第 7 章 惡意代碼分析與防治
- 簡述研究惡意代碼的必要性。
答:
在 Internet 安全事件中,惡意代碼造成的經濟損失佔有最大的比例。如今,惡意代碼已成爲信息戰、網絡戰的重要手段。日益嚴重的惡意代碼問題,不僅使企業及用戶蒙受了巨大經濟損失,而且使國家的安全面臨着嚴重威脅。 - 簡述惡意代碼長期存在的原因。
答:
在信息系統的層次結構中,包括從底層的操作系統到上層的網絡應用在內的各個層次都存在着許多不可避免的安全問題和安全脆弱性。而這些安全脆弱性的不可避免,直接導致了惡意代碼的必然存在。 - 惡意代碼是如何定義,可以分成哪幾類?
答:
惡意代碼的定義隨着計算機網絡技術的發展逐漸豐富, Grimes 將惡意代碼定義爲,經過存儲介質和網絡進行傳播,從一臺計算機系統到另外一臺計算機系統,未經授權認證破壞計算機系統完整性的程序或代碼。
它可以分成以下幾種類型:計算機病毒 (Computer Virus) 、蠕蟲 (Worms)、特洛伊木馬 (Trojan Horse)、邏輯炸彈 (Logic Bombs) 、病菌(Bacteria)、用戶級 RootKit 、核心級 RootKit 、腳本惡意代碼 (Malicious Scripts)和惡意 ActiveX 控件。 - 圖示惡意代碼攻擊機制
答:
惡意代碼的整個作用過程分爲 6 個部分:
①侵入系統。侵入系統是惡意代碼實現其惡意目的的必要條件。惡意代碼入侵的途徑很多,如:從互聯網下載的程序本身就可能含有惡意代碼;接收已經感染惡意代碼的電子郵件;從光盤或軟盤往系統上安裝軟件;黑客或者攻擊者故意將惡意代碼植入系統等。
②維持或提升現有特權。惡意代碼的傳播與破壞必須盜用用戶或者進程的合法權限才能完成。
③隱蔽策略。爲了不讓系統發現惡意代碼已經侵入系統,惡意代碼可能會改名、刪除源文件或者修改系統的安全策略來隱藏自己。
④潛伏。惡意代碼侵入系統後,等待一定的條件,並具有足夠的權限時,就發作並進行破壞活動。
⑤破壞。惡意代碼的本質具有破壞性,其目的是造成信息丟失、泄密,破壞系統完整性等。
⑥重複①至⑤對新的目標實施攻擊過程。惡意代碼的攻擊模型如下圖所示。
![在這裏插入圖片描述]()
- 簡述惡意代碼的生存技術是如何實現的。
答:
惡意代碼生存技術通過以下 4 個方面實現:反跟蹤技術、加密技術、模糊變換技術和自動生產技術。
(1)反跟蹤技術。惡意代碼採用反跟蹤技術可以提高自身的僞裝能力和防破譯能力,增加檢測與清除惡意代碼的難度。目前常用的反跟蹤技術有兩類:反動態跟蹤技術和反靜態分析技術。
(2)加密技術。加密技術是惡意代碼自我保護的一種手段,加密技術和反跟蹤技術的配合使用,使得分析者無法正常調試和閱讀惡意代碼,不知道惡意代碼的工作原理,也無法抽取特徵串。從加密的內容上劃分,加密手段分爲信息加密、數據加密和程序代碼加密三種。
(3)模糊變換技術。利用模糊變換技術,惡意代碼每感染一個客體對象時,潛入宿主程序的代碼互不相同。同一種惡意代碼具有多個不同樣本,幾乎沒有穩定代碼,採用基於特徵的檢測工具一般不能識別它們。隨着這類惡意代碼的增多,不但使得病毒檢測和防禦軟件的編寫變得更加困難,而且還會增加反病毒軟件的誤報率。
(4)自動生產技術。惡意代碼自動生產技術是針對人工分析技術的。“計算機病毒生成器 ”,使對計算機病毒一無所知的用戶 ,也能組合出算法不同、功能各異的計算機病毒。“ 多態性發生器’可將普通病毒編譯成複雜多變的多態性病毒。多態變換弓|擎可以使程序代碼本身發生變化,並保持原有功能。 - 簡述惡意代碼如何實現攻擊技術。
答:常見的攻擊技術包括:進程注入技術、三線程技術、端口複用技術、超級管理技術、端口反向連接技術和緩衝區溢出攻擊技術。
