,依次点击查看文件夹选项文件类型在文件类型中将后缀名为“VBS、VBE、JS、JSE、WSH、WSF”的所有针对脚本文件的操作均删除。这样这些文件就不会被执行了。在IE设置中将ActiveX插件和控件以及Java相关的组件全部禁止,可以避免一些恶意代码的攻击。方法是:打开IE,点击“工具”“Internet选项”“安全”“自定义级别”,在“安全设置”对话框中,将其中所有的Act
14、iveX插件和控件以及与Java相关的组件全部禁止即可。禁用文件系统对象FileSystemObject,用regsvr32 scrrun.dll/u这条命令就可以禁止文件系统对象。禁止邮件软件的自动收发邮件功能Windows默认的是“隐藏已知文件类型的扩展名称”,将其修改为显示所有文件类型的扩展名称。选择一款好的防病毒软件并做好及时升级。,2023/7/2,24,5.4网络蠕虫,5.4.1 网络蠕虫概述网络蠕虫是一种智能化、自动化并综合网络攻击、密码学和计算机病毒技术,不要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机,通过网络从一个节点传播到另外一个节
15、点。,2023/7/2,25,5.4.1 网络蠕虫概述,网络蠕虫具有以下特征主动攻击。从搜索漏洞,到利用搜索结果攻击系统,到攻击成功后复制副本,整个流程全由蠕虫自身主动完成。利用软件漏洞。蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限,使之进行复制和传播过程成为可能。造成网络拥塞。在传播的过程中,蠕虫需要判断其它计算机是否存活;判断特定应用服务是否存在;判断漏洞是否存在等等,这将产生大量的网络数据流量。同时出于攻击网络的需要,蠕虫也可以产生大量恶意流量,当大量的机器感染蠕虫时,就会产生巨大的网络流量,导致整个网络瘫痪。消耗系统资源。蠕虫入侵到计算机系统之后,一方面由于要搜索目标主机、漏洞、
16、感染其它主机需要消耗一定的资源;另一方面,许多蠕虫会恶意耗费系统的资源。,2023/7/2,26,5.4.1 网络蠕虫概述,留下安全隐患。大部分蠕虫会搜集、扩散、暴露系统敏感信息(如用户信息等),并在系统中留下后门。行踪隐蔽。蠕虫的传播过程中,不需要用户的辅助工作,其传播的过程中用户基本上不可察觉。反复性。即使清除了蠕虫留下的任何痕迹,如果没有修补计算机系统漏洞,网络中的计算机还是会被重新感染。破坏性:越来越多的蠕虫开始包含恶意代码,破坏被攻击的计算机系统,而且造成的经济损失数目越来越大,见表5-3。,2023/7/2,27,蠕虫造成的损失对照表,2023/7/2,28,5.4网络蠕虫,5.4
17、.2 网络蠕虫工作机制 网络蠕虫的工作机制分为3个阶段:信息收集、攻击渗透、现场处理信息收集。按照一定的策略搜索网络中存活的主机,收集目标主机的信息,并远程进行漏洞的分析。如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机,否则放弃攻击。攻击渗透。通过收集的漏洞信息尝试攻击,一旦攻击成功,则获得控制该主机的权限,将蠕虫代码渗透到被攻击主机。现场处理。当攻击成功后,开始对被攻击的主机进行一些处理工作,将攻击代码隐藏,为了能使被攻击主机运行蠕虫代码,还要通过注册表将蠕虫程序设为自启动状态;可以完成它想完成的任何动作,如恶意占用CPU资源;收集被攻击主机的敏感信息,可以危害被感染的主机,删除关
18、键文件。,2023/7/2,29,5.4网络蠕虫,5.4.3 网络蠕虫扫描策略网络蠕虫扫描越是能够尽快地发现被感染主机,那么网络蠕虫的传播速度就越快。随机扫描。随机选取某一段IP地址,然后对这一地址段上的主机扫描。由于不知道哪些主机已经感染蠕虫,很多扫描是无用的。这一方法的蠕虫传播速度较慢。但是随着蠕虫的扩散,网络上存在大量的蠕虫时,蠕虫造成的网络流量就变得非常巨大。选择扫描。选择性随机扫描将最有可能存在漏洞主机的地址集作为扫描的地址空间。所选的目标地址按照一定的算法随机生成。选择性随机扫描算法简单,容易实现,若与本地优先原则结合则能达到更好的传播效果。红色代码和“Slammer”的传播采用了
