蠕蟲病毒原理培訓(xùn)課件

蠕蟲病毒蠕蟲病毒是一種常見的計(jì)算機(jī)病毒。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。蠕蟲病毒是自包含的程序(或是一套程序)，它能傳播自身功能的拷貝或自身（蠕蟲病毒）的某些部分到其他的計(jì)算機(jī)系統(tǒng)中(通常是經(jīng)過網(wǎng)絡(luò)連接)。蠕蟲病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī).局域網(wǎng)條件下的共享文件夾，電子郵件email，網(wǎng)絡(luò)中的惡意網(wǎng)頁，大量存在著漏洞的服務(wù)器等都成為蠕蟲傳播的良好途徑。網(wǎng)絡(luò)的發(fā)展也使得蠕蟲病毒可以在幾個(gè)小時(shí)內(nèi)蔓延全球!而且蠕蟲的主動(dòng)攻擊性和突然爆發(fā)性會(huì)使得人們手足無策蠕蟲與漏洞網(wǎng)絡(luò)蠕蟲最大特點(diǎn)是利用各種漏洞進(jìn)行自動(dòng)傳播根據(jù)網(wǎng)絡(luò)蠕蟲所利用漏洞的不同，又可以將其細(xì)分郵件蠕蟲主要是利用MIME(MultipurposeInternetMailExtensionProtocol，多用途的網(wǎng)際郵件擴(kuò)充協(xié)議)漏洞MIME描述漏洞蠕蟲與漏洞網(wǎng)頁蠕蟲（木馬）主要是利用IFrame漏洞和MIME漏洞網(wǎng)頁蠕蟲可以分為兩種用一個(gè)IFrame插入一個(gè)Mail框架，同樣利用MIME漏洞執(zhí)行蠕蟲，這是直接沿用郵件蠕蟲的方法用IFrame漏洞和瀏覽器下載文件的漏洞來運(yùn)作的，首先由一個(gè)包含特殊代碼的頁面去下載放在另一個(gè)網(wǎng)站的病毒文件，然后運(yùn)行它，完成蠕蟲傳播系統(tǒng)漏洞蠕蟲利用RPC溢出漏洞的沖擊波、沖擊波殺手利用LSASS溢出漏洞的震蕩波、震蕩波殺手系統(tǒng)漏洞蠕蟲一般具備一個(gè)小型的溢出系統(tǒng)，它隨機(jī)產(chǎn)生IP并嘗試溢出，然后將自身復(fù)制過去它們往往造成被感染系統(tǒng)性能速度迅速降低，甚至系統(tǒng)崩潰，屬于最不受歡迎的一類蠕蟲蠕蟲的工作方式與掃描策略蠕蟲的工作方式一般是“掃描→攻擊→復(fù)制”蠕蟲的工作方式與掃描策略蠕蟲的掃描策略現(xiàn)在流行的蠕蟲采用的傳播技術(shù)目標(biāo)，一般是盡快地傳播到盡量多的計(jì)算機(jī)中掃描模塊采用的掃描策略是：隨機(jī)選取某一段IP地址，然后對這一地址段上的主機(jī)進(jìn)行掃描沒有優(yōu)化的掃描程序可能會(huì)不斷重復(fù)上面這一過程，大量蠕蟲程序的掃描引起嚴(yán)重的網(wǎng)絡(luò)擁塞對掃描策略的改進(jìn)在IP地址段的選擇上，可以主要針對當(dāng)前主機(jī)所在的網(wǎng)段進(jìn)行掃描，對外網(wǎng)段則隨機(jī)選擇幾個(gè)小的IP地址段進(jìn)行掃描對掃描次數(shù)進(jìn)行限制，只進(jìn)行幾次掃描把掃描分散在不同的時(shí)間段進(jìn)行蠕蟲的工作方式與掃描策略蠕蟲常用的掃描策略選擇性隨機(jī)掃描(包括本地優(yōu)先掃描)可路由地址掃描(RoutableScan)地址分組掃描(Divide-ConquerScan)組合掃描(HybridScan)極端掃描(ExtremeScan)從傳播模式進(jìn)行安全防御對蠕蟲在網(wǎng)絡(luò)中產(chǎn)生的異常，有多種的的方法可以對未知的蠕蟲進(jìn)行檢測，比較通用的方法是對流量異常的統(tǒng)計(jì)分析，主要包括對TCP連接異常的分析和ICMP數(shù)據(jù)異常分析的方法。從傳播模式進(jìn)行安全防御在蠕蟲的掃描階段，蠕蟲會(huì)隨機(jī)的或者偽隨機(jī)的生成大量的IP地址進(jìn)行掃描，探測漏洞主機(jī)。這些被掃描主機(jī)中會(huì)存在許多空的或者不可達(dá)的IP地址，從而在一段時(shí)間里，蠕蟲主機(jī)會(huì)接收到大量的來自不同路由器的ICMP不可達(dá)數(shù)據(jù)包。流量分析系統(tǒng)通過對這些數(shù)據(jù)包進(jìn)行檢測和統(tǒng)計(jì)，在蠕蟲的掃描階段將其發(fā)現(xiàn)，然后對蠕蟲主機(jī)進(jìn)行隔離，對蠕蟲其進(jìn)行分析，進(jìn)而采取防御措施。將ICMP不可達(dá)數(shù)據(jù)包進(jìn)行收集、解析，并根據(jù)源和目的地址進(jìn)行分類，如果一個(gè)IP在一定時(shí)間（T）內(nèi)對超過一定數(shù)量（N）的其它主機(jī)的同一端口（P）進(jìn)行了掃描，則產(chǎn)生一個(gè)發(fā)現(xiàn)蠕蟲的報(bào)警（同時(shí)還會(huì)產(chǎn)生其它的一些報(bào)警）。用Sniffer進(jìn)行蠕蟲檢測一般進(jìn)行流量分析時(shí)，首先關(guān)注的是產(chǎn)生網(wǎng)絡(luò)流量最大的那些計(jì)算機(jī)。利用Sniffer的HostTable功能，將所有計(jì)算機(jī)按照發(fā)出數(shù)據(jù)包的包數(shù)多少進(jìn)行排序發(fā)包數(shù)量前列的IP地址為的主機(jī)，其從網(wǎng)絡(luò)收到的數(shù)據(jù)包數(shù)是0，但其向網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包是445個(gè)；這對HTTP協(xié)議來說顯然是不正常的，HTTP協(xié)議是基于TCP的協(xié)議，是有連接的，不可能是光發(fā)不收的，一般來說光發(fā)包不收包是種類似于廣播的同樣，我們可以發(fā)現(xiàn)，如下IP地址存在同樣的問題首先我們對IP地址為的主機(jī)產(chǎn)生的網(wǎng)絡(luò)流量進(jìn)行過濾蠕蟲病毒流量分析發(fā)出的數(shù)據(jù)包的內(nèi)容一、兩種檢測粒度的比較在早期的snort在其virus.rules中，用了多達(dá)24條規(guī)則來檢測名為NewApt的蠕蟲，占了全部VX規(guī)則的28%。

