恶意代码分析防治概要Word格式.docx
《恶意代码分析防治概要Word格式.docx》由会员分享,可在线阅读,更多相关《恶意代码分析防治概要Word格式.docx(9页珍藏版)》请在冰豆网上搜索。
一.恶意代码概述
恶意代码(UnwantedCode)是指没有作用却会带来危险的代码,一个最安全的定义是把所有不必要的代码都看作是恶意的,不必要代码比恶意代码具有更宽泛的含义,包括所有可能与某个组织安全策略相冲突的软件。
定义一:
恶意代码又称恶意软件。
这些软件也可称为广告软件、间谍软件、恶意共享软件。
是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。
与病毒或蠕虫不同,这些软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软件。
有时也称作流氓软件。
定义二:
恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。
最常见的恶意代码有计算机病毒(简称病毒)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门、逻辑炸弹等。
恶意代码编写者一般利用三类手段来传播恶意代码:
软件漏洞、用户本身或者两者的混合。
有些恶意代码是自启动的蠕虫和嵌入脚本,本身就是软件,这类恶意代码对人的活动没有要求。
一些像特洛伊木马、电子邮件蠕虫等恶意代码,利用受害者的心理操纵他们执行不安全的代码;
还有一些是哄骗用户关闭保护措施来安装恶意代码。
利用商品软件缺陷的恶意代码有CodeRed、KaK和BubbleBoy。
它们完全依赖商业软件产品的缺陷和弱点,比如溢出漏洞和可以在不适当的环境中执行任意代码。
像没有打补丁的IIS软件就有输入缓冲区溢出方面的缺陷。
利用Web服务缺陷的攻击代码有CodeRed、Nimda,Linux和Solaris上的蠕虫也利用了远程计算机的缺陷。
恶意代码编写者的一种典型手法是把恶意代码邮件伪装成其他恶意代码受害者的感染报警邮件,恶意代码受害者往往是Outlook地址簿中的用户或者是缓冲区中WEB页的用户,这样做可以最大可能的吸引受害者的注意力。
一些恶意代码的作者还表现了高度的心理操纵能力,LoveLetter就是一个突出的例子。
一般用户对来自陌生人的邮件附件越来越警惕,而恶意代码的作者也设计一些诱饵吸引受害者的兴趣。
附件的使用正在和必将受到网关过滤程序的限制和阻断,恶意代码的编写者也会设法绕过网关过滤程序的检查。
使用的手法可能包括采用模糊的文件类型,将公共的执行文件类型压缩成zip文件等等。
恶意代码的相关定义
二.恶意代码实现关键技术
2.1.恶意代码生存技术
生存技术主要包括4方面:
第一反跟踪技术:
提高自身的伪装能力和防破译能力,增加检测和清除的难度,第二加密技术:
自身保护,第三模糊变换技术:
多态,难以进行基于特征的识别,第四自动生产技术:
简单实现恶意代码的组合和变化
2.2.恶意代码攻击技术
2.2.1.进程注入技术
当前操作系统中都有系统服务和网络服务,它们都在系统启动时自动加载。
进程注入技术就是将这些与服务相关的可执行代码作为载体,恶意代码程序将自身嵌入到这些可执行代码之中,实现自身隐藏和启动的目的。
这种形式的恶意代码只须安装一次,以后就会被自动加载到可执行文件的进程中,并且会被多个服务加载。
只有系统关闭时,服务才会结束,所以恶意代码程序在系统运行时始终保持激活状态。
比如恶意代码“WinEggDropShell”可以注入Windows下的大部分服务程序。
2.2.2.三线程技术
在Windows操作系统中引入了线程的概念,一个进程可以同时拥有多个并发线程。
三线程技术就是指一个恶意代码进程同时开启了三个线程,其中一个为主线程,负责远程控制的工作。
另外两个辅助线程是监视线程和守护线程,监视线程负责检查恶意代码程序是否被删除或被停止自启动。
守护线程注入其它可执行文件内,与恶意代码进程同步,一旦进程被停止,它就会重新启动该进程,并向主线程提供必要的数据,这样就能保证恶意代码运行的可持续性。
例如,“中国黑客”等就是采用这种技术的恶意代码。
2.2.3.端口复用技术
端口复用技术,系指重复利用系统网络打开的端口(如25、80、135和139等常用端口)传送数据,这样既可以欺骗防火墙,又可以少开新端口。
端口复用是在保证端口默认服务正常工作的条件下复用,具有很强的欺骗性。
例如,特洛伊木马“Executor”利用80端口传递控制信息和数据,实现其远程控制的目的。
2.2.4超级管理技术
一些恶意代码还具有攻击反恶意代码软件的能力。
为了对抗反恶意代码软件,恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击,使反恶意代码软件无法正常运行。
例如,“广外女生”是一个国产的特洛伊木马,它采用超级管理技术对“金山毒霸”和“天网防火墙”进行拒绝服务攻击。
2.2.5端口反向连接技术
