20155326《網絡對抗》免考項目—— 深刻惡意代碼之惡意代碼詳解

時間 2019-11-15

標籤網絡對抗項目深刻惡意代碼詳解欄目系統網絡简体版

原文原文鏈接

20155326《網絡對抗》免考項目——深刻惡意代碼之惡意代碼詳解

什麼是惡意代碼

惡意代碼是一種程序，它經過把代碼在不被察覺的狀況下鑲嵌到另外一段程序中，從而達到破壞被感染電腦數據、運行具備入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。html

惡意代碼生命週期

攻擊目標：

我的計算機程序員
服務器sass
移動智能終端安全

手機、平板等服務器

智能設備

特斯拉汽車、智能家居、智能手錶等網絡

通訊設備

路由器、交換機等函數

安全設備等

防火牆、IDS, IPS. VDS工具

攻擊目標範圍：

定點攻擊

郵件、IP、域名、QQ等
服務器列表、特定人員名單等性能

羣體性殺傷

掛馬攻擊、釣魚攻擊:
病毒、蠕蟲自動擴散:學習

惡意代碼危害

刪除敏感信息
做爲網絡傳播的起點
監視鍵盤
收集你的相關信息：常訪問的站點、 search的關鍵詞、上網偏好/時間
獲取屏幕
在系統上執行指令/程序
竊取文件,如文檔/音視頻數據/務/技術/商業機密
開啓後門,做爲攻擊其餘計算機的起點/(肉雞)
隱藏在你主機上的全部活動
誘騙訪問惡意網站

惡意代碼的特徵

惡意代碼從80年代發展至今體現出來3個主要特徵：

惡意代碼日趨複雜和完善:從很是簡單的,感染遊戲的Apple II病毒發展到複雜的操做系統內核病毒和今天主動式傳播和破壞性極強的蠕蟲。惡意代碼在快速傳播機制和生存性技術研究取得了很大的成功。
創新性工具和技術的發佈速度加快:惡意代碼剛出現時發展較慢,可是隨着網絡飛速發展, Internet成爲惡意代碼發佈並快速蔓延的平臺。特別是過去十年,不斷涌現,的惡意代碼,證明了這一點。
從病毒到蠕蟲,又到內核的開發趨勢:對於過去的惡意代碼,大多數活動都圍繞着病毒和感染可執行程序進行,然而如今,咱們看到這些活動主要集中在蠕蟲和內核級的系統開發上活動主要集中在蠕蟲和內核級的系統開發上。

惡意代碼當前發展狀況

惡意代碼的發展歷史

惡意代碼分類：

病毒類型所佔比例

下面介紹四類流行的惡意代碼

陷阱門（後門）

陷阱門是某個程序的祕密入口，經過該入口啓動程序，能夠繞過正常的訪問控制過程，所以，獲悉陷阱門的人員能夠繞過訪問控制過程，直接對資源進行訪問。陷阱門已經存在很長一段時問，原先的做用是程序員開發具備鑑別或登陸過程的應用程序時，爲避免每一次調試程序時都需輸入大量鑑別或登陸過程須要的信息，經過陷阱門啓動程序的方式來繞過鑑別或登陸過程。程序區別正常啓動和經過陷阱門啓動的方式不少，如攜帶特定的命令參數、在程序啓動後輸入特定字符串等。
  程序設計者是最有可能設置陷阱門的人，所以，許多免費下載的實用程序中含有陷阱門或病毒這樣的惡意代碼，使用免費下載的實用程序時必須注意這一點。

如：Bits、WinEggDrop、Tini。。。

後門特色：

1.後門包括從簡單到奇特，有不少的類型。簡單的後門可能只是創建一個新的帳號，或者接管一個不多使用的帳號;複雜的後門(包括木馬)可能會繞過系統的安全認證而對系統有安全存取權。例如一個login程序，當你輸入特定的密碼時，你就能以管理員的權限來存取系統。

