網(wǎng)絡(luò)信息對(duì)抗第六章惡意代碼及其分析

網(wǎng)絡(luò)信息對(duì)抗第六章惡意代碼及其分析第1頁，共75頁，2023年，2月20日，星期日網(wǎng)絡(luò)信息對(duì)抗第六章：惡意代碼及其分析第2頁，共75頁，2023年，2月20日，星期日提綱惡意代碼基礎(chǔ)知識(shí)惡意代碼分析技術(shù)課題實(shí)踐：惡意代碼靜態(tài)分析作業(yè)：分析一個(gè)自制惡意代碼樣本第3頁，共75頁，2023年，2月20日，星期日惡意代碼(Malware)惡意代碼定義Malwareisasetofinstructionsthatrunonyourcomputerandmakeyoursystemdosomethingthatanattackerwantsittodo.使計(jì)算機(jī)按照攻擊者的意圖運(yùn)行以達(dá)到惡意目的的指令集合。指令集合:二進(jìn)制執(zhí)行文件,腳本語言代碼,宏代碼,寄生在文件、啟動(dòng)扇區(qū)的指令流惡意代碼目的:技術(shù)炫耀/惡作劇,遠(yuǎn)程控制,竊取私密信息,盜用資源,拒絕服務(wù)/破壞,…惡意代碼類型計(jì)算機(jī)病毒,蠕蟲,惡意移動(dòng)代碼,后門,特洛伊木馬,僵尸程序,Rootkit等…計(jì)算機(jī)病毒是最早出現(xiàn)的惡意代碼，媒體/工業(yè)界的概念混淆，經(jīng)常以計(jì)算機(jī)病毒(ComputerVirus)等價(jià)于惡意代碼第4頁，共75頁，2023年，2月20日，星期日惡意代碼的類型第5頁，共75頁，2023年，2月20日，星期日惡意代碼的命名規(guī)則與分類體系惡意代碼命名規(guī)則[惡意代碼類型.]惡意代碼家族名稱[.變種號(hào)]惡意代碼分類的混淆反病毒工業(yè)界并沒有形成規(guī)范的定義，概念混淆各種惡意代碼形態(tài)趨于融合各種形態(tài)惡意代碼在關(guān)鍵環(huán)節(jié)上具有其明確的定義特性傳播、控制、隱藏、攻擊針對(duì)明確定義特性對(duì)惡意代碼進(jìn)行分類研究僵尸程序、Rootkit、網(wǎng)頁木馬…第6頁，共75頁，2023年，2月20日，星期日惡意代碼的發(fā)展史1949年:VonNeumann提出計(jì)算機(jī)程序自我復(fù)制概念1960年:康維編寫出“生命游戲”,1961年AT&T實(shí)驗(yàn)室程序員編寫出“Darwin”游戲，通過復(fù)制自身來擺脫對(duì)方控制1970s早期:第一例病毒Creeper在APANET上傳播1983年:FredCohen給出計(jì)算機(jī)病毒定義1983年:最著名的Backdoor,ThompsonKen(October1983)."ReflectionsonTrustingTrust"(PDF).1983TuringAwardLecture,ACM.1986年:第一例PC病毒Brain1988年:第一例蠕蟲MorrisWorm1990年:SunOSrootkit1995年:Concept宏病毒1998年:CIH病毒－首例破壞計(jì)算機(jī)硬件的病毒1998年:最著名的后門軟件－BackOrifice第7頁，共75頁，2023年，2月20日，星期日惡意代碼的發(fā)展史1999-2000年：郵件病毒/蠕蟲,Melissa,ILOVEYOU2001年(蠕蟲年)：CodeRedI/II,Nimda2002年：反向連接木馬Setiri,…2003年-2004年：蠕蟲大爆發(fā)2003:Slammer/Blaster/Nachi/Sobig/…2004:Mydoom/Witty/Sasser/Santy/…2007-2008年：Stormworm基于Overnet構(gòu)建了Stromnet,一個(gè)專屬的P2P網(wǎng)絡(luò)第8頁，共75頁，2023年，2月20日，星期日惡意代碼發(fā)展史上著名的案例第9頁，共75頁，2023年，2月20日，星期日國內(nèi)著名的惡意代碼實(shí)例與事件1986年