凌云 计算机病毒分析师 安全商业和技术部 微软有限公司

Presentation on theme: "凌云 计算机病毒分析师 安全商业和技术部 微软有限公司"— Presentation transcript:

1 凌云 计算机病毒分析师 安全商业和技术部 微软有限公司
2018年12月2日9时36分 恶意软件分析以及防御 凌云 计算机病毒分析师 安全商业和技术部 微软有限公司 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

2

3 概要 信息安全现状 恶意程序 灰色程序 社会工程 (Social Engineering) 对策及预防 病毒 蠕虫 (网络 , 电子邮件)
木马 (监视键盘,下载软件) 后门, 僵尸程序(Bot) 恶意系统软件 (Rootkit) 灰色程序 间谍软件, 广告软件 社会工程 (Social Engineering) 垃圾邮件 网络钓鱼 对策及预防

4 Symantec, March 2005 Internet Security Threat Report
2018年12月2日9时36分 信息安全现状 2004下半年 1,403 新的软件漏洞被发现 13% 增长, 与前半年相比 97% 视为中等或严重 80% 可被远程攻击 70% 易被攻击 2004下半年 7,630 新的病毒,蠕虫被发现 64% 增长, 与前半年相比 其中 54% 盗窃信息 44% 增长, 与前半年相比 Symantec, March 2005 Internet Security Threat Report © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

5 Source: Symantec Internet Security Threat Report
发展趋势 Source: Symantec Internet Security Threat Report

6 间谍软件广告软件猖獗 我们都清理过间谍软件广告软件 EarthLink 发现他们的用户平均每台机器 有 28 个间谍软件
2018年12月2日9时36分 间谍软件广告软件猖獗 我们都清理过间谍软件广告软件 EarthLink 发现他们的用户平均每台机器 有 28 个间谍软件 间谍软件造成 40% 普通用户以及 25% 企业用户维修案例 Websense IT 调查 29% 企业个人计算机感染间谍软件 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

7 抵御恶意程序是当务之急 干扰正常工作, 降低工作效率 增加维护成本 潜在商业及技术泻密 网络恐怖攻击只不过是迟早尔已 知己知彼, 百战不殆

8 什么是电脑病毒? 最早出现在70年代 David Gerrold 科幻小说 When H.A.R.L.I.E. was One.
最早科学定义出现在 1983: 在Fred Cohen (南加大) 的博士论文 “计算机病毒实验” “一种能把自己(或经演变)注入其它程序的计算机程序” 启动区病毒,宏(macro)病毒,脚本(script)病毒也是相同概念 传播机制同生物病毒类似.生物病毒是把自己注入细胞之中.

9 电脑病毒的工作原理 病毒三部曲: 住进阶段: 执行被感染的程序,病毒就加载入计算机内存 感染阶段: 病毒把自己注入其他程序,包括远程文件
执行阶段: 当某些条件成熟时, 一些病毒会有一些特别的行为. 例如重新启动,删除文件.

10 加密病毒 在第一代病毒出现后不久, 就有人写出了能自我解密的病毒.
密钥 Wjsvt 解密 在第一代病毒出现后不久, 就有人写出了能自我解密的病毒. 寄主 这种病毒携带一段解密程序. 病毒先执行解密程序, 把其余部分解密. 然后执行其余部分. 密钥 Virus 解密 寄主

11 多形病毒 (Polymorphic Virus)
多形病毒是一种能够自我加密, 并不断改变密钥或加密逻辑的计算机病毒. 当多形病毒感染其它程序时: 动态生成密钥或一段加密,解密程序. 用动态生成的密钥或加密程序加密病毒. 把加密后的病毒与密钥及解密程序一起注入其它程序.

