恶意软件攻击防范与应急指导手册.docx

1、恶意软件攻击防范与应急指导手册恶意软件攻击防范与应急指导手册现如今，恶意软件已成为一个严重的网络问题。正所谓，哪里有网络，哪里就有恶意软件。恶意软件的出现像挥之不去的阴魂，严重阻碍了网络社会的的正常发展。但是，既然它出现了，我们就应该采取更加积极主动的态度去应对。所谓知己知彼，百战不殆。以下我们将详细介绍恶意软件的种类以及相关的防范技术。一.什么是恶意软件恶意软件是一种秘密植入用户系统借以盗取用户机密信息，破坏用户软件和操作系统或 是造成其它危害的一种网络程序。对于绝大多数系统来说，恶意软件已经成为了最大的外部威胁，给企业和个人都带来了巨大的损失。仅以恶意软件中的间谍软件为 例，间谍软件侵犯了

2、用户的隐私，这已经成为企业用户关注的焦点。尽管间谍软件的出现已有时日，但是近几年使用间谍软件侵入系统监视用户行为变得更加猖獗。 企业还面临一些与恶意软件相关的非恶意软件威胁。其中司空见惯的就是网络钓鱼，就是使用基于计算机的欺骗方法套出用户的敏感信息。还有就是病毒欺骗，就是 对新的恶意软件威胁发出错误的警报。二.恶意软件分类一般认为，恶意软件包括病毒，蠕虫，木马，恶意的移动代码，以及这些的结合体，也叫做混合攻击。恶意软件还包括攻击者工具，譬如说，后门程序，rookits，键盘记录器，跟踪的cookie记录。本篇讨论的内容包括，恶意软件怎么样进入和感染系统及其传播;怎么样工作;针对的目标;怎么样影

3、响系统。2.1 病毒病毒能够实现自我复制，并且感染其它文件，程序和计算机。每一种病毒都有感染机制;譬如，有的病毒可以直接插入主机或是数据文件。病毒的威力可 大可小，有些可能只是小恶作剧，还有可能是相当恶意的攻击。绝大多数的病毒都有诱发机制，也就是诱发其威力的原因，一般需要用户的互动方能实现。目前有两 种重要的病毒，一是可编译病毒(compiled virus)，主要通过操作系统实现;二是演绎性病毒(interpreted virus)，主要通过应用程序实现。2.1.1 可编译病毒可编译病毒的源代码可以经由编译器程序转换为操作系统可以直接运行的程序格式。可编译病毒包括以下三种： 文件感染器(fi

4、le infector) 这种病毒一般将其附加在可执行程序中，譬如word，电子表格和电脑游戏。一旦病毒感染程序，就直接影响系统中的其它程序，还有使用系统作为共享的感染程序。Jerusalem和Cascade就是两种最出名的文件感染病毒 引导区(boot sector)引导区病毒一般感染硬盘驱动的MBR或是硬驱和移动媒介的引导区。引导区，顾名思义就是存储信息的硬盘或是磁盘的开始部分。MBR是磁盘上比较独特的区域，因为电脑的基本输出/输入系统(BIOS)可以加载启动程序的地方就在此。一旦电脑启动的时候，如果硬驱中有感染的磁盘，病毒就自动执行。引导区病毒隐藏性很强，成功率高，破坏性强。其表现就是启

5、动的时候出现错误信息或是启动不稳定。Form，Michelangelo和Stoned是很典型的引导区病毒。 混合体(Multipartite)混合体病毒使用多种感染方式，典型的是感染文件和引导区。相应地，混合体病毒有上述两种病毒的特征。典型例子：Flip和Invader除了感染文件之外，可编译病毒还可以躲藏在感染系统的内存中，这样每次执行新的程序的时候就可以感染新的程序。在上述三种病毒中，启动区域病毒最有可能存在于内存中。相比那些非存在于内存中的病毒而言，这种病毒危害性更大，更加频繁。2.1.2 演绎性病毒与可编译病毒有操作系统执行不同的是，这种病毒的源代码只能由特定程序来实现。这种病毒以其简

