第3節(jié)惡意代碼概述第3章目

錄01惡意代碼的概念02惡意代碼的種類03常見惡意代碼的工作機制04常見惡意代碼的傳播方式01惡意代碼的概念什么是惡意代碼？定義惡意代碼是指能夠引起計算機故障，破壞計算機數(shù)據(jù)，影響計算機系統(tǒng)的正常使用的程序代碼或指令。——中國信息安全測評中心惡意軟件也叫作惡意代碼，指所有對計算機用戶構(gòu)成危害的程序或者文件，具體包括計算機病毒、蠕蟲、特洛伊木馬等。通常使受害者的數(shù)據(jù)、應(yīng)用以及操作系統(tǒng)的機密性、完整性和可用性收到威脅。——GB/T40652--20211949年：馮·諾依曼在《復(fù)雜自動機組織論》提出概念1983年：真正的惡意代碼在實驗室產(chǎn)生1986年：第一個PC病毒：Brainvirus2001年：“尼姆達”蠕蟲、“紅色代碼”蠕蟲2006年：“熊貓燒香”病毒2010年：“震網(wǎng)”病毒(工業(yè)蠕蟲)2017年：“WannaCry”勒索病毒2017年5月后：基本上為勒索類病毒的衍生版本（Petya、GandCrab5.2、WannaRen等）惡意代碼的發(fā)展歷程惡意代碼的發(fā)展趨勢1從傳播速度上來看惡意代碼爆發(fā)和傳播速度越來越快2從攻擊意圖來看從游戲、炫耀逐步轉(zhuǎn)向惡意牟利3從功能上來看惡意代碼的分工越來越細4從實現(xiàn)技術(shù)來看惡意代碼實現(xiàn)的關(guān)鍵技術(shù)不斷變化5從傳播范圍來看惡意代碼呈現(xiàn)多平臺傳播的特征02惡意代碼的種類惡意代碼分類01.03.04.02.分類計算機病毒（病毒）網(wǎng)絡(luò)蠕蟲（蠕蟲）特洛伊木馬（木馬）其他：后門、Rookit、僵尸網(wǎng)絡(luò)邏輯炸彈、間諜軟件、風(fēng)險程序2021年6月，東莞某三甲醫(yī)院遭受勒索病毒攻擊，導(dǎo)致全院系統(tǒng)癱瘓，嚴(yán)重影響市民就診，接到緊急報告后，應(yīng)急單位啟動應(yīng)急處置方法切斷攻擊源頭，使恢復(fù)系統(tǒng)，當(dāng)天上午十點醫(yī)院門診恢復(fù)正常。案例分析案例一案例二2019年5月17日，由于勒索病毒入侵到華容縣某醫(yī)院的病歷、檢驗系統(tǒng)服務(wù)器，造成該院病歷與檢驗系統(tǒng)的癱瘓，部分需要檢驗的病人無法進行正常檢驗，病人與家屬意見很大；部分來該院診療的病人也不得不到鄰近的華容縣中醫(yī)院或其他醫(yī)院診治。隱蔽性計算機病毒定義編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機正常使用，并能自我復(fù)制的一組計算機指令或者程序代碼。

——GB/T37090--2018特性附加在正常軟件或文檔中，如：word、照片、郵件、網(wǎng)頁。傳染性能夠自我復(fù)制，并把復(fù)制的病毒附加到無病毒程序中或替換磁盤引導(dǎo)區(qū)，使之成為新的病毒源，重復(fù)傳染過程。潛伏性破壞性滿足觸發(fā)條件才執(zhí)行惡意功能，如：特定日期。病毒侵入系統(tǒng)會對系統(tǒng)的運行造成不同程度的影響。計算機病毒計算機病毒的生命周期潛伏階段傳播階段觸發(fā)階段發(fā)作階段該階段病毒處于休眠狀態(tài)，這些病毒最終會被某些條件所激活。病毒程序?qū)⒆陨韽?fù)制到其他程序或磁盤的某個區(qū)域上，或者傳播到其他計算機中。病毒在被激活后，會執(zhí)行某一特定功能從而達到某種目的。病毒在觸發(fā)條件成熟時，即可在系統(tǒng)中發(fā)作。常見病毒CIH病毒