12 变形病毒(Metamorphic Virus)
变形病毒能在每次感染时改变自身逻辑! 变形病毒以现有程序作模板,引伸和变化出新的变种. 变形病毒的挑战: 分析过程非常艰巨 侦检逻辑非常复杂,难写通用逻辑 侦检效率降低

13 什么是电脑蠕虫? 最早出现在75年 John Brunner 的小说 The Shockwave Rider
定义: 一段能不以其他程序为媒介, 从一个电脑系统复制到另一个电脑系统的程序 (Symantec) 例如, Code Red 是蠕虫; Michelangelo, 通过启动程序传播, 是病毒 蠕虫的工作原理与病毒相似, 除了没有感染文件阶段 细微的区别经常使不同公司对于同一个恶意程序得出不同的分类

14 电脑蠕虫背景 1978年第一个电脑蠕虫在施乐(Xerox) PARC 实验室诞生 第一个流行电脑蠕虫 – Morris
2018年12月2日9时36分 电脑蠕虫背景 1978年第一个电脑蠕虫在施乐(Xerox) PARC 实验室诞生 第一个流行电脑蠕虫 – Morris 1988 年康内尔大学研究生 Robert Morris Jr. 使美国很多大学的计算机系统崩溃 近来, 电子邮件(Klez, Nimda, Sober) 和网络 (Code Red, SQL.Slammer)蠕虫已经从流行规模上超过了电脑病毒 一些电子邮件和网络蠕虫成功地在短时间内传播 Melissa (1999) Code Red, Nimda (2001) SQL Slammer, Blaster, Sober (2003) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

15 Return Address (Function 1)
2018年12月2日9时36分 网络蠕虫传播基本原理 利用程序中缓冲区溢出的缺陷 Return Address (Function 1) C o d e Function 1 Function 1 Function 2 Worm Worm Data B u f f e r Higher Addresses Function 2 Stack of Function 2 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

16 进程劫持 注入现有的进程 从新启动后自动消失 增加侦测难度 例如: Code Red Explorer.exe Malware

17 超级电脑病毒 一种结合多种传播机制的恶意程序 感染文件 散播电子邮件 网络攻击 2018年12月2日9时36分
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

18 其他恶意程序 木马(Trojan) 后门(Backdoor) 僵尸(Bot) 一种不自我传播的恶意程序, 通常被用来窃听键盘和下载其他程序
2018年12月2日9时36分 其他恶意程序 木马(Trojan) 一种不自我传播的恶意程序, 通常被用来窃听键盘和下载其他程序 后门(Backdoor) 一种能让黑客未经授权进入和使用本系统的恶意程序 僵尸(Bot) 一种集后门与蠕虫一体的恶意程序. 通常使用IRC (Internet Relay Chat) 接受和执行黑客命令. © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

19 僵尸 僵尸生态系统 僵尸 僵尸网 管理通道 看守者 从 MyDoom.A开始进入鼎盛期 打开后门 TCP port 3127 - 3198
2018年12月2日9时36分 僵尸 僵尸生态系统 僵尸 僵尸网 管理通道 看守者 从 MyDoom.A开始进入鼎盛期 打开后门 TCP port 下载和执行程序 利用被感染的计算机散发电子邮件 数以百万计的感染计算机被出卖给了垃圾邮件的制造者 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

20 被发现僵尸网 (2004年9月3日) Age (days) Name Server MaxSize 2018年12月2日9时36分
02.00 nubela.net dns.nubela.net 10725 10.94 winnt.bigmoney.biz (randex) winnt.bigmoney.biz 2393 09.66 PS y.eliteirc.co.uk y.eliteirc.co.uk 2061 09.13 y.stefanjagger.co.uk (#y) y.stefanjagger.co.uk 1832 03.10 ganjahaze.com 1507 01.04 PS j00g0t0wn3d.net 1.j00g0t0wn3d.net 3689 10.93 pub.isonert.net 537 08.07 irc.brokenirc.net 649 01.02 PS grabit.zapto.org grabit.zapto.org 62 10.34 dark.naksha.net UNK 08.96 PS lsd.25u.com lsd.25u.com PS ? © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

