网络蠕虫和僵尸网络等恶意代码防范技术原理

一、网络蠕虫分析与防护

1.1 网络蠕虫概念与特性

网络蠕虫：是一种具有自我复制和传播能力、可独立自动运行的恶意程序。它综合了黑客技术和计算机病毒技术，通过利用系统中存在漏洞的节点主机，将蠕虫自身从一个节点传播到另外一个节点

在网络环境下，多模式化的传播途径和复杂的应用环境使网络蠕虫的发生频率增高、传播性变强、影响面更广，造成的损失也更大

1.2 网络蠕虫组成与运行机制

网络蠕虫由四个功能模块构成：

1. 探测模块：完成对特定主机的脆弱性检测，决定采用何种攻击渗透方式。该模块利用获得的安全漏洞建立传播途径，该模块在攻击方法上是开放的、可扩充的
2. 传播模块：该模块可以采用各种形式生成各种形态的蠕虫副本，在不同主机间完成蠕虫副本传递
3. 蠕虫引擎模块：该模块决定采用何种搜索算法对本地或者目标网络进行信息搜集，内容包括本机系统信息、用户信息、邮件列表、对本机的信任或授权的主机、本机所处网络的拓扑结构、边界路由信息等。这些信息可以单独使用或被其他个体共享
4. 负载模块：也就是网络蠕虫内部的实现伪代码

网络蠕虫的运行机制主要分为三个阶段

1. 第一阶段，已经感染蠕虫的主机在网络上搜索易感染目标主机
2. 第二阶段，已经感染蠕虫的主机把蠕虫代码传送到易感染目标主机上
3. 第三阶段，易感染目标主机执行蠕虫代码，感染目标主机系统。目标主机感染后，又开始第一阶段的工作，寻找下一个易感目标主机，重复第二、第三阶段的工作，直至蠕虫从主机系统被清除掉

1.3 网络蠕虫常用技术

1.网络蠕虫扫描技术

网络蠕虫改善传播效果的方法：是提高扫描的准确性，快速发现易感的主机

目前，有三种措施可以采取

1. 一是减少扫描未用的地址空间
2. 二是在主机漏洞密度高的地址空间发现易感主机
3. 三是增加感染源

根据网络蠕虫发现易感主机的方式，蠕虫传播方法可分为三类

1. 随机扫描：基本原理是网络蠕虫会对整个IP地址空间随机抽取的一个地址进行扫描，这样网络蠕虫感染下一个目标具有非确定性
2. 顺序扫描（子网扫描）：基本原理是网络蠕虫根据感染主机的地址信息，按照本地优先原则，选择它所在网络内的IP地址进行传播。若蠕虫扫描的目标地址IP为A，则扫描的下一个地址IP为A+1或者A-1。一旦扫描到具有很多漏洞主机的网络时就会达到很好的传播效果。该策略使得网络蠕虫避免扫描到未用地址空间，不足：对同一台主机可能重复扫描，引起网络拥塞
3. 选择性扫描：基本原理是网络蠕虫在事先获知一定信息的条件下，有选择地搜索下一个感染目标主机。选择性扫描是网络蠕虫的发展方向，可以进一步细分为5种:
   • 选择性随机扫描：是指网络蠕虫按照一定信息搜索下一个感染目标主机，将最有可能存在漏洞的主机的地址集作为扫描的地址空间，以提高扫描效率
   • 基于目标列表的扫描：是指网络蠕虫在寻找受感染的目标前，预先生成一份可能易传染的目标列表，然后对该列表进行攻击尝试和传播
   • 基于路由的扫描：是指网络蠕虫根据网络中的路由信息，如BGP路由表信息，有选择地扫描IP地址空间，以避免扫描无用的地址空间。从理论上来说，路由扫描蠕虫的感染率是采用随机扫描蠕虫的感染率的3.5倍。不足：①网络蠕虫传播时必须携带一个路由IP地址库，蠕虫代码量大②在使用保留地址空间的内部网络中，若采用基于路由的扫描，网络蠕虫的传播会受到限制
   • 基于DNS的扫描：是指网络蠕虫从DNS服务器获取IP地址来建立目标地址库，该扫描策略的优点：获得的IP地址块具有针对性和可用性强的特点
   • 分而治之的扫描：是网络蠕虫之间相互协作快速搜索易感染主机的一种策略，网络蠕虫发送地址库的一部分给每台被感染的主机，然后每台主机再去扫描它所获得的地址。提高网络蠕虫的扫描速度，同时避免重复扫描。不足：存在“坏点”问题。在蠕虫传播的过程中，如果一台主机死机或崩溃，那么所有传给它的地址库就会丢失，这个问题发生得越早，影响就越大

