網(wǎng)絡(luò)信息對抗第六章惡意代碼及其分析

網(wǎng)絡(luò)信息對抗第六章惡意代碼及其分析第1頁，共75頁，2023年，2月20日，星期日網(wǎng)絡(luò)信息對抗第六章：惡意代碼及其分析第2頁，共75頁，2023年，2月20日，星期日提綱惡意代碼基礎(chǔ)知識惡意代碼分析技術(shù)課題實踐：惡意代碼靜態(tài)分析作業(yè)：分析一個自制惡意代碼樣本第3頁，共75頁，2023年，2月20日，星期日惡意代碼(Malware)惡意代碼定義Malwareisasetofinstructionsthatrunonyourcomputerandmakeyoursystemdosomethingthatanattackerwantsittodo.使計算機按照攻擊者的意圖運行以達到惡意目的的指令集合。指令集合:二進制執(zhí)行文件,腳本語言代碼,宏代碼,寄生在文件、啟動扇區(qū)的指令流惡意代碼目的:技術(shù)炫耀/惡作劇,遠程控制,竊取私密信息,盜用資源,拒絕服務(wù)/破壞,…惡意代碼類型計算機病毒,蠕蟲,惡意移動代碼,后門,特洛伊木馬,僵尸程序,Rootkit等…計算機病毒是最早出現(xiàn)的惡意代碼，媒體/工業(yè)界的概念混淆，經(jīng)常以計算機病毒(ComputerVirus)等價于惡意代碼第4頁，共75頁，2023年，2月20日，星期日惡意代碼的類型第5頁，共75頁，2023年，2月20日，星期日惡意代碼的命名規(guī)則與分類體系惡意代碼命名規(guī)則[惡意代碼類型.]惡意代碼家族名稱[.變種號]惡意代碼分類的混淆反病毒工業(yè)界并沒有形成規(guī)范的定義，概念混淆各種惡意代碼形態(tài)趨于融合各種形態(tài)惡意代碼在關(guān)鍵環(huán)節(jié)上具有其明確的定義特性傳播、控制、隱藏、攻擊針對明確定義特性對惡意代碼進行分類研究僵尸程序、Rootkit、網(wǎng)頁木馬…第6頁，共75頁，2023年，2月20日，星期日惡意代碼的發(fā)展史1949年:VonNeumann提出計算機程序自我復(fù)制概念1960年:康維編寫出“生命游戲”,1961年AT&T實驗室程序員編寫出“Darwin”游戲，通過復(fù)制自身來擺脫對方控制1970s早期:第一例病毒Creeper在APANET上傳播1983年:FredCohen給出計算機病毒定義1983年:最著名的Backdoor,ThompsonKen(October1983)."ReflectionsonTrustingTrust"(PDF).1983TuringAwardLecture,ACM.1986年:第一例PC病毒Brain1988年:第一例蠕蟲MorrisWorm1990年:SunOSrootkit1995年:Concept宏病毒1998年:CIH病毒－首例破壞計算機硬件的病毒1998年:最著名的后門軟件－BackOrifice第7頁，共75頁，2023年，2月20日，星期日惡意代碼的發(fā)展史1999-2000年：郵件病毒/蠕蟲,Melissa,ILOVEYOU2001年(蠕蟲年)：CodeRedI/II,Nimda2002年：反向連接木馬Setiri,…2003年-2004年：蠕蟲大爆發(fā)2003:Slammer/Blaster/Nachi/Sobig/…2004:Mydoom/Witty/Sasser/Santy/…2007-2008年：Stormworm基于Overnet構(gòu)建了Stromnet,一個專屬的P2P網(wǎng)絡(luò)第8頁，共75頁，2023年，2月20日，星期日惡意代碼發(fā)展史上著名的案例第9頁，共75頁，2023年，2月20日，星期日國內(nèi)著名的惡意代碼實例與事件1986年，中國公安部成立計算機病毒研究小組1989年，國內(nèi)首例病毒攻擊事件，Kill發(fā)布90年代，反病毒業(yè)界逐步形成冠群金辰、瑞星、江民、金山90年代末新世紀(jì)初，本土化惡意代碼流行1998-CIH病毒1999-冰河2003-灰鴿子2004-證券大盜2007-2008：熊貓燒香，機器狗、磁碟機…第10頁，共75頁，2023年，2月20日，星期日計算機病毒定義計算機病毒是一種能夠自我復(fù)制的代碼，通過將自身嵌入其他程序進行感染，而感染過程通常需要人工干預(yù)才能完成特性感染性：最本質(zhì)的特性潛伏性可觸發(fā)性破壞性衍生性第11頁，共75頁，2023年，2月20日，星期日計算機病毒的感染機制感染可執(zhí)行文件前綴感染后綴感染插入感染感染引導(dǎo)扇區(qū)感染數(shù)據(jù)文件－宏指令第12頁，共75頁，2023年，2月20日，星期日計算機病毒的感染機制第13頁，共75頁，2023年，2月20日，星期日計算機病毒的傳播機制計算機病毒VS.