，中國公安部成立計(jì)算機(jī)病毒研究小組1989年，國內(nèi)首例病毒攻擊事件，Kill發(fā)布90年代，反病毒業(yè)界逐步形成冠群金辰、瑞星、江民、金山90年代末新世紀(jì)初，本土化惡意代碼流行1998-CIH病毒1999-冰河2003-灰鴿子2004-證券大盜2007-2008：熊貓燒香，機(jī)器狗、磁碟機(jī)…第10頁，共75頁，2023年，2月20日，星期日計(jì)算機(jī)病毒定義計(jì)算機(jī)病毒是一種能夠自我復(fù)制的代碼，通過將自身嵌入其他程序進(jìn)行感染，而感染過程通常需要人工干預(yù)才能完成特性感染性：最本質(zhì)的特性潛伏性可觸發(fā)性破壞性衍生性第11頁，共75頁，2023年，2月20日，星期日計(jì)算機(jī)病毒的感染機(jī)制感染可執(zhí)行文件前綴感染后綴感染插入感染感染引導(dǎo)扇區(qū)感染數(shù)據(jù)文件－宏指令第12頁，共75頁，2023年，2月20日，星期日計(jì)算機(jī)病毒的感染機(jī)制第13頁，共75頁，2023年，2月20日，星期日計(jì)算機(jī)病毒的傳播機(jī)制計(jì)算機(jī)病毒VS.蠕蟲病毒:借助人類幫助從一臺(tái)計(jì)算機(jī)傳至另一臺(tái)計(jì)算機(jī)蠕蟲:主動(dòng)跨越網(wǎng)絡(luò)傳播傳播方式移動(dòng)存儲(chǔ):軟盤U盤電子郵件及其下載:郵件病毒文件共享:SMB共享服務(wù)、NFS、P2P第14頁，共75頁，2023年，2月20日，星期日網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲定義特性主動(dòng)傳播性網(wǎng)絡(luò)蠕蟲傳播機(jī)制主動(dòng)攻擊網(wǎng)絡(luò)服務(wù)漏洞通過網(wǎng)絡(luò)共享目錄通過郵件傳播第15頁，共75頁，2023年，2月20日，星期日網(wǎng)絡(luò)蠕蟲VS.計(jì)算機(jī)病毒第16頁，共75頁，2023年，2月20日，星期日網(wǎng)絡(luò)蠕蟲的組成蠕蟲的“彈頭”滲透攻擊模塊傳播引擎FTP/TFTP/HTTP/SMB/直接傳送/單包目標(biāo)選擇算法+掃描引擎掃描策略有效負(fù)荷(攻擊負(fù)荷)Payload:傳播自身,開放后門,DDoS攻擊...第17頁，共75頁，2023年，2月20日，星期日“紅色代碼”蠕蟲2001年7月19日，”紅色代碼”蠕蟲爆發(fā)在紅色代碼首次爆發(fā)的短短9小時(shí)內(nèi)，以迅雷不及掩耳之勢(shì)迅速感染了250,000臺(tái)服務(wù)器（通過IIS服務(wù)漏洞）最初發(fā)現(xiàn)的紅色代碼蠕蟲只是篡改英文站點(diǎn)主頁，顯示“Welcometo!HackedbyChinese!”隨后的紅色代碼蠕蟲便如同洪水般在互聯(lián)網(wǎng)上泛濫，并會(huì)在每月20日～28日對(duì)白宮的WWW站點(diǎn)的IP地址發(fā)動(dòng)DoS攻擊，使白宮的WWW站點(diǎn)不得不全部更改自己的IP地址。第18頁，共75頁，2023年，2月20日，星期日后門WarGamesJoShuaFalken教授留下的WOPR系統(tǒng)訪問后門"ReflectionsonTrustingTrust"(PDF).KenThompson,1983TuringAwardLecture,ACM.OneUnixhostwithKen’sbackdoorinBellLabs,theyneverfoundtheattackTrust,butTest!SourcecodeAuditingisnotenough后門的定義后門是允許攻擊者繞過系統(tǒng)常規(guī)安全控制機(jī)制的程序，按照攻擊者自己的意圖提供通道。