第六章:恶意软件

1.恶意软件类型

恶意软件:一种被植入系统,以损害数据应用程序或操作系统机密性、完整性、可用性或对用户实行骚扰妨碍的程序

相关术语:高级持续性威胁,广告软件,攻击工具包,Auto-rooter,后门,下载器,路过式下载,漏洞攻击程序

恶意软件粗略分类:基于如何传播或传播以达到的预期目标

也可以分为:需要宿主程序的(寄生代码,病毒),独立自包含的程序(蠕虫,木马,机器人),不能复制的恶意软件(木马,垃圾邮件),复制的恶意软件(病毒,蠕虫)

传播机制:

对现有的可执行程序的感染由病毒翻译并随后传播至其他内容,利用软件漏洞来允许恶意软件自我复制,借助社会工程学方法说服用户绕过安全机制安装木马或是响应钓鱼

恶意软件到达系统目标表现的有效载荷行为:

污染系统或数据文件

窃取服务使系统成为僵尸网络中的一员

窃取信息,特别是一些敏感信息

隐藏恶意软件的存在并防止被检测锁定

2.高级持续性威胁APTs

具有充足资源、应用大量入侵技术和恶意软件的持续性应用程序,这个应用程序有选择的目标,通常是一些政治或商业目标

APT通常来自国家支持的组织,有些攻击也可能来自犯罪企业,APT与其他类型攻击不同之处在于APT精心地对目标进行选择,具有持续性,通常具有隐蔽性,入侵者在相当的时期内都要致力于攻击

APT特征:

高级
• 攻击者使用多种入侵技术和恶意软件,如果有需要还会开发定制的恶意软件。
• 其中单一的组件在技术上也许不先进,但是每个组件都是针对目标精心选择的
持续性
• 攻击者用很长时间确定针对攻击目标的攻击应用可以最大化攻击成功的概率。 • 攻击手段的种类是逐渐递增的,通常是非常隐秘的,直到目标被攻陷。
威胁
• 针对选定目标的威胁来自有组织、有能力和有良好经济支持的攻击者,他们试图 攻陷这些目标。
• 在攻击过程中,攻击者的积极参与极大地提升了自动攻击工具的威胁等级,也增 加了成功攻击的可能性。
 

APT攻击:

目的:窃取知识产权或安全和基础设施相关数据,也包括基础设施物理破坏

技术用于:社会工程学,钓鱼邮件,选取目标组织中的人员会访问的网站植入下载

试图:利用恶意软件,通过多种传播机制和有效载荷和感染目标

一旦获取了目标组织的系统初始权限,攻击者会利用更多的攻击工具来位置和提升他们的访问权限

3.传播感染内容病毒

通过修改正常程序而进行感染的软件
• 向正常程序注人病毒代码来使病毒程序得到复制
• 复制病毒程序,继续感染其他正常程序
• 在网络环境下,访问其他计算机上的文档、应用程序和系统服务的能力为病毒的 传播提供了温床
• 病毒可以实现正常程序所能实现的任何功能 • 它能够跟着宿主程序的运行而悄悄地运行
• 具体根据不同的操作系统和硬件而异 • 利用它们的工作原理和弱点

病毒组成元素:感染机制,触发条件,有效载荷

感染阶段:潜伏期-触发-传播-执行

病毒分类:按照目标:感染引导扇区病毒,感染可执行文件病毒,宏病毒,多元复合型病毒

隐藏方式分类:加密型病毒,隐蔽型病毒,多态病毒,变形病毒

4.传播漏洞利用蠕虫

蠕虫是一种主动寻找并感染其他机器的程序,而每台被感染的机器又转而自动攻击其它机器

蠕虫通常会利用客户端和服务器程序的软件漏洞,利用网络连接在系统传播,通过贡献媒介(USB等)传播,通过电子邮件或者附带文档或即时消息中的宏或脚本代码传播,一旦激活可以再次复制传播,除了传播还会携带有效载荷

蠕虫的自我复制:

