CISP0207安全漏洞与恶意代码_v30

安全漏洞与恶意代码课程内容2安全漏洞、恶意代码与攻防知识体知识域知识子域安全漏洞的产生与发展恶意代码的产生与发展恶意代码的实现技术安全漏洞与恶意代码安全漏洞的发现与修复安全攻击与防护恶意代码的防御技术知识域：安全漏洞与恶意代码知识子域：安全漏洞的产生与发展了解安全漏洞的概念和产生的原因了解国内外常见安全漏洞分类了解安全漏洞的发展趋势3安全漏洞的基本概念什么是漏洞（Vulnerability）也被称为脆弱性，计算机系统天生的类似基因的缺陷，在使用和发展过程中产生意想不到的问题（冯•诺依曼）漏洞的含义漏洞本身随着信息技术的发展而具有不同的含义与范畴基于访问控制的定义逐步发展到涉及系统安全流程、设计、实施、内部控制等全过程的定义4漏洞的定义学者们对漏洞的定义从访问控制角度定义（1982Denning）从风险管理角度的定义（1990Longstaff）使用状态空间描述的方法定义（1996Bishop）标准机构的定义存在于评估对象（TOE）中违反安全功能要求的弱点（1999年，ISO/IEC15408（GB/T18336））威胁源可以攻击或触发的信息系统、系统安全流程、内部控制或实施中的弱点（2000NISTIR7298）威胁可以利用的一个或一组资产的弱点；是评估对象（TOE）中的弱点；是在信息系统或其环境的设计及实施中的缺陷、弱点或特性（2009年ISO/IEC）5漏洞的理解从生命周期的角度出发，信息技术、信息产品和信息系统在需求、设计、实现、配置、维护和使用等过程中，有意或无意产生的缺陷，这些缺陷一旦被恶意主体所利用，就会造成对信息产品或系统的安全损害，从而影响构建于信息产品或系统之上正常服务的运行，危害信息产品或系统及信息的安全属性6漏洞产生的原因技术原因软件系统复杂性提高，质量难于控制，安全性降低公用模块的使用引发了安全问题经济原因“柠檬市场”效应环境原因从传统的封闭、静态和可控变为开放、动态和难控攻易守难安全缺陷安全性缺陷是信息系统或产品自身“与生俱来”的特征，是其的固有成分7漏洞的分类分类的目的准确的区分和描述不同的漏洞有助于漏洞的发布、存储和查询漏洞分类实例NVD:代码注入等21种类型CNNVD:根据漏洞形成分成22种类型……8知识域：安全漏洞与恶意代码知识子域：安全漏洞的发现与修复了解安全漏洞的静态与动态挖掘方法的基本原理了解补丁分类及修复时应注意的问题9漏洞的发现静态漏洞挖掘动态漏洞挖掘10静态漏洞挖掘不运行代码而直接对代码进行漏洞挖掘的方法适用对象完整的或不完整的源代码二进制代码中间代码片段方法流分析符号执行模型检测11动态漏洞挖掘在代码运行的状态下，通过监测代码的运行状态或根据测试用例结果来挖掘漏洞的方法特点与静态分析方法相比，动态分析方法的最大优势在于其分析结果的精确，即误报率较低方法模糊测试动态污染传播12安全漏洞的修复安装补丁是漏洞消减的技术手段之一。数据显示，及时安装有效补丁可避免约95%的信息安全损失补丁修复中存在的两难问题：打什么样的补丁？——补丁质量问题如何打补丁？——操作方式问题什么时间打补丁？——修复时机问题13补丁分类从文件类型以源代码形式存在以二进制形式存在从内存角度文件补丁（冷补丁）内存补丁（热补丁）14补丁安装时应注意的问题补丁安装部署之前需要经过必要的测试需要从可靠来源不断获取最新补丁信息安装补丁时需要做好备份和相应的应急措施15安全漏洞的修复标准化的安全配置2002年，美国率先在军队推行标准化的安全配置与核查（IAVA）根据漏洞分析和风险评估的安全加固传统的安全加固手段越来越难以应付日益复杂的攻击行为，漏洞信息的及时披露和分发越来越重要。加固核查与问责通过安全审计核实漏洞消除情况和效果。16知识域：安全漏洞与恶意代码知识子域：恶意代码的产生与发展了解恶意代码的发展历史及趋势了解恶意代码的分类理解恶意代码的传播方式17什么是恶意代码什么是恶意代码《中华人民共和国计算机信息系统安全保护条例》第二十八条：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码(1994.2.18)恶意代码，是指能够引起计算机故障，破坏计算机数据，影响计算机系统的正常使用的程序代码。指令类型二进制代码、脚本语言、宏语言等表现形式病毒、蠕虫、后门程序、木马、流氓软件、逻辑炸弹等18恶意代码发展孕育和诞生1949：冯·诺依曼在《复杂自动机组织论》提出概念1960：生命游戏（约翰·康维）磁芯大战（贝尔实验室三名程序员）1977年科幻小说《P-1的青春》使得恶意程序有了计算机病毒的名称1983：真正的恶意代码在实验室产生19恶意代码发展1986年—第一个PC病毒：Brainvirus1988年—MorrisInternetworm—6000多台1990年—第一个多态病毒1991年—virusconstructionset-病毒生产机1991年—DIR2病毒1994年—GoodTimes(joys)1995年—首次发现macrovirus20罗伯特.