恶意移动代码分析与研究
DESCRIPTION
恶意移动代码分析与研究. 郑 辉 清华大学网络中心 CERNET Computer Emergency Response Team [email protected]. 主要内容. 当前的安全状况 攻防主体 主要研究成果 防治周期理论 主动防治系统 Open Problems. 漏洞越来越多 …. 攻击越来越容易 …. 病毒数量增长越来越快 …. Rapidly Escalating Threat to Businesses. 风险越来越大 …. 攻击目标和破坏程度. 全球基础设施 区域性网络 多个网络 单个网络 单台计算机. 分. - PowerPoint PPT PresentationTRANSCRIPT
恶意移动代码分析与研究恶意移动代码分析与研究
郑 辉郑 辉清华大学网络中心清华大学网络中心CERNET Computer Emergency Response CERNET Computer Emergency Response [email protected]@ccert.edu.cn
主要内容主要内容
当前的安全状况当前的安全状况 攻防主体攻防主体 主要研究成果主要研究成果 防治周期理论防治周期理论 主动防治系统主动防治系统 Open ProblemsOpen Problems
漏洞越来越多漏洞越来越多……
攻击越来越容易攻击越来越容易……
病毒数量增长越来越快病毒数量增长越来越快……
0
10000
20000
30000
40000
50000
60000
70000
80000
90000
1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003
Computer Viruses
Regular viruses Macro viruses
风险越来越大风险越来越大……
全球基础设施
区域性网络
多个网络
单个网络
单台计算机
攻击目标和破坏程度
First Gen• Boot viruses
First Gen• Boot viruses
周 Second Gen• Macro viruses
• Denial of service
Second Gen• Macro viruses
• Denial of service
天Third Gen• Distributed denial of service
• Blended threats
Third Gen• Distributed denial of service
• Blended threats
时
Next Gen• Flash threats
• Massive worm-driven DDoS
• Damaging payload worms
Next Gen• Flash threats
• Massive worm-driven DDoS
• Damaging payload worms
分
1980s 1990s Today Future
Rapidly Escalating Threat to Businesses
病毒、蠕虫、病毒、蠕虫、 DDoSDDoS 组合攻组合攻击击
Server-level DDoS
& worm attacks
Infrastructure-level DDoS attacks
Bandwidth-level DDoS attacks
Attack zombies: Use valid protocols Spoof source IP Massively distributed
InternetInternet 面临的安全挑战面临的安全挑战
如何防范自动化攻击?如何防范自动化攻击? 如何防范快速突发攻击?如何防范快速突发攻击? 如何防范大规模攻击?如何防范大规模攻击?
恶意移动代码主要特性恶意移动代码主要特性
破坏性破坏性 (Malicious Code, Malware)(Malicious Code, Malware) 移动性移动性 (Mobile Code)(Mobile Code)
– 通过网络通过网络– 通过人通过人
恶意移动代码主要种类恶意移动代码主要种类
Internet Internet 蠕虫蠕虫 病毒邮件病毒邮件 文件系统病毒文件系统病毒 网页脚本网页脚本 木马木马
恶意移动代码的简单比较恶意移动代码的简单比较
Internet Internet 蠕虫蠕虫
病毒邮件病毒邮件 文件系统文件系统病毒病毒
网页脚本网页脚本 木马木马
传播速度传播速度 极快极快 快快 一般一般 慢慢 慢慢
传播方式传播方式 自动自动 半自动半自动 半自动半自动 人工人工 人工人工
影响对象影响对象 网络网络 网络网络 主机主机 主机主机 主机主机
防治难度防治难度 难难 难难 易易 易易 一般一般
经济损失经济损失 严重严重 较大较大 较大较大 一般一般 一般一般
各种恶意移动代码的融合趋势各种恶意移动代码的融合趋势
病毒、蠕虫、木马之间的界限已经不再病毒、蠕虫、木马之间的界限已经不再明显;明显;
综合使用多种攻击手段:综合使用多种攻击手段:– 传播:计算机系统的漏洞、电子邮件、文传播:计算机系统的漏洞、电子邮件、文
件共享、件共享、 WebWeb 浏览等浏览等– 社会工程(社会工程( social engineering )social engineering )
攻防主体攻防主体
