恶意代码技术分析与应急响应

1. 恶意代码技术分析与应急响应 Zhenxiang CHEN czx@ujn.edu.cn

2. 提纲 • 恶意代码及其分类 • 恶意代码技术的发展 • 恶意代码分析与防范 • 讨论 恶意代码技术分析及应急响应

3. 什么是恶意代码 • 代码 • 计算机程序 • 在一定的环境下可以执行 • 恶意的行为 • 在不为用户所知的情况下破坏侵入用户的计算机系统，破坏计算机系统、网络或信息的保密性、完整性、可用性 • 恶意移动代码 • 在计算机之间传播 恶意代码技术分析及应急响应

4. 常见的恶意代码 • 计算机病毒 • 网络蠕虫 • 木马/后门 • 网页脚本 • 流氓软件 • 其他… 恶意代码技术分析及应急响应

5. 计算机病毒的主要特点 • 自我复制，非主动传播 • 存储介质、电子邮件等 • 寄生于宿主机或宿主程序 • 不以文件形式存在 • 隐蔽性和潜伏性 • 感染后不一定立刻发作； • 依附于其他文件、程序、介质，不被发现 • 可触发性 • 触发条件：日期、时间、文件类型 • 破坏性 恶意代码技术分析及应急响应

6. 最早的计算机病毒：磁芯对战（Core War ） • National Security Agency (NSA) ：Robert Morris • RedCode/PDP-1 • Core War • Simplest program: • MOV 0，1 恶意代码技术分析及应急响应

7. 计算机病毒的分类 • 按攻击平台分类：DOS, Win32，MAC，Unix • 按危害分类：良性、恶性 • 按代码形式：源码、中间代码、目标码 • 按宿主分类：引导型、文件型、 • 其他分类方法…. • CARO（计算机反病毒研究组织）的命名方法： <malware_type>://<platform>/<family_name>.<group_name>.<infective_length>. <variant><devolution><modifiers> • virus://W32/Beast.41472.A , WinCE/Duts.1520 • W32/Beast.41472.A , WM/Concept.B:Fr 恶意代码技术分析及应急响应

8. 网络蠕虫（Worm） • 美国传统词典 • A program that replicates itself and interferes with software function or destroys stored information. • 一种能够自我复制的计算机程序，它利用网络上计算机系统的漏洞自主的将自己复制到其它计算机上 • 特点 • 主动传播，不依赖用户的介入 • 不依赖宿主程序，独立存在 恶意代码技术分析及应急响应

9. 蠕虫的历史回顾 • Morris Worm， 1988年11月2日 • Sadmind/IIS Worm 2001年5月 • CodeRed Worm， 2001年7月19日/8月4日 • Nimda Worm， 2001年9月18日 • Slapper蠕虫 2002年9月14日 • Slammer， 2003年1月25日 • Dvldr32， 2003年3月7日 • Blaster， 2003年8月12日 • Nachi， 2003年8月18日 • Santy 2003 • Witty 2004 • … 恶意代码技术分析及应急响应

10. 特洛伊木马/后门 • 通过伪装成其他程序、有意隐藏自己恶意行为的程序，通常留下一个远程控制的后门 • 没有主动传播的功能 • 用户主动发送给其他人 • 放到网站上由用户下载 恶意代码技术分析及应急响应

11. 常见木马程序 • Back Orifice：击键记录、屏幕获取等 • 冰河 • 广外女生 • 用于远程控制的商业软件 恶意代码技术分析及应急响应

12. 修改标题 修改起始页面，且禁止用户修改 恶意代码技术分析及应急响应

13. 钓鱼——伪造的网页 恶意代码技术分析及应急响应

14. 恶意代码的破坏性 • 没有破坏性，恶作剧 • 破坏系统文件 • 破坏用户数据 • 消耗系统资源：CPU/内存/硬盘/外设 • 消耗网络资源：网络拥塞/DDoS攻击 • 窃取用户隐私信息 • 有组织的网络犯罪 恶意代码技术分析及应急响应

15. 恶意移动代码发展趋势 • 各种手段的融合 • 电子邮件应用 • 网络文件共享 • 利用系统漏洞 • P2P软件 • 社会工程（social engineering ) • 变种速度越来越快 • 利益驱动的越来越多 恶意代码技术分析及应急响应

16. Rise of Attacks - Attack Sophistication vs Intruder Tech Knowledge 恶意代码技术分析及应急响应 Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy Issues. CERT Coordination Center. Nov. 2002

17. Rapidly Escalating Threat to Businesses 互联网所面临的风险越来越大 攻击目标和破坏程度 全球基础设施 区域性网络 多个网络 单个网络 单台计算机 Seconds • Next Gen • Flash threats • Massive worm-driven DDoS • Damaging payload worms Minutes • Third Gen • Distributed denial of service • Blended threats Days • Second Gen • Macro viruses • Denial of service Weeks • First Gen • Boot viruses 1980s 1990s Today Future 恶意代码技术分析及应急响应

