7章计算机病毒技术分析与安全防护

7.8蠕虫病毒蠕虫：一种通过网络传播的恶性计算机病毒蠕虫具有病毒的一些共性，如传播性、隐蔽性、破坏性等，还有其特有的特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务等攻击。蠕虫使用存在危害的代码攻击网上的受害主机，并在受害主机上自我复制，再攻击其他的受害主机。7.8.1蠕虫的起源及其定义1、蠕虫的起源1980年，XeroxPARC的研究人员JohnShoch和JonHupp在研究分布式计算、监测网络上的其他计算机是否活跃时，编写了一种程序，Xerox蠕虫1988年11月2日，世界上第一个破坏性计算机蠕虫正式诞生Morris为求证计算机程序能否在不同的计算机之间进行自我复制传播，编写了一段试验程序为了让程序能顺利进入另一台计算机，他还写了一段破解用户口令的代码；11月2日早上5点，这段被称为“Worm”(蠕虫)的程序开始了它的旅行。进入了几千台计算机，让它们死机；Morris蠕虫利用sendmail的漏洞、fingerD的缓冲区溢出及REXE的漏洞进行传播；Morris在证明其结论的同时，也开启了蠕虫新纪元。2、蠕虫的原始定义蠕虫在1982年由XeroxPARC的JohnF.Shoch等人引入计算机领域，并给出蠕虫的两个最基本特征：“可以从一台计算机移动到另一台计算机”和“可以自我复制”FredCohen在1984年给出病毒定义：“Aprogramthatcan‘infect’otherprogramsbymodifyingthemtoincludeapossiblyevolvedcopyofitself.”1988年Morris蠕虫爆发后，EugeneH.Spafford为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义：“Wormisaprogramthatcanrunbyitselfandcanpropagateafullyworkingversionofitselftoothermachines.解释病毒为：“Virusisapieceofcodethataddsitselftootherprograms,includingoperatingsystems.Itcannotrunindependentlyanditrequiresthatits'host'programberuntoactivateit.”3、蠕虫定义的进一步说明计算机病毒主要攻击：文件系统蠕虫主要利用：计算机系统漏洞(Vulnerability)蠕虫的定义中强调了自身副本的完整性和独立性，这也是区分蠕虫和病毒的重要因素。通过观察攻击程序是否存在载体来区分蠕虫与病毒。普通病毒与蠕虫病毒比较：病毒蠕虫存在形式寄生独立个体复制机制插入到宿主程序(文件)中自身的拷贝传染机制宿主程序运行系统存在漏洞(Vulnerability)搜索机制(传染目标)主要是针对本地文件主要针对网络上的其它计算机触发传染计算机使用者程序自身影响重点文件系统网络性能、系统性能计算机使用者角色病毒传播中的关键环节无关防治措施从宿主程序中摘除为系统打补丁(Patch)7.8.2蠕虫的分类1、蠕虫的分类根据蠕虫的传播、运作方式，将蠕虫分为两类：主机蠕虫：主机蠕虫的所有部分均包含在其所运行的计算机中；在任意给定的时刻，只有一个蠕虫的拷贝在运行；也称作“兔子”(Rabbit)。网络蠕虫：网络蠕虫由许多部分(称为段，Segment)组成，而且每一个部分运行在不同的计算机中(可能执行不同的动作)；使用网络是为了进行各部分之间的通信以及传播；网络蠕虫具有一个主segment，用以协调其他segment的运行；这种蠕虫有时也称作“章鱼”(Octopus)。根据使用者情况可将蠕虫病毒分为两类：面向企业用户和局域网的蠕虫：利用系统漏洞，主动攻击，可对整个Internet造成瘫痪性后果；典型代表：“红色代码”、“尼姆达”、“Sql蠕虫王”；具有很强的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种计算机病毒并不难。