2.後門能相互關聯，並且這個技術被許多黑客所使用。例如，黑客可能使用密碼破解一個或多個帳號密碼，黑客可能會創建一個或多個帳號。一個黑客能夠存取這個系統，黑客可能使用一些技術或利用系統的某個漏洞來提高權限。黑客可能會對系統的配置文件進行小部分的修改，以下降系統的防衛性能。也可能會安裝一個木馬程序，使系統打開一個安全漏洞，以利於黑客徹底掌握系統。

特洛伊木馬

特洛伊木馬也是包含在正常應用程序中的一段惡意代碼，一旦執行這樣的應用程序，將激發惡意代碼。顧名思義，這一段惡意代碼的功能主要在於削弱系統的安全控制機制，如在系統登陸程序中加入陷阱門，以便黑客可以繞過登陸過程直接訪問系統資源；將共享文件的只讀屬性修改成可讀寫屬性，以便黑客可以對共享文件進行修改；甚至容許黑客經過遠程桌面這樣的工具軟件控制系統。

如：冰河、網絡神偷、灰鴿子。。。

遠程控制與特洛伊木馬

遠程控制技術原理：

遠程控制軟件其實是一種客戶機/服務器程序，服務器程序安裝在被控主機上，客戶機程序安裝在控制端。做爲服務器的主機通常會打開一個默認的端口並進行監聽，若是有客戶機向服務器的這一端口提出鏈接請求，服務器上相應程序就會自動運行，來應答客戶機的請求，從而實現遠程控制。

木馬組成

對木馬程序而言，它通常包括兩個部分：客戶端和服務器端。

服務器端：

經過各類手段植入被控制的目標機器。
通常經過電子郵件或其餘手段讓用戶在其計算機中運行，以達到控制該用戶計算機的目的。

客戶端：

安裝在攻擊者機器上，由控制者所使用
用於對受控的計算機進行控制。

服務器端程序和客戶端程序創建起鏈接就能夠實現對遠程計算機的控制了。

特洛伊木馬特徵：

1.不產生圖標　　

木馬雖然在你係統啓動時會自動運行，但它不會在 "任務欄"中產生一個圖標，這是容易理解的，否則的話，你看到任務欄中出現一個來歷不明的圖標，你不起疑心纔怪呢! 木馬程序自動在任務管理器中隱藏，並以"系統服務"的方式欺騙操做系統。　　

2.具備自動運行性。　　

木馬爲了控制服務端。它必須在系統啓動時即跟隨啓動，因此它必須潛人在你的啓動配置文件中，如win.ini、system.ini、winstart.bat以及啓動組等文件之中。　　

3.包含具備未公開而且可能產生危險後果的功能的程序。　　

4.具有自動恢復功能。　　

如今不少的木馬程序中的功能模塊巴再也不由單一的文件組成，而是具備多重備份，能夠相互恢復。當你刪除了其中的一個，覺得萬事大吉又運行了其餘程序的時候，誰知它又悄然出現。像幽靈同樣，防不勝防。　　

5.能自動打開特別的端口。　

6.功能的特殊性。
　　
一般的木馬功能都是十分特殊的，除了普通的文件操做之外，還有些木馬具備搜索cache中的口令、設置口令、掃描目標機器人的IP地址、進行鍵盤記錄、遠程註冊表的操做以及鎖定鼠標等功能。上面所講的遠程控制軟件固然不會有這些功能，畢竟遠程控制軟件是用來控制遠程機器，方便本身操做而已，而不是用來黑對方的機器的。

木馬技術——植入方式

木馬技術——隱藏技術

文件隱藏：

採用欺騙的方式假裝成其它文件
假裝成系統文件

進程隱藏：

動態連接庫注入技術，將「木馬」程序作成一個DLL文件，並將調用動態連接庫函數的語句插入到目標進程，這個函數相似於普通程序中的入口程序。
Hooking API技術。經過修改API函數的入口地址的方法來欺騙試圖列舉本地全部進程的程序。