电子邮件或即时工具                    

• 通过邮件将自己的拷贝发送到其他系统中去
• 自身当作即时通信服务的附件进行发送

文件共享

• 蠕虫可以在如USB设备等可插拔媒介上创建自己的 拷贝

远程执行能力

• 蠕虫有在其他系统中执行自己的拷贝的能力

远程文件访问或传输 能力

• 蠕虫利用远程文件访问或者传输服务向其他系统复制自身拷贝

远程登陆能力

• 蠕虫以一个用户的身份登录到远程系统,然后使用 命令将自己复制到将要被执行的另一个系统中。
        
如何发现目标:随机探索,黑名单,拓扑使探索,本地子网

蠕虫技术现状:多平台,多种攻击手段,传播速度超快,多态,变形

客户端漏洞和路过式下载:利用应用程序中的bug来安装恶意软件,当用户浏览一个受攻击者控制的eb页面时,该页面包含的代码会攻击该浏览器的bug在用户不知情或者不允许的情况下向系统安装恶意软件,多数情况下,这类恶意软件不像蠕虫那样传播,主要等待无防备的用户浏览恶意的web页面来传播

水坑式攻击:

路过式下载的一个变种被称为水坑式攻击
• 攻击者通过研究他们意图攻击的目标,确定他们可能要浏览的Web 站点,然后扫描这些站点找出那些含有能让他们植入夹带式下载的 漏洞。
• 等待受害者去浏览那些有害的站点。
• 他们的攻击代码甚至可以被设定为只感染属于目标组织的系统,而
对其他浏览该站点的访问者没有影响。
• 这样极大地增加了受控制站点无法被检测出来的可能性。
 

恶意广告:
通过Web站点部署恶意软件的技术,该技术不会真正损害Web站点。
攻击者在他们目标网站付钱植入包含有恶意代码的广告。
利用这些恶意植入代码,攻击者通过向访问者展示广告来令其感染。
这些恶意代码是动态生成的,这同样可以减少被侦测到的机会,或者只感染特殊的系统。
近年来,恶意广告发展迅速,因为它们很容易被放置在期望的网站上,而且几乎没有问题,也很难追踪。
攻击者在预料到他们的受害者可能会浏览目标网站后仅仅将这些恶意广告放置几小时,以此来大幅度降低恶意广告的可见度
 

点击劫持:

• 也称为用户界面伪装攻击
( user-interface(UI) redress attack)
• 利用类似的技术,键盘输人也 可以被劫持
• 通过精心制作的可定义模板、 iframe标签和文本框等页面元素 的组合,用户会被误导而以为他们在为电子邮件或银行账户输人 口令,而实际上他们将口令输入 到了攻击者控制的一个无形的框 架内。

攻击者收集被感染用户鼠标点击 信息的攻击
• 攻击者可以强迫用户做一系列的事情,从 调整计算机的设置到在用户不知情的情况 下让用户访问可能含有恶意代码的网站
• 利用Adobe Flash和JavaScript,攻击者甚至可 能在一个合法按钮的上面或者下面部署一 个按钮,并将其制作成难以被用户察觉的 样子。
• 这种攻击的典型例子是利用多重透明或模 糊的页面层次来欺骗用户在试图点击最上 层页面时,却实际上点击了另一个按钮或 链接到另一个页面
• 攻击者实施点击劫持的意图是将一个页面 链接至属于其他应用、域名(也许两者都是) 的页面。

5.传播社会工程学,垃圾邮件,木马

社会工程学:欺骗用户协助入侵他们自己的系统或获取个人信息:常用方式:垃圾邮件,特洛伊木马,手机木马

6.载荷——系统破坏

经典案例:WannaCry勒索软件
• 在2017年5月感染了许多国家的很多系统。
• 当其被安装在被感染的系统上,它会加密大量满足列表中文件类型要求的文件, 而后索要比特币赎金来恢复它们。
• 一旦这种情况发生,信息的恢复只能依赖于组织有良好的备份、应急响应措施、 灾难恢复计划。
• 这些攻击的目标已经超出个人计算机系统,包括移动设备和Linux服务器。
• 而威胁公布敏感个人信息或在短时间内永久销毁加密密钥等策略有时被用来增 加受害者付费的压力。

系统损坏:物理设备的损坏,逻辑炸弹

7.载荷——代理攻击-zombie、bot

• 会秘密地控制一台连接Internet 的计算机,并利用所控制的计算机发动攻击
• Botnet – 一大群僵尸机组成了僵尸网络,以一种协调的方式行
• 用途 :
• 分布式拒绝服务攻击 (DDoS)
• 发送垃圾邮件
• 嗅探通信流量
• 记录键盘
• 传播新的恶意软件
• 安装广告插件和浏览器辅助插件 • 攻击IRC聊天网络
• 操纵在线投票或游戏

远程控制:

