惡意代碼分析課件

惡意代碼分析與深層防護安全模型

雖然許多組織已經(jīng)開發(fā)了防病毒軟件，但惡意軟件（病毒、蠕蟲和特洛伊木馬）仍在繼續(xù)感染著世界各地的計算機系統(tǒng)。這表明，在每臺計算機上部署防病毒軟件的標準方法可能不足以應對惡意軟件?！?惡意軟件一、什么是惡意軟件“惡意軟件”指故意在計算機系統(tǒng)上執(zhí)行惡意任務的病毒、蠕蟲和特洛伊木馬。1、特洛伊木馬（1）遠程訪問特洛伊（2）Rootkit2、蠕蟲3、病毒二、惡意軟件的特征1、目標環(huán)境（1）設(shè)備。（2）操作系統(tǒng)。（3）應用程序。2、攜帶者對象（1）可執(zhí)行文件。（2）腳本。（3）宏。（4）啟動扇區(qū)。3、傳輸機制（1）可移動媒體。（2）網(wǎng)絡共享。（3）網(wǎng)絡掃描。（4）對等(P2P)網(wǎng)絡。（5）電子郵件。（6）遠程利用。4、負載一旦惡意軟件通過傳輸?shù)竭_了宿主計算機，它通常會執(zhí)行一個稱為“負載”的操作，負載可以采用許多形式。常見負載類型包括：（1）后門。（2）數(shù)據(jù)損壞或刪除。（3）信息竊取。（4）拒絕服務(DoS)5、觸發(fā)機制觸發(fā)機制是惡意軟件的一個特征，惡意軟件使用此機制啟動復制或負載傳遞。典型的觸發(fā)機制包括以下內(nèi)容：（1）手動執(zhí)行。（2）社會工程。（3）半自動執(zhí)行。（4）自動執(zhí)行。（5）定時炸彈。（6）條件。6、防護機制許多惡意軟件示例使用某種類型的防護機制，來降低被發(fā)現(xiàn)和刪除的可能性。以下列表提供了一些已被使用的技術(shù)的示例：（1）裝甲。（2）竊?。?）加密。（4）寡態(tài)。（5）多態(tài)。三、防病毒軟件原理防病毒軟件專門用于防護系統(tǒng)，使其免受來自任何形式的惡意軟件（而不僅僅是病毒）的侵害。防病毒軟件可以使用許多技術(shù)來檢測惡意軟件。其技術(shù)工作原理包括：1、簽名掃描搜索目標來查找表示惡意軟件的模式。這些模式通常存儲在被稱為“簽名文件”的文件中，簽名文件由軟件供應商定期更新，以確保防病毒掃描器能夠盡可能多地識別已知的惡意軟件攻擊。主要問題：防病毒軟件必須已更新為應對惡意軟件。2、啟發(fā)式掃描此技術(shù)通過查找通用的惡意軟件特征，來嘗試檢測新形式和已知形式的惡意軟件。此技術(shù)的主要優(yōu)點是，它并不依賴于簽名文件來識別和應對惡意軟件。

啟發(fā)式掃描的問題：（1）錯誤警報。（2）慢速掃描。（3）新特征可能被遺漏。3、行為阻止著重于惡意軟件攻擊的行為，而不是代碼本身。§2惡意軟件分析

對惡意軟件進行分析，了解其工作方式可以確保系統(tǒng)已被清理干凈并減少再次感染和攻擊的可能性。一、檢查活動進程和服務二、檢查啟動文件夾惡意軟件可以嘗試通過修改系統(tǒng)的啟動文件夾來自行啟動。檢查每個啟動文件夾中的條目，以確保在系統(tǒng)啟動過程中沒有惡意軟件嘗試啟動。三、檢查計劃的應用程序惡意軟件還可能（但很少見）嘗試使用Windows計劃程序服務啟動未授權(quán)的應用程序。四、分析本地注冊表備份和恢復注冊表。成功備份注冊表后，在以下區(qū)域中檢查任何異常的文件引用。（參見書上示例）五、檢查惡意軟件和損壞的文件1、對比大多數(shù)惡意軟件將修改計算機硬盤上的一個或多個文件，而查找已受到影響的文件可能是一個很困難的過程。如果通過映像創(chuàng)建了系統(tǒng)，則可以將受到感染的系統(tǒng)直接與通過該映像創(chuàng)建的全新系統(tǒng)進行比較。2、搜索可以使用Windows搜索工具，對自從惡意軟件首次引入系統(tǒng)時更改的所有文件進行系統(tǒng)范圍的搜索，以確定哪些文件已被更改。3、檢查常用的隱藏區(qū)域某些惡意軟件攻擊已經(jīng)使用了有效的系統(tǒng)文件名，但將該文件置于其他文件夾中，以免被Windows文件保護服務檢測到。例如，惡意軟件曾使用一個名為Svchost.exe的文件，該文件通常安裝在%WINDIR%\System32文件夾中并在該文件夾中受到保護。直接在%WINDIR%文件夾中創(chuàng)建同名文件的惡意軟件示例已被看到，因此必須檢查完整路徑和文件名。

