PowerPoint 演示文稿

Size: px

Start display at page:

Download "PowerPoint 演示文稿"

导肃邰
5 years ago
Views:

第 14 章恶意代码攻击第 14 章恶意代码攻击中国科学技术大学曾凡平 billzeng@ustc.edu.cn 14.1 恶意代码概述 14.2 计算机病毒概述 14.3 几种常见恶意代码的实现机理 14.4 网络蠕虫 14.5 木马 14.6 恶意活动代码的防御恶意代码攻击 2 14.

1 第 14 章恶意代码攻击第 14 章恶意代码攻击中国科学技术大学曾凡平 14.1 恶意代码概述 14.2 计算机病毒概述 14.3 几种常见恶意代码的实现机理 14.4 网络蠕虫 14.5 木马 14.6 恶意活动代码的防御恶意代码攻击恶意代码概述恶意代码最初是指最传统意义上的病毒和蠕虫随着攻击方式的增多, 恶意代码的种类也逐渐增加木马后门恶意脚本广告软件间谍软件等都是恶意代码恶意代码的定义定义一恶意代码是任何的程序或可执行代码, 其目的是在用户未授权的情况下更改或控制计算机及网络系统恶意代码的定义定义二恶意代码又称恶意软件这些软件也可称为广告软件 (adware) 间谍软件 (spyware) 恶意共享软件 ( malicious shareware) 是指在未明确提示用户或未经用户许可的情况下, 在用户计算机或其他终端上安装运行侵犯用户合法权益的软件与病毒或蠕虫不同, 这些软件很多不是小团体或者个人秘密地编写和散播, 反而有很多知名企业和团体涉嫌此类软件有时也称作流氓软件恶意代码攻击 3 恶意代码攻击 4 恶意代码的定义定义三恶意代码是指故意编制或设置的对网络或系统会产生威胁 ( 或潜在威胁 ) 的计算机代码最常见的恶意代码有计算机病毒 ( 简称病毒 ) 特洛伊木马 ( 简称木马 ) 计算机蠕虫 ( 简称蠕虫 ) 后门逻辑炸弹等最近有人把不需要的代码 (Unwanted Code) 也归类为恶意代码 Unwanted Code 是指没有作用却会带来危险的代码, 包括所有可能与某个组织安全策略相冲突的软件恶意代码攻击恶意代码的分类根据编码特征传播途径发作表现形式及在目标系统中的存在方式等, 人们通常将恶意代码分为病毒木马蠕虫陷阱逻辑炸弹谍件 (Spyware) 口令破解嗅探器键盘输入记录软件脚本攻击程序和恶意网络代码等根据其代码是否独立, 可以将其分成独立的和寄生的恶意代码独立的恶意代码能够独立传播和运行, 是一个完整的程序, 它不需要寄宿在另一个程序中非独立的恶意代码只是一段代码, 必须寄生在某个程序 ( 或文档 ) 中, 作为该程序的一部分进行传播和运行恶意代码攻击 6 1

2 恶意代码的分类 (1) 后门根据其是否能自我复制 ( 自动传染 ), 可以将其分成广义病毒及普通的恶意代码对于非独立恶意代码, 自我复制过程就是将自身嵌入宿主程序的过程, 这个过程也称为感染宿主程序的过程对于独立恶意代码, 自我复制过程就是将自身传播给其他系统的过程不具有自我复制能力的恶意代码必须借助其他媒介进行传播传统意义上的病毒是狭义病毒, 指同时具有寄生和传染能力的恶意代码后门也被称为陷阱, 它是某个正常程序的秘密入口, 通过该入口启动程序, 可以绕过正常的访问控制过程因此, 获悉后门的人员可以绕过访问控制过程, 直接对资源进行访问后门最初的作用是程序员开发具有鉴别或登录过程的应用程序时, 为避免每一次调试程序时都需输入大量鉴别或登录过程所需要的信息, 通过后门启动程序的方式来绕过鉴别或登录过程当程序正式发布时, 程序员会删除该后门后来程序员有意在程序中留下后门, 以防止非授权用户的盗用再后来, 某些 ( 尤其是免费的共享 ) 软件故意留下后门, 以窃取目标系统的敏感信息恶意代码攻击 7 恶意代码攻击 8 (2) 逻辑炸弹 (3) 间谍软件逻辑炸弹是包含在正常应用程序中的一段恶意代码, 当某种条件出现, 如到达某个特定日期增加或删除某个特定文件等, 将触发这一段恶意代码, 执行这一段恶意代码将导致非常严重的后果, 如删除系统中的重要文件和数据使系统崩溃等逻辑炸弹最初是程序员用于保护版权而采取的手段, 一般不破坏目标系统后来被用于讹诈和报复非授权用户, 会对系统造成破坏间谍软件 (Spyware) 与商业软件产品有关有些商业软件产品在安装到用户机器上的时候, 未经用户授权就通过 Internet 连接, 让用户方软件与开发商软件进行通信, 这部分通信软件就叫做谍件用户只有安装了基于主机的防火墙, 通过记录网络活动, 才可能发现软件产品与其开发商在进行定期通讯谍件作为商用软件包的一部分, 多数是无害的, 其目的大多在于扫描系统, 取得目标系统的一些状态信息, 以更好地改进软件产品恶意代码攻击 9 恶意代码攻击 10 (4) 特洛伊木马 (5) 病毒特洛伊木马也是包含在正常应用程序中的一段恶意代码, 一旦执行这样的应用程序, 将触发恶意代码木马的功能主要在于削弱系统的安全控制机制, 尤其是访问控制机制远程访问特洛伊 RAT(Remote Access Trojan) 是安装在受害者机器上, 实现非授权的网络访问的程序 RAT 可以伪装成其他程序, 迷惑用户下载安装目前值得关注的是一些提供免费软件的网站强制用户安装其下载软件才能完成软件的下载, 这很可能附带了某些附加功能, 有可能侵害用户的隐私因此, 下载免费软件时要特别慎重这里的病毒是狭义病毒, 即传统意义上的病毒, 指那种既具有自我复制能力, 又必须寄生在其他程序 ( 或文件 ) 中的恶意代码它和陷阱门逻辑炸弹的最大不同在于自我复制能力通常情况下, 陷阱门逻辑炸弹不会感染其他实用程序, 而病毒会自动将自身添加到其他实用程序中恶意代码攻击 11 恶意代码攻击 12 2