19、选择性随机扫描策略。,2023/7/2,30,5.4.3 网络蠕虫扫描策略,顺序扫描。顺序扫描是被感染主机上蠕虫会随机选择一个C类网络地址进行传播,根据本地优先原则,网络地址段顺序递增。基于目标列表的扫描。基于目标列表扫描是指网络蠕虫根据预先生成易感染的目标列表,搜寻感染目标,。基于DNS扫描。从DNS服务器获取IP地址来建立目标地址库,优点在于获得的IP地址块针对性强和可用性高。关键问题是如何从DNS服务器得到网络主机地址,以及DNS服务器是否存在足够的网络主机地址。,2023/7/2,31,5.4网络蠕虫,扫描策略设计的原则有三点 尽量减少重复的扫描,使扫描发送的数据包尽量是没有被感染蠕虫
20、的机器;保证扫描覆盖到尽量大的可用地址段,包括尽量大的范围,扫描的地址段为互联网上的有效地址段;处理好扫描的时间分布,使得扫描不要集中在某一时间内发生。,2023/7/2,32,5.4网络蠕虫,5.4.4 网络蠕虫传播模型分为3个阶段 慢速发展阶段,漏洞被蠕虫设计者发现,并利用漏洞设计蠕虫发布于互联网,大部分用户还没有通过服务器下载补丁,网络蠕虫只是感染了少量的网络中的主机。快速发展阶段,如果每个感染蠕虫的可以扫描并感染的主机数为W,n为感染的次数,那么感染主机数扩展速度为Wn,感染蠕虫的机器成指数幂急剧增长。缓慢消失阶段,随着网络蠕虫的爆发和流行,人们通过分析蠕虫的传播机制,采取一定措施及时
21、更新补丁包,并采取措删除本机存在的蠕虫,感染蠕虫数量开始缓慢减少。,2023/7/2,33,5.4网络蠕虫,5.4.5 网络蠕虫防御和清除 给系统漏洞打补丁。蠕虫病毒大多数都是利用系统漏洞进行传播的,因此在清除蠕虫病毒之前必须将蠕虫病毒利用的相关漏洞进行修补。清除正在运行的蠕虫进程。每个进入内存的蠕虫一般会以进程的形式存在,只要清除了该进程,就可以使蠕虫失效。删除蠕虫病毒的自启动项,感染蠕虫主机用户一般不可能启动蠕虫病毒,蠕虫病毒需要就自己启动。需要在这些自启动项中清除蠕虫病毒的设置。,2023/7/2,34,5.4.5 网络蠕虫防御和清除,删除蠕虫文件。可以通过蠕虫在注册表的键值可以知道病毒
22、的躲藏位置,对于那些正在运行或被调用的文件无法直接删除,可以借助于相关工具删除。利用自动防护工具,如个人防火墙软件。通过个人防火墙软件可以设置禁止不必要的服务。另外也可以设置监控自己主机有那些恶意的流量。,2023/7/2,35,5.5木马技术,5.5.1 木马技术概述指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。它与控制主机之间建立起连接,使得控制者能够通过网络控制受害系统,最大的特征在于隐秘性,偷偷混入对方的主机里面,但是却没有被对方发现。这与战争中的木马战术十分相似,因而得名木马程序。,2023/7/2,36,5
23、.5.1 木马技术概述,木马的发展历程 第一代木马出现在网络发展的早期,是以窃取网络密码为主要任务,这种木马通过伪装成一个合法的程序诱骗用户上当。第一代木马还不具有传染性,在隐藏和通信方面也均无特别之处。第二代木马在技术上有了很大的进步,它使用标准的C/S架构,提供远程文件管理、屏幕监视等功能,在隐藏、自启动和操纵服务器等技术上也有很大的发展。由于植入木马的服务端程序会打开连接端口等候客户端连接,比较容易被用户发现。冰河、BO2000等都是典型的第二代木马。第三代木马改变主要在网络连接方式上,特征是不打开连接端口进行侦听,而是使用ICMP通信协议进行通信或使用TCP端口反弹技术让服务器端主动连
