一、 络蠕虫分析与防护

1.1 络蠕虫概念与特性

络蠕虫：是一种具有自我复制和传播能力、可独立自动运行的恶意程序。它综合了黑客技术和计算机病毒技术，通过利用系统中存在漏洞的节点主机，将蠕虫自身从一个节点传播到另外一个节点

在 络环境下，多模式化的传播途径和复杂的应用环境使 络蠕虫的发生频率增高、传播性变强、影响面更广，造成的损失也更大

1.2 络蠕虫组成与运行机制

络蠕虫由四个功能模块构成：

1. 探测模块：完成对特定主机的脆弱性检测，决定采用何种攻击渗透方式。该模块利用获得的安全漏洞建立传播途径，该模块在攻击方法上是开放的、可扩充的
2. 传播模块：该模块可以采用各种形式生成各种形态的蠕虫副本，在不同主机间完成蠕虫副本传递
3. 蠕虫引擎模块：该模块决定采用何种搜索算法对本地或者目标 络进行信息搜集，内容包括本机系统信息、用户信息、邮件列表、对本机的信任或授权的主机、本机所处 络的拓扑结构、边界路由信息等。这些信息可以单独使用或被其他个体共享
4. 负载模块：也就是 络蠕虫内部的实现伪代码

络蠕虫的运行机制主要分为三个阶段

1. 第一阶段，已经感染蠕虫的主机在 络上搜索易感染目标主机
2. 第二阶段，已经感染蠕虫的主机把蠕虫代码传送到易感染目标主机上
3. 第三阶段，易感染目标主机执行蠕虫代码，感染目标主机系统。目标主机感染后，又开始第一阶段的工作，寻找下一个易感目标主机，重复第二、第三阶段的工作，直至蠕虫从主机系统被清除掉

1.3 络蠕虫常用技术

1. 络蠕虫扫描技术

络蠕虫改善传播效果的方法：是提高扫描的准确性，快速发现易感的主机

目前，有三种措施可以采取

1. 一是减少扫描未用的地址空间
2. 二是在主机漏洞密度高的地址空间发现易感主机
3. 三是增加感染源

根据 络蠕虫发现易感主机的方式，蠕虫传播方法可分为三类

1. 随机扫描：基本原理是 络蠕虫会对整个IP地址空间随机抽取的一个地址进行扫描，这样 络蠕虫感染下一个目标具有非确定性
2. 顺序扫描（子 扫描）：基本原理是 络蠕虫根据感染主机的地址信息，按照本地优先原则，选择它所在 络内的IP地址进行传播。若蠕虫扫描的目标地址IP为A，则扫描的下一个地址IP为A+1或者A-1。一旦扫描到具有很多漏洞主机的 络时就会达到很好的传播效果。该策略使得 络蠕虫避免扫描到未用地址空间，不足：对同一台主机可能重复扫描，引起 络拥塞
3. 选择性扫描：基本原理是 络蠕虫在事先获知一定信息的条件下，有选择地搜索下一个感染目标主机。选择性扫描是 络蠕虫的发展方向，可以进一步细分为5种:
   • 选择性随机扫描：是指 络蠕虫按照一定信息搜索下一个感染目标主机，将最有可能存在漏洞的主机的地址集作为扫描的地址空间，以提高扫描效率
   • 基于目标列表的扫描：是指 络蠕虫在寻找受感染的目标前，预先生成一份可能易传染的目标列表，然后对该列表进行攻击尝试和传播
   • 基于路由的扫描：是指 络蠕虫根据 络中的路由信息，如BGP路由表信息，有选择地扫描IP地址空间，以避免扫描无用的地址空间。从理论上来说，路由扫描蠕虫的感染率是采用随机扫描蠕虫的感染率的3.5倍。不足：① 络蠕虫传播时必须携带一个路由IP地址库，蠕虫代码量大②在使用保留地址空间的内部 络中，若采用基于路由的扫描， 络蠕虫的传播会受到限制
   • 基于DNS的扫描：是指 络蠕虫从DNS服务器获取IP地址来建立目标地址库，该扫描策略的优点：获得的IP地址块具有针对性和可用性强的特点
   • 分而治之的扫描：是 络蠕虫之间相互协作快速搜索易感染主机的一种策略， 络蠕虫发送地址库的一部分给每台被感染的主机，然后每台主机再去扫描它所获得的地址。提高 络蠕虫的扫描速度，同时避免重复扫描。不足：存在“坏点”问题。在蠕虫传播的过程中，如果一台主机死机或崩溃，那么所有传给它的地址库就会丢失，这个问题发生得越早，影响就越大