3 (6) 蠕虫 (7) 僵尸 (Zombie) 蠕虫也是一种病毒, 但它和狭义病毒的最大不同在于自我复制过程病毒的自我复制过程需要人工干预, 无论是运行感染病毒的实用程序, 还是打开包含宏病毒的电子邮件, 都不是由病毒程序自我完成的蠕虫的传播不需要人工干预, 他其实是能完成特定攻击过程的自治软件, 它自动完成以下任务 : 1 查找攻击对象 : 利用网络侦察技术查找下一个存在漏洞的目标 2 入侵目标 : 利用漏洞入侵目标系统 3 复制自己 : 复制自己到被攻击的系统, 并运行它 Zombie( 俗称僵尸 ) 是一种在被入侵者控制的系统上安装的能对某个特定系统发动攻击的恶意代码 Zombie 主要用于定义恶意代码的功能, 并没有涉及该恶意代码的结构和自我复制过程, 因此, 分别存在符合狭义病毒的定义和蠕虫定义的 Zombie 恶意代码攻击 13 恶意代码攻击 14 (8) P2P 系统基于 Internet 的点到点 (peer-to-peer) 应用程序已经广泛应用于因特网然而, 从安全性考虑, P2P 软件对于企业是十分不利的 P2P 程序可以通过 HTTP 或者其他公共端口穿透防火墙, 直接连接到企业的内部网这种连接如果被利用, 就会给组织或者企业带来很大的危害对于企业信息网络的安全性而言, 在某种程度上可以将 P2P 软件看作恶意代码恶意代码长期存在的原因利益的驱使是恶意代码泛滥的主要原因, 另外软件漏洞也是恶意代码得以传播的主要因素 (1) 利益驱使如果无利可图, 则没有人会冒着触犯法律的风险去散布和利用恶意代码正是因为盗号木马网银木马等恶意软件可以获得巨大的物质利益, 而间谍软件等可以窃取用户的隐私进而讹诈用户, 才使得攻击者乐此不疲研发出越来越先进的恶意代码恶意代码攻击 15 恶意代码攻击 16 (2) 系统和应用软件存在漏洞 14.2 计算机病毒概述软件漏洞是导致网络信息系统安全的最根本原因分析与测试是发现软件漏洞的主要技术手段然而由于软件的复杂性, 在现有的资源条件下要对所有软件进行彻底分析与测试是一个尚待解决的世界难题这就导致现有软件不可避免地存在缺陷和漏洞, 这正是恶意代码赖以存在的基础在此讨论的计算机病毒是指狭义病毒, 即同时具有寄生性和感染性的恶意代码计算机病毒将自身的精确拷贝或者可能演化的拷贝放入或链接入其他程序, 从而感染其他程序计算机病毒的起源计算机病毒的设想出现于 1949 年冯. 诺依曼 (John Von Neumann) 的一篇论文复杂自动装置的理论及组织的进行, 该论文描述了一种能自我繁殖的程序的构想在当时, 绝大多数计算机专家都无法想象这种会自我繁殖的程序能够实现, 但仍有少数人在研究这种会自我繁殖的程序恶意代码攻击 17 恶意代码攻击 18 3

4 磁芯大战 (core war) 经过十几年的努力, 这种程序以一种叫做磁芯大战 (core war) 的电脑游戏的形式产生了磁芯大战是当时美国电报电话公司 (AT&T) 的贝尔实验室中三个年轻程序员发明出来的, 他们是道格拉斯. 麦耀莱 (Douglas Mallory), 维特. 维索斯基 (Victor Vysottsky) 以及罗伯特. 莫里斯 (Robert T. Morris) 其中的莫里斯就是后来制造了莫里斯蠕虫的罗特莫里斯的父亲磁芯大战 (core war or core wars) 其实就是汇编程序间的大战程序在虚拟机中运行, 并试图破坏其他程序, 生存到最后即为胜者由于能自我复制的病毒程序很可能对现实世界带来无穷的祸害, 长久以来, 懂得玩磁芯大战游戏的电脑工作者都严守一项不成文的规定 : 不对大众公开这些程序的内容然而, 这项规定在 1983 年被科恩. 汤普逊 (Ken Thompson) 打破了科恩. 汤普逊是当年一项杰出电脑奖的得主, 在颁奖典礼上, 他作了一个演讲, 不但公开证实了电脑病毒的存在, 而且还告诉所有听众怎样去写自己的病毒程序潘多拉之盒就此被打开, 许多程序员都了解到了病毒的原理, 进而开始尝试编制这种具有隐蔽性攻击性和传染性的特殊程序恶意代码攻击 19 恶意代码攻击 20 巴基斯坦智囊病毒 1986 年, 巴基斯坦的 Basit 和 Amjad 为了打击那些盗版软件的使用者, 设计出了一个名为巴基斯坦智囊的病毒巴基斯坦智囊病毒只传染软盘引导区, 这就是世界上最早流行的真正意义上的病毒病毒的分类 (1) 引导型病毒主要感染计算机系统的引导部分, 在系统启动时就运行了病毒它感染软盘硬盘的引导扇区或主引导扇区, 在用户对软盘硬盘进行读写操作时进行传播自此以后, 病毒从隐秘走向公开, 先是利用磁盘, 然后是利用网络, 迅速在全世界范围内扩散开来, 成为了电脑用户的头号敌人这种病毒在早期很流行, 然而这种病毒技术过于简单, 无法抵挡反病毒软件的查杀, 现在已经基本绝迹了恶意代码攻击 21 恶意代码攻击 22 (2) 文件型病毒它主要感染可执行文件 ( 如感染 Windows 系统的 PE 病毒和感染 Linux 系统的 ELF 病毒 ) 只要运行被感染的可执行文件, 病毒就被加载并感染其它未中病毒的可执行文件实现这种病毒要较高的编程技巧, 难于编制, 然而这种病毒也容易被查杀, 因此现在也较少出现 (3) 混合型病毒就是既能感染引导区, 又能感染文件的病毒混合型病毒的目的是为了综合利用以上二种病毒的传染渠道进行破坏这种病毒也不多见了 (4) 变形病毒病毒传染到目标后, 病毒自身代码和结构会发生变化, 使得杀毒软件难于发现其特征, 以抵抗杀毒软件这一类病毒使用一个复杂的编解码算法, 使自己每传播一份都具有不同的内容和长度它们一般是由一段混有无关指令的解码算法和被改变过的病毒体组成以上四类病毒因为要改变可执行文件或引导区的内容, 而正常程序一般是不会修改另一个可执行程序的, 所以只要杀毒软件监控是否有可执行程序被修改就可以发现病毒故此这类病毒的存活率在目前看来是很低的恶意代码攻击 23 恶意代码攻击 24 4