24、接客户端,以突破防火墙的拦截。增加了查杀难度,如网络神偷(Netthief)、灰鸽子木马等。,2023/7/2,37,5.5.1 木马技术概述,第四代木马在进程隐藏方面做了较大改动,让木马服务器运行时没有进程。如rootkit技术,嵌入木马通过替换系统程序、DLL、甚至是驱动程序,替换之后还能够提供原来程序正常的服务从而实现木马的隐藏。木马不是单独的进程或者以注册服务的形式出现,无法通过“任务管理器”查看到正在运行的木马。需要专门的工具才能发现以及专业的木马查杀工具才能清除。第五代木马实现了与病毒紧密结合,利用操作系统漏洞,直接实现感染传播的目的,而不必象以前的木马那样需要欺骗用户主动激活。,
25、2023/7/2,38,5.5.1 木马技术概述,木马特征 隐蔽性。隐蔽性是木马的首要特征。木马类软件的SERVER端程序在被控主机系统上运行时,会使用各种方法来隐藏自己。自动运行性。木马程序通过修改系统配置文件,在目标主机系统启动时自动运行或加载。欺骗性。木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防用户发现。,2023/7/2,39,5.5.1 木马技术概述,自动恢复性。很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。系统一旦被植入木马,只删除某一个木马文件来进行清除是无法清除干净的。破坏或信息收集。木马通常具有搜索Cache中的口令、
26、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能。,2023/7/2,40,5.5木马技术,5.5.2 木马的实现原理与攻击技术在了解木马攻击技术之前,需要先了解木马欺骗技术,木马欺骗技术是木马欺骗用户安装、欺骗用户运行以及隐藏自己的关键技术。木马欺骗技术主要有:伪装成其它类型的文件,可执行文件需要伪装其它文件。如伪装成图片文件 合并程序欺骗。合并程序是可以将两个或两个以上的可执行文件(exe文件)结合为一个文件,以后只需执行这个合并文件,两个可执行文件就会同时执行。,2023/7/2,41,5.5.2 木马的实现原理与攻击技术,插入其它文件内部。利用运行f
27、lash文件和影视文件具有可以执行脚本文件的特性,一般使用“插马”工具将脚本文件插入到swf、rm等类型的flash文件和影视文件中 伪装成应用程序扩展组件。黑客们通常将木马程序写成为任何类型的文件然后挂在一个常用的软件中。利用WinRar制作成自释放文件,把木马程序和其它常用程序利用WinRar捆绑在一起,将其制作成自释放文件。在Word文档中加入木马文件,在Word文档末尾加入木马文件,只要别人点击这个所谓的Word文件就会中木马。,2023/7/2,42,5.5.2 木马的实现原理与攻击技术,一个木马程序要通过网络入侵并控制被植入的计算机,需要采用以下四个环节:首先是向目标主机植入木马,
28、通过网络将木马程序植入到被控制的计算机;启动和隐藏木马,木马程序一般是一个单独文件需要一些系统设置来让计算机自动启动木马程序,为了防止被植入者发现和删除运行的木马程序,就需要将运行的木马程隐藏起来。植入者控制被植入木马的主机,需要通过网络通信,需要采取一定的隐藏技术,使通信过程不能够使被植入者通过防火墙等发现。就是植入者通过客户端远程控制达到其攻击的目的,可以收集被植入者的敏感信息,可以监视被植入者的计算机运行和动作,甚至可以用来攻击网络中的其它系统。,2023/7/2,43,5.5.2 木马的实现原理与攻击技术,植入技术,木马植入技术可以大概分为主动植入与被动植入两类。主动植入,就是攻击者利
