【计算机系统和网络安全技术】第六章：恶意软件

第六章：恶意软件

1.恶意软件类型

恶意软件：一种被植入系统，以损害数据应用程序或操作系统机密性、完整性、可用性或对用户实行骚扰妨碍的程序

相关术语：高级持续性威胁，广告软件，攻击工具包，Auto-rooter，后门，下载器，路过式下载，漏洞攻击程序

恶意软件粗略分类：基于如何传播或传播以达到的预期目标

也可以分为：需要宿主程序的（寄生代码，病毒），独立自包含的程序（蠕虫，木马，机器人），不能复制的恶意软件（木马，垃圾邮件），复制的恶意软件（病毒，蠕虫）

传播机制：

对现有的可执行程序的感染由病毒翻译并随后传播至其他内容，利用软件漏洞来允许恶意软件自我复制，借助社会工程学方法说服用户绕过安全机制安装木马或是响应钓鱼

恶意软件到达系统目标表现的有效载荷行为：

污染系统或数据文件

窃取服务使系统成为僵尸网络中的一员

窃取信息，特别是一些敏感信息

隐藏恶意软件的存在并防止被检测锁定

2.高级持续性威胁APTs

具有充足资源、应用大量入侵技术和恶意软件的持续性应用程序，这个应用程序有选择的目标，通常是一些政治或商业目标

APT通常来自国家支持的组织，有些攻击也可能来自犯罪企业，APT与其他类型攻击不同之处在于APT精心地对目标进行选择，具有持续性，通常具有隐蔽性，入侵者在相当的时期内都要致力于攻击

APT特征：

高级
• 攻击者使用多种入侵技术和恶意软件,如果有需要还会开发定制的恶意软件。
• 其中单一的组件在技术上也许不先进，但是每个组件都是针对目标精心选择的
持续性
• 攻击者用很长时间确定针对攻击目标的攻击应用可以最大化攻击成功的概率。 • 攻击手段的种类是逐渐递增的，通常是非常隐秘的，直到目标被攻陷。
威胁
• 针对选定目标的威胁来自有组织、有能力和有良好经济支持的攻击者，他们试图 攻陷这些目标。
• 在攻击过程中，攻击者的积极参与极大地提升了自动攻击工具的威胁等级，也增 加了成功攻击的可能性。
 

APT攻击：

目的：窃取知识产权或安全和基础设施相关数据，也包括基础设施物理破坏

技术用于：社会工程学，钓鱼邮件，选取目标组织中的人员会访问的网站植入下载

试图：利用恶意软件，通过多种传播机制和有效载荷和感染目标

一旦获取了目标组织的系统初始权限，攻击者会利用更多的攻击工具来位置和提升他们的访问权限

3.传播感染内容病毒

通过修改正常程序而进行感染的软件
• 向正常程序注人病毒代码来使病毒程序得到复制
• 复制病毒程序，继续感染其他正常程序
• 在网络环境下，访问其他计算机上的文档、应用程序和系统服务的能力为病毒的 传播提供了温床
• 病毒可以实现正常程序所能实现的任何功能 • 它能够跟着宿主程序的运行而悄悄地运行
• 具体根据不同的操作系统和硬件而异 • 利用它们的工作原理和弱点

病毒组成元素：感染机制，触发条件，有效载荷

感染阶段：潜伏期-触发-传播-执行

病毒分类：按照目标：感染引导扇区病毒，感染可执行文件病毒，宏病毒，多元复合型病毒

隐藏方式分类：加密型病毒，隐蔽型病毒，多态病毒，变形病毒

4.传播漏洞利用蠕虫

蠕虫是一种主动寻找并感染其他机器的程序，而每台被感染的机器又转而自动攻击其它机器

蠕虫通常会利用客户端和服务器程序的软件漏洞，利用网络连接在系统传播，通过贡献媒介（USB等）传播，通过电子邮件或者附带文档或即时消息中的宏或脚本代码传播，一旦激活可以再次复制传播，除了传播还会携带有效载荷

蠕虫的自我