5 (5) 脚本病毒利用脚本语言如 Javascript VBscript 编写的病毒这些病毒一般嵌入在 html 等文本文件中, 作为文本文件的一部分而存在 (6) 宏病毒是利用高级语言宏语言编制的病毒, 与前几种病毒存在很大的区别宏病毒充分利用宏命令的强大系统调用功能, 实现某些涉及系统底层操作的破坏宏病毒仅向 WORD EXCEL 和 ACCESS POWER POINT PROJECT 等办公自动化程序编制的文档进行传染, 而不会传染给可执行文件脚本病毒和宏病毒保存在文档中, 而文档是允许经常被修改的, 故反病毒软件难于区分是正常修改还是病毒感染文件也就是说, 较难查杀脚本病毒和宏病毒恶意代码攻击病毒的特性 (1) 感染性感染性是指病毒具有把自身的拷贝放入其他程序的特性, 这是计算机病毒最根本的属性, 是判断某些可疑程序是否是病毒的主要标准感染计算机病毒的程序一旦被执行, 则病毒代码首先被执行, 然后根据触发条件决定是执行原来的程序还是感染其他文件病毒会搜寻其他符合其感染条件的程序或存储介质, 确定目标后再将自身代码插入其中, 达到自我繁殖的目的恶意代码攻击 26 (2) 非授权性 (3) 潜伏性正常程序的执行先是由用户启动 ( 通过鼠标点击或通过命令行输入命令 ), 再由系统分配资源, 最后完成某些给定的任务正常程序的目的对用户是可见的透明的而病毒隐藏在正常程序中, 当用户启动正常程序时窃取到系统的控制权, 先于正常程序执行, 病毒的动作目的对用户是未知的, 是未经用户允许的为了提高病毒的存活率, 病毒入侵系统后并不是马上发作, 而是尽量感染更多的计算机和文件, 这段时间的计算机并未表现异常, 也就难以被用户察觉另外, 病毒一般是用短小精悍的汇编代码编写的, 通常附在正常程序中或磁盘较隐蔽的地方, 也有个别的以隐含文件形式出现, 如果不经过代码分析, 病毒程序与正常程序不易区分计算机病毒的这种隐蔽自己使人难以发现的特性称为潜伏性恶意代码攻击 27 恶意代码攻击 28 (4) 可触发性不能被激活的病毒是没什么危害的一般的说, 计算机病毒会因某个特定的条件 ( 如时间数值指令 ) 而激活, 激活后的病毒会攻击目标系统病毒的这种能被激活的特性被称为可触发性 (5) 破坏性破坏文件或数据, 扰乱系统正常工作的特性称为破坏性侵入系统的病毒都会影响目标系统的运行, 轻者会降低计算机的工作效率, 占用系统资源, 重者可导致系统崩溃早期的计算机病毒以删除文件格式化磁盘破坏分区表等极端的恶意攻击为主, 其影响极为恶劣, 往往会遭致全人类的强烈谴责现在的病毒很少再做这种极端的破坏, 而是和一些黑客技术相结合, 窥探修改窃取系统的某些敏感信息, 最终目的是获取经济利益恶意代码攻击病毒的结构计算机病毒引导模块感染模块触发模块破坏模块图 14-1 计算机病毒的组成恶意代码攻击 30 5

6 (1) 引导模块引导模块是病毒的入口模块, 它最先获得系统的控制权引导模块首先将病毒代码引导到内存中的适当位置, 其次调用感染模块进行感染, 然后根据触发模块的返回值决定是调用病毒的破坏模块还是执行正常的程序 (2) 感染模块感染模块负责完成病毒的感染功能, 这是病毒最核心最关键的代码, 需要极高的技术才能设计出来它寻找要感染的目标文件, 判断该文件是否已经被感染了 ( 通过判断该文件是否被标上了感染标志 ) 如果没有被感染, 则进行感染, 并标上感染标志病毒的模块结构 (3) 触发模块触发模块对预先设定的条件进行判断, 如果满足则返回真值, 否则返回假值触发的判断条件通常是时间记数特定事件特定程序的执行等 (4) 破坏模块破坏模块完成具体的破坏作用, 其破坏形式和表象由病毒编写者的目的决定恶意代码攻击 31 恶意代码攻击几种常见恶意代码的实现机理首先需要说明的是, 制作和传播计算机病毒是有罪的刑法第二百八十六条第三款规定 : 故意制作传播计算机病毒等破坏性程序, 影响计算机系统正常运行, 后果严重的, 依照第一款的规定处罚即会处五年以下有期徒刑或者拘役 ; 后果特别严重的, 处五年以上有期徒刑为了更有效的防止恶意代码的侵害, 本节分析几种常见恶意代码的实现机理, 包括脚本病毒宏病毒浏览器恶意代码 U 盘病毒网络蠕虫和 PE 病毒恶意代码攻击脚本病毒脚本 (Script) 病毒是用脚本语言编写的病毒由于脚本语言比较容易掌握, 编写脚本病毒的技术门槛较低, 导致脚本病毒成为了当前危害最大且最流行的病毒之一脚本病毒主要使用的脚本语言是 VBScript 和 JavaScript VBScript 是微软公司出品的 Visual Basic Script 的简称, 即 Visual Basic 脚本语言, 有时也被缩写为 VBS JavaScript 是一种 Java 脚本语言, 广泛应用于动态 Web 页面中 Windows 环境下的脚本病毒一般用 VBScript 编写, 而 Linux 环境下的脚本病毒大多用 JavaScript 编写恶意代码攻击宏病毒脚本病毒的载体可以是独立的文件 ( 比如 VBS 文件 ), 也可以附加在其他非可执行文件之中, 或者同时以这两种方式存在曾经广为流传的欢乐时光病毒及其升级版新欢乐时光病毒就是典型的脚本病毒只要对其中的某些源代码做少量修改就可以编制出新的病毒读者可以在网络上查到这两种病毒的代码及其分析报告宏病毒是感染 Office 等文档的一类病毒为了提高文档的处理能力,Office 软件提供了宏这种类似于函数的可执行代码的一种方式, 使得文档可以自动处理某些事务比如现在的网上申报国家自然科学基金和 863 高技术计划等项目的系统就充分利用了办公软件的宏, 使得一些数据以标准而规范的形式出现在文档中由于宏可以访问本地资源, 如果滥用这种能力, 就会给系统带来巨大危害宏病毒就是利用了宏的功能实现一些恶意的功能恶意代码攻击 35 恶意代码攻击 36 6

微软公司的 Office 软件中的宏是用 VBA(Visual Basic For Application) 这样的高级语言写的由于 Basic 语言非常容易学习, 用宏来编写病毒不再是专业程序员的专利, 任何人只要掌握一些基本的宏编写技巧即可编写出破坏力极大的宏病毒随着 Office 软件在全世界的不断普及, 宏病毒成为传播最广泛危害最大的一类病毒 Word 文档 Excel 文档和