 区别bot与蠕虫的区别在于是否具有远程控制能力 • 蠕虫是自我复制并自我激活
• bot是由某种形式的指挥控制服务器网络控制的。 • 早期实现远程控制的工具是IRC服务器
• 所有的 bot都会加入这个服务器的一个特定通道中,并把通道中收到的消息 当作命令处理。
• 近来越来越多的僵尸网络已经避免使用RC机制了,转而利用协议(如HTTP 协议)来实现隐蔽通信通道。
• 利用点对点通信协议的分布式控制机制也是一种可用的控制方法,以避 免单一控制节点容易失效的不足。

7.载荷——信息窃取-键盘记录器,网络钓鱼,间谍邮件

键盘记录器:抓取被感机器中的键击信息,从而监视那些敏感信息

间谍软件:监听受害者系统中的多种类活动,历史记录,修改网页,交换数据等

载荷 – 网络钓鱼和身份盗窃
• 利用社会工程学,伪装成可信来源的通信 取得用户的信任
• 在垃圾邮件中包含指向被攻击者控制 的虚假网站URL,并让这个虚假网站 模仿一些银行、游戏或其他类似网站 的登录界面。
• 此类邮件通常包含有提示用户需要紧 急验证他们的账户以免被锁定的消息。
• 如果用户不加小心,没有发现自己正 受到诈骗,跟随链接并提供了需要的 细节信息,就无疑会导致攻击者利用 截获的凭证信息攻陷用户的账户。
• 鱼交叉式网络钓鱼
• 邮件的收件人事先已经 受到了攻击者的认真研 究
• 因为每封邮件都是精心 制作的以迎合相应的收 件人(通常是通过引用一 系列信息以说服收件人 相信邮件的可靠性)。

8.载荷——隐藏-后门,rootkits

后门也叫陷门,指的是一个程序的秘密入口,使知情者不经过通常的安全访问程序而获得访问权限,维护挂钩:指的是程序员开发者合理的用于程序的调试和测试后门,很难通过操作系统对后门进行控制

rootkit:安装在系统中用来支持以管理员权限对系统进行访问的一组程序,通过破坏系统对进程、文件、注册表的监控和报告机制而实现隐藏,将管理员权限给黑客。

分类:持续的,基于内存的,用户模式,内核模式,基于虚拟机,外部模式

9.对抗手段

对恶意软件的预防四要素:规则,警惕性,弥补弱点,缓解威胁

如果预防措施失败了则:检测,识别,清除

沙箱分析
• 在沙箱或虚拟机中运行恶意代码
• 这可以保证代码在可控制的环境内运行,其行为可以被近距离
   监控,同时不会对实际的系统安全造成威胁。
• 在这种环境中运行潜在的恶意软件可以让检测系统对恶意软件 复杂加密、多态或变质进行检测。
• 沙箱分析设计最困难的部分是确定执行每次解释(interpretation) 所需的时间。
 

基于主机的动态恶意软件分析
• 动态恶意软件分析或行为阻断软件与主机的操作系统相结合,实 时监控恶意的程序行为
• 行为阻断软件能够在程序的恶意行为影响计算机之前将其阻断。
• 因为动态分析软件能及时阻断可疑软件的执行,这比起现有的反病毒检测技术((如 特征码技术和启发式技术)具有很大的优势。
限制
• 单纯的动态分析是有局限性的。因为在恶意程序的 所有行为被识别出来之前,该程序已经在目标机器 上执行了,所以在它被检测并阻止之前就可能已经 对系统造成了损害。

边界扫描处理
  • 通常包含在运行于这些系统上 的电子邮件和 Web代理服务中
• 但也可能包含在入侵检测系统 的流量分析组件中。
• 反病毒软件也可能包含有预防 入侵的措施,有能力屏蔽任何 可疑的网络流量
• 方法存在局限性,只能扫描恶 意软件内容
入口 检测软件
这类软件被安装在企业内部网络和Internet之间。 它们可以是一个边界路由器或者外部防火墙或者独立的被动监控器的入口过滤软件的一部分。
出口 检测软件
些软件可以被安装在企业内部网络中的各个独立局域网的出口点上,也可以被安装在企业内部网与Internet之间。通过监控输出通信中是否存在扫描或者其他可疑行为来捕获恶意软件攻击的源头。

作业中的一些问题:

  1. 蠕虫利用什么方法获得远程系统的权限进行传播?

答:

蠕虫一般利用客户端或服务器的软件漏洞利用网络连接在系统间传播,也可以通过共享媒介USB灯设备进行传播,或者通过电子邮件附带文档或即时消息通信中用宏或脚本代码传播,出阿波后又可以自我复制再传播。

  1. 什么是路过式下载?它如何传播蠕虫?