通訊隱藏：

端口隱藏
反向鏈接
隱藏通道

PS：一個複用正常服務端口的例子以下。

木馬技術——自動加載

針對Windows系統，木馬的自動加載主要有如下方法：

蠕蟲

從病毒的廣義定義來講，蠕蟲也是一種病毒，但它和狹義病毒的最大不一樣在於自我複製過程，病毒的自我複製過程須要人工干預，不管是運行感染病毒的實用程序，仍是打開包含宏病毒的郵件，都不是由病毒程序自我完成的。蠕蟲可以自我完成下述步驟。
(1)查找遠程系統：可以經過檢索已被攻陷的系統的網絡鄰居列表或其餘遠程系統地址列表找出下一個攻擊對象。
(2)創建鏈接：可以經過端口掃描等操做過程自動和被攻擊對象創建鏈接，如Telnet鏈接等。
(3)實施攻擊：可以自動將自身經過已經創建的鏈接複製到被攻擊的遠程系統，並運行它。

經典的兩種蠕蟲（此外還有紅色代碼、SQL蠕蟲王、衝擊波、震盪波。。。）

蠕蟲工做機制

信息收集-->攻擊滲透-->現場處理

在信息收集階段，按照必定的策略搜索網絡中存活的主機，收集目標主機的信息，並進行漏洞探測。掃描策略以下：

因爲蠕蟲向網絡中發送大量的探測數據，很容易形成網絡堵塞，這也是蠕蟲病毒的最大危害之一。

攻擊滲透是經過主機漏洞嘗試攻擊，一旦攻擊成功，則得到控制該主機的權限，將蠕蟲代碼滲透到被攻擊主機。

現場處理是對被攻擊的主機進行一些處理，將攻擊代碼隱藏，爲了能使被攻擊主機運行蠕蟲代碼，還要經過註冊表將蠕蟲程序設爲自啓動狀態；能夠完成其它行爲，如惡意佔用CPU資源等。

PS:攻擊示例,就像這樣默默在註冊表中添加了一項。

或者修改了系統進程，這裏lsass.exe是一個系統進程，用於Windows系統的安全機制。它用於本地安全和登錄策略。

蠕蟲的行爲特徵

1.自我繁殖：
　
　蠕蟲在本質上已經演變爲黑客入侵的自動化工具，當蠕蟲被釋放（release）後，從搜索漏洞，到利用搜索結果攻擊系統，到複製副本，整個流程全由蠕蟲自身主動完成。就自主性而言，這一點有別於一般的病毒。

2.利用軟件漏洞：

任何計算機系統都存在漏洞，這些漏洞是各類各樣的，有操做系統自己的問題、有的是應用服務程序的問題、有的是網絡管理人員的配置問題……

3.形成網絡擁塞：

在掃描漏洞主機的過程當中，蠕蟲須要：判斷其它計算機是否存在；判斷特定應用服務是否存在；判斷漏洞是否存在等等，這不可避免的會產生附加的網絡數據流量。

同時蠕蟲副本在不一樣機器之間傳遞，或者向隨機目標的發出的攻擊數據都不可避免的會產生大量的網絡數據流量。即便是不包含破壞系統正常工做的惡意代碼的蠕蟲，也會由於它產生了巨量的網絡流量，致使整個網絡癱瘓，形成經濟損失。

4.消耗系統資源：

蠕蟲入侵到計算機系統以後，會在被感染的計算機上產生本身的多個副本，每一個副本啓動搜索程序尋找新的攻擊目標。大量的進程會耗費系統的資源，致使系統的性能降低。這對網絡服務器的影響尤爲明顯。