7 微软公司的 Office 软件中的宏是用 VBA(Visual Basic For Application) 这样的高级语言写的由于 Basic 语言非常容易学习, 用宏来编写病毒不再是专业程序员的专利, 任何人只要掌握一些基本的宏编写技巧即可编写出破坏力极大的宏病毒随着 Office 软件在全世界的不断普及, 宏病毒成为传播最广泛危害最大的一类病毒 Word 文档 Excel 文档和 PowerPoint 文档均提供宏这一工具我们以 WORD 宏病毒为例, 分析宏病毒的编制及工作原理在 WORD 处理文档的时候需要进行各种不同的动作, 如打开文件关闭文件读取数据资料以及储存和打印等等每一种动作都对应着特定的宏命令, 如存文件与 FileSave 相对应改名存文件对应着 FileSaveAS 打印则对应着 FilePrint 等等 WORD 打开文件时, 它首先要检查是否有 AutoOpen 宏存在, 假如有这样的宏,WORD 执行该宏, 除非在此之前系统已经被取消宏 (DisableAutoMacros) 命令设置成宏无效当然, 如果 AutoClose 宏存在, 则系统在关闭一个文件时, 会自动执行该宏恶意代码攻击 37 恶意代码攻击 38 图 14-2 宏病毒的例子浏览器恶意代码打开该文档后将会弹出一个窗口 This is a AutoOpen() Macro Virus 要防止宏病毒危害系统, 只要提高 Office 的宏安全级别就可以了在 WORD 的菜单中选工具宏安全性, 将宏的安全级别设置为高或非常高浏览器恶意代码是指在网页上嵌入的恶意代码, 当用户浏览网页时就可能运行了其中的恶意代码由于浏览网页成为了人们获取信息的主要手段, 在网页上嵌入恶意代码已经成为了入侵计算机的主要方法之一网页恶意代码其实也是一种脚本病毒, 主要用 Javascript 和 VBscript 等脚本语言编写由于脚本语言程序容易编写, 导致网页恶意代码的数量已经非常之多恶意代码攻击 39 恶意代码攻击 40 Google 公司曾经专门对网页恶意代码进行了一项调查, 结果表明 10% 的网页含有恶意代码另外一些正规网站为了经济利益也在其网页上设置了弹窗广告免费的网站大多在其网页上嵌入了恶意代码, 用于弹出广告植入木马收集用户信息等尤其值得注意的是绝大多数激情和免费小说网站的网页都存在恶意代码, 用户应洁身自好, 以免带来信息安全问题 U 盘病毒 U 盘病毒也称 AutoRun 病毒, 通过 U 盘的 AutoRun.inf 文件利用 Windows 自动播放的特性进行传播随着 U 盘移动硬盘存储卡等移动存储设备的普及,U 盘病毒也开始泛滥, 最典型的地方就是各个打字复印公司, 几乎所有计算机都带有这种病毒 U 盘病毒会在系统中每个磁盘根目录下创建 AutoRun.inf 病毒文件 ( 不是所有的 AutoRun.inf 都是病毒文件 ) 如果系统没有关闭 Windows 自动播放特性, 则用户双击盘符时系统根据 AutoRun.inf 文件的内容执行预定的命令, 这样就可激活指定的病毒激活的病毒会感染新插入的 U 盘, 导致一个新的病毒 U 盘的诞生恶意代码攻击 41 恶意代码攻击 42 7

$表 14-1 AutoRun.inf 的关键字 AutoRun.inf 关键字 [AutoRun] icon=x:\ 图标.ico open=x:\ 程序.$

8 表 14-1 AutoRun.inf 的关键字 AutoRun.inf 关键字 [AutoRun] icon=x:\ 图标.ico open=x:\ 程序.exe 或者命令行 shell\ 关键字 = 鼠标右键菜单中加入显示的内容 shell\ 关键字 \command= 要执行的文件或命令行说明表示 AutoRun 部分开始给 X 盘一个图标双击 X 盘执行的程序或命令右键菜单新增选项对应右键菜单关键字执行的文件只要设置 AutoRun.inf 文件的关键字, 就可以在打开 U 盘时执行指定的程序例如, 自动加载 notepad.exe, 并给盘符加上一个打开和我的资源管理器的右键菜单, 这两个菜单都指向 notepad.exe 文件,AutoRun.inf 文件的内容如下 : [AutoRun] open=notepad.exe shell\open= 打开 (&O) shell\open\command=notepad.exe shell\explore= 我的资源管理器 (&X) shell\explore\command=notepad.exe 恶意代码攻击 43 恶意代码攻击 44 将 AutoRun.inf 文件保存到 U 盘根目录, 当右击盘符时, 可以看到右键菜单已经变成自定义的菜单只要单击打开或我的资源管理器就会执行指定的程序避免这种病毒一个有效的方法是关闭自动播放, 设置方法是 : 开始运行 gpedit.msc 计算机配置管理模块系统, 在右边栏目找到关闭自动播放, 选择已禁用恶意代码攻击 PE 病毒 Windows 的可执行文件, 如 *,exe *.dll *.ocx 等, 都是 PE(Portable Executable) 格式文件, 即可移植的执行体感染 PE 格式文件的 Windows 病毒, 简称为 PE 病毒 PE 病毒是 Windows 环境下破坏力最强的一类病毒为了编写 PE 病毒, 需要对 PE 文件格式进行深入分析, 且需要掌握 Windows 汇编语言, 要具有较强的编程能力 PE 文件格式异常复杂, 微软公司在 2013 年 2 月 6 日提供的官方文档 pecoff_v83.docx 共 99 页, 下载地址为 : mware/pecoff.mspx 恶意代码攻击 46 PE 病毒中最难实现的是感染模块感染模块其实是向 PE 文件添加可执行代码, 要经过以下几个步骤 : 1 判断目标文件是否为 PE 文件 2 判断是否被感染, 如果已被感染过则跳出继续执行原程序程序, 否则继续 ; 3 将添加的病毒代码写到目标文件中这段代码可以插入原程序的节的空隙中, 也可以添加一个新的节到原程序的末尾为了在病毒代码执行完后跳转到原程序, 需要在病毒代码中保存 PE 文件原来的入口指针 4 修改 PE 文件头中入口指针, 以指向病毒代码中的入口地址 5 根据新 PE 文件的实际情况修改 PE 文件头中的一些信息罗云彬在 Windows 环境下 32 位汇编语言程序设计中给出了向 PE 文件中添加执行代码的实例为了便于读者研读, 笔者将该代码收录在随书光盘中读者只需做少量修改就可以实现病毒的感染模块, 感兴趣的读者可自行研究图 14-3 给出该实例的运行结果图 14-3 向 PE 文件中添加可执行代码恶意代码攻击 47 恶意代码攻击 48 8