2.网络蠕虫漏洞利用技术

网络蠕虫发现易感目标主机后，利用易感目标主机所存在的漏洞，将蠕虫程序传播给易感目标主机

常见的网络蠕虫漏洞利用技术

• 主机之间的信任关系漏洞：网络蠕虫利用系统中的信任关系，将蠕虫程序从一台机器复制到另一台机器
• 目标主机的程序漏洞：网络蠕虫利用它构造缓冲区溢出程序，进而远程控制易感目标主机，然后传播蠕虫程序
• 目标主机的默认用户和口令漏洞：网络蠕虫直接使用口令进入目标系统，直接上传蠕虫程序
• 目标主机的用户安全意识薄弱漏洞：网络蠕虫通过伪装成合法的文件，引诱用户点击执行，直接触发蠕虫程序执行。常见的例子是电子邮件蠕虫
• 目标主机的客户端程序配置漏洞：如自动执行网上下载的程序。网络蠕虫利用这个漏洞，直接执行蠕虫程序

1.4 网络蠕虫防范技术

防范网络蠕虫需要多种技术综合应用，包括:

1.网络蠕虫监测与预警技术

基本原理：在网络中安装探测器，这些探测器从网络环境中收集与蠕虫相关的信息，然后将这些信息汇总分析，以发现早期的网络蠕虫行为

2.网络蠕虫传播抑制技术

基本原理：利用网络蠕虫的传播特点，来构造一个限制网络蠕虫传播的环境。现在，已有的网络蠕虫传播抑制技术主要基于蜜罐技术

3.网络系统漏洞检测与系统加固技术

防治网络蠕虫的关键问题之一是解决漏洞问题，包括漏洞扫描、漏洞修补、漏洞预防等

4.网络蠕虫免疫技术

网络蠕虫通常在受害主机系统上设置一个标记，以避免重复感染

基本原理：就是在易感染的主机系统上事先设置一个蠕虫感染标记，欺骗真实的网络蠕虫

5.网络蠕虫阻断与隔离技术

网络蠕虫阻断技术有很多，主要利用防火墙、路由器进行控制

6.网络蠕虫清除技术

用在感染蠕虫后的处理，其基本方法：是根据特定的网络蠕虫感染系统后所留下的痕迹，如文件、进程、注册表等信息，分析网络蠕虫的运行机制，然后有针对性地删除有关网络蠕虫的文件或进程。清除网络蠕虫可以手工清除或用专用工具清除

二、僵尸网络分析与防护

2.1 僵尸网络概念与特性

僵尸网络( Botnet)： 是指攻击者利用入侵手段将僵尸程序(bot or zombie) 植入目标计算机上，进而操纵受害机执行恶意活动的网络

僵尸网络的构建方式：主要有远程漏洞攻击、弱口令扫描入侵、邮件附件、恶意文档、文件共享等

2.2 僵尸网络运行机制与技术

僵尸网络的运行机制环节构成

1. 第一步，僵尸程序的传播
2. 第二步，对僵尸程序进行远程命令操作和控制，将受害目标机组成一个网络
3. 第三步，攻击者通过僵尸网络的控制服务器，给僵尸程序发送攻击指令，执行攻击活动

僵尸网络为保护自身安全，其控制服务器和僵尸程序的通信使用加密机制，并把通信内容嵌入正常的HTTP流量中，以保护服务器的隐蔽性和匿名性。控制服务器和僵尸程序也采用认证机制，以防范控制消息伪造和篡改

2.3 僵尸网络防范技术

• 僵尸网络威胁监测：通常利用蜜罐技术获取僵尸网络威胁信息
• 僵尸网络检测：根据僵尸网络的通信内容和行为特征，检测网络中的异常网络流量
• 僵尸网络主动遏制：通过路由和DNS黑名单等方式屏蔽恶意的IP地址或域名
• 僵尸程序查杀：在受害的目标机上，安装专用安全工具，清除僵尸程序

三、其他恶意代码分析与防护

3.1 逻辑炸弹

逻辑炸弹：是一段依附在其他软件中，并具有触发执行破坏能力的程序代码

触发条件方式：包括计数器触发方式、时间触发方式、文件触发方式、特定用户访问触发方式等

逻辑炸弹只在触发条件满足后，才开始执行逻辑炸弹的破坏功能。逻辑炸弹一旦触发，有可能造成文件删除、服务停止、软件中断运行等破坏。逻辑炸弹不能复制自身，不能感染其他程序