第19頁，共75頁，2023年，2月20日，星期日后門后門類型本地權(quán)限提升、本地帳號(hào)單個(gè)命令的遠(yuǎn)程執(zhí)行遠(yuǎn)程命令行解釋器訪問－NetCat遠(yuǎn)程控制GUI－VNC,BO,冰河,灰鴿子無端口后門:ICMP后門,基于Sniffer非混雜模式的后門，基于Sniffer混雜模式的后門自啟動(dòng)后門Windows：自啟動(dòng)文件/文件夾；注冊(cè)表自啟動(dòng)項(xiàng)；計(jì)劃任務(wù)Linux/Unix：inittab,rc.d/init.d,用戶啟動(dòng)腳本,cron計(jì)劃任務(wù)第20頁，共75頁，2023年，2月20日，星期日木馬特洛伊木馬(TrojanHorse)起源-特洛伊戰(zhàn)爭木馬:特洛伊木馬(Trojans)定義:看起來具有某個(gè)有用或善意目的，但實(shí)際掩蓋著一些隱藏惡意功能的程序。錯(cuò)誤觀點(diǎn):提供對(duì)受害計(jì)算機(jī)遠(yuǎn)程控制的任何程序，或受害計(jì)算機(jī)上的遠(yuǎn)程命令行解釋器看做木馬，他們應(yīng)被視為后門。如果將后門工具偽裝成良性程序，才具備真正的木馬功能。第21頁，共75頁，2023年，2月20日，星期日木馬第22頁，共75頁，2023年，2月20日，星期日木馬的常見偽裝機(jī)制命名偽裝軟件包裝木馬化軟件發(fā)行站點(diǎn)Tcpdump/libpcap木馬化事件代碼“Poisoning”軟件開發(fā)者/廠商有意給代碼加入后門“復(fù)活節(jié)彩蛋”:Excel2000中隱藏的賽車游戲第23頁，共75頁，2023年，2月20日，星期日僵尸程序與僵尸網(wǎng)絡(luò)僵尸程序(Bot)來自于robot,攻擊者用于一對(duì)多控制目標(biāo)主機(jī)的惡意代碼僵尸網(wǎng)絡(luò)（BotNet）攻擊者出于惡意目的，傳播僵尸程序控制大量主機(jī)，并通過一對(duì)多的命令與控制信道所組成的網(wǎng)絡(luò)。定義特性：一對(duì)多的命令與控制通道的使用。僵尸網(wǎng)絡(luò)危害－提供通用攻擊平臺(tái)分布式拒絕服務(wù)攻擊發(fā)送垃圾郵件竊取敏感信息點(diǎn)擊欺詐…第24頁，共75頁，2023年，2月20日，星期日僵尸網(wǎng)絡(luò)類型IRC僵尸網(wǎng)絡(luò)傳統(tǒng)僵尸網(wǎng)絡(luò)-基于IRC互聯(lián)網(wǎng)實(shí)時(shí)聊天協(xié)議構(gòu)建著名案例:sdbot,agobot等HTTP僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)控制器－Web網(wǎng)站方式構(gòu)建僵尸程序中的命令與控制模塊：通過HTTP協(xié)議向控制器注冊(cè)并獲取控制命令著名案例:bobax,rustock,霸王彈窗P2P僵尸網(wǎng)絡(luò)命令與控制模塊的實(shí)現(xiàn)機(jī)制－P2P協(xié)議P2P僵尸程序同時(shí)承擔(dān)客戶端和服務(wù)器的雙重角色著名案例:stormWorm第25頁，共75頁，2023年，2月20日，星期日RootkitRootkit的定義一類隱藏性惡意代碼形態(tài)，通過修改現(xiàn)有的操作系統(tǒng)軟件，使攻擊者獲得訪問權(quán)并隱藏在計(jì)算機(jī)中。Rootkit與特洛伊木馬、后門Rootkit也可被視為特洛伊木馬獲取目標(biāo)操作系統(tǒng)上的程序或內(nèi)核代碼，用惡意版本替換它們Rootkit往往也和后門聯(lián)系在一起植入Rootkit目的是為攻擊者提供一個(gè)隱蔽性的后門訪問定義特性：隱藏性Rootkit分類:用戶模式、內(nèi)核模式第26頁，共75頁，2023年，2月20日，星期日Rootkit和木馬后門之間的位置對(duì)比應(yīng)用程序級(jí)木馬后門:操作系統(tǒng)之上由攻擊者添加至受害計(jì)算機(jī)的惡意應(yīng)用程序用戶模式Rootkit：木馬化操作系統(tǒng)用戶模式應(yīng)用程序內(nèi)核模式Rootkit：對(duì)內(nèi)核組件的惡意修改和木