Melissa病毒

火焰病毒（Flame）網(wǎng)絡(luò)蠕蟲定義通過信息系統(tǒng)漏洞缺陷或信息系統(tǒng)使用者的弱點主動進行傳播的惡意程序。

——GB/T37090--2018網(wǎng)絡(luò)蠕蟲分類漏洞利用類蠕蟲口令破解類蠕蟲電子郵件類蠕蟲即時通信工具類蠕蟲IRC類蠕蟲P2P類蠕蟲本地蠕蟲2001年紅色代碼（CodeRed）和尼姆達（Nimda）2003年蠕蟲王（Slammer）、沖擊波（MSBlaster）2008年掃蕩波（saodangbo）、2010年震網(wǎng)（StuxNet）網(wǎng)絡(luò)蠕蟲熊貓燒香組成模塊探測模塊（probe）完成對特定主機的脆弱性檢測，決定采用何種攻擊滲透方式傳播模塊（transport）采用各種形式生成各種形態(tài)蠕蟲副本，在主機間完成副本傳遞蠕蟲引擎模塊（wormengine）決定采用何種搜索算法對本地或目標(biāo)網(wǎng)絡(luò)進行信息搜集負載模塊（payload）網(wǎng)絡(luò)蠕蟲內(nèi)部實現(xiàn)的偽代碼常見蠕蟲病毒特洛伊木馬定義主動與攻擊者通信，接收來自攻擊者的指令，并能夠根據(jù)指令對所在主機進行各種惡意操作的惡意程序。