6、单易操作深受欢迎。即使一个不是太熟练的黑客也可以借此编写和修正代码，感染计算机。这种病毒的变体很多，最主要的两种是宏病毒(macro virus)和脚本病毒(scripting virus)宏病毒是这种病毒中最流行最成功的。病毒一般附加到word，电子表格等，并且使用这些程序的宏编译语言来执行病毒。它们利用的正是很多流行软 件的宏编译语言功能，譬如说，微软的办公软件。由于人们共享具有宏功能文档的增多，这种病毒也越来越流行。一旦宏病毒感染发生，就会感染程序的建立和打开 文件夹模板程序。一旦模板被感染，所有藉由此模板建立和打开的文件都会被感染。Concept, Marker, 和Melissa 就

7、是很出名的宏病毒。脚本病毒与宏病毒类似。最大区别在于，宏病毒是以特定软件程序语言为基础，而而脚本病毒是以操作系统理解的语言编程，譬如说Windows脚本主机功能就可以执行VB脚本语言。典型的脚本病毒有First 和 Love Stages病毒。2.1.3 病毒模糊技术现在的病毒变得越来越复杂，一般使用多种障眼法达到掩盖自己的目的。病毒越难查出，危害性就越大。下面介绍几种典型的病毒模糊技术。 自我加密和自我解密 有一些病毒能够加密和解密他们的病毒代码，这样就可以躲避杀毒软件的直接检查。使用加密的病毒可能会使用多层加密或是随机加密密钥，这样即使是病毒本身代码是一样的，看起来也有天壤之别。 多态化

8、多态化是自我加密的形式多样化。一般来说，多态化实现默认加密设置的改变，解码也会随之改变。在多态化病毒中，病毒本身的内容没有改变，加密只改变其外在形式。 变形记 变形记的思路是改变病毒本身实质，而不是使用加密隐藏其实质。病毒的改变有几种方式，譬如，在源代码中加入不必的代码顺序，或是更改源代码的顺序。被替换的代码被重新编译，其执行的时候看起来似乎完全不同。 秘密病毒(stealth)这种病毒使用多种技术隐藏病毒特征。 装甲 使用装甲的目的就是为了阻止杀毒软件或是专家分析病毒功能 隧道法(tunneling)这种病毒一般潜在操作系统的下层接受底层的操作系统请求。由于其位于杀毒软件之下，借用操作系统就

9、可以防止其被杀毒软件查出。杀毒软件厂商都下大力气防止病毒模糊技术。一些老式的模糊技术，譬如自我加密，多态化，和秘密行动，杀毒软件都能有效地处理。但是新的更加复杂的，譬如，变形技术，现在还很难查杀。2.2蠕虫蠕虫能够实现自我复制的程序，蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播，传染途径是通过网络、电子邮件以及优 盘、移动硬盘等移动存储设备。蠕虫程序主要利用系统漏洞进行传播。它通过网络、电子邮件和其它的传播方式，象生物蠕虫一样从一台计算机传染到另一台计算 机。因为蠕虫使用多种方式进行传播，所以蠕虫程序的传播速度是非常大的。蠕虫侵入一台计算机后，首先获取其他计算机的IP地

10、址，然后将自身副本发送给这些计算机.蠕虫病毒也使用存储在染毒计算机上的邮件客户端地址簿里的地址来传播程序。虽然有的蠕虫程序也在被感染的计算机中生成文件，但一般情况下，蠕虫程序只占用内存资源而不占用其它资源。2.3 木马其名称来源于希腊神话，木马是一种非自我复制程序，但是实际上带有隐蔽的恶意动机。一些木马使用恶意版本替代现有文件，譬如系统和程序中的可执行代码;还有一些在现有文件中添加另外的程序重写文件。木马一般有以下三种模型： 执行正常系统的功能的同时，执行单独的，不相关的恶意活动(譬如，在执行游戏程序的时候收集程序密码) 执行正常系统功能的同时，修正其功能执行恶意活动，或是掩盖恶意活动 完全期