惡意軟件攻擊用于放置和修改文件的某些常見目標區(qū)域包括：%Windir%。%System%。%Temp%。%TemporaryInternetFiles%。六、檢查用戶和組某些惡意軟件攻擊將嘗試評估系統(tǒng)上現(xiàn)有用戶的特權(quán)，或在擁有管理員特權(quán)的組中添加新新帳戶。檢查以下異常設(shè)置：舊用戶帳戶和組。不適合的用戶名。包含無效用戶成員身份的組。無效的用戶權(quán)限。最近提升的任何用戶或組帳戶的特權(quán)。確認所有管理器組成員均有效。

七、檢查共享文件夾惡意軟件的另一個常見癥狀是使用共享文件夾傳播感染。使用計算機管理MMC管理單元，或通過命令行使用NetShare命令檢查受感染系統(tǒng)上的共享文件夾的狀態(tài)。八、檢查打開的網(wǎng)絡端口許多惡意軟件一個常使用的技術(shù)是打開主機上的網(wǎng)絡端口，使用這些端口獲取該主機的訪問。Netstat-an九、使用網(wǎng)絡協(xié)議分析器網(wǎng)絡協(xié)議分析器工具可用于創(chuàng)建受感染主機傳入和傳出的數(shù)據(jù)的網(wǎng)絡流量日志。十、檢查和導出系統(tǒng)事件日志可以使用Windows系統(tǒng)事件日志識別各種異常行為。使用事件查看器管理控制臺將每種類型的事件日志文件（應用程序、安全和系統(tǒng)）保存到可移動媒體，以便進一步分析。默認情況下，這些文件存儲在C:\Winnt\System32\Config\目錄中，并分別稱為AppEvent.evt、SecEvent.evt和SysEvent.evt。然而，當系統(tǒng)處于活動狀態(tài)時，這些文件將被鎖定，因此應使用事件查看器管理工具導出?！?深層惡意代碼防護

許多組織在安裝了防病毒軟件后仍然感染了病毒。與網(wǎng)絡安全設(shè)計一樣，設(shè)計防病毒解決方案時采用深層防護方法，了解防護模型的每個層以及對應于每個層的特定威脅，以便在實施自己的防病毒措施時使用此信息，確保在設(shè)計時采用的安全措施將得到可能的維護。一、惡意軟件的威脅方法惡意軟件可以通過許多方法來損害目標，下面是最容易受到惡意軟件攻擊的區(qū)域：外部網(wǎng)絡來賓客戶端可執(zhí)行文件文檔電子郵件可移動媒體二、深層防護安全模型在發(fā)現(xiàn)并記錄了組織所面臨的風險后，下一步就是檢查和組織將用來提供防病毒解決方案的防護措施。深層防護安全模型是此過程的極好起點。此模型識別出七級安全防護，它們旨在確保損害組織安全的嘗試將遇到一組強大的防護措施。每組防護措施都能夠阻擋多種不同級別的攻擊。圖所示為深層防護安全模型定義的各層。（1）數(shù)據(jù)層攻擊者有可能利用它們獲得對配置數(shù)據(jù)、組織數(shù)據(jù)或組織所用設(shè)備獨有的任何數(shù)據(jù)的訪問。（2）應用程序?qū)庸粽哂锌赡芾盟鼈冊L問運行的應用程序。惡意軟件編寫者可以在操作系統(tǒng)之外打包的任何可執(zhí)行代碼都可能用來攻擊系統(tǒng)。（3）主機層該層上的風險源自利用主機或服務中漏洞的攻擊者。攻擊者以各種方式利用這些漏洞向系統(tǒng)發(fā)動攻擊。例如：緩沖區(qū)溢出。