5.留下安全隱患：

大部分蠕蟲會蒐集、擴散、暴露系統敏感信息（如用戶信息等），並在系統中留下後門。這些都會致使將來的安全隱患。

病毒

計算機病毒是一個程序,一段可執行代碼。就像生物病毒同樣,計算機病毒有獨特的,複製能力。計算機病毒能夠很快地蔓延,又經常難以根除。它們能把自身附着在各類類型的文件上。當染毒文件被複制或從一個用戶傳送到另外一個用戶時,它們就隨同該文件一塊兒,蔓延開來。除複製能力外,某些計算機病毒還有其餘一些共同特性:一個被感染的程序是可以傳播病毒的載體。當你看到病毒彷佛僅表如今文字和圖像上時,它們可能也已毀壞了文件、格式化了你的硬盤或引起了其餘類型的災害。若病毒並不寄生於一個感染程序,它仍然能經過佔據存儲空間給你帶來麻煩,並下降計算機的性能。

經典的兩種病毒（此外還有CIH、新歡樂時光等等）：

計算機病毒具備如下幾個密明顯的特徵：

1.傳染性

這是病毒的基本特徵,是判斷一個程序是否爲計算機病毒的最重要的特徵,一旦病毒被複制或產生變種，其傳染速度之快使人不可思議。

2.破壞性

任何計算機病毒感染了系統後,都會對系統產生不一樣程度的影響,發做時輕則佔用系統資源,影響計算機運行速度,下降計算機工做效率,使用戶不能正常使用計算機;重則破壞用戶計算機的數據,甚至破壞計算機硬件,給用戶帶來巨大的損失。

3.寄生性

通常狀況下,計算機病毒都不是獨立存在的,而是寄生於其餘的程序中,當執行這個程序時,病毒代碼就會被執行,在正常程序未啓動以前,用戶是不易發覺病毒的存在的。

4.隱蔽性

計算機病毒具備很強的隱蔽性,它一般附在正常的程序之中或藏在磁盤隱祕的地方,有些病毒採用了極其高明的手段來隱藏本身,如使用透明圖標、註冊表內的類似字符等,並且有的病毒在感染了系統以後，計算機系統仍能正常工做，用戶不會感到任何異常，在這種狀況下，普通用戶沒法在正常狀況下發現病毒。

5.潛伏性（觸發性）

大部分的病毒感染系統以後通常不會立刻發做,而是隱藏在系統中,就像定時炸彈同樣,只有在知足特定條件時才被觸發,例如,黑色星期五病毒,不到預約時間,用戶就不會覺察出異常。一旦遇到13日而且是星期五,病毒就會被激活而且對系統進行破壞。固然,有計算機的地方就有計算機病毒,也能夠說,計算機病毒無處不在,儘管病毒帶來的,損失或大或小,甚至有些沒有任何損失,可是大部分計算機用戶都有被病毒侵擾的經歷.據中國計算機病毒應急處理中心統計,中國計算機用戶受病毒感染的比例(感染率)一直處於高位,美國權威調查機構證明,進入新世紀以來,每一年因計算機病毒形成的損失都在100億美圓以上。

計算機病毒的基本機制

三大模塊：傳染機制、破壞機制、觸發機制

傳染機制：
指計算機病毒由一個宿主傳播到另外一個宿主程序，由一個系統進入另外一個系統的過程。

觸發機制：
計算機病毒在傳染和發做以前，要判斷某些特定條件是否知足，這個條件就是計算機病毒的觸發條件。

破壞機制：
良性病毒表現爲佔用內存或硬盤資源。
惡性病毒則會對目標主機系統或信息產生嚴重破壞。

總結

隨着互聯網的發展，信息化時代來到了。網絡愈來愈深刻到咱們平常的生活、學習和工做當中個，網路安全事件頻發，已經嚴重影響到咱們的平常生活、學習、工做各方面，除了安裝殺毒軟件、防火牆等工具來檢測咱們的電腦逃離惡意代碼的魔爪，咱們還必須學會一些主動防範的手段來保護本身，在接下來的學習過程當中會從列舉幾種惡意代碼的生成方法、從靜態和動態方式對惡意代碼進行深刻分析、同時與之相對的介紹一些惡意代碼的檢測查殺和惡意代碼的隱藏。