影响网络安全的三支力量影响网络安全的三支力量– HackerHacker– VXerVXer– CrackerCracker
防范主体防范主体– 网络运营商、服务提供商、用户;网络运营商、服务提供商、用户;– 系统厂商、防毒产品厂商;系统厂商、防毒产品厂商;– 科研技术人员、政府主管部门;科研技术人员、政府主管部门;
蠕虫的历史回顾蠕虫的历史回顾 Xerox PRACXerox PRAC ,, 19801980 年年 Morris WormMorris Worm ,, 19881988年年 1111月月 22 日 日 WANK WormWANK Worm ,, 19891989年年 1010月月 1616 日 日 ADM WormADM Worm ,, 19981998年年 55 月 月 MillenniumMillennium ,, 19991999年年 99 月 月 Ramen WormRamen Worm ,, 20012001年年 11 月 月 Lion WormLion Worm ,, 20012001年年 33 月月 2323 日日 Adore WormAdore Worm ,, 20012001年年 44 月月 33 日 日 Cheese WormCheese Worm ,, 20012001年年 55 月 月 Sadmind/IIS WormSadmind/IIS Worm ,, 20012001年年 55 月 月 CodeRed WormCodeRed Worm ,, 20012001年年 77 月月 1919 日日 Nimda WormNimda Worm ,, 20012001年年 99 月月 1818 日日 SlapperSlapper ,, 20022002年年 99 月月 1414 日 日 SlammerSlammer ,, 20032003年年 11 月月 2525 日日 Dvldr32Dvldr32 ,, 20032003年年 33 月月 77 日日 MSBlasterMSBlaster , , 20032003年年 88 月月 1212 日日 NachiNachi ,, 20032003年年 88 月月 1818 日日
20042004 年蠕虫年蠕虫
MyDoom.CMyDoom.C 20042004年年 22 月月 99 日日 Witty Worm Witty Worm 20042004年年 33 月月 2020
日日 Sasser Worm Sasser Worm 20042004年年 44 月月 3030
日日 Santy WormSanty Worm 20042004年年 1212月月 2121
日日
蠕虫的爆发周期越来越短蠕虫的爆发周期越来越短……
漏洞发现 攻击代码 蠕虫爆发 控制 清除
越来越短 越来越长,越来越难
漏洞公布和蠕虫爆发的间隔越来越短漏洞公布和蠕虫爆发的间隔越来越短
最佳时机 及时 太晚了
恶意移动代码主要研究内容恶意移动代码主要研究内容
恶意代码的工作机制恶意代码的工作机制– 其他工作的基础其他工作的基础
传播模型传播模型– 现有模型忽略太多因素而缺乏指导意义现有模型忽略太多因素而缺乏指导意义
仿真仿真– 仿真仿真 InternetInternet 难度较大难度较大
检测检测– 检测结果出来为时已晚检测结果出来为时已晚
抑制抑制– 现实需求现实需求
CCERTCCERT 的科研优势的科研优势
长期对恶意移动代码研究的积累;长期对恶意移动代码研究的积累; 迅速有效的响应机制;迅速有效的响应机制; 第一手的网络数据;第一手的网络数据;
CodeRedCodeRed 蠕虫监测数据蠕虫监测数据
2450
678
785
1118
888
299
2355
721
16081
BJCDGZNJSHSYWHXAOT
Code Red 西南地区 检测结果
020406080
100120
0914
-000
0
0914
-100
0
0914
-200
0
0915
-060
0
0915
-160
0
0916
-020
0
0916
-120
0
0916
-220
0
0917
-080
0
0917
-180
0
0918
-040
0
0918
-140
0
0919
-000
0
0919
-100
0
0920
-130
0
0921
-120
0
时间
数量
BJCDGZNJSHSYWHXAOT
Blaster & NachiBlaster & Nachi 监测数据监测数据
SasserSasser 蠕虫监测数据蠕虫监测数据
Witty Witty 蠕虫监测数据蠕虫监测数据
主要研究成果主要研究成果
针对蠕虫个体针对蠕虫个体– 实体结构模型实体结构模型– 功能结构模型功能结构模型
针对网络针对网络– 利用利用 DNSDNS 服务抑制蠕虫传播服务抑制蠕虫传播– Internet Internet 蠕虫蠕虫主动防治系统主动防治系统
实体结构模型实体结构模型
未编译的源代码
蠕虫实体结构
可运行代码
信息数据
受感染系统上的可执行程序脚本已编译的链
接模块
功能结构模型功能结构模型
攻击模块
传输模块
信息搜集模块
繁殖模块
破坏模块
控制模块
通信模块
隐藏模块
搜索模块
扩展功能模块基本功能模块
蠕虫程序功能模型
利用利用 DNSDNS 服务抑制蠕虫传播服务抑制蠕虫传播
The number of i nfected machi nes by Sasser worm
0
200
400
600