29、用网络攻击技术通过网络将木马程序植入到远程目标主机,这个行为过程完全由攻击者主动掌握。被动植入,是指攻击者预先设置某种环境,然后被动等待目标系统用户的某种可能的操作,只有这种操作执行,木马程序才有可能植入目标系统。,2023/7/2,44,5.5.2 木马的实现原理与攻击技术,主动植入技术主要包括:利用系统自身漏洞植入。攻击者利用所了解的系统的安全漏洞及其特性主动出击。利用第三方软件漏洞植入。利用即时通信软件发送伪装的木马文件植入 利用电子邮件发送植入木马,2023/7/2,45,5.5.2 木马的实现原理与攻击技术,被动植入 包括:软件下载。一些非正规的网站以提供软件下载为名义,将木马捆绑在
30、软件安装程序上,下载后只要一运行这些程序,木马就会自动安装。利用共享文件。学校或单位的局域网里为了学习和工作方便,会将许多硬盘或文件夹共享出来,甚至不加密码,具有可写权限。利用Autorun文件传播。这一方法主要是利用Autorun文件自动运行的特性,通过U盘植入。网页浏览传播。这种方法利用Script/ActiveX控件、JavaApplet等技术编写出一个HTML网页,当浏览该页面时,会在后台将木马程序下载到计算机缓存中,然后修改系统注册表,使相关键值指向“木马”程序。,2023/7/2,46,5.5.2 木马的实现原理与攻击技术,木马的自动加载技术 针对Windows系统,木马程序的自动
31、加载运行主要有以下一些方法:修改系统文件。修改目标的系统文件以达到自动加载的目的。修改系统注册表修改文件打开关联 修改任务计划修改组策略 替换系统自动运行的文件 替换系统DLL 作为服务启动 利用AppInit_DLLs 注入,2023/7/2,47,5.5.2 木马的实现原理与攻击技术,木马隐藏技术 主要分为两类:主机隐藏和通信隐藏。主机隐藏主要指在主机系统上表现为正常的进程。主机隐藏方式很多,主要有文件隐藏、进程隐藏等。文件隐藏主要有两种方式采用欺骗的方式伪装成其它文件伪装成系统文件,,2023/7/2,48,5.5.2 木马的实现原理与攻击技术,进程隐藏 动态链接库注入技术,将“木马”程
32、序做成一个动态链接库文件,并将调用动态链接库函数的语句插入到目标进程,这个函数类似于普通程序中的入口程序。Hooking API技术。通过修改API函数的入口地址的方法来欺骗试图列举本地所有进程的程序,2023/7/2,49,5.5.2 木马的实现原理与攻击技术,通信隐藏主要包括通信端口隐藏、内容隐藏采用以下技术:复用正常服务端口。直接绑定到正常用户进程的端口,接受数据后,根据包格式判断是不是自己的,如果是自己处理,如果不是通过127.0.0.1的地址交给真正的服务器应用进行处理,以利用正常的网络连接隐藏木马的通信状态。采用其它不需要端口的协议进行通信。如ICMP协议,主要缺点是防火墙可能把所
33、有ICMP协议的信息过滤掉。利用“反弹端口”技术。木马程序启动后主动连接客户,为了隐蔽起见,控制端的被动端口一般开在80。利用SPI防火墙技术隐藏。采用嗅探技术,2023/7/2,50,5.5.2 木马的实现原理与攻击技术,远程控制端口扫描。采用端口扫描技术获得那些安装了木马主机的IP地址。一旦发现中了木马的主机则添加到客户端控制程序的木马主机列表。邮件发送。一些木马具有邮件发送功能,在设置木马程序时,填入免费邮箱,一旦木马程序启动,就会将其植入主机的IP地址发送给植入者的邮箱。植入者根据IP地址和对应的端口与木马建立连接通道。如网络公牛等。UDP通知。植入者将自己的IP地址写到主页空间的指定
34、文件里,被植入的木马读取文件的内容,得到客户端的IP地址以及其它信息(主机名、IP地址、上线时间等等),然后木马用UDP协议发送给植入者,如网络神偷就是采用了该项技术。利用QQ、MSN等通信软件,2023/7/2,51,5.5.2 木马的实现原理与攻击技术,木马危害 窃取密码 远程访问控制DoS攻击代理攻击程序杀手,2023/7/2,52,5.5木马技术,5.5.3 木马程序举例冰河木马冰河木马包括两个可运行程序,服务器端程序G-server.exe和客户端程序G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:WindowsSystem目录下生成K