(1)進程注入技術。當前操作系統中都有系統服務和網絡服務,它們都在系統啓動時自動加載。進程注入技術就是將這些與服務相關的可執行代碼作爲載體,惡意代碼程序將自身嵌入到這些可執行代碼之中,實現自身隱藏和啓動的目的。
(2)三線程技術。在Windows操作系統中引入了線程的概念,一個進程可以同時擁有多個併發線程。三線程技術就是指一個惡意代碼進程同時開啓了三個線程,其中一個爲主線程,負責遠程控制的工作。另外兩個輔助線程是監視線程和守護線程,監視線程負責檢查惡意代碼程序是否被刪除或被停止自啓動。
(3)端口利用技術。端口複用技術,係指重複利用系統網絡打開的端口(如25、 80、 135和 139等常用端口)傳送數據,這樣既可以欺騙防火牆,又可以少開新端口。端口複用是在(4)超級管理技術。一些惡意代碼還具有 攻擊反惡意代碼軟件的能力。爲了對抗反惡意代碼軟件,惡意代碼採用超級管理技術對反惡意代碼軟件系統進行拒絕服務攻擊,使反惡意代碼軟件無法正常運行。
(5)端口反向連接技術。防火牆對於外部網絡進入內部網絡的數據流有嚴格的訪問控制策略,但對於從內網到外網的數據卻疏於防範。端口反向連接技術,係指令惡意代碼攻擊的服務端(被控制端)主動連接客戶端(控制端)
(6)緩衝區溢出攻擊技術。緩衝區溢出漏洞攻擊佔遠程網絡攻擊的80%,這種攻擊可以使一個匿名的Internet用戶有機會獲得一臺主機的部分或全部的控制權,代表了一類嚴重的安全威脅。惡意代碼利用系統和網絡服務的安全漏洞植入並且執行攻擊代碼,攻擊代碼以一定的權限運行有緩衝區溢出漏洞的程序,從而獲得被攻擊主機的控制權。 - 簡述惡意代碼如何實現隱藏技術。
答:
隱藏通常包括本地隱藏和通信隱藏,其中本地隱藏主要有文件隱藏、進程隱藏、網絡連接隱藏、內核模塊隱藏、編譯器隱藏等。網絡隱藏主要包括通信內容隱藏和傳輸通道隱藏。
本地隱蔽是指爲了防止本地系統管理人員覺察而採取的隱蔽手段。隱蔽手段主要有三類:
(1)一類方法是將惡意代碼隱蔽(附着、捆綁或替換)在合法程序中,可以避過簡單管理命令的檢查;
(2)另一類方法是如果惡意代碼能夠修改或替換相應的管理命令,也就是把相應管理命令惡意代碼化,使相應的輸出信息經過處理以後再顯示給用戶,就可以很容易地達到矇騙管理人員,隱蔽惡意代碼自身的目的;
(3)還有一類方法是分析管理命令的檢查執行機制,利用管理命令本身的弱點巧妙地避過管理命令,可以達到既不修改管理命令,又達到隱蔽的目的。從上述隱蔽方法看來,惡意代碼植入的位置越靠近操作系統低層越不容易被檢測出來,對系統安全構成的威脅也就越大。
使用加密算法對所傳輸的內容進行加密能夠隱蔽通信內容。隱蔽通信內容雖然可以保護通信內容,但無法隱蔽通信狀態,因此傳輸信道的隱蔽也具有重要的意義。對傳輸信道的隱蔽主要採用隱蔽通道技術。隱蔽通道是允許進程違反系統安全策略傳輸信息的通道。 - 簡述蠕蟲的功能結構。
答:網絡蠕蟲的功能模塊可以分爲主題功能模塊和輔助功能模塊。實現了主題功能模塊的蠕蟲能夠完成複製傳播流程, 而包含輔助功能模塊的蠕蟲則具有更強的生存能力和破壞能力。
![在這裏插入圖片描述]()
- 簡述目前惡意代碼的防範方法。
答:目前, 惡意代碼防範方法主要分爲兩方面: 基於主機的惡意代碼防範方法和基於網絡的惡意代碼防範方法。 基於主機的惡意代碼防範方法主要包括: 基於特徵的掃描技術、 校驗和、沙箱技術和安全操作系統對惡意代碼的防範, 等等; 基於網絡的惡意代碼防範方法包括: 惡意代碼檢測防禦和惡意代碼預警。其中常見的惡意代碼檢測防禦包括:基於 GrIDS 的惡意代碼檢測、基於 PLD 硬件的檢測防禦、基於 HoneyPot 的檢測防禦和基於 CCDC 的檢測防禦。