11、待正常系统功能执行恶意程序功能木马很难被检测到。因为木马病毒在设计之初就掩盖了其在系统中的现形，并且执行了原程序的功能，用户或是系统管理员很难察觉。现在还有一些新的木马使用了模糊化技术躲避检测。现在，使用木马传播间谍软件越来越频繁。间谍软件一般与支持软件捆绑，譬如说一些点对点的文件共享软件;一旦用户安装了这些貌似正常的软件，间 谍软件亦随之安装。木马病毒还会传播其它种类的攻击者工具到系统中，借此可以实现XX的访问或是使用感染的系统。这些工具要么是与木马捆绑，要么是木 马替代系统文件之后再下载。木马会导致系统严重的技术问题。譬如说，替代正常系统可执行文件的木马可能会导致系统功能的不正常运行。与间

12、谍软件相关的木马对系统的破坏性特 别大，有可能会导致系统不能正常运行。木马及其安装的相关工具会消耗大量的系统资源，导致系统性能的严重下降。著名的木马病毒有SubSeven, Back Orifice和Optix Pro.等等。2.4恶意的移动代码移动代码可以在不需要用户指示的情况下实现远程系统在本地系统上的执行。这是编程方法现在很流行，编写的程序被广泛使用于操作系统和应用程序 上，譬如说，网络浏览器和电子邮件应用程序。尽管移动代码本身不坏，但是黑客们却发现恶意的移动代码是攻击系统的有效工具，也是传播病毒，蠕虫和密码的良 好机制。恶意移动代码与病毒和蠕虫很不同的地方在于它不感染文件或是自我复制。

13、与利用利用系统漏洞不同的是，它利用的是系统给于移动代码的默认优先权。编 写恶意移动代码的受欢迎的语言包括Java, ActiveX, JavaScript, 和 VBScript.。其中最出名的恶意移动代码是使用Java脚本的Nimda。2.5 混合攻击混合攻击使用多种感染或是攻击方式。著名的Nimda蠕虫实际上就是很典型的混合攻击。它使用了四种分布方法： 电子邮件 一旦用户打开了恶意的邮件附件，Nimda就会利用浏览器上的漏洞展现基于HTML语言的电子邮件。一旦感染了主机，Nimda就会寻找主机上的电邮地址然后发送恶意邮件。 Windows共享 Nimda扫描网络服务器，寻找微软的网络信息服

14、务(IIS)上的已知漏洞。一旦发现有漏洞的服务器，马上就会发送复件到这台服务器上感染服务器和文件。 网络客户端 如果有漏洞的网络客户端访问了被Nimda感染的网络服务器，那么客户服务器也被感染了。除了使用上述描述的方法之外，混合攻击可以通过即时通讯和点对点文件共享软件传播。人们很多时候把混合攻击误认为蠕虫，因为它具有蠕虫的一些特 征。实际上，Nimda具有病毒，蠕虫和恶意移动代码的特征。另外一个混合攻击的例子是Bugbear，它既是海量邮件蠕虫也是网络服务蠕虫。由于混合攻 击比单一恶意软件更加复杂，所以更难制造。混合攻击并非同时使用多种方式发动攻击，它们可以依次感染。它越来越作为传播和安全木马

15、的流行方式。2.6 跟踪cookiesCookies就是上网时留下的数据文件。Session cookies是对单一网站session有效的临时cookies。长期cookies是未定义地存储在计算机上的cookies以便在以后的访问中确认用户。长期cookies记录下了用户对于网站的喜好以便用户下次的访问。这样长期cookies就可以更加有效地帮助网站服务客户了。但是，不幸的是，长期cookies会被滥用跟踪用户的网络浏览记录。譬如说，一家市场调查公司可能会在很多网站上发布广告，然后使用 cookie跟踪用户访问网站的情况，借此调查用户的行为特征。这叫做跟踪cookies。有跟踪cookie

16、s搜集到的信息出售给第三方以便更加有效地 发布广告。绝大多数的间谍软件检测和移动工具都可以寻找系统中的跟踪cookies。另外一个获取用户私人信息的方法是网络bug的使用。网络bug是存在于网页中HTML内容中的小图像。这个小图像除了搜集用户浏览HTML的 信息之外，别无其它用途。一般用户看不到网络bug，因为它只有一个像素大小。正如跟踪cookies一样，它也为市场调查机构广泛使用。他们可以收集用 户IP地址或是网络浏览器类型，还可以访问跟踪cookies。所有这些使得网络bug可以被间谍软件利用构建用户的个人信息。2.7攻击者工具作为恶意软件和其它系统威胁的一部分，各种各样的攻击者工具都可

