CISP0207安全漏洞与恶意代码_v30

安全漏洞与恶意代码版本：3.0发布日期：2014-12-1生效日期：2015-1-1讲师姓名：陈阳怀主办单位：中国信息安全测评中心单位：联系邮箱：chenyanghuai@china.com.cn课程*安全漏洞、恶意代码与攻防知识体知识域知识子域安全漏洞与恶意代码安全攻击与防护知识域：安全漏洞与恶意代码 知识子域：安全漏洞的产生与发展 了解安全漏洞的概念和产生的原因 了解国内外常见安全漏洞分类 了解安全漏洞的发展趋势*安全漏洞的基本概念 什么是漏洞（Vulnerability） 也被称为脆弱性，计算机系统天生的类似基因的缺陷，在使用和发展过程中产生意想不到的问（冯•诺依曼） 漏洞的含义 漏洞本身随着信息技术的发展而具有不同的含义与范畴 基于访问控制的定义逐步发展到涉及系统安全流程、设计、实施、内部控制等全过程的定义 *漏洞的定义 学者们对漏洞的定义 从访问控制角度定义（1982Denning） 从风险管理角度的定义（1990Longstaff） 使用状态空间描述的定义（1996Bishop） 标准机构的定义 存在于评估对象（TOE）中违反安全功能要求的弱点（1999年，ISO/IEC15408（GB/T18336）） 威胁源可以攻击或触发的信息系统、系统安全流程、内部控制或实施中的弱点（2000NISTIR7298） 威胁可以利用的一个或一组资产的弱点；是评估对象（TOE）中的弱点；是在信息系统或其环境的设计及实施中的缺陷、弱点或特性（2009年ISO/IEC）*漏洞的理解 从生命周期的角度出发，信息技术、信息产品和信息系统在需求、设计、实现、配置、维护和使用等过程中，有意或无意产生的缺陷，这些缺陷一旦被恶意主体所利用，就会造成对信息产品或系统的安全损害，从而影响构建于信息产品或系统之上正常服务的运行，危害信息产品或系统及信息的安全属性*漏洞产生的原因 技术原因 软件系统复杂性提高，质量难于控制，安全性降低 公用模块的使用引发了安全问题 经济原因 “柠檬市场”效应 环境原因 从传统的封闭、静态和可控变为开放、动态和难控 攻易守难 安全缺陷 安全性缺陷是信息系统或产品自身“与生俱来”的特征，是其的固有成分*漏洞的分类 分类的目的 准确的区分和描述不同的漏洞 有助于漏洞的发布、存储和查询 漏洞分类实例 NVD:代码注入等21种类型 CNNVD:根据漏洞形成分成22种类型 ……*知识域：安全漏洞与恶意代码 知识子域：安全漏洞的发现与修复 了解安全漏洞的静态与动态挖掘方法的基本原理 了解补丁分类及修复时应注意的问题*漏洞的发现 静态漏洞挖掘 动态漏洞挖掘 *静态漏洞挖掘 不运行代码而直接对代码进行漏洞挖掘的方法 适用对象 完整的或不完整的源代码 二进制代码 中间代码片段 方法 流 符号执行 模型检测 *动态漏洞挖掘 在代码运行的状态下，通过监测代码的运行状态或根据测试用例结果来挖掘漏洞的方法 特点 与静态分析方法相比，动态分析方法的最大优势在于其分析结果的精确，即误报率较低 方法 模糊测试 动态污染传播*安全漏洞的修复 安装补丁是漏洞消减的技术手段之一。 数据显示，及时安装有效补丁可避免约95%的信息安全损失 补丁修复中存在的两难问题： 打什么样的补丁？——补丁质量问题 如何打补丁？——操作方式问题 什么时间打补丁？——修复时机问题*补丁分类 从文件类型 以源代码形式存在 以二进制形式存在 从内存角度 文件补丁（冷补丁） 内存补丁（热补丁）*补丁安装时应注意的问题 补丁安装部署之前需要经过必要的测试 需要从可靠来源不断获取最新补丁信息 安装补丁时需要做好备份和相应的应急措施*安全漏洞的修复 标准化的安全配置 2002年，美国率先在军队推行标准化的安全配置与核查（IAVA） 根据漏洞分析和风险评估的安全加固 传统的安全加固手段越来越难以应付日益复杂的攻击行为，漏洞信息的及时披露和分发越来越重要。 加固核查与问责 通过安全审计核实漏洞消除情况和效果。*知识域：安全漏洞与恶意代码 知识子域：恶意代码的产生与发展 了解恶意代码的发展历史及趋势 了解恶意代码的分类 理解恶意代码的传播方式 *什么是恶意代码 什么是恶意代码 《中华人民共和国计算机信息系统安全保护条例》第二十八条：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码(1994.2.18) 恶意代码，是指能够引起计算机故障，破坏计算机数据，影响计算机系统的正常使用的程序代码。