ServicePack和修復程序通常是針對此層。（4）內(nèi)部網(wǎng)絡層內(nèi)部網(wǎng)絡所面臨的風險主要與通過網(wǎng)絡傳輸?shù)拿舾袛?shù)據(jù)有關(guān)。（5）外圍網(wǎng)絡層與外圍網(wǎng)絡層（也稱為DMZ）關(guān)聯(lián)的風險源自可以訪問廣域網(wǎng)(WAN)以及它們所連接的網(wǎng)絡層的攻擊者。模型此層上的主要風險集中于網(wǎng)絡可以使用的傳輸控制協(xié)議(TCP)和用戶數(shù)據(jù)報協(xié)議(UDP)端口。（6）物理安全層物理層上的風險源自可以物理訪問物理資產(chǎn)的攻擊者。（7）策略、過程和意識層圍繞安全模型所有層的是為滿足和支持每個級別的要求所制定的策略和過程。提高組織中對所有相關(guān)方的安全意識很重要，許多情況下，忽視風險可以導致安全違反。因此，培訓也應該是任何安全模型的不可缺少的部分。根據(jù)實際需要，可將深層防護安全模型細化。細化的深層病毒防護視圖：可以將數(shù)據(jù)層、應用程序?qū)雍椭鳈C層防護策略組合，作為客戶端和服務器防護策略。雖然這些防護共享許多公共策略，但是實施客戶端和服務器防護方面還是有一定的差異的。因此，應將客戶端和服務器防護策略分開考慮和實施。內(nèi)部網(wǎng)絡層和外圍層也可以組合到一個公共網(wǎng)絡防護策略中，因為這兩個層所涉及的技術(shù)是相同的。每個層中的實施細節(jié)將是不同的，具體取決于組織基礎(chǔ)結(jié)構(gòu)中的設(shè)備位置和技術(shù)。三、客戶端防護假定惡意軟件已經(jīng)通過前面的所有防護層，當其到達主機時，防護系統(tǒng)必須集中于保護主機系統(tǒng)及其數(shù)據(jù)，并停止感染的傳播。1、減小攻擊面應用程序?qū)由系牡谝坏婪雷o是減小計算機的攻擊面。應在計算機上刪除或禁用所有不需要的應用程序或服務，最大限度地減少攻擊者可以利用系統(tǒng)的方法數(shù)。2、應用安全更新可能連接到組織網(wǎng)絡的客戶端計算機數(shù)量很大，而且種類很多，僅這一點就可以導致很難提供快速而可靠的安全更新管理服務。Microsoft和其他軟件公司已經(jīng)開發(fā)了許多可用來幫助解決此問題的工具。3、啟用基于主機的防火墻基于主機的防火墻或個人防火墻是應該啟用的重要客戶端防護層。WindowsXP包括名為“Internet連接防火墻”(ICF)的簡單個人防火墻。ICF在被啟用后將監(jiān)視通過它的通信的所有方面。ICF還檢查它處理的每個數(shù)據(jù)包的源地址和目標地址，以確保每個通信都是允許的通信。強烈建議啟用ICF。4、安裝防病毒軟件許多公司推出防病毒應用程序，其中的大多數(shù)在提供此保護方面都是很有效的，但是它們都要求經(jīng)常更新以應對新的惡意軟件。

5、測試漏洞掃描程序在配置系統(tǒng)之后，應該定期檢查它以確保沒有留下安全漏洞。許多掃描軟件來查找惡意軟件和黑客可能試圖利用的漏洞，其中的多數(shù)工具更新自己的掃描例程以保護系統(tǒng)免受最新漏洞的攻擊。6、使用最少特權(quán)策略在客戶端防護中不應忽視的是在正常操作下分配給用戶的特權(quán)。Microsoft建議采用這樣的策略：提供最少可能的特權(quán)，以便使得受到因利用用戶特權(quán)的惡意軟件的影響減到最小。對于通常具有本地管理特權(quán)的用戶，這樣的策略尤其重要。7、限制未授權(quán)的應用程序如果應用程序為網(wǎng)絡提供一種服務，如MicrosoftInstantMessenger或Web服務，則在理論上它可能成為惡意軟件攻擊的目標。四、客戶端應用程序的防護這里提供惡意軟件可能作為攻擊目標的特定客戶端應用程序的配置準則。1、電子郵件客戶端如果惡意軟件設(shè)法通過了網(wǎng)絡和電子郵件服務器級別上的病毒防護，則可以進行一些配置以便為電子郵件客戶端提供額外保護。通常，用戶打開電子郵件的附件是惡意軟件在客戶端上傳播是主要方式之一。因此，可電子郵件客戶端必須配置額外的步驟，用戶將必須執(zhí)行這些步驟才能打開附件。