17、以发送到系统中。这些工具包括各式恶意软件，会让攻击者XX访问或是使用被 感染系统及其数据，或是发动攻击。一旦被其他恶意软件传播，攻击者工具就会变成恶意软件的同伙。譬如，一台感染蠕虫的系统会直接受蠕虫的指示访问特定的恶 意网站，下载工具，然后安装到系统中。下面介绍几种流行的攻击者工具：2.7.1 后门程序后门程序是对监听TCP或是UDP端 口命令恶意软件的统称。绝大多数的后门程序包括客户端和服务器两部分。客户端在攻击者的远程计算机上，服务器端位于感染的系统上。一旦客户端和服务器之间 连接上，远程攻击者就会实现对感染计算机一定程度上的控制。即使最不济的后门程序也会允许攻击者执行一定的系统命令，譬如

18、文件传输，获取密码，或是执行模 糊命令。后门程序也有一些功能，如下： 僵尸 最主流的僵尸就是DDoS攻击代理。攻击者可以使用远程命令控制大量计算机对同一目标发动攻击。著名的DDoS攻击代理有Trinoo 和Tribe Flood Network. 。 远程管理员工具(RAT) 从字面意义上说，RAT会使攻击者得到其想要的访问权限。绝大多数的RAT 都可以让攻击者访问系统功能和数据。包括监视系统屏幕上出现的任何东西，或是远程控制系统设备，譬如摄像头，麦克风等。著名的RAT包括Back Orifice和Netbus等。2.7.2 键盘记录器键盘记录器用来监视和记录键盘的使用记录。键盘记录器记下输入

19、到系统中的信息，诸如电子邮件内容，用户名和密码，或是金融信息。有一些键盘记录 器需要攻击者从系统中找寻数据，还有一些会自动将数据通过电子邮件等发送到系统中。KeySnatch, Spyster, 和 KeyLogger Pro都是常用的键盘记录器。2.7.3 RookitsRookit是指一些安装到系统中的文件，采取恶意的和偷偷摸摸的方式替代系统的正常功能。在一些操作系统中，譬如Unix和Linux 中，rookits修正或是代替数以百计的文件。在其它操作系统中，譬如Windows中，rookit修正或替代文件或是仅仅存在于内存中，或是修正操 作系统内置系统请求的使用。许多经rookit修改过

20、的文件都会隐藏rookit的存在，这样就使得rookit的探测变得异常困难。譬如说， rookit经常用来安装其它形式的攻击工具，后门程序或是键盘记录器等。一些rookit包括LRK5, Knark, Adore, 和Hacker Defender(黑客防御者).2.7.4 网络浏览器插件网络浏览器帮助用户浏览网络上的内容。攻击者常常借用插件传播间谍软件。一旦安装到浏览器中，这些插件就会监视浏览器的所有所有记录，譬如网页 浏览记录，然后将其报告给第三方。因为插件是在浏览器打开的时候自动加载的，这就提供了监视系统网络活动的简单的方法。有一些恶意的网络插件是间谍软件拨 号器，它们使用调制调解线在未

21、经用户允许的情况下拨打电话号码。一般说来，拨打的号码都是高收费电话或是紧急电话。2.7.5 电子邮件生成器恶意软件可以通过电子邮件生成程序传播到系统中，这样在用户不知情的情况下就会发生大量的邮件到其它的系统中。攻击者一般使用电子邮件生成器发生恶意软件，间谍软件或是垃圾邮件或是其它内容到收件人清单。2.7.6 攻击者工具包攻击者使用包含多种工具和脚本的工具包探测和攻击系统。一旦系统受到恶意软件或是其它方式的攻击，攻击者就会在系统中下载和安装工具包。然后工具包就会借此对这一系统或是其它系统发动攻击。在攻击者工具包中常见的程序： 信息包探测器 信息包探测器用来监视网络流量和获取信息包。信息包探测器一