指令 类型 二进制代码、脚本语言、宏语言等 表现形式 病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹等*恶意代码发展 孕育和诞生 1949：冯·诺依曼在《复杂自动机组织论》提出概念 1960：生命游戏（约翰·康维）磁芯大战（贝尔实验室三名程序员） 1977年科幻小说《P-1的青春》使得恶意程序有了计算机病毒的名称 1983：真正的恶意代码在实验室产生 *恶意代码发展 1986年—第一个PC病毒：Brainvirus 1988年—MorrisInternetworm—6000多台 1990年—第一个多态病毒 1991年—virusconstructionset-病毒生产机 1991年—DIR2病毒 1994年—GoodTimes(joys) 1995年—首次发现macrovirus *罗伯特.莫里斯恶意代码发展 1996年—netcat的UNIX版发布（nc） 1998年—第一个Javavirus(StrangeBrew) 1998年—netcat的Windows版发布（nc） 1998年—backorifice(BO)/CIH 1999年—melissa/worm(macrovirusbyemail) 1999年—backorifice(BO)forWIN2k 1999年—DOS/DDOS-DenialofServiceTFT/trin00 1999年—knark内核级rootkit(linux)*恶意代码发展 2000年—loveBug(VBScript) 2001年—CodeRed–worm(overflowforIIS) 2001年—Nimda-worm(IIS/webbrowser/outlook/fileshareetc.) 2002年—SQLslammer(sqlserver) 2003年—MSBlaster/Nachi 2003年—中文上网 2004年—MyDoom/Sasser 2006年—熊猫烧香*恶意代码发展 2010年—Stuxnet(工业蠕虫) 2012年—火焰病毒*各种蠕虫、木马悄悄的潜伏在计算机中，窃取信息……恶意代码的发展趋势 从传播速度上来看 恶意代码爆发和传播速度越来越快 从攻击意图来看 从游戏、炫耀逐步转向恶意牟利 从功能上来看 恶意代码的分工越来越细 从实现技术来看 恶意代码实现的关键技术不断变化 从传播范围来看 恶意代码呈现多平台传播的特征*恶意代码分类* 照恶意代码运行平台 按照恶意代码传播方式 按照恶意代码的工作机制 按照恶意代码危害恶意代码的传播方式* 移动存储 文件传播 网络传播 网页 电子邮件 即时通讯 共享 主动放置 软件漏洞[AutoRun]OPEN=Autorun.exeICON=icon.ico恶意代码传播方式-移动存储* 自动播放功能 Windows默认 自动执行autorun.inf指定的文件 设置 组策略编辑器恶意代码传播方式-文件传播 文件感染 软件捆绑 强制安装：在安装其他软件时被强制安装上 默认安装：在安装其他软件是被默认安装上*恶意代码传播方式-网页* 将木马伪装为页面元素 利用脚本运行的漏洞 伪装为缺失的组件 通过脚本运行调用某些com组件 利用软件漏洞 例如：在渲染页面内容的过程中利用格式溢出释放或下载木马恶意代码传播方式-邮件* 社会工程学 欺骗性标题 吸引人的标题 Iloveyou病毒 库娃等 …… 利用系统及邮件客户端漏洞 尼姆达（畸形邮件MIME头漏洞） ……恶意代码传播方式-通讯与数据传播 即时通讯 伪装即时通讯中的用户向其联系人发送消息。