18. 提纲 • 恶意代码及其分类 • 恶意代码技术的发展 • 恶意代码分析与防范 • 讨论 恶意代码技术分析及应急响应

19. 恶意代码技术发展 • 传播与感染技术 • 隐藏技术与隐蔽通信 • 代码的演化技术 恶意代码技术分析及应急响应

20. 恶意代码的传播技术 • 引导记录传播 • 移动介质（如U盘传播） • 可执行文件传播 • 数据文件传播（宏） • 利用电子邮件传播 • 通过文件共享传播 • 网页脚本 • P2P文件共享 • 即时通信软件（ICQ/MSN/QQ等） • 系统漏洞传播 • 在内存中传播 恶意代码技术分析及应急响应

21. 主引导程序(446字节) 引导代码及出错信息 主分区表(64字节） 分区1(16 字节) 分区2(16 字节) 分区3(16 字节) 分区4(16 字节) 结束标记（2字节） 55AA 引导型病毒—引导记录 • 主引导记录（MBR） A 恶意代码技术分析及应急响应

22. 病毒 。 。 。 病毒执行 病毒驻留 带毒执行 。 。 。 。 。 引导型病毒—感染与执行过程 系统引导区 引导 正常执行 病毒体 病毒 引导系统 恶意代码技术分析及应急响应

23. 利用移动介质的自启动功能传播 • autorun.inf • icon • Open • RECYCLER目录 • 隐藏扩展名 • 伪装成系统图标 恶意代码技术分析及应急响应

24. 病毒程序头 病毒程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 病毒程序 病毒程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 正常 程序 病毒程序 病毒程序 病毒程序 病毒程序 病毒程序 病毒程序 病毒程序 程序头 程序头 程序头 程序头 程序头 病毒程序头 病毒程序头 病毒程序头 病毒程序头 病毒程序头 病毒程序头 病毒程序头 病毒程序头 病毒程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 DOS下的EXE文件感染 病毒程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 恶意代码技术分析及应急响应

25. 写入 激活病毒 激活autoopen宏 有毒文件.doc 无毒文件.doc Normal.dot Normal.dot 启动 感染数据文件的病毒--宏病毒 恶意代码技术分析及应急响应

26. 通过电子邮件传播 • 感染途径 • 邮件附件：PIF，VBS, SCR, EXE, BAT, • HTML邮件中的链接 • 系统漏洞，如Nimda所利用的MIME漏洞http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx • 传播方式 • 搜索邮件地址簿、临时文件中的Email地址 • 自带MTA，不需要通过Email服务器 • 欺骗手段 • 来自你可信的朋友、同事 • 来自微软或安全公司 • 好玩的游戏、屏幕保护、图片等 • 退信、回复 恶意代码技术分析及应急响应

27. 通过电子邮件传播 • 插入E-Mail附件 • SMTP 代理 恶意代码技术分析及应急响应

28. 利用社会工程传播的邮件病毒 恶意代码技术分析及应急响应

29. 利用网页脚本传播 • Web 浏览器的客户端功能扩展 • Java Applet • Java Script • ActiveX • VBScript • 脚本的恶意功能 • 读写文件 • 修改注册表 • 发送电子邮件 <HTML> <HEAD><TITLE> HELLO</TITLE></HEAD> <SCRIPT LANGUAGE="VBSCRIPT"> <!— Dim fso, f1 Set fso=CreateObject("Scripting.FileSystemObject") Set f1=fso.CreateTextFile("C:\vbscript-test.txt", True,True) f1.WriteLine("Hello, VBScript can write any date into your hard disk !!!") f1.WriteLine("If you don't configure your browser secure") f1.Close --> </SCRIPT> </HEAD> <BODY> <OBJECT classid=clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B id=wsh> <SCRIPT LANGUAGE="VBSCRIPT"> wsh.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://www.ccert.edu.cn") </SCRIPT> Hello, Check your C:\ </BODY> <HTML> 恶意代码技术分析及应急响应

30. 利用系统漏洞传播 • 利用系统漏洞：exploit • 利用其他攻击留下的后门 • W32/Borm 利用Backorifice • Nimda 利用Code Red的后门 • CodeRed II留下的Web 日志 • 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir 200 – • 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+..\ 200 – • Nimda攻击形式 • http://x.x.x.x/c/inetpub/scripts/root.exe?/c+dir • http://x.x.x.x/c/winnt/system32/cmd.exe?/c+dir 恶意代码技术分析及应急响应