35、ernel32.exe和Sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,Sysexplr.exe和TXT文件关联。即使删除了Kernel32.exe,但只要打开TXT文件,Sysexplr.exe就会被激活,它将再次生成Kernel32.exe,因此手工删除很难删除干净,必须使用专用的查杀工具对其进行查杀。,2023/7/2,53,5.5.3 木马程序举例,冰河木马控制主要包括以下方面:自动跟踪目标机屏幕变化。记录各种口令信息。获取系统信息。限制系统功能。远程文件操作。注册表操作。发送信息。点对点通讯,2023/7/2,54,5.5木马技术,5.5.4
36、木马的防御根据木马工作原理,木马检测一般有以下一些方法:扫描端口大部分的木马服务器端会在系统中监听某个端口,因此,通过查看系统上开启了那些端口能有效地发现远程控制木马的踪迹。检查系统进程 很多木马在运行期间都会在系统中生成进程。因此,检查进程是一种非常有效的发现木马踪迹方法。,2023/7/2,55,5.5.4 木马的防御,检查ini文件、注册表和服务等自启动项 监视网络通讯,木马的通信监控可以通过防火墙来监控,2023/7/2,56,5.5木马技术,5.5.5 几款免费的木马专杀工具几款免费木马专杀工具如:Windows清理助手、恶意软件清理助手、Atool、冰刃 冰刃(Icesword)是
37、专业查杀木马工具中较好的工具之一,杀木马特点:删除文件,许多木马文件为了防止删除,具有写保护功能,无法直接删除。冰刃提供了可以完全删除任何文件的功能。删除注册表项。木马可以隐藏注册表项让Windows自带的注册表工具rgedit无法显示或删除,而冰刃程序可以容易做到删除任意的注册表项和显示所有的注册表项。,2023/7/2,57,5.5.5 几款免费的木马专杀工具,终止任意的进程。冰刃程序可以删除除idle进程、System进程、csrss进程以外的所有进程查看进程通信情况。查看消息钩子。线程创建和线程终止监视。查看SPI和BHO。其它功能。如自启动项管理、服务查看等功能。,2023/7/2,
38、58,5.6网络钓鱼,5.6.1 网络钓鱼技术 网络钓鱼是通过发送声称来自于银行或其它知名机构的欺骗性垃圾邮件,或者伪装成其Web站点,意图引诱收信人或网站浏览者给出敏感信息(如用户名、口令、帐号 ID、ATM PIN 码或信用卡详细信息)的一种攻击方式。网络钓鱼的攻击方法主要有以下几种 建立假冒网上银行、网上证券的网站,骗取用户帐号密码实施盗窃。犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金,2023/7/2,59,5.6.1 网络钓鱼技术,发送电子邮件,
39、以虚假信息引诱用户中圈套 攻击者以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金 利用虚假的电子商务进行诈骗 此类犯罪活动往往是建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,犯罪分子在收到受害人的购物汇款后就销声匿迹,2023/7/2,60,5.6.1 网络钓鱼技术,利用QQ、MSN甚至手机短信等即时通信方式欺骗用户 冒充软件运营商告诉某用户中奖或者免费获得游戏币等方式,这一方法的主要欺骗目的是获取游戏币,
40、或者通过移动服务上收取信息费。利用木马和黑客技术等手段窃取用户信息后实施盗窃活动 木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。,2023/7/2,61,5.6网络钓鱼,5.6.2 网络钓鱼的防御对于用户端,可以采用以下措施 尽量不通过链接打开网页,而是直接输入域名访问网络。对于需要输入帐号和密码的网站再三确认.给网络浏览器程序安装补丁,使其补丁保持在最新状态.利用已有的防病毒软件,实时防御钓鱼网站。,2023/7/2,62,5.7僵尸网络,5.7.1 概述
