蠕虫病毒原理.pptx

1、蠕虫病毒原理蠕虫病毒原理蠕虫病毒原理第1页蠕虫病毒n蠕虫病毒是一个常见计算机病毒。它是利用网络进行复制和传输，传染路径是经过网络和电子邮件。n蠕虫病毒是自包含程序(或是一套程序)，它能传输本身功效拷贝或本身（蠕虫病毒）一些部分到其它计算机系统中(通常是经过网络连接)。n蠕虫病毒传染目标是互联网内全部计算机.局域网条件下共享文件夹，电子邮件email，网络中恶意网页，大量存在着漏洞服务器等都成为蠕虫传输良好路径n。网络发展也使得蠕虫病毒能够在几个小时内蔓延全球!而且蠕虫主动攻击性和突然暴发性会使得人们手足无策蠕虫病毒原理第2页蠕虫与漏洞n网络蠕虫最大特点是利用各种漏洞进行自动传输n依据网络蠕虫所

2、利用漏洞不一样，又能够将其细分q邮件蠕虫n主要是利用MIME(Multipurpose Internet Mail Extension Protocol，多用途网际邮件扩充协议)漏洞MIME描述漏洞描述漏洞蠕虫病毒原理第3页蠕虫与漏洞q网页蠕虫（木马）n主要是利用IFrame漏洞和MIME漏洞n网页蠕虫能够分为两种q用一个IFrame插入一个Mail框架，一样利用MIME漏洞执行蠕虫，这是直接沿用邮件蠕虫方法q用IFrame漏洞和浏览器下载文件漏洞来运作，首先由一个包含特殊代码页面去下载放在另一个网站病毒文件，然后运行它，完成蠕虫传输q系统漏洞蠕虫n利用RPC溢出漏洞冲击波、冲击波杀手n利用L

3、SASS溢出漏洞震荡波、震荡波杀手n系统漏洞蠕虫普通具备一个小型溢出系统，它随机产生IP并尝试溢出，然后将本身复制过去n它们往往造成被感染系统性能速度快速降低，甚至系统瓦解，属于最不受欢迎一类蠕虫蠕虫病毒原理第4页蠕虫工作方式与扫描策略n蠕虫工作方式普通是“扫描攻击复制”蠕虫病毒原理第5页蠕虫工作方式与扫描策略n蠕虫扫描策略q现在流行蠕虫采取传输技术目标，普通是尽快地传输到尽可能多计算机中q扫描模块采取扫描策略是：随机选取某一段IP地址，然后对这一地址段上主机进行扫描q没有优化扫描程序可能会不停重复上面这一过程，大量蠕虫程序扫描引发严重网络拥塞n对扫描策略改进q在IP地址段选择上，能够主要针对

4、当前主机所在网段进行扫描，对外网段则随机选择几个小IP地址段进行扫描q对扫描次数进行限制，只进行几次扫描q把扫描分散在不一样时间段进行蠕虫病毒原理第6页蠕虫工作方式与扫描策略n蠕虫惯用扫描策略q选择性随机扫描(包含当地优先扫描)q可路由地址扫描(Routable Scan)q地址分组扫描(Divide-Conquer Scan)q组合扫描(Hybrid Scan)q极端扫描(Extreme Scan)蠕虫病毒原理第7页从传输模式进行安全防御从传输模式进行安全防御n对蠕虫在网络中产生异常，有各种方法能够对未知蠕虫进行检测，比较通用方法是对流量异常统计分析，主要包含对TCP连接异常分析和ICMP数

5、据异常分析方法。蠕虫病毒原理第8页从传输模式进行安全防御从传输模式进行安全防御n在蠕虫扫描阶段，蠕虫会随机或者伪随机生成大量IP地址进行扫描，探测漏洞主机。这些被扫描主机中会存在许多空或者不可达IP地址，从而在一段时间里，蠕虫主机会接收到大量来自不一样路由器ICMP不可达数据包。流量分析系统经过对这些数据包进行检测和统计，在蠕虫扫描阶段将其发觉，然后对蠕虫主机进行隔离，对蠕虫其进行分析，进而采取防御办法。n将ICMP不可达数据包进行搜集、解析，并依据源和目标地址进行分类，假如一个IP在一定时间（T）内对超出一定数量（N）其它主机同一端口（P）进行了扫描，则产生一个发觉蠕虫报警（同时还会产生其它