答:

利用应用程序中的缺陷来安装恶意软件,使得用户浏览一个受攻击者控制的web页面时,该页面包含的代码会攻击该浏览器的缺陷并在用户不知情不允许的情况下向系统安装恶意软件,然后通过恶意软件加载蠕虫病毒进行传播。

  1. 后门、bot、键盘记录器、间谍软件和rootkit 之间有何差别?它们能否在同一个恶意软件内呈现?

答:

后门:也叫陷门,是一个程序的秘密入口,使得知情者不经过通常的安全访问程序从而获得访问权限

bot:一大群的僵尸机组成了僵尸网络,以一种协调的方式进行攻击。

键盘记录器:抓取被感染机器的键盘信息,从而获取一些敏感信息。

间谍软件:监听被感染者机器中的各种类活动。修改网页交换数据等。

root kit:安装在系统中用来支持以管理员权限对系统进行访问的一组程序。

可以在一个同一个恶意软件中集成,从而造成多方位的破坏和窃取信息。

  1. 网络钓鱼攻击和鱼叉式网络钓鱼有什么区别,特别是在目标上?

答:网络钓鱼攻击主要使用一些虚假网站url去大范围的钓鱼和窃取信息,没有指定性,是广撒网,而鱼叉式网络钓鱼是事先已经研究了被攻击者,并且针对被攻击者进行精心的制作对应的钓鱼邮件或软件,从而窃取到针对性的敏感信息或者公司机密。

  1. 说明一些恶意软件对抗措施的要点。

答:

了解恶意软件传播和制作规则,提高自己的警惕性,弥补本身机器的弱点安装防火墙提高安全保护等级,一旦被感染快速行动拯救敏感资源和信息,减少威胁和损害。

  1. 列举三种恶意软件对抗机制部署的位置。简要描述四代反病毒软件。

答:

  1. 沙箱分析:在沙箱和虚拟机中运行恶意代码,可以保证代码在环境中运行并且可以近距离监视观察并且不会对真实的系统造成威胁。
  2. 基于主机的动态恶意软件分析(行为阻断软件):在程序的恶意行为影响计算机之前将其阻断。并且对其进行分析。
  3. 边界扫描处理:通常包含在运行于这些系统上的电子邮件和web代理服务中,只能扫描恶意内容。

第四代反病毒软件:由各种反病毒技术组合的软件包,包括扫描和活动陷阱组件和访问控制功能等,是集合全功能的的保护软件。

  1. 假如当你要从一些网站上收集一些短视频时,你看到一个弹窗,告诉你必须要安装一些代码才可以观看这些视频。如果你允许其安装,这可能会对你的计算机系统造成什么威胁?

答:这些代码可能包含恶意软件下载程序或者恶意脚本,可能对计算机系统造成感染病毒或者蠕虫对系统造成严重的破坏和财产损失,系统文件或数据被污染,漏出后门等加大被入侵的风险,或者被植入一些监听监视软件,容易造成个人敏感信息的泄漏,也可能被作为肉鸡对其他主机进行攻击,被人利用挡刀。

  1. 列出个人电脑会遭受的攻击类型,和个人(基于主机)防火墙和反病毒软件应帮你对抗哪些类型的攻击。何种措施可以帮助阻止宏病毒通过电子邮件附件传播?如何防止系统中的后门被利用

答:

在日常生活学习使用中我们很容易受到:后门攻击,下载器攻击,钓鱼攻击,病毒攻击,间谍软件攻击,病毒和蠕虫攻击,垃圾邮件攻击,特洛伊木马攻击等

反病毒软件和防火墙能对抗病毒,木马,蠕虫等恶意代码,也可以有效拦截一些有漏洞的web网站和一些钓鱼网站,并且过滤一些带有非法关键词的网站邮件等,也会对网关进行一定的流量监控和拦截恶意流量。

防治宏病毒传播的最有效的方法就是不去下载带有不明来路的邮件中的附件,提高自己的警惕性,其次是不要忽略系统对不明文件的安全提醒并且通过安装的杀毒软件和一些扫描软件对附件进行扫描然后快速清除带有宏病毒的附件。

对于后门,熟悉是要关闭本机不用的端口,并允许指定的端口访问,要使用专杀软件扫描端口防止木马后门,学会对进程进行操作管理,发现不明进程要及时停止关闭,也可以使用进程管理系统进程。