例如，在MicrosoftOutlook和OutlookExpress中可以：使用InternetExplorer安全區(qū)域禁用HTML電子郵件中的活動內(nèi)容。啟用一項設(shè)置以便用戶只能以純文本格式查看電子郵件。阻止程序在未經(jīng)特定用戶確認的情況下發(fā)送電子郵件。阻止不安全的電子郵件附件。2、桌面應用程序隨著桌面辦公應用程序的日益強大，它們也成為惡意軟件的攻擊目標。宏病毒使用字處理器、電子表格或其他支持宏的應用程序創(chuàng)建的文件復制自身。應該盡可能采取措施，以確保在環(huán)境中處理這些文件的所有應用程序上啟用最合適的安全設(shè)置。3、即時消息應用程序雖然文本消息不會構(gòu)成直接的惡意軟件威脅，但是大多數(shù)即時消息（InstantMessenger）客戶端提供另外的文件傳輸功能以提高用戶的通信能力。允許文件傳輸就提供了進入組織網(wǎng)絡的直接路由，因而有可能受到惡意軟件的攻擊。網(wǎng)絡防火墻只需篩選用于此通信的端口，即可阻止這些文件傳輸。如果文件傳輸而無法應用防火墻阻止這些端口，則應該確保在傳輸所有文件之前對其掃描以確定是否存在惡意軟件。應該將即時消息應用程序配置為：一收到文件，就自動將傳輸?shù)奈募鬟f到防病毒應用程序進行掃描。例如，可以將MSNMessenger配置為自動掃描傳輸?shù)奈募?、Web瀏覽器從Internet下載或執(zhí)行代碼之前，希望確保知道它來自已知的、可靠的來源。用戶不應該僅依賴于站點外觀或站點地址，因為網(wǎng)頁和網(wǎng)址都可以是偽造的。已經(jīng)有許多方法和技術(shù)來幫助用戶的Web瀏覽器應用程序確定用戶所瀏覽網(wǎng)站的可靠性。例如，IE使用Authenticode技術(shù)（證書）驗證已下載代碼的身份。5、對等應用程序

P2P應用程序便利了文件查找和交換。但是，許多惡意軟件試圖使用這些應用程序?qū)⑽募椭频狡渌脩舻挠嬎銠C。蠕蟲（如W32.HLLW.Sanker）已經(jīng)將P2P應用程序（如Kazaa）作為攻擊目標以達到復制目的。建議使用前面所述的Windows軟件限制策略阻止用戶運行對等應用程序?！?服務器防護

環(huán)境中的服務器防護與客戶端防護有許多共同之處，二者都試圖保護單個計算機環(huán)境。兩者的主要差異在于：服務器防護在可靠性和性能方面的預期級別通常高得多。此外，許多服務器在組織基礎(chǔ)結(jié)構(gòu)中起到的專門作用，通常需要制定專門的防護方案。1、減小攻擊面。從服務器中刪除不需要的服務和應用程序，將其攻擊面減到最小。2、應用安全更新。如有可能，確保服務器運行的都是最新的安全更新。3、啟用基于主機的防火墻。4、使用漏洞掃描程序進行測試。使用WindowsServer2003上的MBSA幫助識別服務器配置中可能存在的漏洞。5、一般的服務器防病毒軟件為客戶端環(huán)境（如XP）設(shè)計的防病毒應用程序和為服務器環(huán)境（如2003）設(shè)計的防病毒應用程序之間的主要差異在于：基于服務器的掃描程序和任何基于服務器的服務（如消息服務或數(shù)據(jù)庫服務）之間的集成級別。許多基于服務器的防病毒應用程序還提供了遠程管理功能，以最大限度地減少物理訪問服務器控制臺的需要。。