莫里斯恶意代码发展1996年—netcat的UNIX版发布（nc）1998年—第一个Javavirus(StrangeBrew)1998年—netcat的Windows版发布（nc）1998年—backorifice(BO)/CIH1999年—melissa/worm(macrovirusbyemail)1999年—backorifice(BO)forWIN2k1999年—DOS/DDOS-DenialofServiceTFT/trin001999年—knark内核级rootkit(linux)21恶意代码发展2000年—loveBug(VBScript)2001年—CodeRed–worm(overflowforIIS)2001年—Nimda-worm(IIS/webbrowser/outlook/fileshareetc.)2002年—SQLslammer(sqlserver)2003年—MSBlaster/Nachi2003年—中文上网2004年—MyDoom/Sasser2006年—熊猫烧香22恶意代码发展2010年—Stuxnet(工业蠕虫)2012年—火焰病毒23各种蠕虫、木马悄悄的潜伏在计算机中，窃取信息……恶意代码的发展趋势从传播速度上来看恶意代码爆发和传播速度越来越快从攻击意图来看从游戏、炫耀逐步转向恶意牟利从功能上来看恶意代码的分工越来越细从实现技术来看恶意代码实现的关键技术不断变化从传播范围来看恶意代码呈现多平台传播的特征24恶意代码分类25照恶意代码运行平台按照恶意代码传播方式按照恶意代码的工作机制按照恶意代码危害分类蠕虫病毒后门木马有害工具流氓软件风险程序其他恶意代码的传播方式26移动存储文件传播网络传播网页电子邮件即时通讯共享主动放置软件漏洞[AutoRun]OPEN=Autorun.exeICON=icon.ico恶意代码传播方式-移动存储27自动播放功能Windows默认自动执行autorun.inf指定的文件设置组策略编辑器恶意代码传播方式-文件传播文件感染软件捆绑强制安装：在安装其他软件时被强制安装上默认安装：在安装其他软件是被默认安装上28恶意代码传播方式-网页29将木马伪装为页面元素利用脚本运行的漏洞伪装为缺失的组件通过脚本运行调用某些com组件利用软件漏洞例如：在渲染页面内容的过程中利用格式溢出释放或下载木马恶意代码传播方式-邮件30社会工程学欺骗性标题吸引人的标题•Iloveyou病毒•库娃等……利用系统及邮件客户端漏洞尼姆达（畸形邮件MIME头漏洞）……恶意代码传播方式-通讯与数据传播即时通讯伪装即时通讯中的用户向其联系人发送消息。使用欺骗性或诱惑性的字眼P2P下载伪造有效资源进行传播31恶意代码传播方式-共享共享32管理共享C盘、D盘……Windows安装目录用户共享用户设置的共享典型病毒LovegateSpybotSdbot……恶意代码传播方式-主动放置利用系统提供的上传渠道(FTP、论坛等)攻击者已经获得系统控制权攻击者是系统开发者……33攻击者被攻击系统恶意代码传播方式-软件漏洞利用各种系统漏洞缓冲区溢出：冲击波、振荡波利用服务漏洞IIS的unicode解码漏洞：红色代码……34知识域：安全漏洞与恶意代码知识子域：恶意代码的实现技术理解恶意代码修改配置文件、修改注册表、设置系统服务等加载方式理解恶意代码进程、网络及系统隐藏技术理解恶意代码进程保护和检测对抗自我保护技术35恶意代码加载方式随系统启动而加载开始菜单中的启动项启动配置文件注册表启动项系统服务组策略……随文件执行加载感染/文件捆绑浏览器插件修改文件关联其他36随系统启动加载方式-启动配置开始菜单启动项启动配置文件Autorun.batWin.iniSystem.ini已经很少有病毒采用过于明显用户登录后才能启动37随系统启动加载方式-注册表注册表启动项：1.HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load2.HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit3.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx4.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run5.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce6.……38优势隐蔽性强方式多样加载位置Load键值Userinit键值RunRunServicesOnceRunServicesRunOnce……随系统启动加载方式-服务39优势隐蔽性强无需用户登录权限较高加载方式单独服务替换系统服务程序随系统启动加载方式-组策略优势类似启动项，但隐蔽性更高不足需要用户登录40随文件执行加载方式-感染/文件合并传统病毒宏病毒程序合并41随文件执行加载方式-浏览器插件优势隐蔽性强清理困难42随文件执行加载方式-修改文件关联43原理正常情况下•文本文件（.txt）关联到记事本notepad.exe打开病毒修改•文本文件（.txt）关联到病毒文件打开优势隐蔽性强，可关联任意类型文件，甚至可以关联目录操作恶意代码隐藏技术进程隐藏进程迷惑DLL注入网络隐藏端口复用无端口反向端口系统隐藏隐藏、系统文件流文件隐藏Hook技术44恶意代码进程隐藏技术-进程迷惑随机进程名每次启动生成不一样的进程名，退出后无法查找系统进程类命名Windows.exeSystem1.exeKernel.exe相似进程名同名不同路径的进程c:\windows\system32\iexplore.exe(trojan)c:\ProgramFiles\InternetExplorer\iexplore.exe(right)名称相近的程序svchost.exe(right)svch0st.exe(trojan)45恶意代码进程隐藏技术-DLL注入动态链接库文件（DLL）概念什么是DLL注入DLL注入技术是恶意代码将DLL文件放进某个进程的地址空间里，让它成为那个进程的一部分D