9 添加代码后, 文件大小有所改变 : C:\work\ns\win32Code\bin>d ir mem*.exe :33 48,640 mem_distribute.exe :51 49,664 mem_distribute_new.exe 执行 mem_distribute_new.exe 后弹出如图 14-4 所示的对话窗口如果选择是, 则执行 mem_distribute.exe 的功能, 否则退出图 14-4 提示信息为了在不改变 PE 文件的大小的情况下实现病毒的感染, 可以用病毒代码替换原文件的某些节, 把原来的节进行压缩编码, 病毒运行时再进行解码 14.4 网络蠕虫网络蠕虫是一种自治的智能的恶意代码 ( 广义上的病毒 ), 可以看作是自动化的攻击代理蠕虫不需要附在别的程序内, 可能不用使用者介入操作也能自我复制或执行最初的蠕虫病毒定义是因为在 DOS 环境下, 病毒发作时会在屏幕上出现一条类似虫子的东西, 胡乱吞吃屏幕上的字母并将其改形恶意代码攻击 49 恶意代码攻击 50 网络蠕虫自动实现扫描入侵感染目标等攻击的全过程, 通过网络从一个节点传播到另一个节点, 代替攻击者实现一序列的攻击过程网络蠕虫实现机理现代蠕虫大多具有以下 3 个模块 : 侦察功能模块攻击功能模块通信功能模块更高级的蠕虫具有命令接口模块和数据库支持模块与一般的通过网络传播的病毒不同 : 通过网络传播的病毒通常是人为因素将其发送传播出去, 其行为是被动的 ; 网络蠕虫则不同, 它不需要或很少需要人为干预就可以将自身主动通过网络从一台计算机上传到另外一台计算机, 其传播感染速度比前者快得多侦察模块命令接口通信模块攻击模块数据库支持恶意代码攻击 51 图 14-5 网络蠕虫的模块结构恶意代码攻击 52 (1) 侦察模块常规网络攻击时, 攻击者在发起攻击前, 通过收集对分辨系统类型起关键作用的特性, 或者安全级别较高的漏洞信息, 来确定哪些系统可以成为其攻击目标蠕虫的攻击类似于此, 在攻击目标系统前必须对其环境, 比如网络拓扑结构防护措施等信息有一个较完整的判断, 从而判断目标是否能被攻击网络蠕虫的侦察模块组件是在自动模式下完成这项工作的, 其主要内容是扫描系统向可能的攻击目标发送扫描数据报, 探测有用信息根据返回的信息, 该模块就可以判断目标主机当前是否处于活动状态, 哪些端口是开放的, 以及正在运行的操作系统相关信息等, 进一步地还可以搜集到机器的重要配置情况恶意代码攻击 53 (2) 攻击模块蠕虫通过该模块可在非授权情形下侵入系统获取系统信息, 必要时可在被入侵系统上提升自己的权限其内容包括标准的远程攻击, 如缓冲区溢出利用 cgi-bin 错误木马植入等之所以要把攻击作为一个独立的模块独立出来, 主要原因是目标系统的种类很多, 攻击能否成功受限于被攻击的平台及所使用的攻击方法特定的攻击方法只适用于目标系统特定的漏洞或脆弱性恶意代码攻击 54 9

10 蠕虫的攻击模块 (3) 通信模块而要实现跨平台多手段攻击, 在某种意义上来说需要一个体积更加庞大的蠕虫, 这在一般情况下不易实现将攻击功能作为独立模块分离出来, 是一种比较好的解决方法, 甚至有些蠕虫可将各种攻击方法做成插件, 放入蠕虫体中攻击代码一般分为两个部分 : 一部分执行感染主机的任务, 一部分在被感染的主机上运行蠕虫的攻击代码可以是二进制代码, 也可以是一些解释型脚本语言蠕虫一般通过网络编程实现将攻击代码附着到远程主机上, 但在某些场合下, 可以使用一些简单的网络传输机制将自己发送到目标系统, 如邮件信息或文件传输用于实现与蠕虫制作者及其它蠕虫之间的信息交互现有的网络蠕虫都有一定的通信功能 : 一方面在其收集到有价值的信息后, 根据设计者的意图, 它可能需要将这些信息发送给某个特定的用户 ; 另一方面, 如果攻击者有意利用蠕虫, 他就会与该蠕虫进行通信恶意代码攻击 55 恶意代码攻击 56 (4) 命令接口模块为提高网络蠕虫的灵活性, 某些蠕虫提供了命令接口, 通过该命令接口我们可以采用手工方式控制传播出去的某些蠕虫, 进而可以控制受害主机, 类似于木马功能这种控制一方面提供了交互机制, 用户可以直接控制蠕虫的动作, 另一方面还可以让蠕虫通过一些通道实现自动控制这样, 蠕虫理论上就可以完成 DDoS 攻击攻击者采用的手段是通过命令接口为系统安装后门在 UNIX 系统上, 可以配置特定的木马守护程序, 用来获取用户的密码, 进而获取管理员访问权限在桌面系统如 Windows 和 Macintosh 系统中, 可以使用一个简单的木马程序来监听网络套接字命令, 监视其网络通信, 窃取敏感信息和资料至于蠕虫自身, 可以采用类似 DDoS 攻击系统的主从节点结构有效地实现自动控制通过命令接口, 可以把诸如上传和下载文件状态汇报或者发动攻击等命令送达到特定主机命令接口与通信信道紧密相关命令接口被单独分离出来是因为不同的通信模块可以用来连接相同的命令接口, 所以不能简单的将命令接口与通信模块绑定恶意代码攻击 57 恶意代码攻击网络蠕虫的传播网络蠕虫可利用一切可以利用的方式 ( 如邮件局域网共享系统漏洞远程管理即时通信工具等 ) 进行传播, 总体来说有以下几种 (1) 利用系统漏洞主动传播如果目标系统有漏洞, 则通过漏洞进行传播 CodeRed Nimda WantJob BinLaden 都是通过利用微软系统漏洞而进行主动传播的 (2) 利用电子邮件系统传播电子邮件系统及其附件的普遍使用及其安全性的限制使其成为蠕虫最常用的传播方法这类蠕虫一般自动根据 Outlook Netscape Messenger 等电子邮件软件地址簿中的地址发送带毒电子邮件, 从而实现传播 (3) 通过局域网传播如果局域网的主机存在漏洞且其上的防火墙没有禁止与漏洞相关的端口, 则一旦局域网中存在针对该漏洞的蠕虫, 所有的主机均会在很短的时间感染,Nimda 病毒充分证明了这一点在 Nimda 病毒肆虐的时期, 主机如果没有安装防火墙, 即使重新安装操作系统也无法抵制其攻击恶意代码攻击 59 恶意代码攻击 60 10

(4) 通过即时工具传播由于即时工具 (QQ MSN) 的广泛使用, 使得这些即时工具成为继邮件传播之后的又一个大量散播病毒的途径现在即时通信工具用户群很广, 而且在聊天时往往戒心更低, 很容易使网络蠕虫蔓延开来 (5) 多种方式组合传播将上面的传播方法结合起来, 会使蠕虫的传播更有效如 Nimda 可以通过文件传染, 也可以通过邮件传播, 还可以通过局域网传播, 甚至可以利用 IIS

再编译生成代码在被感染的电脑里, 蠕虫快速自我复制挤占电脑系统里的硬盘空间和内存空间, 最终导致其不堪重负而瘫痪恶意代码攻击 62 Robert Tappan Morris & Morris Worm Best known for creating the Morris Worm in 1988 2004 年 Disk containing the source code for the