粗糙的文件名檢測法content:"filename=\"THEOBBQ.EXE\"";content:"filename=\"COOLER3.EXE\"";content:"filename=\"PARTY.EXE\"";content:"filename=\"HOG.EXE\"";content:"filename=\"GOAL1.EXE\"";content:"filename=\"PIRATE.EXE\"";content:"filename=\"VIDEO.EXE\"";content:"filename=\"BABY.EXE\"";content:"filename=\"COOLER1.EXE\"";content:"filename=\"BOSS.EXE\"";content:"filename=\"G-ZILLA.EXE\"";content:"filename=\"COYPER..EXE\"";content:"filename=\"GADGET.EXE\"";content:"filename=\"IRNGLANT.EXE\"";content:"filename=\"CASPER.EXE\"";content:"filename=\"FBORFW.EXE\"";content:"filename=\"SADDAM.EXE\"";content:"filename=\"BBOY.EXE\"";content:"filename=\"MONICA.EXE\"";content:"filename=\"GOAL.EXE\"";content:"filename=\"PANTHER.EXE\"";content:"filename=\"CHESTBURST.EXE\"";content:"filename=\"FARTER.EXE\"";content:"filename=\"CUPID2.EXE\"";

粗檢測粒度的表現(xiàn)通過對病毒的分析來看，Worm.NewApt附件文件清單是26個(gè)，而不是24個(gè)。Rule(s)fromC&D沒有錯(cuò)誤，但Capture&Decode之外，希望能補(bǔ)充進(jìn)，Code&Disassemblers附件文件名檢測方式弊端對于那些隨機(jī)選擇附件名文件名或者提取本機(jī)文件的文件名作為自身名字的蠕蟲無能為力。一個(gè)同名的正常附件，帶來誤報(bào)造成用戶的恐慌。同時(shí)，修改文件名對于修改蠕蟲是最容易的。細(xì)粒度檢測站在基于文件系統(tǒng)的病毒分析來看，I-worm.NewApt完全可以靠文件體中如下的特征串來檢測：|680401000056FF152CC04000568B75106884F7400056E8CC0800005903C650E83B07000083C40C6880F7400056E8B50800005903C650……|問題（一）網(wǎng)絡(luò)檢測與文件檢測的不同蠕蟲在網(wǎng)絡(luò)傳輸中的形態(tài)，不是2進(jìn)制文件，而是經(jīng)過編碼后的，下面就是病毒特征碼所對應(yīng)的base64編碼：GgEAQAAVv8VLMBAAFaLdRBohPdAAFbozAgAAFkDxlDoOwcAAIPEDGiA90AAVui1CAAAWQPGUOgkBwAAoeQBQQBZWUBQVuidCAAAWQPGUGjo90AA/9ej5AFBA……同時(shí)新的問題產(chǎn)生：|0d0a|如何處理？問題（二）特征碼質(zhì)量特征碼不能任意選取，而要求能夠準(zhǔn)確無誤報(bào)的實(shí)現(xiàn)檢測。長度要求復(fù)雜度要求其他要求問題（三）如何面對更多層面的需求IDS的規(guī)則問題只是我們問題的出發(fā)點(diǎn)。能否實(shí)現(xiàn)御毒于內(nèi)網(wǎng)之外Firewall、Gap能否擴(kuò)充反病毒能力骨干網(wǎng)絡(luò)能否建立病毒疫情監(jiān)控機(jī)制，甚至直接切斷蠕蟲傳播獨(dú)立病毒分析的準(zhǔn)備工作對于網(wǎng)絡(luò)安全企業(yè)的高手們來說，剖析幾個(gè)蠕蟲，提取特征碼，沒有問題，但要注意這是系統(tǒng)的工作：建立自己的病毒捕獲網(wǎng)絡(luò)，第一時(shí)間獲得新病毒樣本；建立完善的樣本庫建立自己的特征碼分析體制，保證特征碼的科學(xué)性，避免漏報(bào)和誤報(bào)的可能。警告：對于firewall或者IDS開發(fā)部門來說，