在為服務器環(huán)境評估防病毒軟件時應該考慮的其他重要問題包括：掃描期間的CPU使用率。應用程序可靠性。管理開銷。應用程序互操作性。2、角色特定的防病毒配置和軟件現(xiàn)在，有許多可用于企業(yè)中特定服務器角色的專用防病毒配置、工具和應用程序。應用程序特定的防病毒解決方案通常提供更佳的保護和性能，因為它們設(shè)計用于與特定服務集成在一起，而不是試圖在文件系統(tǒng)級服務的下面起作用。Web服務器所有類型的組織中的Web服務器（如IIS）都是安全攻擊的目標。不管攻擊來自惡意軟件（如CodeRed）還是來自試圖破壞組織網(wǎng)站的黑客，充分配置Web服務器上的安全設(shè)置以最大限度地防御這些攻擊都是很重要的。除了此指導外，還可以下載某些免費工具，它們將在IIS上自動執(zhí)行許多安全配置。例如，IISLockdownTool和UrlScan。消息服務器為組織中的電子郵件服務器設(shè)計有效的防病毒解決方案時，要牢記兩個目標。一是防止服務器本身受到惡意軟件的攻擊。二是阻止任何惡意軟件通過電子郵件系統(tǒng)進入組織中用戶的郵箱。一般來說，標準文件掃描防病毒解決方案無法阻止電子郵件服務器將惡意軟件作為附件傳遞到客戶端。但是以下兩種基本類型的電子郵件防病毒解決方案通常是可用的：SMTP網(wǎng)關(guān)掃描程序。這些基于簡單郵件傳輸協(xié)議(SMTP)的電子郵件掃描解決方案通常稱為防病毒“網(wǎng)關(guān)”解決方案。優(yōu)點：可以用于所有的SMTP電子郵件服務，而不是僅用于特定電子郵件服務器產(chǎn)品。缺點：由于這些解決方案依賴于SMTP電子郵件協(xié)議，因此它們在可以提供的某些更高級功能方面受到限制。集成的服務器掃描程序。這些專用防病毒應用程序直接與特定的電子郵件服務器產(chǎn)品一起工作。這些應用程序確實有許多優(yōu)點。例如，它們可以與高級服務器功能直接集成在一起，它們設(shè)計為與電子郵件服務器使用相同的硬件。數(shù)據(jù)庫服務器在考慮數(shù)據(jù)庫服務器（如SQLServer）的病毒防護時，需要保護以下四個主要元素：主機。運行數(shù)據(jù)庫的一個或多個服務器。數(shù)據(jù)庫服務。在主機上運行的為網(wǎng)絡提供數(shù)據(jù)庫服務的各種應用程序。數(shù)據(jù)存儲區(qū)。存儲在數(shù)據(jù)庫中的數(shù)據(jù)。數(shù)據(jù)通信。網(wǎng)絡上數(shù)據(jù)庫主機和其他主機之間使用的連接和協(xié)議。由于數(shù)據(jù)存儲區(qū)內(nèi)的數(shù)據(jù)不能直接執(zhí)行，因此通常認為數(shù)據(jù)存儲區(qū)本身不需要掃描。目前，沒有專為數(shù)據(jù)存儲區(qū)編寫的主要防病毒應用程序。但是，在進行防病毒配置時，應該仔細考慮數(shù)據(jù)庫服務器的主機、數(shù)據(jù)庫服務和數(shù)據(jù)通信這些元素?！?網(wǎng)絡防護層

在已記錄的惡意軟件事件中，通過網(wǎng)絡發(fā)動的攻擊是最多的。通常，發(fā)動惡意軟件攻擊是為了利用網(wǎng)絡外圍防護中的漏洞允許惡意軟件訪問組織IT基礎(chǔ)結(jié)構(gòu)中的主機設(shè)備。這些設(shè)備可以是客戶端、服務器、路由器，甚至是防火墻。存在一種日益增長的趨勢：許多組織已經(jīng)采用多層方法來設(shè)計其網(wǎng)絡同時使用內(nèi)部網(wǎng)絡結(jié)構(gòu)和外部網(wǎng)絡結(jié)構(gòu)。這正好符合深層防護安全模型。

第一個網(wǎng)絡防護指外圍網(wǎng)絡防護，這些防護旨在防止惡意軟件通過外部攻擊進入內(nèi)部網(wǎng)絡。應該使用常規(guī)安全防護措施，以確保只有經(jīng)過授權(quán)的人員才能訪問內(nèi)部網(wǎng)絡的數(shù)據(jù)。假定網(wǎng)絡安全設(shè)計已經(jīng)為組織提供了所需的標識、授權(quán)、加密和保護級別，以防止未經(jīng)授權(quán)的攻擊者直接侵入。但是，此時病毒防護仍是不完整的。下一步是將網(wǎng)絡層防護配置為檢測和篩選使用允許的網(wǎng)絡通信（如電子郵件、Web瀏覽和即時消息）的惡意軟件攻擊。1、網(wǎng)絡防病毒配置2、網(wǎng)絡入侵檢測系統(tǒng)3、應用程序?qū)雍Y選使用Internet篩選技術(shù)監(jiān)視和屏蔽網(wǎng)絡通信中的非法內(nèi)容（如病毒）不僅是有用的，而且是必需的。防火墻僅允許根據(jù)源或目標IP地址或者特定的網(wǎng)絡端口來篩選網(wǎng)絡