——GB/T37090--2018特洛伊木馬分類遠程控制型木馬

信息竊取型木馬

破壞型木馬特洛伊木馬01.遠程控制型木馬完整的木馬程序一般由兩部分組成：一個是服務(wù)器端．一個是控制器端。客戶端：用于攻擊者遠程控制已植入木馬的計算機，或者獲取來自被植入木馬主機的數(shù)據(jù)。服務(wù)端：在用戶計算機中的木馬程序。危害遠程管理目標(biāo)主機的文件系統(tǒng)、服務(wù)、注冊表。通過遠程Shell進行命令操作或進一步植入功能更加強大的第三方惡意軟件。特洛伊木馬“灰鴿子”隱藏過程01.遠程控制型木馬冰河網(wǎng)絡(luò)神偷廣外女生網(wǎng)絡(luò)公牛黑洞上興彩虹橋PosionivyPCShare灰鴿子Melody...特洛伊木馬02.信息獲取型木馬組成部分客戶端：用于攻擊者遠程控制已植入木馬的計算機，或者獲取來自被植入木馬主機的數(shù)據(jù)。服務(wù)端：在用戶計算機中的木馬程序。獲取受害者電腦上相關(guān)個人信息為主要目的。危害典型的信息獲取型木馬卡巴斯基分類體系中木馬子類下的Trojan-Bank、Trojan-GameThief、Trojan-IM、Trojan-Spy、Trojan-PSW、Trojan-Mailfinder都可以歸于這一類別。特洛伊木馬02.信息獲取型木馬特洛伊木馬03.破壞型木馬危害對本地或遠程主機系統(tǒng)中的數(shù)據(jù)破壞、資源消耗為主。典型的破壞型木馬Trojan-DDoS、Trojan-Ransom、Trojan-ArcBomb等。后門開放特定端口，等待攻擊者連接，并接受攻擊者的指令執(zhí)行響應(yīng)的惡意操作的惡意程序。RootkitRootkit是一種特殊的惡意軟件，功能是在安裝目標(biāo)上隱藏自身及指定的文件、進程和網(wǎng)絡(luò)鏈接等信息，其一般都和木馬、后門等其他惡意程序結(jié)合使用。僵尸網(wǎng)絡(luò)主動與攻擊者通信，接受攻擊者的指令，并與其他感染此類惡意程序的主機一起對特定目標(biāo)發(fā)起攻擊的惡意程序。其他惡意代碼邏輯炸彈附著在其他軟件中，具有觸發(fā)執(zhí)行破壞能力的惡意程序。間諜軟件不知情下被安裝，執(zhí)行用戶非期望功能。風(fēng)險程序絕對不含有主動傳播行為的程序。其他惡意代碼03常見惡意代碼的工作機制惡意代碼的加載方式01.隨系統(tǒng)啟動而加載開始菜單中的啟動項啟動組包括那些隨著系統(tǒng)的啟動而啟動的應(yīng)用程序。01.隨系統(tǒng)啟動而加載啟動配置文件Autorun.batWin.iniSystem.ini過于明顯用戶登錄后才能啟動缺點惡意代碼的加載方式HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\loadHKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\UserinitHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce……01.隨系統(tǒng)啟動而加載注冊表加載位置Load鍵值Userinit鍵值RunRunServicesOnceRunServices隱蔽性強方式多樣注冊表啟動項優(yōu)勢惡意代碼的加載方式隱蔽性強無需用戶登錄權(quán)限較高01.隨系統(tǒng)啟動而加載服務(wù)單獨服務(wù)替換系統(tǒng)服務(wù)程序加載方式優(yōu)勢惡意代碼的加載方式01.隨系統(tǒng)啟動而加載組策略優(yōu)勢類似啟動項，但隱蔽性更高缺點需要用戶登錄惡意代碼的加載方式02.隨文件執(zhí)行加載方式感染/文件合并傳統(tǒng)病毒宏病毒程序合并惡意代碼的加載方式02.隨文件執(zhí)行加載方式隱蔽性強清理困難瀏覽器插件優(yōu)勢惡意代碼的加載方式02.隨文件執(zhí)行加載方式修改文件關(guān)聯(lián)正常情況下文本文件（.txt）關(guān)聯(lián)到記事本notepad.exe打開病毒修改文本文件（.txt）關(guān)聯(lián)到病毒文件打開優(yōu)勢隱蔽性強，可關(guān)聯(lián)任意類型文件，甚至可以關(guān)聯(lián)目錄操作惡意代碼的加載方式惡意代碼的隱藏技術(shù)惡意代碼進程隱藏技術(shù)-進程迷惑隨機進程名每次啟動生成不一樣的進程名，退出后無法查找系統(tǒng)進程類命名Windows.exe、System1.exe、Kernel.exe隨機進程名同名不同路徑的進程C:\windows\system32\iexplore.exe(木馬)C:\ProgramFiles\InternetExplorer\iexplore.exe(正常)名稱相近的程序svchost.exe(正常)svch0st.exe(木馬)惡意代碼進程隱藏技術(shù)-DLL注入什么是DLL注入？