22、般可以嗅探到所有的信息包或是包含某一特征的信息包(TCP端口，或是特定IP地址)。绝大多数的信息包嗅探器也是协议分析器，也就是说它们可以重新配置来自于各个信息包的流量，然后解密使用各种各样协议的通讯。 端口扫描器 端口扫描器远程扫描系统中开放的端口。以此帮助黑客找到潜在的攻击目标。 漏洞扫描器 漏洞扫描器用来寻找本地或是远程系统上的漏洞。以此帮助黑客成功对系统发动攻击。 密码破解器 使用密码破解器破解操作系统和应用程序密码。绝大多数的破解工具都尝试猜测密码或是试遍可能的密码。找出加密密码的时间长短不一，取决于加密手段或是密码本身的复杂程度。 远程登录程序 攻击者常常使用SSH( Secure

23、Shell安全外壳)和telnet(用于远程联接服务的标准协议或者实现此协议的软件)远程登录其它系统。攻击者可以利用这些程序实现很多目的，譬如控制受到威胁的系统，在系统之间传输数据。 攻击 攻击者常常使用各种各样的工具或是脚本对本地或是远程系统进行攻击。攻击者想要达到各种各样的目的，包括危害系统或是发动DoS攻击。实际上，攻击者工具包中的攻击工具作用两面的，关键是使用它们的人。譬如，信息包嗅探器和协议分析器经常为网络管理员所用寻找网络通讯问题，也 可以为攻击者所用窃听私人通讯。上网管理人员可以利用密码破解器测试系统密码的强度。还有些工具内置到操作系统中作为诊断或是管理工具。因此，上述工具的 出

24、现并不一定意味着风险的发生。2.8 非恶意软件威胁主要讨论两种形式的与恶意软件相关的非恶意软件风险。第一是网络钓鱼;第二是病毒欺骗2.8.1 网络钓鱼网络钓鱼指的是利用欺骗性的基于计算机的方式引诱个人透露敏感的个人信息。为了执行网络钓鱼攻击，攻击者首先需要建立一个与知名企业类似的网站 或是假冒知名企业的邮件，譬如网上购物网站，信用卡发行机关或是金融机构。这些假冒的网站和邮件就是为了欺骗用户透露个人数据，特别是金融信息。譬如，网 络钓鱼者搜寻网上银行的用户名和密码，还有银行账号。网络钓鱼助长了很多犯罪行为，包括身份盗取和欺骗。在用户系统上安装恶意软件。常见的安装恶意软件的网络钓鱼包括假冒的广告促

25、销和网络上的弹出窗口。用户一不小心点击了这些东西的话，估计键盘记录器就已经安装的到系统了。这些都会令用户受伤。2.8.2 病毒欺骗正如其字面意思所指，病毒欺骗就是错误的病毒警告。这些错误的病毒一般被描述成破坏性极大，并且需要马上采取保护措施。大多数使用电子邮件发送 的病毒警报都是骗人的。病毒欺骗影响时间时间长，因为收到邮件的用户都会转发给别人提高警惕。尽管病毒欺骗很少造成破坏，但是有一些病毒欺骗知道用户修改 操作系统设置或是删除正常文件导致安全和操作问题。病毒欺骗还会消耗企业的精力，因为很多员工收到这类邮件之后会向技术部门报告，寻求技术支持或是提醒他 们。很出名的病毒欺骗是Good Times

26、(好日子)2.9 总结恶意软件已然成为绝大多数系统最大的外部威胁，给企业和个人带来了巨大的损失。要小心防范。在第三部分中，我们将详细介绍。三.恶意软件事件防范恶意软件防范的四个组成部分是政策，警惕性，漏洞处置和威胁处理。确保处置风险的政策是执行防范控制的基础。建立和管理用户对于恶意软件的警惕计划，对于那些直接与恶意软件打交道的IT人员加强警惕性培训，这些都是减少人为失误的重要因素。在漏洞处置上花费时间是减少攻击的重要因素。部署威胁处置技术和工具，譬如说杀毒软件和防火墙，能够成功地阻止对系统和网络的攻击。一旦规划了恶意软件防范方法，企业就应该做到对当前和将来一段时间的攻击因素做到心中有数。他们应