针对个人用户的蠕虫：通过网络(电子邮件、恶意网页)迅速传播的蠕虫病毒；典型代表：“爱虫病毒”，“求职信病毒”；传播方式比较复杂和多样，少数利用了应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的计算机病毒造成的损失非常大，同时也很难根除。2、蠕虫与漏洞网络蠕虫最大特点是利用各种漏洞进行自动传播根据网络蠕虫所利用漏洞的不同，又可以将其细分：邮件蠕虫：主要是利用MIME(MultipurposeInternetMailExtensionProtocol，多用途的网际邮件扩充协议)漏洞网页蠕虫：主要是利用IFrame漏洞和MIME漏洞网页蠕虫可以分为两种：用一个IFrame插入一个Mail框架，同样利用MIME漏洞执行蠕虫，这是直接沿用邮件蠕虫的方法；用IFrame漏洞和浏览器下载文件的漏洞来运作，首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件，然后运行它，完成蠕虫传播。系统漏洞蠕虫：利用RPC溢出漏洞的冲击波、冲击波杀手；利用LSASS溢出漏洞的震荡波、震荡波杀手；系统漏洞蠕虫一般具备一个小型的溢出系统，它随机产生IP并尝试溢出，然后将自身复制过去；它们造成被感染系统性能速度迅速降低，甚至系统崩溃，属于最不受欢迎的一类蠕虫。7.8.3基本原理蠕虫程序的实体结构：蠕虫程序的功能结构：2、蠕虫的工作方式与扫描策略蠕虫的工作方式一般是“扫描→攻击→复制”蠕虫实体结构未编译的源代码已编译的链接模块可运行代码脚本受感染系统上的可执行程序信息数据蠕虫程序功能结构基本功能模块扩展功能模块扫描搜索模块攻击模块传输模块信息搜集模块繁殖模块通信模块隐藏模块破坏模块控制模块随机生成IP地址有些蠕虫给出确定的地址范围，还有一些给出倾向性策略，用于产生某个范围内的IP地址地址探测主机是否存在?漏洞是否存在?攻击、传染现场处理虚线框内的所有工作可以在一个数据包内完成是是否否蠕虫的扫描策略：现在流行的蠕虫采用的传播技术目标是尽快地传播到尽量多的计算机中；扫描模块采用的扫描策略是：随机选取某一段IP地址，然后对这一地址段上的主机进行扫描；没有优化的扫描程序可能会不断重复上面这一过程，大量蠕虫程序的扫描引起严重的网络拥塞。对扫描策略的改进：在IP地址段的选择上，可以主要针对当前主机所在的网段进行扫描，对外网段则随机选择几个小的IP地址段进行扫描；对扫描次数进行限制，只进行几次扫描；把扫描分散在不同的时间段进行。扫描策略设计的原则：尽量减少重复的扫描，使扫描发送的数据包总量减少到最小；保证扫描覆盖到尽量大的范围；处理好扫描的时间分布，使得扫描不集中在某一时间内发生；怎样找到一个合适的策略需要在考虑以上原则的前提下进行分析，甚至需要试验验证。蠕虫常用的扫描策略：选择性随机扫描(包括本地优先扫描)；可路由地址扫描(RoutableScan)；地址分组扫描(Divide-ConquerScan)；组合扫描(HybridScan)；极端扫描(ExtremeScan)。3、蠕虫的传播模型蠕虫在计算机网络上的传播，可看作是服从某种规律的网络传播行为；一个精确的蠕虫传播模型可以使人们对蠕虫有更清楚的认识，能确定其在传播过程中的弱点，而且能更精确的预测蠕虫所造成的损失；目前已有很多学者对蠕虫进行了深入研究，提出了一些模型，这些蠕虫传播模型都是针对随机网络的，不能很好的模拟实际网络环境。如何精确地描述蠕虫传播行为，揭示它的特性，找出对该行为进行有效控制的方法，一直是学者们共同关注的焦点；最经典网络传播模型的SIS模型和SIR模型。在SIS模型中，每一个网络节点只能处于两种状态中的一种，一是易感的，二是已被感染从而具有传染能力的。在SIR模型中，节点还可以处于一种叫做免疫的状态，在这种状态下，节点既不会被感染，也不会感染其它节点。Kermack-Mckendrick模型是SIR模型中的经典。