11 (4) 通过即时工具传播由于即时工具 (QQ MSN) 的广泛使用, 使得这些即时工具成为继邮件传播之后的又一个大量散播病毒的途径现在即时通信工具用户群很广, 而且在聊天时往往戒心更低, 很容易使网络蠕虫蔓延开来 (5) 多种方式组合传播将上面的传播方法结合起来, 会使蠕虫的传播更有效如 Nimda 可以通过文件传染, 也可以通过邮件传播, 还可以通过局域网传播, 甚至可以利用 IIS 的 Unicode 后门进行传播恶意代码攻击几种典型蠕虫 (1) 莫里斯蠕虫莫里斯蠕虫发作于 1988 年 11 月 2 日, 其作者是美国康乃尔大学一年级研究生罗伯特莫里斯 (Robert Tappan Morris, 现在是 MIT 的终身教授 (tenured professor),2013 年 11 月, Robert_Tappan_Morris) 莫里斯 (Morris) 蠕虫是一种恶性蠕虫, 其源程序只有 99 行莫里斯 (Morris) 蠕虫利用了 Unix 系统中 sendmail Finger rsh/rexec 等程序的已知漏洞以及薄弱的用户口令用 Finger 命令查询联机用户名单, 然后破译用户口令, 用 Mail 系统复制传播蠕虫本身的源程序, 再编译生成代码在被感染的电脑里, 蠕虫快速自我复制挤占电脑系统里的硬盘空间和内存空间, 最终导致其不堪重负而瘫痪恶意代码攻击 62 Robert Tappan Morris & Morris Worm Best known for creating the Morris Worm in 年 Disk containing the source code for the Morris Worm held at the 2013 年 Boston Museum of Science 莫里斯蠕虫在 12 小时之内感染了 6200 台运行 Unix 操作系统的 SUN 工作站和 VAX 小型机, 使之瘫痪或半瘫痪, 估计造成了 $ (10 万 ) 至 $ (1 千万 ) 之间的直接经济损失 1990 年 5 月 5 日, 纽约地方法庭根据罗伯特莫里斯设计病毒程序, 造成包括国家航空和航天局军事基地和主要大学的计算机停止运行的重大事故, 判处莫里斯三年缓刑, 罚款一万美金, 义务为新区服务 400 小时莫里斯事件震惊了美国社会乃至整个世界而比事件影响更大更深远的是 : 黑客从此真正变黑, 黑客伦理失去约束, 黑客传统开始中断 ; 大众对黑客的印象永远不可能回复 ; 而且, 计算机病毒从此流行恶意代码攻击 63 恶意代码攻击 64 (2) 雷曼蠕虫 (3) CodeRed 蠕虫 2001 年 1 月,Ramen 蠕虫在 Linux 系统下发现, 它的名字取自一种面条该蠕虫通过三种方式进行攻击 :1 利用 wu-ftpd2.6.0 中的字符串格式化漏洞 ;2 利用 RPC.statd 未格式化字符串漏洞 ;3 利用 LPR 字符串格式化漏洞由于以上所涉及的软件组件可以安装在任何的 Linux 系统上, 所以 Ramen 能够对所有的 Linux 系统造成威胁同时它也向人们显示出构造一个蠕虫并不是非常复杂的事情, 因为该蠕虫所用到的漏洞和脚本等大多数来自互联网上公开的资料, 但这并没有影响该蠕虫爆发后给互联网所带来的巨大损失 2001 年 7 月 18 日,CodeRed 蠕虫爆发, 该蠕虫感染运行于 Microsoft Index Server 2.0 系统, 或是在 Windows 2000 IIS 中启用了索引服务 (Indexing Service) 的系统该蠕虫只存在于内存中, 并不向硬盘中拷贝文件, 它借助索引服务器的 ISAPI 扩展缓冲区溢出漏洞进行传播, 通过 TCP 端口 80, 将自己作为一个 TCP 流直接发送到染毒系统的缓冲区, 它会依次扫描 Web, 以便能够感染其他的系统, 而且将感染对象锁定为英文系统恶意代码攻击 65 恶意代码攻击 66 11

12 CodeRed 蠕虫 (4) Nimda 蠕虫一旦感染了当前的系统, 蠕虫会检测硬盘中是否存在 c:\notworm, 如果该文件存在, 蠕虫将停止感染其他主机随后几个月内产生了威力更强的几个变种, 其中 CodeRed II 蠕虫造成的损失估计达 12 亿美元, 它与 CodeRed 相比作了很多优化, 不再仅对英文系统发动攻击, 而是攻击任何语言的系统, 而且它还在遭到攻击的机器上植入特洛伊木马, 使得被攻击的机器后门大开 CodeRed II 拥有极强的可扩充性, 可通过程序自行完成木马植入的工作, 使得蠕虫作者可以通过改进此程序来达到不同的破坏目的 2001 年 9 月 18 日,Nimda 蠕虫被发现, 不同于以前的蠕虫,Nimda 开始结合病毒技术, 它通过搜索 [SOFTWAREMicrosoftWindowsCurrentVersionAp p Paths] 来寻找在远程主机上的可执行文件, 一旦找到, 就会以病毒的方式感染文件它的定性引起了广泛的争议,NAI( 著名的网络安全公司 ) 把它归类为病毒, CERT 把它归类为蠕虫, Incidents( 国际安全组织 ) 同时把它归入病毒和蠕虫两类自从它诞生以来到现在, 无论哪里无论以什么因素作为评价指标排出的十大病毒排行榜, 它都榜上有名恶意代码攻击 67 恶意代码攻击 68 Nimda 蠕虫该蠕虫只攻击微软公司的 Windows 系列操作系统, 它通过电子邮件网络共享 IE 浏览器的内嵌 MIME 类型自动执行漏洞 IIS 服务器文件目录遍历漏洞以及 CodeRed II 和 sadmind/iis 蠕虫留下的后门共五种方式进行传播其中前三种方式是病毒传播的方式对 Nimda 造成的损失评估数据从最早的 5 亿美元攀升到 26 亿美元后, 继续攀升, 到现在已无法估计恶意代码攻击 69 (5) SQL Snake 蠕虫 2002 年 5 月 22 日,SQL Snake 蠕虫被发布, 该蠕虫攻击那些配置上有漏洞的 Microsoft SQL 服务器虽然蠕虫的传播速度并不快, 但也感染了好几千台计算机, 这充分说明了蠕虫作者所用技术的先进性, 其中最重要的一点是该蠕虫的扫描地址不是随机产生的而是由蠕虫作者将最有可能被感染的那些地址集成到蠕虫个体当中去的, 这大大提高了蠕虫成功的概率和攻击目标的明确性 SQL Snake 蠕虫扫描指定地址的端口 1433( 这是 SQL Server 的默认端口 ), 对那些开放了此端口的服务器则进一步用 SA 管理员账号进行连接, 成功后, 蠕虫会在系统内建立一个具有管理员级别的 GUEST 账号, 并修改 SA 的账号口令, 将新的口令发送到指定的邮箱, 以备后用恶意代码攻击 70 (6) 冲击波 (WORM_MSBlast.A) 2003 年 8 月 11 日, 冲击波 (WORM_MSBlast.A) 开始在国内互联网和部分专用信息网络上传播该蠕虫传播速度快波及范围广, 对计算机正常使用和网络运行造成了严重影响该蠕虫在短时间内造成了大面积的泛滥, 因为该蠕虫运行时会扫描网络, 寻找操作系统为 Windows 2000/XP 的计算机, 然后通过 RPC DCOM( 分布式组件模型 ) 中的缓冲区溢出漏洞进行传播, 并且该蠕虫会控制端口, 危害计算机系统被感染的计算机中 Word Excel Powerpoint 等类型文件无法正常运行, 弹出找不到链接文件的对话框, 粘贴等一些功能也无法正常使用, 计算机出现反复重新启动等现象, 而且该蠕虫还通过被感染系统向 windowsupdate.microsoft 网站发动拒绝服务攻击自 11 日夜晚至 12 日凌晨在中国境内发现, 仅 3 天的时间冲击波就已经使数十万台机器受到感染 (7) 震荡波 (Sasser) 2004 年 4 月 30 日, 震荡波 (Sasser) 被首次发现, 虽然该蠕虫所利用的漏洞微软事先已公布了相应的补丁, 但由于没能引起计算机用户的充分重视, 还是导致其在短短一个星期时间之内就感染了全球万台电脑, 成为 2004 年当之无愧的毒王它利用微软公布的 Lsass 漏洞进行传播, 可感染 WindowsNT/XP/2003 等操作系统, 开启上百个线程去攻击其他网上的用户, 造成机器运行缓慢网络堵塞震荡波攻击成功后会在本地开辟后门, 监听 TCP 5554 端口, 作为 FTP 服务器等待远程控制命令, 黑客可以通过这个端口偷窃用户机器的文件和其他信息震荡波发作特点类似于前面所说的冲击波, 会造成被攻击机器反复重启恶意代码攻击 71 恶意代码攻击 72 12