2. 络蠕虫漏洞利用技术

络蠕虫发现易感目标主机后，利用易感目标主机所存在的漏洞，将蠕虫程序传播给易感目标主机

常见的 络蠕虫漏洞利用技术

• 主机之间的信任关系漏洞： 络蠕虫利用系统中的信任关系，将蠕虫程序从一台机器复制到另一台机器
• 目标主机的程序漏洞： 络蠕虫利用它构造缓冲区溢出程序，进而远程控制易感目标主机，然后传播蠕虫程序
• 目标主机的默认用户和口令漏洞： 络蠕虫直接使用口令进入目标系统，直接上传蠕虫程序
• 目标主机的用户安全意识薄弱漏洞： 络蠕虫通过伪装成合法的文件，引诱用户点击执行，直接触发蠕虫程序执行。常见的例子是电子邮件蠕虫
• 目标主机的客户端程序配置漏洞：如自动执行 上下载的程序。 络蠕虫利用这个漏洞，直接执行蠕虫程序

1.4  络蠕虫防范技术

防范 络蠕虫需要多种技术综合应用，包括:

1. 络蠕虫监测与预警技术

基本原理：在 络中安装探测器，这些探测器从 络环境中收集与蠕虫相关的信息，然后将这些信息汇总分析，以发现早期的 络蠕虫行为

2. 络蠕虫传播抑制技术

基本原理：利用 络蠕虫的传播特点，来构造一个限制 络蠕虫传播的环境。现在，已有的 络蠕虫传播抑制技术主要基于蜜罐技术

3. 络系统漏洞检测与系统加固技术

防治 络蠕虫的关键问题之一是解决漏洞问题，包括漏洞扫描、漏洞修补、漏洞预防等

4. 络蠕虫免疫技术

络蠕虫通常在受害主机系统上设置一个标记，以避免重复感染

基本原理：就是在易感染的主机系统上事先设置一个蠕虫感染标记，欺骗真实的 络蠕虫

5. 络蠕虫阻断与隔离技术

络蠕虫阻断技术有很多，主要利用防火墙、路由器进行控制

6. 络蠕虫清除技术

用在感染蠕虫后的处理，其基本方法：是根据特定的 络蠕虫感染系统后所留下的痕迹，如文件、进程、注册表等信息，分析 络蠕虫的运行机制，然后有针对性地删除有关 络蠕虫的文件或进程。清除 络蠕虫可以手工清除或用专用工具清除

二、僵尸 络分析与防护

2.1 僵尸 络概念与特性

僵尸 络( Botnet)： 是指攻击者利用入侵手段将僵尸程序(bot or zombie) 植入目标计算机上，进而操纵受害机执行恶意活动的 络

僵尸 络的构建方式：主要有远程漏洞攻击、弱口令扫描入侵、邮件附件、恶意文档、文件共享等

2.2 僵尸 络运行机制与技术

僵尸 络的运行机制环节构成

1. 第一步，僵尸程序的传播
2. 第二步，对僵尸程序进行远程命令操作和控制，将受害目标机组成一个 络
3. 第三步，攻击者通过僵尸 络的控制服务器，给僵尸程序发送攻击指令，执行攻击活动

僵尸 络为保护自身安全，其控制服务器和僵尸程序的通信使用加密机制，并把通信内容嵌入正常的HTTP流量中，以保护服务器的隐蔽性和匿名性。控制服务器和僵尸程序也采用认证机制，以防范控制消息伪造和篡改

2.3 僵尸 络防范技术

• 僵尸 络威胁监测：通常利用蜜罐技术获取僵尸 络威胁信息
• 僵尸 络检测：根据僵尸 络的通信内容和行为特征，检测 络中的异常 络流量
• 僵尸 络主动遏制：通过路由和DNS黑名单等方式屏蔽恶意的IP地址或域名
• 僵尸程序查杀：在受害的目标机上，安装专用安全工具，清除僵尸程序

三、其他恶意代码分析与防护

3.1 逻辑炸弹

逻辑炸弹：是一段依附在其他软件中，并具有触发执行破坏能力的程序代码

触发条件方式：包括计数器触发方式、时间触发方式、文件触发方式、特定用户访问触发方式等

逻辑炸弹只在触发条件满足后，才开始执行逻辑炸弹的破坏功能。逻辑炸弹一旦触发，有可能造成文件删除、服务停止、软件中断运行等破坏。逻辑炸弹不能复制自身，不能感染其他程序