31. 恶意代码自保护技术 • 反反汇编（Antidisassembly） • 多态病毒（Polymorphic Viruses ） • 变形病毒（Metamorphic Viruses） • 反跟踪（Antidebugging） • 反制病毒 恶意代码技术分析及应急响应

32. 反反汇编（Antidisassembly） • 数据压缩 • 数据加密 • Fix2001 • 干扰代码 MOV CX, 100h ; this many bytes MOV AH, 40h ; to write INT 21h ; use main DOS handler MOV CX,003Fh ; CX=003Fh INC CX ; CX=CX+1 (CX=0040h) XCHG CH,CL ; swap CH and CL (CX=4000h) XCHG AX,CX ; swap AX and CX (AX=4000h) MOV CX,0100h ; CX=100h INT 21h 恶意代码技术分析及应急响应

33. 多态病毒（Polymorphic Viruses ） • 在解密引擎（Engine）中插入大量的垃圾指令 恶意代码技术分析及应急响应

34. 变形病毒（Metamorphic Viruses） • “变形（metamorphic）是病毒体的多态” • 变形（metamorphic）病毒没有解密引擎，也没有不变的病毒体，但是却有能力制造看起来完全不同的病毒副本 恶意代码技术分析及应急响应

35. 简单的变形技术 • 置换寄存器 恶意代码技术分析及应急响应

36. 简单的变形技术 • 置换子程序 • BdyBoy病毒有8个子程序，因此有8!=40320个不同的病毒式样。 • W32/Ghost有10个子程序，因此有10!=3628800个不同的组合。 恶意代码技术分析及应急响应

37. 更复杂的变形和置换 • 指令级置换 恶意代码技术分析及应急响应

38. 反跟踪 • 接管 INT 1 (单步中断)和INT 3（断点中断） • 接管INT9 中断，让键盘失灵 • 在代码执行过程中检测堆栈状态 • 在WIN32环境下使用API函数IsDebuggerPresent() • 查找注册表检测调试工具 MOV BP,SP ; 获取堆栈指针 PUSH AX ; 将AX的数据保存的堆栈中 POP AX ; 从堆栈中取出刚刚保存的数据 CMP WORD PTR [BP-2], AX ; 和堆栈中的数据进行比较 JNE DEBUG ; 检测到有调试器! 恶意代码技术分析及应急响应

39. 反制病毒 • 监控进程的运行状态 • 杀死防病毒软件 • 方病毒软件的对策 • 使防病毒软件不能更新 • C:\Windows\system32\drivers\etc\hosts • 127.0.0.1 update.symantec.com 恶意代码技术分析及应急响应

40. 恶意代码进程隐藏 • 传统病毒修改系统程序 • 伪装成系统程序 • 相似的文件名: scvhost.exe, • 相同的名字，不同的目录 • 修改EnumProcessModules • DLL与线程注入 • Rundll32.exe • Svchost.exe • Explorer.exe • 内存中传播，没有文件：CodeRed, Slammer 恶意代码技术分析及应急响应

41. 恶意代码隐蔽通信技术 • 反向连接 • 常用端口 • ICMP通信 • 加密通信 • 隧道通信（ IP in IP, IPv6/IPv4） 恶意代码技术分析及应急响应

42. 网络代理木马 • ARP欺骗，与ARP木马 • DHCP欺骗 • 域名欺骗 恶意代码技术分析及应急响应

43. ARP 欺骗 166.111.1.1 202.112.58.1 166.111.1.0/24 Router C A B IP: 202.112.58.200MAC: CCCCCC IP: 166.111.1.10MAC: AAAAAA IP: 166.111.1.20MAC: BBBBBB A  ALL : Who has IP 166.111.1.1?B A : My MAC address is BBBBBB , ip=166.111.1.1 恶意代码技术分析及应急响应

44. Default Gateway DNS Server DHCP Spoofing Attacker DHCP Server Normal User 恶意代码技术分析及应急响应

45. Virus Construction Kits(VCK) NGVCK (Next Generation Virus Creation Kit 恶意代码技术分析及应急响应

46. 僵尸网络（Botnet） 恶意代码技术分析及应急响应

47. 恶意代码的交互：进化 恶意代码技术分析及应急响应

48. 提纲 • 恶意代码及其分类 • 恶意代码技术的发展 • 恶意代码分析与防范 • 讨论 恶意代码技术分析及应急响应

49. 恶意代码分析与防范 • 分析 • 静态分析 • 动态分析 • 网络特征提取 • 检测 • 基于主机检测 • 网络检测：IDS等 • 控制 • 基于主机的控制 • 基于网络的控制：Firewall，路由和域名控制 恶意代码技术分析及应急响应

50. 文件结构的静态分析 恶意代码技术分析及应急响应