蠕蟲病毒:借助人類幫助從一臺計算機傳至另一臺計算機蠕蟲:主動跨越網(wǎng)絡(luò)傳播傳播方式移動存儲:軟盤U盤電子郵件及其下載:郵件病毒文件共享:SMB共享服務(wù)、NFS、P2P第14頁，共75頁，2023年，2月20日，星期日網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲定義特性主動傳播性網(wǎng)絡(luò)蠕蟲傳播機制主動攻擊網(wǎng)絡(luò)服務(wù)漏洞通過網(wǎng)絡(luò)共享目錄通過郵件傳播第15頁，共75頁，2023年，2月20日，星期日網(wǎng)絡(luò)蠕蟲VS.計算機病毒第16頁，共75頁，2023年，2月20日，星期日網(wǎng)絡(luò)蠕蟲的組成蠕蟲的“彈頭”滲透攻擊模塊傳播引擎FTP/TFTP/HTTP/SMB/直接傳送/單包目標(biāo)選擇算法+掃描引擎掃描策略有效負荷(攻擊負荷)Payload:傳播自身,開放后門,DDoS攻擊...第17頁，共75頁，2023年，2月20日，星期日“紅色代碼”蠕蟲2001年7月19日，”紅色代碼”蠕蟲爆發(fā)在紅色代碼首次爆發(fā)的短短9小時內(nèi)，以迅雷不及掩耳之勢迅速感染了250,000臺服務(wù)器（通過IIS服務(wù)漏洞）最初發(fā)現(xiàn)的紅色代碼蠕蟲只是篡改英文站點主頁，顯示“Welcometo!HackedbyChinese!”隨后的紅色代碼蠕蟲便如同洪水般在互聯(lián)網(wǎng)上泛濫，并會在每月20日～28日對白宮的WWW站點的IP地址發(fā)動DoS攻擊，使白宮的WWW站點不得不全部更改自己的IP地址。第18頁，共75頁，2023年，2月20日，星期日后門WarGamesJoShuaFalken教授留下的WOPR系統(tǒng)訪問后門"ReflectionsonTrustingTrust"(PDF).KenThompson,1983TuringAwardLecture,ACM.OneUnixhostwithKen’sbackdoorinBellLabs,theyneverfoundtheattackTrust,butTest!SourcecodeAuditingisnotenough后門的定義后門是允許攻擊者繞過系統(tǒng)常規(guī)安全控制機制的程序，按照攻擊者自己的意圖提供通道。第19頁，共75頁，2023年，2月20日，星期日后門后門類型本地權(quán)限提升、本地帳號單個命令的遠程執(zhí)行遠程命令行解釋器訪問－NetCat遠程控制GUI－VNC,BO,冰河,灰鴿子無端口后門:ICMP后門,基于Sniffer非混雜模式的后門，基于Sniffer混雜模式的后門自啟動后門Windows：自啟動文件/文件夾；注冊表自啟動項；計劃任務(wù)Linux/Unix：inittab,rc.d/init.d,用戶啟動腳本,cron計劃任務(wù)第20頁，共75頁，2023年，2月20日，星期日木馬特洛伊木馬(TrojanHorse)起源-特洛伊戰(zhàn)爭木馬:特洛伊木馬(Trojans)定義:看起來具有某個有用或善意目的，但實際掩蓋著一些隱藏惡意功能的程序。錯誤觀點:提供對受害計算機遠程控制的任何程序，或受害計算機上的遠程命令行解釋器看做木馬，他們應(yīng)被視為后門。如果將后門工具偽裝成良性程序，才具備真正的木馬功能。第21頁，共75頁，2023年，2月20日，星期日木馬第22頁，共75頁，2023年，2月20日，星期日木馬的常見偽裝機制命名偽裝軟件包裝木馬化軟件發(fā)行站點Tcpdump/libpcap木馬化事件代碼“Poisoning”軟件開發(fā)者/廠商有意給代碼加入后門“復(fù)活節(jié)彩蛋”:Excel2000中隱藏的賽車游戲第23頁，共75頁，2023年，2月20日，星期日僵尸程序與僵尸網(wǎng)絡(luò)僵尸程序(Bot)來自于robot,攻擊者用于一對多控制目標(biāo)主機的惡意代碼僵尸網(wǎng)絡(luò)（BotNet）攻擊者出于惡意目的，傳播僵尸程序控制大量主機，并通過一對多的命令與控制信道所組成的網(wǎng)絡(luò)。