防火墙对于外部网络进入内部网络的数据流有严格的访问控制策略,但对于从内网到外网的数据却疏于防范。
端口反向连接技术,系指令恶意代码攻击的服务端(被控制端)主动连接客户端(控制端)。
国外的“Boinet”是最先实现这项技术的木马程序,它可以通过ICO、IRC、HTTP和反向主动连接这4种方式联系客户端。
国内最早实现端口反向连接技术的恶意代码是“网络神偷”。
“灰鸽子”则是这项技术的集大成者,它内置FTP、域名、服务端主动连接这3种服务端在线通知功能。
2.2.6.缓冲区溢出攻击技术
缓冲区溢出漏洞攻击占远程网络攻击的80%。
缓冲区溢出攻击成为恶意代码从被动式传播转为主动式传播的主要途径。
例如,“红色代码”利用IISServer上IndexingService的缓冲区溢出漏洞完成攻击、传播和破坏等恶意目的。
“尼姆达蠕虫”利用IIS4.0/5.0DirectoryTraversal的弱点,以及红色代码II所留下的后门,完成其传播过程。
恶意代码攻击模型
三.IE炸弹攻击
IE炸弹是一种潜伏在网页中的,可以通过在目标电脑上不断弹出窗口,达到耗尽目标点电脑统资源的代码病毒。
常见的IE炸弹在攻击时,主要具有死循环、自动打开窗口、耗尽CPU等特点,下面分别介绍。
3.1.死循环
死循环是只在设计网页时,在网页中插入一段可使电脑持续运行的代码。
插入这段代码后,网页会一直运行并消耗系统资源,直至死机。
<
html>
head>
title>
郑思龙<
/title>
metahttp-equiv="
comtent-type"
content="
text/html
charset=gb2312"
>
/head>
bodtonload="
windowbomb()"
scariptlanguace="
javascript"
functionwindowsbomb()
{
varicounter=0//dummycounter
while(ture)
window.open{"
http:
"
"
crashing"
icounter,"
width=1,height=1,resizable=no"
}
/script>
/body>
/html>
在此代码中,不难看出,导致代码运行循环的语句为函数WindowsBomb()中的while(true)语句。
由于它是一个条件总是为“真”的循环,在没有被强制中断的情况下,它会一直循环下去。
在这个循环中会试图不断地弹出窗口,从而一直消耗系统资源,直至可用资源被耗尽。
图1为包含此代码网页在打开时的系统提示
图1ActiveX控件运行提示
图2为运行ActiveX控件时,经常会见到的安全警告内容。
图2安全警告
可见,所谓的“IE炸弹”,其根本就是一段使用JavaScrpt脚本语言编制的调用ActiveX控件的死循环代码。
其恶意的目的,就是要通过运行一个无限的循环来耗尽受害主机可用的系统资源,从而导致主机工作运转的不正常。
3.2.自动打开弹窗
所谓自动打开弹窗,是指用户在打开包含有此代码的网员后,会自动地、不断地打开许多新的弹出窗口。
由于其打开窗口的速度是自动进行的,通常会很快,因而很难将其一个个全部关闭。
在图3中的循环体中的语句,就是一个弹出XX搜索页面的命令,运行它的结果,就是弹出一个XX搜索页面。
由于是在无限制的反复循环体中,这个弹出的过程会不断地、无休止的进行下去。
如图所示
图3自动打开新窗口
让这个代码运行下去,必然会导致系统的耗尽与崩溃。
3.3IE浏览器崩溃
IE浏览器崩溃的代码设计
是通过一定的特定代码运行,导致IE工作失常的攻击方式,它通常也可以使用网页恶意代码来实现。
给出了实现IE浏览器崩溃的原代码。
body>
script>
varcolor=newArray;
color[1]="
yellow"
;
color[2]="
red"
for(x=0;
x<
3;
x++)
document,bgColor=color[x]
if(x==2)
x=0;
IE浏览器崩溃代码的运行图为包含此代码网页被打开时,出现的运行确认提示
图4运行确认提示
图5给出了IE浏览器崩溃代码运行后的结果
四.蠕虫病毒
4.1.蠕虫病毒的自我复制能力
SetobjFs=CreateObject(“Scripting.FileSystemObject”)
objFs.CreateTextFile(“C:
\virus.txt”,true)如果我们把这两句话保存成为.vbs的VB脚本文件,点击鼠标就会在C盘中创建一个TXT文件了。
如果我们把第二句改为:
objFs.GetFile(WScript.ScriptFullName).Copy(“C:
\Virus.vbs”)该句前面是打开这个脚本文件,WScript.ScriptFullName指明是这个程序本身,是一个完整的路径文件名。
GetFile函数获得这个文件,Copy函数将这个文件复制到C盘根目录下Virus.vbs文件。
这么简单的两句就实现了自我复制的功能,已经具备
升级会员 