馬化第27頁，共75頁，2023年，2月20日，星期日Rootkit和木馬后門之間的位置對(duì)比第28頁，共75頁，2023年，2月20日，星期日用戶模式Rootkit用戶模式Rootkit惡意修改操作系統(tǒng)在用戶模式下的程序/代碼，達(dá)到隱藏目的LinuxLRK(LinuxRootKit)URK(UniversalRootKit)：適用于多種Unix平臺(tái)Linux用戶模式Rootkit的防御:文件完整性檢測(cè)Tripwire,專用檢測(cè)工具chkrootkitWin32FakeGINA,AFXRootkit(DLL注入、APIHooking)第29頁，共75頁，2023年，2月20日，星期日內(nèi)核模式Rootkit內(nèi)核模式Rootkit惡意修改操作系統(tǒng)內(nèi)核，從而達(dá)到更深的隱藏和更強(qiáng)的隱蔽性Linux內(nèi)核模式RootkitAdore,Adore-ng,KIS(KernelIntrusionSystem)防御:SELinux,LIDS,…檢測(cè):chkrootkit,KSTAT,...Win32內(nèi)核模式RootkitNTRootkit,FuRootkit虛擬機(jī)模式Rootkit黑客帝國《Matrix》Linux:UML,KMLWin32:VMRootkit第30頁，共75頁，2023年，2月20日，星期日內(nèi)核模式Rootkit第31頁，共75頁，2023年，2月20日，星期日XueTr檢測(cè)軟件第32頁，共75頁，2023年，2月20日，星期日惡意代碼相關(guān)推薦書籍基礎(chǔ)Ed.Skoudis,LennyZelter,Malware:FightingMaliciousCode(決戰(zhàn)惡意代碼)電子工業(yè)出版社.劉倍昌，走進(jìn)計(jì)算機(jī)病毒，人民郵電出版社，2011進(jìn)階PeterSzor,TheArtofComputerVirusResearchandDefense(計(jì)算機(jī)病毒防范藝術(shù)),機(jī)械工業(yè)出版社.段鋼(看雪學(xué)院),加密與解密(第三版),電子工業(yè)出版社.劉倍昌，計(jì)算機(jī)病毒揭秘與對(duì)抗，電子工業(yè)出版社，2011第33頁，共75頁，2023年，2月20日，星期日提綱惡意代碼基礎(chǔ)知識(shí)惡意代碼分析技術(shù)課題實(shí)踐：惡意代碼靜態(tài)分析作業(yè)：分析一個(gè)自制惡意代碼樣本第34頁，共75頁，2023年，2月20日，星期日惡意代碼分析沒有分析的生活是毫無意義的。

---蘇格拉底第35頁，共75頁，2023年，2月20日，星期日惡意代碼分析惡意代碼分析與良性代碼分析相同點(diǎn)：通用代碼分析技術(shù)惡意代碼分析的關(guān)鍵點(diǎn)構(gòu)建受控的分析環(huán)境,通過靜態(tài)/動(dòng)態(tài)方法實(shí)施分析第36頁，共75頁，2023年，2月20日，星期日惡意代碼分析環(huán)境（病毒發(fā)燒友）硬盤保護(hù)卡快速恢復(fù)第37頁，共75頁，2023年，2月20日，星期日基于虛擬化構(gòu)建便攜式分析環(huán)境第38頁，共75頁，2023年，2月20日，星期日惡意代碼自動(dòng)分析環(huán)境（科學(xué)研究）國家242信息安全計(jì)劃項(xiàng)目第39頁，共75頁，2023年，2月20日，星期日惡意代碼分析環(huán)境（反病毒廠商）第40頁，共75頁，2023年，2月20日，星期日惡意代碼分析方法概述靜態(tài)分析通過反病毒引擎掃描識(shí)別已知的惡意代碼家族和變種名逆向分析惡意代碼模塊構(gòu)成，內(nèi)部數(shù)據(jù)結(jié)構(gòu)，關(guān)鍵控制流程等，理解惡意代碼的機(jī)理，并提取特征碼用于檢測(cè)。動(dòng)態(tài)分析通過在受控環(huán)境中執(zhí)行目標(biāo)代碼，以獲取目標(biāo)代碼的行為及運(yùn)行結(jié)果。