使用欺骗性或诱惑性的字眼 P2P下载 伪造有效资源进行传播*恶意代码传播方式-共享共享* 管理共享 C盘、D盘…… Windows安装目录 用户共享 用户设置的共享 典型病毒 Lovegate Spybot Sdbot ……恶意代码传播方式-主动放置 利用系统提供的上传渠道(FTP、论坛等) 攻击者已经获得系统控制权 攻击者是系统开发者 ……*攻击者被攻击系统恶意代码传播方式-软件漏洞 利用各种系统漏洞 缓冲区溢出：冲击波、振荡波 利用服务漏洞 IIS的unicode解码漏洞：红色代码 ……*知识域：安全漏洞与恶意代码 知识子域：恶意代码的实现技术 理解恶意代码修改配置文件、修改注册表、设置系统服务等加载方式 理解恶意代码进程、网络及系统隐藏技术 理解恶意代码进程保护和检测对抗自我保护技术* 随系统启动而加载 开始菜单中的启动项 启动配置文件 注册表启动项 系统服务 组策略 …… 随文件执行加载 感染/文件捆绑 浏览器插件 修改文件关联 其他恶意代码加载方式*随系统启动加载方式-启动配置 开始菜单启动项 启动配置文件 Autorun.bat Win.ini System.ini 已经很少有病毒采用 过于明显 用户登录后才能启动*随系统启动加载方式-注册表注册表启动项： HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce ……* 优势 隐蔽性强 方式多样 加载位置 Load键值 Userinit键值 Run RunServicesOnce RunServices RunOnce ……随系统启动加载方式-服务* 优势 隐蔽性强 无需用户登录 权限较高 加载方式 单独服务 替换系统服务程序随系统启动加载方式-组策略 优势 类似启动项，但隐蔽性更高 不足 需要用户登录*随文件执行加载方式-感染/文件合并 传统病毒 宏病毒 程序合并*随文件执行加载方式-浏览器插件 优势 隐蔽性强 清理困难*随文件执行加载方式-修改文件关联* 原理 正常情况下 文本文件（.txt）关联到记事本notepad.exe打开 病毒修改 文本文件（.txt）关联到病毒文件打开 优势 隐蔽性强，可关联任意类型文件，甚至可以关联目录操作 恶意代码隐藏技术 进程隐藏 进程迷惑 DLL注入 网络隐藏 端口复用 无端口 反向端口 系统隐藏 隐藏、系统文件 流文件隐藏 Hook技术* 随机进程名 每次启动生成不一样的进程名，退出后无法查找 系统进程类命名 Windows.exe System1.exe Kernel.exe 相似进程名 同名不同路径的进程c:\windows\system32\iexplore.exe(trojan)c:\ProgramFiles\InternetExplorer\iexplore.exe(right) 名称相近的程序svchost.exe(right)svch0st.exe(trojan)恶意代码进程隐藏技术-进程迷惑*恶意代码进程隐藏技术-DLL注入 动态链接库文件（DLL）概念 什么是DLL注入 DLL注入技术是恶意代码将DLL文件放进某个进程的地址空间里，让它成为那个进程的一部分 DLL注入的优势 无进程 隐蔽性强 清除难度大*恶意代码网络隐藏技术-端口复用/无端口 端口复用技术 重复利用系统网络打开的端口（如25、80、135和139等常用端口）传送数据，这样既可以欺骗防火墙，又可以少开新端口 端口复用是在保证端口默认服务正常工作的条件下用，具有很强的欺骗性 无端口 使用无端口的协议*icmphttp服务器客户机80应用服务恶意代码网络隐藏技术-反弹端口 端口反向连接技术，系指恶意代码攻击的服务端（被控制端）主动连接客户端（控制端）。 *连接请求80连接请求攻击者受害者受害者攻击者恶意代码隐藏技术-系统隐藏 默认情况下，windows不显示隐藏文件和系统文件，恶意代码将自身属性设置为隐藏和系统文件以实现隐藏*恶意代码系统隐藏技术-流文件* ADS(AlternateDataStreams)交换数据流 NTFS文件系统下，每个文件都可以有多个数据流 一个文件以流的形式附加到另一个文件（载体）中，流文件对explorer.exe等文件管理软件不可见，病毒可以利用此方式进行隐藏*恶意代码系统隐藏技术-hook技术 Hook（系统钩子） 钩子机制允许应用程序截获处理window消息或特定事件。 在目标窗口处理消息前处理它*恶意代码自我保护 进程保护 进程守护 超级权限 检测对抗 反动态调试 反静态调试*恶意代码进程保护-进程守护主程序被停止，重新启动主程序重新启动主进程* 恶意代码主程序 实现恶意代码主功能 守护程序 监视并保护主进程正常运行 阻止主程序的退出 重启主程序 从备份中还原主程序 从网络中重新下载主程序从备份中还原恶意代码进程保护-设备驱动程序 为什么是设备驱动程序？ 