惡意代碼防范技術原理
惡意代碼的英文是 Malicious Code,是一種違背目標系統安全策略的程序代碼,破壞系統的完整性、機密性、可用性。
惡意代碼的發展與分類
惡意代碼種類主要包括:
- 計算機病毒
- 蠕蟲
- 特洛伊木馬
- 邏輯炸彈
- 細菌
- 惡意腳本
- 惡意ActiveX控件
- 間諜軟件
根據惡意代碼的傳播特性可以分為兩類:
被動傳播:
- 計算機病毒
- 特洛伊木馬
- 間諜軟件
- 邏輯炸彈
主動傳播:
- 網絡蠕蟲
- 其他
著名惡意代碼安全事件:
1988年,Morris,小莫里斯病毒。
惡意代碼攻擊模型
- 侵入系統
- 維持或提升權限
- 隱蔽
- 潛伏
- 破壞
- 重復前述步驟
惡意代碼生存技術
- 反跟蹤技術,反動態跟蹤、反靜態分析
- 加密技術,信息加密、數據加密、程序代碼加密
- 模糊變換技術
- 自動生產技術
- 變形技術
- 三線程技術
- 進程注入技術
- 通信隱藏技術
- 內核級隱藏技術
惡意代碼攻擊技術
- 進程注入技術
- 超級管理技術
- 端口反向連接技術
- 緩沖區溢出
計算機病毒
計算機病毒是惡意代碼的一種類型,是一組具有自我復制、傳播能力的程序代碼。
特點:
- 隱蔽性
- 傳染性
- 潛伏性
- 破壞性
計算機病毒由復制傳染部件、隱藏部件、破壞部件組成。
計算機病毒先進行復制傳播,持續時間長,然后計算機激活階段,大規模實施攻擊計算機系統。
常見計算機病毒類型:
- 引導型病毒,感染計算機系統引導區控制系統進行攻擊
- 宏病毒,word宏病毒,通過文檔嵌入方式進行內部傳播攻擊
- 多態病毒,自動加密傳輸,升級的不固定特征病毒。
- 隱蔽病毒
計算機病毒防范:
- 查找病毒源
- 阻斷計算機病毒傳播
- 主動查殺計算機病毒
- 應急響應和備份
計算機防護類型:
- 單機防護
- 網絡防護
- 網絡分級
- 病毒防護網關
特洛伊木馬
特洛伊木馬具有偽裝能力、隱蔽執行的惡意程序。特洛伊木馬不具有自我傳播能力,具有遠程控制能力。
分為本地特洛伊木馬和網絡特洛伊木馬。
運行機制:
- 尋找攻擊目標
- 收集目標系統信息
- 木馬植入
- 木馬隱藏
- 激活木馬,實施攻擊
木馬植入技術:
文件捆綁
郵件附件
Web網頁
特洛伊木馬隱藏技術:
本地活動隱藏:
- 文件隱藏
- 進程隱藏
- 通信連接隱藏
遠程通信隱藏:
- 通信內容加密
- 通信端口復用
- 網絡隱蔽通道
特洛伊木馬防護技術:
- 基於開放端口檢測木馬技術
- 基於重要文件系統檢測特洛伊木馬
- 基於系統注冊表檢測特洛伊木馬
- 檢測具有隱藏能力的特洛伊木馬技術
- 基於網絡檢測木馬技術
- 基於網絡阻斷檢測技術
- 清除特洛伊木馬技術,專用特洛伊木馬清除工具
網絡蠕蟲
網絡蠕蟲是一種具有自我復制和傳播能力、可獨立自動運行的惡意程序。
模塊構成:探測模塊、傳播模塊、蠕蟲引擎模塊、負載模塊。
蠕蟲常見技術
掃描技術:通過網絡地址掃描發現可感染主機。
- 隨機掃描
- 順序掃描
- 選擇性掃描
漏洞利用技術,通過掃描到主機進行主機信息收集,系統樓、程序漏洞、端口開放、用戶密碼脆弱性等
- 主機間信任關系漏洞
- 目標系統的程序漏洞
- 默認用戶和口令漏洞
- 用戶安全意識薄弱
- 程序配置漏洞
僵屍網絡
僵屍網絡是指攻擊者利用入侵手段將僵屍程序植入目標計算機進行操控執行惡意活動。
僵屍網絡主要構建方式有:遠程漏洞攻擊、弱口令掃描入侵、郵件附件、惡意文檔、文件共享等。
分三步進行攻擊:
利用計算機網絡系統、社會工程學、犯罪工具包進行傳播
執行遠程命令控制
進行集中式或分布式攻擊
僵屍網絡攻擊防范:
僵屍網絡威脅監測
僵屍網絡檢測
僵屍網絡主動扼制
僵屍程序查殺
其他惡意代碼
邏輯炸彈:是一段依附在其它軟件中,具有觸發執行能力的程序代碼,觸發條件有計數器觸發、時間觸發、文件觸發等滿足條件之后執行指定的操作攻擊。
陷門:后門程序,軟件系統的一段代碼,允許避開系統安全機制訪問系統。
細菌:自我復制功能的獨立程序,不會直接攻擊但是會通過占用系統資源進行攻擊。
間諜軟件通常指在用戶不知情情況下安裝在計算機中的各種軟件,執行用戶非期望的功能。