6、一些报警）。蠕虫病毒原理第9页用Sniffer进行蠕虫检测n普通进行流量分析时，首先关注是产生网络流量最大那些计算机。利用SnifferHost Table功效，将全部计算机按照发出数据包包数多少进行排序蠕虫病毒原理第10页发包数量前列IP地址为22.163.0.9主机，其从网络收到数据包数是0，但其向网络发出数据包是445个；这对HTTP协议来说显然是不正常，HTTP协议是基于TCP协议，是有连接，不可能是光发不收，普通来说光发包不收包是种类似于广播蠕虫病毒原理第11页一样，我们能够发觉，以下IP地址存在一样问题蠕虫病毒原理第12页首先我们对IP地址为22.163.0.9主机产生网络流量进行

7、过滤蠕虫病毒原理第13页蠕虫病毒流量分析蠕虫病毒原理第14页发出数据包内容蠕虫病毒原理第15页蠕虫病毒原理第16页蠕虫病毒原理第17页一、两种检测粒度比较n在早期snort在其virus.rules中，用了多达24条规则来检测名为NewApt蠕虫，占了全部VX规则28%。蠕虫病毒原理第18页 粗糙文件名检测法蠕虫病毒原理第19页粗检测粒度表现经过对病毒分析来看，Worm.NewApt附件文件清单是26个，而不是24个。Rule(s)from C&D没有错误，但Capture&Decode之外，希望能补充进，Code&Disassemblers蠕虫病毒原理第20页附件文件名检测方式弊端n对于那些

8、随机选择附件名文件名或者提取本机文件文件名作为本身名字蠕虫无能为力。n一个同名正常附件，带来误报造成用户恐慌。同时，修改文件名对于修改蠕虫是最轻易。蠕虫病毒原理第21页细粒度检测n站 在 基 于 文 件 系 统 病 毒 分 析 来 看，I-worm.NewApt完全能够靠文件体中以下特征串来检测：|680401000056FF152CC04000568B75106884F7400056E8CC0800005903C650E83B07000083C40C6880F7400056E8B50800005903C650|蠕虫病毒原理第22页问题（一）网络检测与文件检测不一样n蠕虫在网络传输中形态，不是

9、2进制文件，而是经过编码后，下面就是病毒特征码所对应base64编码：GgEAQAAVv8VLMBAAFaLdRBohPdAAFbozAgAAFkDxlDoOwcAAIPEDGiA90AAVui1CAAAWQPGUOgkBwAAoeQBQQBZWUBQVuidCAAAWQPGUGjo90AA/9ej5AFBAn同时新问题产生：|0d 0a|怎样处理？蠕虫病毒原理第23页问题（二）特征码质量特征码不能任意选取，而要求能够准确无误报实现检测。长度要求复杂度要求其它要求蠕虫病毒原理第24页问题（三）怎样面对更多层面需求nIDS规则问题只是我们问题出发点。n能否实现御毒于内网之外nFirewall、G

10、ap能否扩充反病毒能力n骨干网络能否建立病毒疫情监控机制，甚至直接切断蠕虫传输蠕虫病毒原理第25页独立病毒分析准备工作n对于网络安全企业高手们来说，剖析几个蠕虫，提取特征码，没有问题，但要注意这是系统工作：n建立自己病毒捕捉网络，第一时间取得新病毒样本；n建立完善样本库n建立自己特征码分析体制，确保特征码科学性，防止漏报和误报可能。n警告：对于firewall或者IDS开发部门来说，维持一个专门Virus Cert小组可能是得不偿失。蠕虫病毒原理第26页第二章、结合文件级别反病毒技术n反病毒技术是一个积累性技术。有一定难以逾越基础，所以，结合传统反病毒企业技术是安全厂商一个选择。n一些二线反病毒厂商也把向其它网络安全安全厂商、其它厂商和服务商和提供AV SDK作为新热点。n另首先，更多反病毒厂商正在主动扩展自己网络安全产品线，从而构筑全方面地处理方案。蠕虫病毒原理第27页