模型考虑了感染主机的恢复，它假定在蠕虫传播期间，一些受感染的主机可以恢复为正常状态或死亡，且对此蠕虫具有免疫功能，因此每个主机具有三种状态：易感、感染或恢复，其状态转移可表示为易感→感染→恢复，或永远保持易感状态感染的主机数与感染强度示意图Kermack-Mckendrick模型用数学公式可以表示为r(t)表示在时刻t被感染的主机数R(t)表示在时刻t被恢复的主机数S(t)表示在t时刻尚未感染的主机数N表示主机总数从Kermack-Mckendrick模型可以得出一个理论——蠕虫爆发定理：一个大规模蠕虫爆发的充分必要条件是初始易感主机的数目S(0)ρSusceptible(主机存在漏洞)Infective(主机被感染)Recovered(漏洞被修复，蠕虫被清除)感染强度感染的主机数慢启动阶段缓消失阶段快速传染阶段)()()()()()()()()(tStRtINtIdttdRtItStIdttdI由于存在蠕虫爆发的阈值，因此，采取各种防治手段，如安装杀毒软件、打补丁、断开网络连接等降低蠕虫感染率，通过先进的治疗手段提高恢复率，使S(0)≤ρ，从而有效地遏制蠕虫的传播。能否在蠕虫的缓慢传播阶段实现对蠕虫的检测和防治成为有效防治蠕虫的关键4、蠕虫的行为特征通过对蠕虫的整个工作流程进行分析，归纳得到它的行为特征：（1）主动攻击（2）行踪隐蔽（3）利用系统、网络应用服务器漏洞（4）造成网络拥塞（5）消耗系统资源，降低系统性能（6）产生安全隐患（7）反复性（8）破坏性5、蠕虫技术的发展通过对蠕虫行为特征、实体结构、功能结构的分析，可以预测蠕虫技术发展的趋势将主要集中在如下几个方面：（1）超级蠕虫（2）分布式蠕虫（3）动态功能升级技术（4）通信技术（5）与黑客技术的结合（6）与病毒技术的结合。蠕虫爆发的频率越来越快，越来越多的蠕虫（如“冲击波”、“振荡波”等）出现。对蠕虫进行深入研究，并提出行之有效的解决方案，为企业和政府提供一个安全的网络环境成为急待解决的问题7.8.4防治1、蠕虫的防治策略尽早发现蠕虫并对感染了蠕虫的主机进行隔离和恢复，是防止蠕虫泛滥、避免造成重大损失的关键计算机蠕虫防治的方案可以从两个角度来考虑：（1）从它的实体结构来考虑，如果破坏了它的实体组成的一个部分，则破坏了其完整性，使其不能正常工作，从而达到阻止其传播的目的。（2）从它的功能组成来考虑，如果使其某个功能组成部分不能正常工作，也同样能达到阻止其传播的目的。具体可以分为如下一些措施：修补系统漏洞；分析蠕虫行为；重命名或删除命令解释器(Interpreter)；防火墙(Firewall)；公告；更深入的研究2、蠕虫的防治周期结合蠕虫的传播模型，对蠕虫的防治分为四个阶段。对某个具体的蠕虫而言，这四个阶段是串行的，而对蠕虫这类病毒而言，是并行的：预防阶段；检测阶段；遏制阶段；清除阶段。3、蠕虫的检测与清除对未知蠕虫的检测：有多种方法可以对未知蠕虫进行检测，比较通用的方法有对流量异常的统计分析、对TCP连接异常的分析、对ICMP(InternetControlMessageProtocol，互联网控制报文协议)数据异常的分析对于已知蠕虫的检测：以Worm.Sasser.b；(振荡波变种B)检测为例以Worm.Sasser.b为例，说明蠕虫的清除方法：该蠕虫是“震荡波”的第二个变种，依然是利用微软操检测过程Worm.Sasser.b检测方法响应方法与处理扫描检测检测是否存在大量的445端口的SYN连接加入可疑主机列表攻击行为检测检测在可疑主机列表中是否有主机和其他机器445端口建立连接，且连接中存在溢出攻击的特征串报警：有感染蠕虫的主机企图传染其他主机。网络设备或主机IDS进行联动，对这台主机进行隔离传染过程检测检测被攻击的主机是否与可疑主机5554端口建立连接，传送的文件是否是蠕虫报警：蠕虫感染成功，通知被传染网络的管理员作系统的LSASS(LocalSecurityAuthoritySubsystemService)缓冲区溢出漏洞进行远程主动攻击和传染，导致系统异常和网络严重拥塞，具有极强的危害性；和上一版本