第41頁，共75頁，2023年，2月20日，星期日惡意代碼靜態(tài)分析方法列表第42頁，共75頁，2023年，2月20日，星期日惡意代碼的掃描使用反病毒軟件進(jìn)行檢測(cè)卡巴斯基、賽門鐵克等奇虎360、瑞星、金山、江民等VirusTotal“世界病毒掃描網(wǎng)”/開源惡意代碼掃描引擎ClamAV/YoucanhaveyourownAVenginewithClamAV.從反病毒廠商獲得已知惡意代碼的分析報(bào)告和結(jié)果(Google、百度)第43頁，共75頁，2023年，2月20日，星期日VirusTotal對(duì)示例惡意代碼的識(shí)別第44頁，共75頁，2023年，2月20日，星期日文件格式確定file:確定惡意代碼目標(biāo)平臺(tái)和文件類型Linux平臺(tái)包含命令：確定文件類型->平臺(tái)PEID:文件類型、編譯鏈接器、是否加殼Win32平臺(tái)針對(duì)PE可執(zhí)行文件FileAnalyzer分析Win32平臺(tái)窗口程序中包含的特殊文件第45頁，共75頁，2023年，2月20日，星期日PEiD第46頁，共75頁，2023年，2月20日，星期日WindowsFileAnalyzer第47頁，共75頁，2023年，2月20日，星期日Strings命令-查看可打印字符串StringsLinux自帶Windowssysinternalsstrings工具IDAPro可能獲得的有用信息惡意代碼實(shí)例名幫助或命令行選項(xiàng)用戶會(huì)話后門口令相關(guān)URL信息、Email地址庫、函數(shù)調(diào)用…第48頁，共75頁，2023年，2月20日，星期日反匯編(Disassemble)反匯編:IDAPro,Ollydbg,VC,…第49頁，共75頁，2023年，2月20日，星期日反編譯(Decompiler)反編譯:機(jī)器碼(匯編語言)→高級(jí)編程語言逆向工程(ReverseEngineering)再工程(ReEngineering)反編譯工具針對(duì)不同高級(jí)編程語言Java反編譯:JAD,JODE,DAVA,…C/C++反編譯:REC,DCC,…Delphi,Flash,…反編譯第50頁，共75頁，2023年，2月20日，星期日RecStudio第51頁，共75頁，2023年，2月20日，星期日二進(jìn)制程序結(jié)構(gòu)和邏輯分析程序結(jié)構(gòu)高層視圖：CallGraph用戶函數(shù)系統(tǒng)函數(shù)函數(shù)調(diào)用關(guān)系分析系統(tǒng)函數(shù)調(diào)用列表可在高層分析二進(jìn)制程序的行為邏輯程序邏輯完備視圖CFG(ControlFlowGraph)第52頁，共75頁，2023年，2月20日，星期日WinGraph32第53頁，共75頁，2023年，2月20日，星期日CFG（ControlFlowGraph）CFG:程序控制流圖基本塊分支跳轉(zhuǎn)循環(huán)CFG完備地反映了一個(gè)程序的執(zhí)行邏輯完備分析CFG:費(fèi)時(shí)（右圖：僅僅是一個(gè)小規(guī)模函數(shù)CFG）選擇性關(guān)注第54頁，共75頁，2023年，2月20日，星期日惡意代碼混淆機(jī)制技術(shù)原理加密(encryption)固定加密/解密器對(duì)解密器進(jìn)行特征檢測(cè)多樣性(Olgomorphic)多樣化解密器多態(tài)(polymorphic)多態(tài)病毒能夠通過隨機(jī)變換解密器從而使得每次感染所生成的病毒實(shí)例都具有唯一性?；ㄖ噶?