5-1 5-2 5-3 5-4 5-5 5-6 5-7 5-8 5-9
0
200
400
600
800
1000
1200
10
-11
0-3
10
-51
0-7
10
-91
0-1
11
0-1
31
0-1
51
0-1
71
0-1
91
0-2
11
0-2
31
0-2
51
0-2
71
0-2
91
0-3
11
1-2
11
-41
1-6
11
-81
1-1
01
1-1
21
1-1
41
1-1
61
1-1
81
1-2
01
1-2
21
1-2
41
1-2
61
1-2
81
1-3
01
2-2
12
-41
2-6
DNScontainment start
point
Internet Internet 蠕虫防治周期蠕虫防治周期
预防阶段预防阶段 检测阶段检测阶段 遏制阶段遏制阶段 清除阶段清除阶段
Internet Internet 蠕虫蠕虫主动防治系主动防治系统统
I DS
已干主机列表
已感主机
管理服务器
漏洞扫描服务器
易感主机列表
易感主机已感主机
易感主机
攻击命令
DNS BGP路由器告警服务器
路由器
攻击服务器
黑名单
u
告警信息
1 2 3
网络技术发展带来的变化网络技术发展带来的变化
P2PP2P– OverlayOverlay 网络构成的相对独立网络;网络构成的相对独立网络; – IRCIRC、、 MSNMSN、、 QQQQ、、 BTBT、、 eMuleeMule
IPv6IPv6– 网络规模网络规模– 加密传输加密传输
IPv4 的Internet , Slammer 蠕虫, 10 分钟后,感染了大多数有漏洞的计算机
IPv6 的 Internet ,
28 年后,感染第一台主机
IPv6IPv6 网络的抗扫描特性网络的抗扫描特性
恶意移动代码的技术发展趋势恶意移动代码的技术发展趋势
结合人工智能技术;结合人工智能技术; 动态功能升级技术;动态功能升级技术; 多平台传播技术;多平台传播技术; 分布式实体技术;分布式实体技术;
SantySanty 蠕虫蠕虫
描述:描述:– 20042004年年 1212月月 2121 日发现,截止到日发现,截止到 1212月月
2222 日,日, googlegoogle 可以统计到被可以统计到被 santysanty 蠕虫蠕虫破坏的网站已经达到破坏的网站已经达到 2600026000 多;多;
– 利用论坛系统利用论坛系统 phpBBphpBB 的漏洞传播;的漏洞传播; 智能特性:智能特性:
– 从搜索引擎从搜索引擎 googlegoogle得到攻击站点列表;得到攻击站点列表; 存在形式:存在形式:
– 脚本代码;脚本代码;
SantySanty 蠕虫引出的新问题蠕虫引出的新问题
如何检测智能蠕虫?如何检测智能蠕虫?– 不需扫描,流量无明显异常;不需扫描,流量无明显异常;– 查询条件的无穷组合;查询条件的无穷组合;– 脚本代码的任意变化;脚本代码的任意变化;
如何防治智能蠕虫? 如何防治智能蠕虫? – IPv6IPv6 的抗扫描特性不再适用;的抗扫描特性不再适用;– 封锁搜索引擎?海量信息如何查找;封锁搜索引擎?海量信息如何查找;– 搜索引擎屏蔽?查询合法性的不可判定;搜索引擎屏蔽?查询合法性的不可判定;
Open ProblemsOpen Problems
蠕虫爆发预警蠕虫爆发预警 仿真环境与蠕虫传播模拟仿真环境与蠕虫传播模拟 良性蠕虫的控制策略良性蠕虫的控制策略 恶意移动代码来源定位恶意移动代码来源定位 网络安全生态理论网络安全生态理论
参考文献参考文献 蠕虫的行为特征描述和工作原理分析蠕虫的行为特征描述和工作原理分析 , ,
http://worm.ccert.edu.cn/doc/spark/WormBehahttp://worm.ccert.edu.cn/doc/spark/WormBehaviorPrincipleAnalysis.pdfviorPrincipleAnalysis.pdf
InternetInternet蠕虫研究,蠕虫研究,http://worm.ccert.edu.cn/doc/InternetWormReshttp://worm.ccert.edu.cn/doc/InternetWormResearch.pdfearch.pdf
大规模网络中大规模网络中 Internet Internet 蠕虫主动防治技术研究 蠕虫主动防治技术研究 -- -- 利利用用 DNS DNS 服务抑制蠕虫传播服务抑制蠕虫传播 , , http://worm.ccert.edu.cn/doc/spark/WormDefenhttp://worm.ccert.edu.cn/doc/spark/WormDefenseWithDNS.pdfseWithDNS.pdf
主动主动 InternetInternet 蠕虫防治技术蠕虫防治技术 -- 接种疫苗接种疫苗 , , http://worm.ccert.edu.cn/doc/Vaccination.pdfhttp://worm.ccert.edu.cn/doc/Vaccination.pdf
InternetInternet 蠕虫主动防治系统原理与设计蠕虫主动防治系统原理与设计 , , http://worm.ccert.edu.cn/doc/spark/WormDefenhttp://worm.ccert.edu.cn/doc/spark/WormDefenseSystem.pdfseSystem.pdf
谢谢!谢谢!