蠕虫病毒原理培训课件.ppt

1、本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。蠕虫病毒n蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。n蠕虫病毒是自包含的程序(或是一套程序)，它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。n蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径n。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性会使得人们手足无策本文档所

2、提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。蠕虫与漏洞n网络蠕虫最大特点是利用各种漏洞进行自动传播n根据网络蠕虫所利用漏洞的不同，又可以将其细分q邮件蠕虫n主要是利用MIME(Multipurpose Internet Mail Extension Protocol，多用途的网际邮件扩充协议)漏洞包含蠕虫的邮件非法的MIME头部解出的蠕虫程序感染机器Content-Type:audio/x-wav;name=worm.exeContent-Transfer-Encoding:base64TVrozAAAAAYAAQACAHhNVHJrAAAIBQD/

3、AwiT8ZBsgsyOng/AgdLT05BTUkgAP8BD5XSi8iBXorikeORvphZCgD/fwMAAEEA8ApBEEISQAB/AEH3AP9YBAQCGAgA/1kCAAAA/1EDB0Deg2r/UQMHUwCDJP9RAwdiH4Mu/1EDB3F9gy7/UQMHgRuDJP9RAweQ/IMu/1EDB6Eggy7/UQMHsYqDJP9RAwMIME描述漏洞描述漏洞本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。蠕虫与漏洞q网页蠕虫（木马）n主要是利用IFrame漏洞和MIME漏洞n网页蠕虫可以分为两种q用一个I

4、Frame插入一个Mail框架，同样利用MIME漏洞执行蠕虫，这是直接沿用邮件蠕虫的方法q用IFrame漏洞和浏览器下载文件的漏洞来运作的，首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件，然后运行它，完成蠕虫传播q系统漏洞蠕虫n利用RPC溢出漏洞的冲击波、冲击波杀手n利用LSASS溢出漏洞的震荡波、震荡波杀手n系统漏洞蠕虫一般具备一个小型的溢出系统，它随机产生IP并尝试溢出，然后将自身复制过去n它们往往造成被感染系统性能速度迅速降低，甚至系统崩溃，属于最不受欢迎的一类蠕虫本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。蠕虫的工作方式与

5、扫描策略n蠕虫的工作方式一般是“扫描攻击复制”随机生成IP地址有些蠕虫给出确定的地址范围，还有一些给出倾向性策略，用于产生某个范围内的IP地址地址探测主机是否存在?漏洞是否存在?攻击、传染现场处理虚线框内的所有工作可以在一个数据包内完成是是否否本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。蠕虫的工作方式与扫描策略n蠕虫的扫描策略q现在流行的蠕虫采用的传播技术目标，一般是尽快地传播到尽量多的计算机中q扫描模块采用的扫描策略是：随机选取某一段IP地址，然后对这一地址段上的主机进行扫描q没有优化的扫描程序可能会不断重复上面这一过程，大量蠕虫程序的扫描

6、引起严重的网络拥塞n对扫描策略的改进q在IP地址段的选择上，可以主要针对当前主机所在的网段进行扫描，对外网段则随机选择几个小的IP地址段进行扫描q对扫描次数进行限制，只进行几次扫描q把扫描分散在不同的时间段进行本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。蠕虫的工作方式与扫描策略n蠕虫常用的扫描策略q选择性随机扫描(包括本地优先扫描)q可路由地址扫描(Routable Scan)q地址分组扫描(Divide-Conquer Scan)q组合扫描(Hybrid Scan)q极端扫描(Extreme Scan)本文档所提供的信息仅供参考之用，不能作

7、为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。从传播模式进行安全防御从传播模式进行安全防御n对蠕虫在网络中产生的异常，有多种的的方法可以对未知的蠕虫进行检测，比较通用的方法是对流量异常的统计分析，主要包括对TCP连接异常的分析和ICMP数据异常分析的方法。本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。从传播模式进行安全防御从传播模式进行安全防御n在蠕虫的扫描阶段，蠕虫会随机的或者伪随机的生成大量的IP地址进行扫描，探测漏洞主机。这些被扫描主机中会存在许多空的或者不可达的IP地址，从而在一段时间里，蠕虫主机会接收到大量的来自不同路由器