3.2 陷门

• 是软件系统里的一段代码，允许用户避开系统安全机制而访问系统
• 由专门的命令激活，一般不容易发现
• 通常是软件开发商为调试程序、维护系统而设定的功能
• 不具有自动传播和自我复制功能

3.3 细菌

细菌：是指具有自我复制功能的独立程序。虽然细菌不会直接攻击任何软件，但是它通过复制
本身来消耗系统资源

例如：某个细菌先创建两个文件，然后以两个文件为基础进行自我复制，那么细菌以指数级的速度增长，很快就会消耗掉系统资源，包括CPU、 内存、磁盘空间

3.4 间谍软件

间谍软件：通常指那些在用户不知情情况下被安装在计算机中的各种软件，执行用户非期望的功能

功能：

• 这些软件可以产生弹出广告，重定向用户浏览器到陌生的网站
• 间谍软件还具有收集信息的能力，可记录用户的击键情况、浏览习惯
• 甚至会窃取用户的个人信息(如用户账号和口令、信用卡号)，然后经因特网传送给攻击者

一般来说，间谍软件不具备自我复制功能

四、恶意代码防护主要产品与技术指标

4.1 恶意代码防护主要产品

1. 终端防护产品：部署在受保护的终端上，常见的终端：有桌面电脑、服务器、智能手机、智能设备。目前，典型的防护模式是云+终端
2. 安全网关产品：主要用来拦截恶意代码的传播，防止破坏扩大化。安全网关产品分为三大类:
   1. 通用性专用安全网关：这类安全网关不是针对某个具体的应用，例如统一威胁管理 (UTM)、IPS
   2. 应用安全网关：例如邮件网关和Web防火墙
   3. 具有安全功能的网络设备：例如路由器
3. 恶意代码监测产品：技术原理是通过网络流量监测以发现异常节点或者异常通信连接，以便早发现网络蠕虫、特洛伊木马、僵尸网络等恶意代码活功。典型产品有IDS、网络协议分析器等
4. 恶意代码防护产品：补丁管理系统。恶意代码常常利用系统的漏洞来进行攻击，漏洞修补就成为防范恶意代码最有效的手段。商业版本的补丁管理系统大致分为两类:
   1. 面向PC终端用户的补丁管理：这类产品的补丁管理功能依附在杀毒软件包中
   2. 企业级的补丁管理：这类补丁管理是由补丁管理服务器和补丁管理代理共同实现的
5. 恶意代码应急响应：恶意代码的爆发具有突发性，网络安全厂商或网络安全应急响应部门会针对某种恶意代码，研发恶意代码专杀工具

4.2 恶意代码防护主要技术指标

1. 恶意代码检测能力

恶意代码检测技术措施是评估恶意代码检测能力的重要依据

技术检测措施通常包括

• 静态检测：通过搜索目标对象中是否蕴含恶意代码的标识特征来识别，或通过文件指纹来辨别
• 动态检测措施：利用恶意代码运行的行为特征或活动轨迹来判定，具体技术：包括安全沙箱、动态调试、系统监测、网络协议分析等

2. 恶意代码检测准确性

受检测技术限制，恶意代码检测结果会出现错误报警信息

• 一种情况是把正常的目标对象误报为恶意代码
• 另一种是漏报恶意的目标对象。理论上，恶意代码检测系统误报警、漏报警的情况难以根除

3. 恶意代码阻断能力

恶意代码阻断能力主要包含三个方面

1. 阻断技术措施，主要包括基于网络阻断、基于主机阻断、基于应用阻断、人工协同干预阻断
2. 阻断恶意代码的类型和数量
3. 阻断时效性，即恶意代码阻断安全措施对恶意代码处置的实时性

五、恶意代码防护技术应用

5.1 终端防护

通常是在终端上安装一个恶意代码防护代理程序，该代理程序按照终端管理中心下发的安全策略进行安全控制

5.2 APT防护

高级持续威胁(APT)：通常利用电子邮件作为攻击目标系统

攻击者将恶意代码嵌入电子邮件中，然后把它发送到目标人群，诱使收件人打开恶意电子文档或单击某个指向恶意站点的链接。一旦收件人就范，恶意代码将会安装在其计算机中，从而远程控制收件人的计算机，进而逐步渗透到收件人所在网络，实现其攻击意图

针对高级持续威胁攻击的特点，部署APT检测系统，检测电子文档和电子邮件是否存在恶意代码，
以防止攻击者通过电子邮件和电子文档渗透入侵网络

---

友情链接：http://xqnav.top/

---