13 14.5 木马木马原理及典型结构木马 (Trojan, 也称为木马病毒 ) 或特洛伊木马是一种隐藏在目标系统中的恶意程序, 常用于绕过系统的正常访问控制机制, 以获得目标系统的敏感信息或直接控制目标系统木马一般采用客户 / 服务器结构, 其中一个作为控制端, 存放在攻击的电脑中, 由攻击者直接控制, 另一个是被控制端, 被植入并隐藏在被攻击的系统中木马和后门具有类似的功能, 但其功能更强大, 且一般以独立程序的形式存在大部分的木马不会自我繁殖, 也并不刻意地去感染其他文件, 属于一种独立的恶意代码它通过将自身伪装为正常程序吸引用户下载执行, 向施种木马者提供打开被种主机的门户, 使施种者可以任意毁坏窃取被种者的文件, 甚至远程操控被种主机恶意代码攻击 73 一个完整的木马与远程控制软件 ( 如 Windows 的远程桌面 Linux 系统的 VNC PCAnywhere 等 ) 有些相似, 但由于远程控制软件是善意的控制, 因此通常不具有也不必具有隐蔽性 ; 而木马则完全相反, 木马是恶意的, 是在用户毫不知情的情况下远程控制目标系统目标系统一旦被植入木马, 则攻击者可以进行任何形式的攻击, 比如偷窃资料散布病毒修改配置等随着病毒编写技术的发展, 木马程序对用户的威胁越来越大, 尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己, 使普通用户很难在中毒后发觉恶意代码攻击 74 一个完整的特洛伊木马套装程序含了两部分 : 服务端 ( 服务器部分 ) 和客户端 ( 控制器部分 ) 植入对方电脑的是服务端, 而黑客正是利用客户端进入运行了服务端的电脑运行了木马程序的服务端以后, 会产生一个有着容易迷惑用户的名称的进程, 暗中打开端口, 向指定地点发送数据 ( 如网络游戏的密码, 即时通信软件密码和用户上网密码等 ), 黑客甚至可以利用这些打开的端口进入电脑系统由于现在的网络信息系统会网络边界配置防火墙以阻止非授权端口被外网连接, 使得传统的木马服务端无非被控制, 现代的目标主要采用反弹端口的形式 : 即客户端被植入到目标系统, 而服务端在攻击者的电脑中运行, 木马客户端运行后主动连接服务端, 而由内网到外网的连接是不会被防火墙封堵的这种木马就是所谓的反弹端口型木马一个反弹端口型木马的结构如图 14-6 所示 : 恶意代码攻击 75 图 14-6 反弹端口型的木马攻击者木马服务端端口号 :TCP 80 因特网被攻的目标木马客户端连接到木马服务端上图所示的木马服务端开设的端口号为 TCP 80, 即 Web 服务的默认端口木马客户端连接该端口时被防火墙认为是访问 Web 服务器, 因此允许该连接的数据包通过如此一来就突破了防火墙的过滤机制恶意代码攻击 76 木马一般首先伪装成善意或有趣软件以吸引用户下载, 一旦运行该程序, 则在系统中偷偷执行额外的功能, 在系统中植入木马并修改系统配置使木马能随系统启动或定时激活比如有些网站提供一些免费软件供用户下载, 但下载时必须运行目标网站指定的软件, 运行该软件后确实能获得用户所需的免费软件, 然而是否执行了额外的功能就不得而知了也有些激情网站提供图片吸引用户下载, 然而这些图片很可能经过特殊处理用于攻击有漏洞的看图软件, 一旦用看图软件打开图片则会在用户系统中植入木马同样有些 PDF 阅读软件也存在漏洞, 打开特殊组织的 PDF 文档就有可能被植入木马木马的最关键特性是隐蔽性为了提高其隐蔽性, 木马程序必须短小精悍, 运行时不需要太多的资源, 一般用汇编语言编写如果没有专门的杀毒软件, 用户很难发觉系统中的木马木马的隐藏和伪装木马是一种基于远程控制的病毒程序, 该程序具有很强的隐蔽性和危害性, 它可以在人不知鬼不觉的状态下控制你或者监视你下面列举木马常用的隐藏和伪装方法 (1) 绑定到程序中将自身绑定到某个常用的程序中, 一旦用户执行该程序, 则木马也就被执行了如果将木马绑定到系统文件, 那么每一次 Windows 启动均会启动木马现在已经有一些对可执行文件打包的工具软件, 攻击者可以很容易地把木马和正常的可执行文件捆绑到一起恶意代码攻击 77 恶意代码攻击 78 13