41、僵尸网络是攻击者通过网络传播僵尸程序,利用一对多的命令与控制信道控制大量主机,攻击其它网络或主机,从而得到自己恶意目的的网络。,2023/7/2,63,5.7.1 概述,一个僵尸网络由以下部分组成 僵尸(Bot):置于被控制主机,能够按照预定义的指令执行操作,具有一定智能的程序。僵尸计算机(Zombie):是指被植入僵尸的计算机。僵尸网络控制服务器:可以将僵尸主机连接的IRC服务器,控制者通过该服务器向僵尸主机发送命令进行控制。,2023/7/2,64,5.7.1 概述,僵尸网络主要有以下危害 分布式拒绝服务攻击(DDoS)。发送垃圾邮件 窃取秘密。取得非法利益资源 作为攻击跳板,2023/7
42、/2,65,5.7僵尸网络,5.7.2 僵尸网络的工作原理分析僵尸网络一般采用以下几种手段感染受害主机 主动攻击漏洞。是通过攻击系统所存在的漏洞获得访问权,并将僵尸程序植入受害主机,从而感染成为僵尸主机。邮件病毒。通常在邮件附件中携带僵尸程序或者在邮件内容中包含下载执行僵尸程序的链接,使得接收者主机被感染成为僵尸主机。即时通信软件。攻击者攻陷即时通信的用户,并利用好友列表发送执行僵尸程序的链接,从而进行感染。恶意网站脚本。在提供Web服务的网站中,攻击者在HTML页面上绑定恶意的脚本,当访问者浏览这些网站时就会执行恶意脚本,使得僵尸程序下载到主机上。欺骗安装。伪装成有用的软件,在Web网站、F
43、TP 服务器、P2P 网络中提供,诱骗用户下载并执行。,2023/7/2,66,5.7.2 僵尸网络的工作原理分析,随着僵尸网络技术发展,采用了以下3种通信方式 基于IRC协议 基于HTTP协议的命令与控制机制 基于P2P协议通信,2023/7/2,67,5.7僵尸网络,5.7.3 僵尸网络的检测和防御检测和分析僵尸网络主要采用以下方法:利用蜜罐(Honeypot)发现网络流量研究 IRC Server 识别技术的研究,2023/7/2,68,5.8浏览器劫持,浏览器劫持是网页浏览器(IE等)被恶意程序修改的一种行为,恶意软件通过操纵浏览器的行为,可以使用户浏览器转移到特定网站,取得商业利益,
44、或者在用户计算机端收集敏感信息,危及用户隐私安全。,2023/7/2,69,5.8浏览器劫持,浏览器劫持通过以下技术实现 浏览器辅助对象实现浏览器劫持 利用HOOK钩子 利用Winsock 2 SPI 包过滤技术(Service Provider Interface,SPI),2023/7/2,70,5.9 流氓软件,流氓软件是介于病毒和正规软件之间的软件。“流氓软件”介于两者之间,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),给用户带来危害。其特点是:它具有一定的实用价值,一般是为方便用户使用计算机工作、娱乐而开发,面向社会公众公开发布的软件,并且一般是免费的,不属于正规
45、的商业软件;同时也具有恶意软件的种种特征,给用户带来一定危害。,2023/7/2,71,5.9 流氓软件,流氓软件具有以下特征 强制安装。流氓软件一般通过与其它常用软件捆绑在一起,强行安装到用户计算机中。难以删除,或者无法彻底删除。未提供通用的卸载方式,或卸载后仍然有活动程序的行为广告弹出。在未明确提示用户或未经用户许可的情况下,在用户计算机或其它终端上弹出广告的行为。恶意收集用户信息。指未明确提示用户或未经用户许可,恶意收集用户信息的行为。其它侵犯用户知情权、选择权的恶意行为。,2023/7/2,72,5.9 流氓软件,浏览器劫持的防御方法 直接使用IE浏览器的管理加载项,禁用恶意的加载项。使用专用工具卸载恶意插件,如安全卫士360、超级兔子等。专用工具查看是否有恶意的SPI,如冰刃IceSword.exe。,