27、该知道系统的控制性能，因为这与防范方法的有 效性有很大的相关性。除此之外，企业还应该组合当前的防范措施，譬如杀毒软件部署和补丁管理，融入到恶意软件的防范措施中。尽管如此，企业应该意识到，不 管在恶意软件的防范上付出多少努力，最终还是会发生状况。正所谓百密终有一疏。3.1 安全政策企业需要有相应的政策防范恶意软件事件。这些政策应该作为额外的恶意软件防范措施的基础(警惕性，漏洞处置和风险处置)。如果企业不能在安全政 策中清晰地表述恶意软件防范需要考虑的事项，那么要想实现恶意软件防范的连贯性和有效性就是空谈。恶意软件防范相关的政策要有较大的灵活性以便减少修改的 必要，但是同时在关键措施上也要足够详细

28、。尽管一些企业有单独的恶意软件相关的政策，但是很多是包含在其它措施之中的，因此现行的安全政策有些可以借用相 关的内容。恶意软件防范也要把远程工作地员工纳入到考虑范围。一般的恶意软件防范政策考虑的因素包括如下几个方面： 邮件附件包括压缩文件在打开之前进行杀毒扫描 禁止使用电子邮件收发某些文 禁止使用不必要的软件，譬如说那些经常传播恶意软件的应用程序(即时通讯软件，桌面搜索引擎，点对点的文件共享软件)，禁止使用公司已经提供的服务之外的相似软件，譬如说电子邮件功能。 限制用户的管理员权限，这样防止用户通过使用管理员权限传播恶意软件 操作系统和应用程序的实时更新和下载补丁 限制移动媒介的使用，软盘，C

29、D，USB接口闪存的使用 对症下药。不同的系统(文件服务器，电子油价服务器，代理服务器，主机，PDA)使用不同的防范软件(杀毒软件，间谍软件检测和移除工具)。保证软件的实时更新。 使用企业允许的和安全机制访问外部网络 防火墙设置的修改需要通过正式的程序 限制移动设备在信任网络上的使用3.2 警惕性一个行之有效的警惕性计划规定了用户使用企业IT系统和信息的行为规范。相应地，警惕性计划应该包括对恶意软件事件防范的指导，这可以减少恶意 软件事件的频度和危害性。企业中的所有用户都应该知晓恶意软件入侵，感染，和在系统中传播的渠道;恶意软件造成的风险;恶意软件按防范技术的短板;用户在 恶意软件防范中的重要

30、性。警惕性教育要考虑不同系统环境的不同特征，譬如说那些出差的员工。除此之外，警惕性教育计划还应该渗透上面讨论的安全政策中的一 些政策。以下列举数例考虑的因素： 不要随意下载可疑的邮件附件 不要点击可疑的网站漂浮图表 不要点击可能包含恶意内容的网站连接 不要要打开.bat,.com,.exe,.pif,.vbs,等后缀名的文件，因为它们常常与恶意软件相关 不要禁止附加的安全控制机制 不要在例行的系统操作中使用管理员账号 不要下载或执行来自于非信任网站上的程序总之，企业应该保证用户了解恶意软件处理的政策和程序，包括怎么样确认系统已被感染，怎么样报告可疑的感染，用户在风险处理中可以做些什么(升 级杀

31、毒软件，扫描系统中的恶意软件)。用户应该知道在发生风险之后怎么样通过可信任的渠道报告。用户还要知道一些简单的处置风险方法，譬如断开受感染系统 的网络，阻止某些邮件附件作为警惕性教育的一部分，企业要教育用户明了犯罪分子常用的欺骗伎俩。还有一些常用的应对网络钓鱼攻击的建议： 不要回复询问金融信息和个人信息的邮件。企业最好也不要使用电子邮件询问这些信息，因为电子邮件很可能会被XX的第三方监视。你可以电询企业的电话或是访问其官方网站。千万不要使用电子邮件中提供的联系信息。 不要在电子邮件中回复密码，PIN(个人身份号码)码或是其他代码。一定要访问企业的官方网站。 不要打开可疑的电子邮件附件。如果收到这样的附件，与发件人联系确认。 不要回复任何可疑的邮件。直接将其移到黑名单中。尽管用户警惕性教育会减少恶意软件事件发生的频度和危害性，但是其作用与漏洞的技术控制和风险处置相比还是很小的。企业不能仅仅借此来防范恶意软件，它只能作为技术手段的一种补充。不管怎么说，企业IT人员都应该对恶意软件防范有一些基本的常识，对其它员工的教育应该让他们知道其责任以及在恶意软件按防范中做些什么。除此之外，企业IT