14 (2) 隐藏在配置文件或注册表中早期的木马利用 Autoexec.bat Config.sys System.ini 和 Win.ini, 在其中设置加载木马程序的相应参数现代的木马主要修改注册表中的某些键, 使自身能随系统的启动而启动以下几处键值是木马经常修改的 : HKEY_LOCAL_MACHINE\Software\Microsof\t Windows\CurrentVersion\ 下所有以 run 开头的键值 ; HKEY_CURRENT_USER\Software\Microsof\tWi ndows\currentversion\ 下所有以 run 开头的键值 ; HKEY- USERS\.Default\Software\Microsoft\Windows\Curr entversion\ 下所有以 run 开头的键值 (3) 伪装在普通文件中这个方法出现的比较晚, 不过很流行, 对于不熟练的 windows 操作者, 很容易上当具体方法是把可执行文件伪装成图片或文本在程序中把图标改成 Windows 的默认图片图标, 再把文件名改为 *.jpg.exe, 由于 Win98 默认设置是不显示已知的文件后缀名, 文件将会显示为 *.jpg, 不注意的人一点这个图标就中木马了 ( 如果你在程序中嵌一张图片就更完美了 ) 总之, 木马总是想尽一切办法伪装字节用户要提高警觉, 同时要安装反木马杀毒软件恶意代码攻击 79 恶意代码攻击几类常见的木马 (1) 网游木马 (2) 网银木马 (3) 下载类 (4) 代理类 (5) FTP 木马 (6) 通讯软件类 (7) 网页点击类 (8) 攻击型的木马驱动人生木马事件背景 2018 年 12 月 14 日下午, 腾讯电脑管家监测发现, 一款通过驱动人生升级通道, 并同时利用永恒之蓝高危漏洞传播的木马突然爆发, 仅 2 个小时受攻击用户就高达 10 万腾讯电脑管家可精准拦截该病毒攻击, 管家团队也将持续跟踪该款病毒并同步相关信息传播途径电脑管家经过追溯病毒传播链发现, 此款病毒自 12 月 14 日约 14 点, 利用驱动人生人生日历等软件最早开始传播, 传播源是该软件中的 dtlupg.exe ( 疑似升级程序 ) 腾讯安全专家指出, 本次病毒爆发约 70% 的传播是通过驱动人生升级通道进行的, 约 30% 通过永恒之蓝漏洞进行自传播恶意代码攻击 81 恶意代码攻击 82 木马危害木马攻击流程图腾讯安全大脑监测发现, 一款疑似通过驱动人生等软件下发, 利用永恒之蓝高危漏洞传播的木马突然爆发, 仅 2 个小时受攻击用户就高达 10 万腾讯安全团队紧急响应, 旗下几大安全产品已于第一时间联动处置针对个人用户, 腾讯电脑管家可精准拦截该病毒攻击, 可以放心使用 ; 针对企业用户, 可以使用腾讯御点终端安全管理系统腾讯御界高级威胁检测系统等安全软件防御查杀此类病毒腾讯安全团队正密切关注该病毒的变化情况, 并会及时同步相关信息值得注意的是, 因为这款木马病毒会利用高危漏洞在企业内网呈蠕虫式传播, 并进一步下载云控木马, 对企业信息安全威胁巨大, 建议广大企业用户重点关注, 下周一上班之后检查内网中毒主机, 发现后做下线处理恶意代码攻击 83 恶意代码攻击 84 14

针对企业用户的安全建议 1 第一步 : 可暂时关闭服务器不必要的端口, 如 135 139 445 2 第二步 : 使用腾讯御点终端安全管理系统的漏洞修复功能, 及时修复系统高危漏洞 3 第三步 : 服务器使用高强度密码, 切勿使用弱口令, 防止黑客暴力破解 4 第四步 : 推荐部署腾讯御界高级威胁检测系统, 防御可能的黑客攻击该系统可高效检测未知威胁,

15 针对企业用户的安全建议 1 第一步 : 可暂时关闭服务器不必要的端口, 如第二步 : 使用腾讯御点终端安全管理系统的漏洞修复功能, 及时修复系统高危漏洞 3 第三步 : 服务器使用高强度密码, 切勿使用弱口令, 防止黑客暴力破解 4 第四步 : 推荐部署腾讯御界高级威胁检测系统, 防御可能的黑客攻击该系统可高效检测未知威胁, 并通过对企业内外网边界处网络流量的分析, 感知漏洞的利用和攻击针对个人用户的安全建议个人用户电脑可下载腾讯电脑管家, 拦截可能的病毒攻击, 同时使用漏洞修复功能, 及时修复系统高危漏洞 14.6 恶意代码的防御万事人为本在与计算机恶意活动代码的斗争中, 人是最根本最重要的因素要不断提高人员的安全意识, 任何时刻都不能掉以轻心总体上来说, 如果能够遵守以下几条原则, 那么绝大多数恶意活动代码都难逃被查杀的命运 1 首先, 提高人员的安全防范意识和水平, 制定详尽的安全防范措施并严格执行 2 第二, 建立完善的防护系统在条件允许的情况下, 为自己的单机或局域网安装一个多层次的防卫系统, 对通信进行过滤恶意代码攻击 85 恶意代码攻击 86 3 第三对系统要经常性的维护和升级现在很多恶意活动代码都利用系统漏洞进行攻击, 定期对系统的更新和升级是十分必要的 4 第四定期对重要的资料进行备份良好的备份习惯可以使系统不慎被恶意活动代码破坏后的损失降到最小, 对数据还原和灾难恢复起决定性作用 5 第五正确处理受到恶意活动代码攻击的系统在受到攻击后要冷静, 认真分析原因及对策, 避免不正确的操作对系统造成进一步的伤害必要的时候可以请教这方面的专家或系统厂商恶意代码的防御对于个人用户而言 : 1 安装正版知名的反病毒软件防火墙和入侵检测系统, 并能够正确配置和及时升级 2 洁身自好, 远离不良网站 3 用虚拟机上网恶意代码攻击 87 恶意代码攻击 88 No! Don t do that! 作业和上机实践 Please write a virus program for me. I will give you a lot of money! 作业上机实践 ( 自己练习, 不考核 ): 从百度百科查阅熊猫烧香蠕虫, 分析其代码恶意代码攻击 89 恶意代码攻击 90 15

PowerPoint 演示文稿

PowerPoint 演示文稿第 14 章恶意代码攻击中国科学技术大学曾凡平 billzeng@ustc.edu.cn 第 14 章恶意代码攻击 14.1 恶意代码概述 14.2 计算机病毒概述 14.3 几种常见恶意代码的实现机理 14.4 网络蠕虫 14.5 木马 14.6 恶意活动代码的防御恶意代码攻击 2 14.1 恶意代码概述恶意代码最初是指最传统意义上的病毒和蠕虫随着攻击方式的增多, 恶意代码的种类也逐渐增加