21 僵尸网发展趋势 源代码可在网上免费下载 过去: 集中管理 现在: 提升 今后: 分布式 (P2P)管理 修改, 编译, 散发
2018年12月2日9时36分 僵尸网发展趋势 源代码可在网上免费下载 修改, 编译, 散发 过去: 集中管理 一个 IRC 服务器管理所有僵尸 关闭服务器就破坏了僵尸网 现在: 提升 注册多个IRC 服务器 通讯加密 (AES-128 或更强) 今后: 分布式 (P2P)管理 对照分析: Napster: 集中管理, 容易被关闭 eDonkey: 分布式管理, 不容易被关闭 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

22 恶意系统程序 恶意程序, 间谍软件, 广告软件提升反侦测能力 恶意系统程序是一种提供反侦测能力技术 恶意系统程序历史
隐藏文件, 进程, 网络端口和连接, 系统设置, 系统服务 可以在恶意程序之中, 例如 Berbew, 也有独立软件, 例如 Hackder Defender 恶意系统程序历史 首次出现在隐形病毒中, 例如 Brain 1994年第一个恶意系统程序出现在 SunOS,替换核心系统工具(ls, ps 等)来隐藏恶意进程

23 恶意系统程序功能 隐匿系统资源 实现手段 进程 用户模式系统调用劫持 系统服务 核心模式系统调用劫持 网络端口 核心模式数据篡改 文件
注册表设置 用户帐号 用户模式系统调用劫持 核心模式系统调用劫持 核心模式数据篡改 核心模式中断处理程序劫持

24 (maybe via KiFastCallEntry)
2018年12月2日9时36分 系统调用实例 应用程序 CreateFile(); ntdll.dll ZwCreateFile Kernel32.dll CreateFileW mov eax, 25h mov edx, 7FFE0300h call dword ptr [edx] retn 4 7FFE0300h mov edx, esp sysenter (or int 2E) ret 用户模式 (Ring 3) 核心模式 (Ring 0) 软件中断发送表 系统服务发送表 NtCreateFile KiSystemService (maybe via KiFastCallEntry) IoCreateFile 2E (25h)NtCreateFile IopCreateFile © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

25 Outlook.exe, Winlogon.exe Outlook.exe, Malware.exe, Winlogon.exe
用户模式系统调用劫持实例 用户模式文件查询 ZwQueryDirectoryFile 弱点: 用户程序可直接呼叫核心系统调用 优点: 可感染普通用户帐号 Explorer.exe Ntdll.dll Outlook.exe, Winlogon.exe Rootkit user mode Outlook.exe, Malware.exe, Winlogon.exe kernel mode

26 Explorer.exe, Winlogon.exe Attrib.exe, Malware.exe, Cmd.exe
核心模式系统调用劫持实例 核心模式文件查询 NtQueryDirectoryFile 弱点: 需要运行管理员帐号才能感染系统 较难开发及调试 优点: 难以侦测及清除 Explorer.exe Ntdll.dll Attrib.exe, Cmd.exe Explorer.exe, Winlogon.exe user mode kernel mode Attrib.exe, Malware.exe, Cmd.exe Rootkit

27 系统服务发送表劫持统计 5%的系统崩溃是与系统服务调用劫持有关 进程资源管理系统调用 系统注册表资源管理系统调用 网络资源管理系统调用
文件资源管理系统调用

28 核心模式数据篡改 动态篡改核心模式数据, 例如 ActiveProcessList 弱点: 优点: 难以侦测及清除
需要运行管理员帐号才能感染系统 较难开发及调试，容易造成系统崩溃 优点: 难以侦测及清除 Explorer.exe Malware.exe Winlogon.exe Active Processes

29 广告软件/间谍软件 广告软件: 弹出窗口及横幅形式向用户提供广告服务 通常经过用户授权 间谍软件: 未经授权收集用户信息
2018年12月2日9时36分 广告软件/间谍软件 广告软件: 弹出窗口及横幅形式向用户提供广告服务 通常经过用户授权 间谍软件: 未经授权收集用户信息 未经授权上传用户信息 未经授权改变系统外表及行为 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