3.2 陷门

• 是软件系统里的一段代码，允许用户避开系统安全机制而访问系统
• 由专门的命令激活，一般不容易发现
• 通常是软件开发商为调试程序、维护系统而设定的功能
• 不具有自动传播和自我复制功能

3.3 细菌

细菌：是指具有自我复制功能的独立程序。虽然细菌不会直接攻击任何软件，但是它通过复制
本身来消耗系统资源

例如：某个细菌先创建两个文件，然后以两个文件为基础进行自我复制，那么细菌以指数级的速度增长，很快就会消耗掉系统资源，包括CPU、 内存、磁盘空间

3.4 间谍软件

间谍软件：通常指那些在用户不知情情况下被安装在计算机中的各种软件，执行用户非期望的功能

功能：

• 这些软件可以产生弹出广告，重定向用户浏览器到陌生的 站
• 间谍软件还具有收集信息的能力，可记录用户的击键情况、浏览习惯
• 甚至会窃取用户的个人信息(如用户账 和口令、信用卡 )，然后经因特 传送给攻击者

一般来说，间谍软件不具备自我复制功能

四、恶意代码防护主要产品与技术指标

4.1 恶意代码防护主要产品

1. 终端防护产品：部署在受保护的终端上，常见的终端：有桌面电脑、服务器、智能手机、智能设备。目前，典型的防护模式是云+终端
2. 安全 关产品：主要用来拦截恶意代码的传播，防止破坏扩大化。安全 关产品分为三大类:
   1. 通用性专用安全 关：这类安全 关不是针对某个具体的应用，例如统一威胁管理 (UTM)、IPS
   2. 应用安全 关：例如邮件 关和Web防火墙
   3. 具有安全功能的 络设备：例如路由器
3. 恶意代码监测产品：技术原理是通过 络流量监测以发现异常节点或者异常通信连接，以便早发现 络蠕虫、特洛伊木马、僵尸 络等恶意代码活功。典型产品有IDS、 络协议分析器等
4. 恶意代码防护产品：补丁管理系统。恶意代码常常利用系统的漏洞来进行攻击，漏洞修补就成为防范恶意代码最有效的手段。商业版本的补丁管理系统大致分为两类:
   1. 面向PC终端用户的补丁管理：这类产品的补丁管理功能依附在杀毒软件包中
   2. 企业级的补丁管理：这类补丁管理是由补丁管理服务器和补丁管理代理共同实现的
5. 恶意代码应急响应：恶意代码的爆发具有突发性， 络安全厂商或 络安全应急响应部门会针对某种恶意代码，研发恶意代码专杀工具

4.2 恶意代码防护主要技术指标

1. 恶意代码检测能力

恶意代码检测技术措施是评估恶意代码检测能力的重要依据

技术检测措施通常包括

• 静态检测：通过搜索目标对象中是否蕴含恶意代码的标识特征来识别，或通过文件指纹来辨别
• 动态检测措施：利用恶意代码运行的行为特征或活动轨迹来判定，具体技术：包括安全沙箱、动态调试、系统监测、 络协议分析等

2. 恶意代码检测准确性

受检测技术限制，恶意代码检测结果会出现错误 警信息

• 一种情况是把正常的目标对象误 为恶意代码
• 另一种是漏 恶意的目标对象。理论上，恶意代码检测系统误 警、漏 警的情况难以根除

3. 恶意代码阻断能力

恶意代码阻断能力主要包含三个方面

1. 阻断技术措施，主要包括基于 络阻断、基于主机阻断、基于应用阻断、人工协同干预阻断
2. 阻断恶意代码的类型和数量
3. 阻断时效性，即恶意代码阻断安全措施对恶意代码处置的实时性

五、恶意代码防护技术应用

5.1 终端防护

通常是在终端上安装一个恶意代码防护代理程序，该代理程序按照终端管理中心下发的安全策略进行安全控制

5.2 APT防护

高级持续威胁(APT)：通常利用电子邮件作为攻击目标系统

攻击者将恶意代码嵌入电子邮件中，然后把它发送到目标人群，诱使收件人打开恶意电子文档或单击某个指向恶意站点的链接。一旦收件人就范，恶意代码将会安装在其计算机中，从而远程控制收件人的计算机，进而逐步渗透到收件人所在 络，实现其攻击意图

针对高级持续威胁攻击的特点，部署APT检测系统，检测电子文档和电子邮件是否存在恶意代码，
以防止攻击者通过电子邮件和电子文档渗透入侵 络

友情链接：http://xqnav.top/

文章知识点与官方知识档案匹配，可进一步学习相关知识 络技能树WAN技术PPP22078 人正在系统学习中