動態(tài)鏈接庫文件（DLL）注入技術(shù)是惡意代碼將DLL文件放進某個進程的地址空間里，讓它成為那個進程的一部分。DLL注入的優(yōu)勢無進程隱蔽性強清除難度大123惡意代碼的隱藏技術(shù)icmphttp80惡意代碼網(wǎng)絡(luò)隱藏技術(shù)-端口復(fù)用/無端口端口復(fù)用技術(shù)重復(fù)利用系統(tǒng)網(wǎng)絡(luò)打開的端口（如25、80、135和139等常用端口）傳送數(shù)據(jù)，這樣既可以欺騙防火墻，又可以少開新端口。端口復(fù)用是在保證端口默認服務(wù)正常工作的條件下用，具有很強的欺騙性。無端口使用無端口的協(xié)議客戶機應(yīng)用服務(wù)器惡意代碼的隱藏技術(shù)端口反向連接技術(shù)，系指惡意代碼攻擊的服務(wù)端（被控制端）主動連接客戶端（控制端）。惡意代碼網(wǎng)絡(luò)隱藏技術(shù)-反彈端口攻擊者受害者攻擊者受害者惡意代碼的隱藏技術(shù)惡意代碼隱藏技術(shù)-系統(tǒng)隱藏默認情況下，Windows不顯示隱藏文件和系統(tǒng)文件，惡意代碼將自身屬性設(shè)置為隱藏和系統(tǒng)文件以實現(xiàn)隱藏。惡意代碼的隱藏技術(shù)惡意代碼隱藏技術(shù)-流文件ADS(AlternateDataStreams)交換數(shù)據(jù)流NTFS文件系統(tǒng)下，每個文件都可以有多個數(shù)據(jù)流。一個文件以流的形式附加到另一個文件（載體）中，流文件對explorer.exe等文件管理軟件不可見，病毒可以利用此方式進行隱藏。惡意代碼的隱藏技術(shù)惡意代碼隱藏技術(shù)-流文件Hook（系統(tǒng)鉤子）鉤子機制允許應(yīng)用程序截獲處理window消息或特定事件。在目標(biāo)窗口處理消息前處理它。設(shè)置系統(tǒng)鉤子，勾取對文件及目錄操作獲得文件列表存放內(nèi)存地址獲取文件列表結(jié)果將病毒文件自身從列表結(jié)構(gòu)中刪除惡意代碼的隱藏技術(shù)惡意代碼的自我保護主程序被停止，重新啟動主程序重新啟動主進程從備份中還原惡意代碼進程保護-進程守護惡意代碼主程序?qū)崿F(xiàn)惡意代碼主功能守護程序監(jiān)視并保護主進程正常運行阻止主程序的退出重啟主程序從備份中還原主程序從網(wǎng)絡(luò)中重新下載主程序惡意代碼進程保護-設(shè)備驅(qū)動程序（超級權(quán)限）為什么是設(shè)備驅(qū)動程序？特點惡意代碼通過將自身注冊成為設(shè)備驅(qū)動，從而獲得較高權(quán)限，阻止反病毒軟件對它的查殺并干擾反惡意代碼軟件的正常運行。非常高的權(quán)限安全模式下可工作無法直接查殺……惡意代碼的自我保護檢測對抗技術(shù)-反動態(tài)調(diào)試動態(tài)調(diào)試的發(fā)現(xiàn)偽斷點校驗和發(fā)現(xiàn)調(diào)試檢測運行環(huán)境，發(fā)現(xiàn)調(diào)試工具反動態(tài)調(diào)試的實現(xiàn)封鎖鍵盤輸入和屏幕顯示中止調(diào)試軟件惡意代碼程序自動退出惡意代碼的自我保護UPX加殼程序檢測對抗技術(shù)-反靜態(tài)調(diào)試反靜態(tài)調(diào)試的實現(xiàn)加殼對惡意代碼的可執(zhí)行二進制程序進行壓縮，使其執(zhí)行流程發(fā)生變化。隨著加密密鑰的變化，惡意代碼會產(chǎn)生不同的表現(xiàn)形式，進一步提高了其抗靜態(tài)分析的能力。加密通過插入偽指令、混淆程序數(shù)據(jù)和控制流等方法，防止靜態(tài)分析和檢測。代碼混淆惡意代碼的自我保護04常見惡意代碼的傳播方式惡意代碼的傳播途徑[AutoRun]OPEN=Autorun.exeICON=icon.ico惡意代碼傳播方式-移動存儲自動播放功能Windows默認自動執(zhí)行autorun.inf指定的文件設(shè)置組策略編輯器惡意代碼傳播方式-文件傳播文件感染軟件捆綁強制安裝

在安裝其他軟件時被強制安裝上默認安裝

在安裝其他軟件是被默認安裝上惡意代碼的傳播途徑惡意代碼傳播方式-網(wǎng)頁1將木馬偽裝為頁面元素2利用腳本運行的漏洞3偽裝為缺失的組件4通過腳本運行調(diào)用某些com組件5利用軟件漏洞例如：在渲染頁面內(nèi)容的過程中利用格式溢出釋放或下載木馬惡意代碼的傳播途徑惡意代碼傳播方式-郵