8、的ICMP不可达数据包。流量分析系统通过对这些数据包进行检测和统计，在蠕虫的扫描阶段将其发现，然后对蠕虫主机进行隔离，对蠕虫其进行分析，进而采取防御措施。n将ICMP不可达数据包进行收集、解析，并根据源和目的地址进行分类，如果一个IP在一定时间（T）内对超过一定数量（N）的其它主机的同一端口（P）进行了扫描，则产生一个发现蠕虫的报警（同时还会产生其它的一些报警）。本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。用Sniffer进行蠕虫检测n一般进行流量分析时，首先关注的是产生网络流量最大的那些计算机。利用Sniffer的Host Table功能，

9、将所有计算机按照发出数据包的包数多少进行排序本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。发包数量前列的IP地址为22.163.0.9的主机，其从网络收到的数据包数是0，但其向网络发出的数据包是445个；这对HTTP协议来说显然是不正常的，HTTP协议是基于TCP的协议，是有连接的，不可能是光发不收的，一般来说光发包不收包是种类似于广播的本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。同样，我们可以发现，如下IP地址存在同样的问题本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当

10、之处，请联系网站或本人删除。首先我们对IP地址为22.163.0.9的主机产生的网络流量进行过滤本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。蠕虫病毒流量分析本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。发出的数据包的内容本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或

11、本人删除。一、两种检测粒度的比较n在早期的snort在其virus.rules中，用了多达24条规则来检测名为NewApt的蠕虫，占了全部VX规则的28%。本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。粗糙的文件名检测法本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。粗检测粒度的表现通过对病毒的分析来看，Worm.NewApt附件文件清单是26个，而不是24个。Rule(s)from C&D没有错误，但Capture&Decode之外，希望能补充进，Code&Disassemblers本文档所提供

12、的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。附件文件名检测方式弊端n对于那些随机选择附件名文件名或者提取本机文件的文件名作为自身名字的蠕虫无能为力。n一个同名的正常附件，带来误报造成用户的恐慌。同时，修改文件名对于修改蠕虫是最容易的。本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。细粒度检测n站 在 基 于 文 件 系 统 的 病 毒 分 析 来 看，I-worm.NewApt完全可以靠文件体中如下的特征串来检测：|680401000056FF152CC04000568B75106884F7400056E8

13、CC0800005903C650E83B07000083C40C6880F7400056E8B50800005903C650|本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。问题（一）网络检测与文件检测的不同n蠕虫在网络传输中的形态，不是2进制文件，而是经过编码后的，下面就是病毒特征码所对应的base64编码：GgEAQAAVv8VLMBAAFaLdRBohPdAAFbozAgAAFkDxlDoOwcAAIPEDGiA90AAVui1CAAAWQPGUOgkBwAAoeQBQQBZWUBQVuidCAAAWQPGUGjo90AA/9ej5AFBA

14、n同时新的问题产生：|0d 0a|如何处理？本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。问题（二）特征码质量特征码不能任意选取，而要求能够准确无误报的实现检测。长度要求复杂度要求其他要求本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。问题（三）如何面对更多层面的需求nIDS的规则问题只是我们问题的出发点。n能否实现御毒于内网之外nFirewall、Gap能否扩充反病毒能力n骨干网络能否建立病毒疫情监控机制，甚至直接切断蠕虫传播本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之

15、处，请联系网站或本人删除。独立病毒分析的准备工作n对于网络安全企业的高手们来说，剖析几个蠕虫，提取特征码，没有问题，但要注意这是系统的工作：n建立自己的病毒捕获网络，第一时间获得新病毒样本；n建立完善的样本库n建立自己的特征码分析体制，保证特征码的科学性，避免漏报和误报的可能。n警告：对于firewall或者IDS开发部门来说，维持一个专门的Virus Cert小组可能是得不偿失的。本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿；如有不当之处，请联系网站或本人删除。第二章、结合文件级别反病毒技术n反病毒技术是一个积累性技术。有一定难以逾越的基础，因此，结合传统反病毒企业的技术是安全厂商的一种选择。n一些二线反病毒厂商也把向其他网络安全安全厂商、其他厂商和服务商和提供AV SDK作为新的热点。n另一方面，更多的反病毒厂商正在积极扩展自己的网络安全产品线，从而构筑全面地解决方案。