無序的指令變換,寄存器置換應(yīng)對(duì)：虛擬機(jī)執(zhí)行脫殼變形(metamorphic)直接在病毒體上通過各種代碼混淆技術(shù)每個(gè)感染實(shí)例都具有不同的形式第55頁，共75頁，2023年，2月20日，星期日惡意代碼加殼惡意代碼加殼常用殼:UPX,PEPack,ASPack,PECompact,…殼的分類：壓縮殼、加密殼、偽裝殼、…多重加殼：嵌套使用各類殼終極免殺技術(shù)分類講解加殼其他應(yīng)用場(chǎng)景減小應(yīng)用程序大小規(guī)模保護(hù)應(yīng)用程序版權(quán)，加大破解難度:軟件狗加密第56頁，共75頁，2023年，2月20日，星期日脫殼常見殼的自動(dòng)脫殼工具UPX:upx-dPEPack:UnPEPackASPack壓縮殼:ASPackunpacker推薦：超級(jí)巡警脫殼器(VMUnpacker)手工脫殼關(guān)鍵步驟:尋找程序入口點(diǎn)，dump出程序，修復(fù)PE文件（導(dǎo)入、導(dǎo)出表等）看雪學(xué)院:第57頁，共75頁，2023年，2月20日，星期日超級(jí)巡警脫殼器第58頁，共75頁，2023年，2月20日，星期日惡意代碼動(dòng)態(tài)分析方法列表第59頁，共75頁，2023年，2月20日，星期日動(dòng)態(tài)分析中的監(jiān)視與控制行為監(jiān)視一系列監(jiān)控軟件來控制和觀察惡意代碼的運(yùn)行情況網(wǎng)絡(luò)控制最安全的控制策略：與業(yè)務(wù)網(wǎng)絡(luò)和互聯(lián)網(wǎng)保持物理隔離第60頁，共75頁，2023年，2月20日，星期日動(dòng)態(tài)分析中的監(jiān)視與控制第61頁，共75頁，2023年，2月20日，星期日基于快照比對(duì)的方法快照比對(duì)方法1.對(duì)“干凈”資源列表做快照2.運(yùn)行惡意代碼（提供較充分的運(yùn)行時(shí)間5分鐘）3.對(duì)惡意代碼運(yùn)行后的“臟”資源列表做快照4.對(duì)比“干凈”和“臟”快照，獲取惡意代碼行為結(jié)果資源名稱列表中的差異：發(fā)現(xiàn)新建、刪除的行為結(jié)果資源內(nèi)容的差異：完整性校驗(yàn)，發(fā)現(xiàn)修改的行為結(jié)果進(jìn)行快照比對(duì)的工具RegSnap完美卸載HoneyBow之MwFetcher快照比對(duì)方法的弱點(diǎn)：無法分析中間行為，粗粒度第62頁，共75頁，2023年，2月20日，星期日RegShot第63頁，共75頁，2023年，2月20日，星期日動(dòng)態(tài)行為監(jiān)控方法行為監(jiān)控技術(shù)Notification機(jī)制Win32/Linux系統(tǒng)本身提供的行為通知機(jī)制APIHooking技術(shù)對(duì)系統(tǒng)調(diào)用或API調(diào)用進(jìn)行劫持，監(jiān)控行為系統(tǒng)行為動(dòng)態(tài)監(jiān)控工具文件行為監(jiān)控:Filemon、ProcMon進(jìn)程行為監(jiān)控:ProcessExplorer,lsof注冊(cè)表監(jiān)控:Regmon本地網(wǎng)絡(luò)棧行為監(jiān)控軟件:lsof,TDImon,promiscdetect完整的動(dòng)態(tài)行為監(jiān)控:MwSniffer,Sebek,…第64頁，共75頁，2023年，2月20日，星期日ProcessMonitor－文件、進(jìn)程監(jiān)控第65頁，共75頁，2023年，2月20日，星期日ProcessExplorer－進(jìn)程行為監(jiān)控第66頁，共75頁，2023年，2月20日，星期日MwSniffer–系統(tǒng)行為監(jiān)控第67頁，共75頁，2023年，2月20日，星期日網(wǎng)絡(luò)監(jiān)控惡意代碼開放的本地端口本機(jī)檢查:fport,TCPView(win32),lsof(linux)網(wǎng)絡(luò)檢查:nmap惡意代碼發(fā)起的網(wǎng)絡(luò)連接捕獲:tcpdump,wireshark(ethereal),TDImon分析:argus,wireshark,snort重現(xiàn):tc