30 广告软件/间谍软件的传播 社会工程（欺骗）方法 非软件或硬件漏洞 电子邮件：附属可执行文件 电子邮件：隐蔽真实联接 弹出窗口 伪装网站
2018年12月2日9时36分 广告软件/间谍软件的传播 社会工程（欺骗）方法 非软件或硬件漏洞 电子邮件：附属可执行文件 电子邮件：隐蔽真实联接 弹出窗口 伪装网站 附属于其它免费或商业软件 利用浏览器瑕疵 自动下载及安装 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

31 2018年12月2日9时36分 手段一: 虚假安全警告 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

32 2018年12月2日9时36分 手段二: “取消”实际为“是” © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

33 2018年12月2日9时36分 手段三: 重复 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

34 2018年12月2日9时36分 手段四: 附加安装软件 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

35 利用浏览器缺陷 一些浏览器缺陷可被利用绕过安全检测和用户提示，直接启动恶意程序 例如，利用MS03-014缺陷自动下载及运行文件 {
u=' document.write('<object data="&#'+109+'; s-its:mhtml'+':'+'file://C:\\foo.mht!'+u+'::/1.htm "type="text/x-scriptlet"></object>'); }

36 恶意软件发展趋势 专业化 商业化 集病毒，蠕虫，木马，后门，广告，间谍，恶意核 心程序于一体。 只感染一小部分计算机, 以避免被发现。
2018年12月2日9时36分 恶意软件发展趋势 专业化 集病毒，蠕虫，木马，后门，广告，间谍，恶意核 心程序于一体。 只感染一小部分计算机, 以避免被发现。 有自动更新功能。 商业化 以前: 为制造轰动效应（上电台报纸） 现在: 钱 (有组织犯罪) 散发出垃圾邮件 发动中断服务袭击 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

37 2018年12月2日9时36分 阻止恶意软件 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

38 阻止恶意软件的有效措施 主动防御措施: 被动防御措施: 及时下载安装软件补丁 运行漏洞扫描程序 启用防火墙，关闭闲置端口
2018年12月2日9时36分 阻止恶意软件的有效措施 主动防御措施: 及时下载安装软件补丁 运行漏洞扫描程序 启用防火墙，关闭闲置端口 减小攻击面，停止不需要的应用程序或服务 使用最少特权帐户 正确使用口令 被动防御措施: 安装使用防病毒软件 定期备份重要文件 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

39 网络进攻时序线 发现漏洞 完成补丁 公布补丁 黑客破解补丁 开发蠕虫 释放蠕虫 No Exploit No Exploit
2018年12月2日9时36分 网络进攻时序线 发现漏洞 完成补丁 公布补丁 黑客破解补丁 开发蠕虫 释放蠕虫 No Exploit 只有微软及发现者知道漏洞存在 No Exploit 只有微软及发现者知道漏洞存在 No Exploit 公众知道漏洞存在，但不知道怎样攻击 No Exploit 知道怎样攻击，但病毒/蠕虫尚未出现 No Exploit 病毒/蠕虫尚未出现，但未被释放 Exploit 病毒/蠕虫被释放; 感染未被修补系统 用户与黑客赛跑 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

40 实例分析：Blaster 蠕虫 Blaster 展现了安全分析师，软件公司，以及黑客之间的复杂的互动关系 七月1日 七月16日 七月25日
2018年12月2日9时36分 实例分析：Blaster 蠕虫 七月1日 七月16日 七月25日 八月11日 微软被通知漏洞存在 进攻样板程序出现 公布补丁 蠕虫出现 通知漏洞 RPC/DCOM 漏洞被发现 微软启动最高级别快速反应程序 安全公告 公布MS (7/16/03) 继续与安全分析家，媒体，IT社区，合作伙伴，政府部门保持联系 进攻样板程序 X-focus (中国黑客组) 出版进攻样板程序 微软警告用户尽快安装补丁 蠕虫 Blaster 蠕虫出现; 变种及其它病毒同时出现 (例如. “SoBig”) Blaster 展现了安全分析师，软件公司，以及黑客之间的复杂的互动关系 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