恶意代码通过将自身注册成为设备驱动，从而获得较高权限，阻止反病毒软件对它的查杀并干扰反恶意代码软件的正常运行 特点 非常高的权限 安全模式下可工作 无法直接查杀 ……*检测对抗技术-反动态调试 动态调试的发现 伪断点 校验和，发现调试 检测运行环境，发现调试工具 反动态调试的实现 封锁键盘输入和屏幕显示 中止调试软件 恶意代码程序自动退出*检测对抗技术-反静态调试 反静态调试的实现 加壳：对恶意代码的可执行二进制程序进行压缩，使其执行流程发生变化 加密：随着加密密钥的变化，恶意代码会产生不同的表现形式，进一步提高了其抗静态分析的能力 代码混淆：通过插入伪指令、混淆程序数据和控制流等方法，防止静态分析和检测*知识域：安全漏洞与恶意代码 知识子域：恶意代码的防御技术 理解增强安全策略与意识、减少漏洞、减轻威胁等恶意代码预防方法 理解恶意代码特征码扫描、利用沙箱技术、行为检测等检测方法 理解恶意代码静态与动态分析方法 理解不同类型恶意代码的清除方法*恶意代码的预防技术 增强安全策略与意识 减少漏洞 补丁管理 主机加固 减轻威胁 防病毒软件 间谍软件检测和删除工具 入侵检测/入侵防御系统 防火墙 路由器、应用安全设置等*恶意代码检测技术 特征码扫描 沙箱技术 行为检测*特征码扫描 工作机制：特征匹配 病毒库（恶意代码特征库） 扫描（特征匹配过程） 优势 准确(误报率低) 易于管理 不足 效率问题（特征库不断庞大、依赖厂商） 滞后（先有病毒后有特征库，需要更新特征库） ……*应用最广泛的恶意代码检测技术恶意代码检测技术-沙箱技术* 工作机制 将恶意代码放入虚拟机中执行，其执行的所有操作都被虚拟化重定向，不改变实际操作系统优势 优点 能较好的解决变形代码的检测恶意代码检测技术-行为检测 工作机制：基于统计数据 恶意代码行为有哪些 行为符合度 优势 能检测到未知病毒 不足 误报率高 难点：病毒不可判定原则*恶意代码分析技术 静态分析 需要实际执行恶意代码，它通过对其二进制文件的分析，获得恶意代码的基本结构和特征，了解其工作方式和机制 动态分析 在虚拟运行环境中，使用测试及监控软件，检测恶意代码行为，分析其执行流程及处理数据的状态，从而判断恶意代码的性质，并掌握其行为特点。*静态分析-常规分析*静态分析-代码分析* 样本文件格式：PE文件，脚本文件等。 PE信息分析(是否加壳、加壳类型等) API调用 附加数据分析（字符串、资源）静态分析的特点 优点 不需要运行恶意代码，不会影响运行环境的安全 可以分析恶意代码的所有执行路径 不足 随着复杂度的提高，执行路径数量庞大，冗余路径增多，分析效率较低*恶意代码动态分析-程序功能* API使用 文件读写 新增？ 删除？ 改动？ 注册表读写 新增？ 删除？ 改动？ 内核调用恶意代码动态分析-行为分析 行为分析 本地行为 网络行为 传播方式 运行位置 感染方式 其它结果等*为恶意代码查杀防御提供支撑！动态分析的特点 优点 针对性强 具有较高的准确性 不足 由于分析过程中覆盖的执行路径有限，分析的完整性难以保证*恶意代码清除技术-感染引导区 清除方式：修复/重建引导区 从备份修复引导区 重建主引导区（FDISK/MBR）*恶意代码清除技术-感染文件 附着型：逆向还原（从正常文件中删除恶意代码） 替换型：备份还原（正常文件替换感染文件）*正常代码恶意代码正常代码恶意代码正常代码恶意代码附着型恶意代码清除恶意代码清除-独立文件 独立可执行程序（.exe等） 终止进程、删除 独立依附型（.dll.sys） 内存退出、删除*恶意代码清除-嵌入式 更新软件或系统 重置系统*基于互联网技术的防御 恶意代码监测与预警体系 蜜罐、蜜网 恶意代码云查杀 分布式计算*基于互联网的恶意代码防御 恶意代码具有相当的复杂性和行为不确定性，基于恶意代码的防范需要多种技术综合应用，包括: 恶意代码监测与预警 恶意代码传播抑制 恶意代码处置（清除、阻断） *恶意代码监测及预警-HoneyPot 什么是Honeypot（蜜罐）技术 Honeypot的作用 网络上的“捕鼠器”，用于研究网络黑客攻击 广泛被用于捕获蠕虫病毒或木马程序样本 Honeypot与honeynet*基于互联网的恶意代码防御-云查杀 可疑软件行为检测 云端自动分析处理 快速分发解决措施*总结 恶意代码基本知识 恶意代码传播方式 恶意代码加载、隐藏、自我保护技术 恶意代码防御及查杀技术*谢谢，请提问题！