定義特性：一對多的命令與控制通道的使用。僵尸網(wǎng)絡(luò)危害－提供通用攻擊平臺分布式拒絕服務(wù)攻擊發(fā)送垃圾郵件竊取敏感信息點擊欺詐…第24頁，共75頁，2023年，2月20日，星期日僵尸網(wǎng)絡(luò)類型IRC僵尸網(wǎng)絡(luò)傳統(tǒng)僵尸網(wǎng)絡(luò)-基于IRC互聯(lián)網(wǎng)實時聊天協(xié)議構(gòu)建著名案例:sdbot,agobot等HTTP僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)控制器－Web網(wǎng)站方式構(gòu)建僵尸程序中的命令與控制模塊：通過HTTP協(xié)議向控制器注冊并獲取控制命令著名案例:bobax,rustock,霸王彈窗P2P僵尸網(wǎng)絡(luò)命令與控制模塊的實現(xiàn)機制－P2P協(xié)議P2P僵尸程序同時承擔(dān)客戶端和服務(wù)器的雙重角色著名案例:stormWorm第25頁，共75頁，2023年，2月20日，星期日RootkitRootkit的定義一類隱藏性惡意代碼形態(tài)，通過修改現(xiàn)有的操作系統(tǒng)軟件，使攻擊者獲得訪問權(quán)并隱藏在計算機中。Rootkit與特洛伊木馬、后門Rootkit也可被視為特洛伊木馬獲取目標(biāo)操作系統(tǒng)上的程序或內(nèi)核代碼，用惡意版本替換它們Rootkit往往也和后門聯(lián)系在一起植入Rootkit目的是為攻擊者提供一個隱蔽性的后門訪問定義特性：隱藏性Rootkit分類:用戶模式、內(nèi)核模式第26頁，共75頁，2023年，2月20日，星期日Rootkit和木馬后門之間的位置對比應(yīng)用程序級木馬后門:操作系統(tǒng)之上由攻擊者添加至受害計算機的惡意應(yīng)用程序用戶模式Rootkit：木馬化操作系統(tǒng)用戶模式應(yīng)用程序內(nèi)核模式Rootkit：對內(nèi)核組件的惡意修改和木馬化第27頁，共75頁，2023年，2月20日，星期日Rootkit和木馬后門之間的位置對比第28頁，共75頁，2023年，2月20日，星期日用戶模式Rootkit用戶模式Rootkit惡意修改操作系統(tǒng)在用戶模式下的程序/代碼，達到隱藏目的LinuxLRK(LinuxRootKit)URK(UniversalRootKit)：適用于多種Unix平臺Linux用戶模式Rootkit的防御:文件完整性檢測Tripwire,專用檢測工具chkrootkitWin32FakeGINA,AFXRootkit(DLL注入、APIHooking)第29頁，共75頁，2023年，2月20日，星期日內(nèi)核模式Rootkit內(nèi)核模式Rootkit惡意修改操作系統(tǒng)內(nèi)核，從而達到更深的隱藏和更強的隱蔽性Linux內(nèi)核模式RootkitAdore,Adore-ng,KIS(KernelIntrusionSystem)防御:SELinux,LIDS,…檢測:chkrootkit,KSTAT,...Win32內(nèi)核模式RootkitNTRootkit,FuRootkit虛擬機模式Rootkit黑客帝國《Matrix》Linux:UML,KMLWin32:VMRootkit第30頁，共75頁，2023年，2月20日，星期日內(nèi)核模式Rootkit第31頁，共75頁，2023年，2月20日，星期日XueTr檢測軟件第32頁，共75頁，2023年，2月20日，星期日惡意代碼相關(guān)推薦書籍基礎(chǔ)Ed.Skoudis,LennyZelter,Malware:FightingMaliciousCode(決戰(zhàn)惡意代碼)電子工業(yè)出版社.劉倍昌，走進計算機病毒，人民郵電出版社，2011進階PeterSzor,TheArtofComputerVirusResearchandDefense(計算機病毒防范藝術(shù)),機械工業(yè)出版社.段鋼(看雪學(xué)院),加密與解密(第三版),電子工業(yè)出版社.劉倍昌，計算機病毒揭秘與對抗，電子工業(yè)出版社，2011第33頁，共75頁，2023年，2月20日，星期日提綱惡意代碼基礎(chǔ)知識惡意代碼分析技術(shù)課題實踐：惡意代碼靜態(tài)分析作業(yè)：分析一個自制惡意代碼樣本第34頁，共75頁，2023年，2月20日，星期日惡意代碼分析沒有分析的生活是毫無意義的。