41 网络进攻趋势 补丁越来越多 进攻样板程序出现时间缩短 进攻样板程序越来越多精巧 补丁至蠕虫之间的天数 331 180 151 25
2018年12月2日9时36分 网络进攻趋势 补丁越来越多 进攻样板程序出现时间缩短 进攻样板程序越来越多精巧 151 180 331 Blaster Welchia/ Nachi Nimda 25 SQL Slammer 补丁至蠕虫之间的天数 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

42 公布补丁之后 – 暴露日期 Forrester: “安装补丁结束了软件漏洞。当软件开发公司提供了补丁之后，是用户自己的责任去安装补丁。”
2018年12月2日9时36分 公布补丁之后 – 暴露日期 Forrester: “安装补丁结束了软件漏洞。当软件开发公司提供了补丁之后，是用户自己的责任去安装补丁。” 根据暴露日期提示, 如果 – 你的软件供应商是对产品漏洞负责，以及你及时安装补丁， 那么 – 你会发现你总能保护不受蠕虫的入侵 这说明软件的普及度并不直接与危险程度相关 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

43 使用普通用户帐号 益处 : 无法停止防火墙和反病毒程序的运行 无法危害系统文件和设置 无法安装恶意核心程序
恶意程序只能影响本帐号的程序及设置 无法篡改系统日志 还有很多… 提升至管理员特权 改变运行方式 RunAs 快速用户切换 (FUS) 终端服务器进程

44 反病毒技术现状 以文件为中心 拦截文件存储 通过特征发现病毒 弱点 被动反应，无法在病毒出现之前提供特征 无法有效对付非常住网络蠕虫
2018年12月2日9时36分 反病毒技术现状 以文件为中心 拦截文件存储 通过特征发现病毒 弱点 被动反应，无法在病毒出现之前提供特征 无法有效对付非常住网络蠕虫 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

45 实例: Mydoom.A 数据来源: © 2004 MessageLabs 2018年12月2日9时36分
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

46 分层防护安全模型 降低恶意程序入侵的概率 减小恶意程序造成的危害 数据 应用程序 主机 策略, 过程, 意识 物理安全 内部网络 外围
2018年12月2日9时36分 分层防护安全模型 降低恶意程序入侵的概率 减小恶意程序造成的危害 策略, 过程, 意识 物理安全 数据 存取控制, 加密 应用程序 服务硬化, 反病毒 操作系统硬化, 补丁管理, 身份鉴定, 主机入侵侦测 主机 内部网络 网络隔离, IP加密,网络入侵侦测 外围放火墙, 虚拟专用网络, 电子邮件扫描 外围 守卫, 锁, 监视设备 安全培训 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

47 反病毒技术发展方向 启发式识别 行为阻止 静态启发式识别 动态启发式识别 反溢出保护 截获及阻止恶意系统调用 第一代系统已经商业运行
利用特征来侦测已知恶意代码段 动态启发式识别 采用 CPU 模拟把静态可执行文件转化为动态行为 行为阻止 反溢出保护 截获及阻止恶意系统调用 第一代系统已经商业运行 过多的安全警告

48 防御广告软件/间谍软件 禁止动态内容 使用X键来关闭弹出窗口 从信誉好的网站下载已被扫描过并确认无毒文件 使用反间谍程序 ActiveX
2018年12月2日9时36分 防御广告软件/间谍软件 禁止动态内容 ActiveX Java Script 使用X键来关闭弹出窗口 从信誉好的网站下载已被扫描过并确认无毒文件 使用反间谍程序 被动模式 – 基于特征的扫描 主动模式 – 监视ASEP篡改 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

49 2018年12月2日9时36分 底安全设置 = 脆弱 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

50 总结 减小攻击面 应用安全补丁 启用基于主机的防火墙 安装防病毒软件 使用漏洞扫描程序 使用最少特权策略 限制未授权的应用程序
2018年12月2日9时36分 总结 减小攻击面 应用安全补丁 启用基于主机的防火墙 安装防病毒软件 使用漏洞扫描程序 使用最少特权策略 限制未授权的应用程序 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

51 资源 深层病毒防护指南: 恶意系统程序介绍: research.microsoft.com/rootkit 深层防护安全实践: 修补程序管理方法: 安全指南中心:

52