---蘇格拉底第35頁，共75頁，2023年，2月20日，星期日惡意代碼分析惡意代碼分析與良性代碼分析相同點：通用代碼分析技術(shù)惡意代碼分析的關(guān)鍵點構(gòu)建受控的分析環(huán)境,通過靜態(tài)/動態(tài)方法實施分析第36頁，共75頁，2023年，2月20日，星期日惡意代碼分析環(huán)境（病毒發(fā)燒友）硬盤保護卡快速恢復(fù)第37頁，共75頁，2023年，2月20日，星期日基于虛擬化構(gòu)建便攜式分析環(huán)境第38頁，共75頁，2023年，2月20日，星期日惡意代碼自動分析環(huán)境（科學(xué)研究）國家242信息安全計劃項目第39頁，共75頁，2023年，2月20日，星期日惡意代碼分析環(huán)境（反病毒廠商）第40頁，共75頁，2023年，2月20日，星期日惡意代碼分析方法概述靜態(tài)分析通過反病毒引擎掃描識別已知的惡意代碼家族和變種名逆向分析惡意代碼模塊構(gòu)成，內(nèi)部數(shù)據(jù)結(jié)構(gòu)，關(guān)鍵控制流程等，理解惡意代碼的機理，并提取特征碼用于檢測。動態(tài)分析通過在受控環(huán)境中執(zhí)行目標(biāo)代碼，以獲取目標(biāo)代碼的行為及運行結(jié)果。第41頁，共75頁，2023年，2月20日，星期日惡意代碼靜態(tài)分析方法列表第42頁，共75頁，2023年，2月20日，星期日惡意代碼的掃描使用反病毒軟件進行檢測卡巴斯基、賽門鐵克等奇虎360、瑞星、金山、江民等VirusTotal“世界病毒掃描網(wǎng)”/開源惡意代碼掃描引擎ClamAV/YoucanhaveyourownAVenginewithClamAV.從反病毒廠商獲得已知惡意代碼的分析報告和結(jié)果(Google、百度)第43頁，共75頁，2023年，2月20日，星期日VirusTotal對示例惡意代碼的識別第44頁，共75頁，2023年，2月20日，星期日文件格式確定file:確定惡意代碼目標(biāo)平臺和文件類型Linux平臺包含命令：確定文件類型->平臺PEID:文件類型、編譯鏈接器、是否加殼Win32平臺針對PE可執(zhí)行文件FileAnalyzer分析Win32平臺窗口程序中包含的特殊文件第45頁，共75頁，2023年，2月20日，星期日PEiD第46頁，共75頁，2023年，2月20日，星期日WindowsFileAnalyzer第47頁，共75頁，2023年，2月20日，星期日Strings命令-查看可打印字符串StringsLinux自帶Windowssysinternalsstrings工具IDAPro可能獲得的有用信息惡意代碼實例名幫助或命令行選項用戶會話后門口令相關(guān)URL信息、Email地址庫、函數(shù)調(diào)用…第48頁，共75頁，2023年，2月20日，星期日反匯編(Disassemble)反匯編:IDAPro,Ollydbg,VC,…第49頁，共75頁，2023年，2月20日，星期日反編譯(Decompiler)反編譯:機器碼(匯編語言)→高級編程語言逆向工程(ReverseEngineering)再工程(ReEngineering)反編譯工具針對不同高級編程語言Java反編譯:JAD,JODE,DAVA,…C/C++反編譯:REC,DCC,…Delphi,Flash,…反編譯第50頁，共75頁，2023年，2月20日，星期日RecStudio第51頁，共75頁，2023年，2月20日，星期日二進制程序結(jié)構(gòu)和邏輯分析程序結(jié)構(gòu)高層視圖：CallGraph用戶函數(shù)系統(tǒng)函數(shù)函數(shù)調(diào)用關(guān)系分析系統(tǒng)函數(shù)調(diào)用列表可在高層分析二進制程序的行為邏輯程序邏輯完備視圖CFG(ControlFlowGraph)第52頁，共75頁，2023年，2月20日，星期日WinGraph32第53頁，共75頁，2023年，2月20日，星期日CFG（ControlFlowGraph）CFG:程序控制流圖基本塊分支跳轉(zhuǎn)循環(huán)CFG完備地反映了一個程序的執(zhí)行邏輯完備分析CFG:費時（右圖：僅僅是一個小規(guī)模函數(shù)CFG）選擇性關(guān)注第54頁，共75頁，2023年，2月20日，星期日惡意代碼混淆機制技術(shù)原理加密(encryption)固定加密/解密器對解密器進行特征檢測多樣性(Olgomorphic)多樣化解密器多態(tài)(polymorphic)多態(tài)病毒能夠通過隨機變換解密器從而使得每次感染所生成的病毒實例都具有唯一性?；ㄖ噶?無序的指令變換,寄存器置換應(yīng)對：虛擬機執(zhí)行脫殼變形(metamorphic)直接在病毒體上通過各種代碼混淆技術(shù)每個感染實例都具有不同的形式第55頁，共75頁，2023年，2月20日，星期日惡意代碼加殼惡意代碼加殼常用殼:UPX,PEPack,ASPack,PECompact,…殼的分類：壓縮殼、加密殼、偽裝殼、…多重加殼：嵌套使用各類殼終極免殺技術(shù)分類講解加殼其他應(yīng)用場景減小應(yīng)用程序大小規(guī)模保護應(yīng)用程序版權(quán)，加大破解難度:軟件狗加密第56頁，共75頁，2023年，2月20日，星期日脫殼常見殼的自動脫殼工具UPX:upx-dPEPack:UnPEPackASPack壓縮殼:ASPackunpacker推薦：超級巡警脫殼器(VMUnpacker)手工脫殼關(guān)鍵步驟:尋找程序入口點，dump出程序，修復(fù)PE文件（導(dǎo)入、導(dǎo)出表等）看雪學(xué)院:第57頁，共75頁，2023年，2月20日，星期日超級巡警脫殼器第58頁，共75頁，2023年，2月20日，星期日惡意代碼動態(tài)分析方法列表第59頁，共75頁，2023年，2月20日，星期日動態(tài)分析中的監(jiān)視與控制行為監(jiān)視一系列監(jiān)控軟件來控制和觀察惡意代碼的運行情況網(wǎng)絡(luò)控制最安全的控制策略：與業(yè)務(wù)網(wǎng)絡(luò)和互聯(lián)網(wǎng)保持物理隔離第60頁，共75頁，2023年，2月20日，星期日動態(tài)分析中的監(jiān)視與控制第61頁，共75頁，2023年，2月20日，星期日基于快照比對的方法快照比對方法1.對“干凈”資源列表做快照2.運行惡意代碼（提供較充分的運行時間5分鐘）3.對惡意代碼運行后的“臟”資源列表做快照4.對比“干凈”和“臟”快照，獲取惡意代碼行為結(jié)果資源名稱列表中的差異：發(fā)現(xiàn)新建、刪除的行為結(jié)果資源內(nèi)容的差異：完整性校驗，發(fā)現(xiàn)修改的行為結(jié)果進行快照比對的工具RegSnap完美卸載HoneyBow之MwFetcher快照比對方法的弱點：無法分析中間行為，粗粒度第62頁，共75頁，2023年，2月20日，星期日RegShot第63頁，共75頁，2023年，2月20日，星期日動態(tài)行為監(jiān)控方法行為監(jiān)控技術(shù)Notification機制Win32/Linux系統(tǒng)本身提供的行為通知機制APIHooking技術(shù)對系統(tǒng)調(diào)用或API調(diào)用進行劫持，監(jiān)控行為系統(tǒng)行為動態(tài)監(jiān)控工具文件行為監(jiān)控:Filemon、ProcMon進程行為監(jiān)控:ProcessExplorer,lsof注冊表監(jiān)控:Regmon本地網(wǎng)絡(luò)棧行為監(jiān)控軟件:lsof,TDImon,promiscdetect完整的動態(tài)行為監(jiān)控:MwSniffer,Sebek,…第64頁，共75頁，2023年，2月20日，星期日ProcessMonitor－文件、進程監(jiān)控第65頁，共75頁，2023年，2月20日，星期日ProcessExplorer－進程行為監(jiān)控第66頁，共75頁，2023年，2月20日，星期日MwSniffer–系統(tǒng)行為監(jiān)控第67頁，共75頁，2023年，2月20日，星期日網(wǎng)絡(luò)監(jiān)控惡意代碼開放的本地端口本機檢查:fport,TCPView(win32),lsof(linux)網(wǎng)絡(luò)檢查:nmap惡意代碼發(fā)起的網(wǎng)絡(luò)連接捕獲:tcpdump,wireshark(ethereal),TDImon分析:argus,wireshark,snort重現(xiàn):tc