malware introduction and defense

. . . . . .

.

...... 恶意软件及其防御

尼志强

国和信诚（北京）信息安全技术服务中心

June 11, 2012

nizq Malware

. . . . . .

恶意软件运行平台恶意软件的种类

恶意软件的生命周期

Part I.

......恶意软件

nizq Malware

. . . . . .



.. Part I: 主题

...1 恶意软件运行平台

...2 恶意软件的种类传染型隐藏型盈利型组合运用

...3 恶意软件的生命周期生命周期传播触发运行隐藏

nizq Malware

. . . . . .



.. 恶意软件(malware)的特征

采用多种社会和技术手段，强行或者秘密安装，并抵制卸载；强行修改用户软件设置，如浏览器主页，软件自动启动选项，安全选项；强行弹出广告，或者其他干扰用户、占用系统资源行为；有侵害用户信息和财产安全的潜在因素或者隐患；与病毒联合侵入用户电脑;停用防毒软体或其他电脑管理程式来做进一步的破坏;未经用户许可，或者利用用户疏忽，或者利用用户缺乏相关知识，秘密收集用户个人信息、秘密和隐私。

nizq Malware

. . . . . .



.. 恶意软件运行平台

操作系统WindowsUNIX/LinuxMac OSX

应用程序浏览器(IE、Firefox)其它应用程序

nizq Malware

. . . . . .



.. 浏览器

为什么浏览器成为恶意软件的主要运行平台？.现在的浏览器..

......

应用越来越依赖于浏览器浏览器是未来桌面系统的基础平台浏览器的复杂程度已经不逊于操作系统

flash/flex, javaFX, silverlightJavaScript, VBScriptActiveX五花八门的助手、插件

.浏览器攻击的局限..

......

浏览器一般具备较强的访问控制能力用户权限可能有限(但Windows用户大多有管理员权限)

nizq Malware

. . . . . .



.. 影响

对系统影响系统配置

重要配置文件注册表

应用程序配置系统运行状态

CPU负载内存占用进程、服务网络连接

对浏览器的影响浏览器配置

主页设置插件安全级别

浏览器运行状态CPU占用临时文件网络连接线程

nizq Malware

. . . . . .



传染型隐藏型盈利型组合运用

.. 病毒

感染某些可执行程序程序执行后感染其它可执行软件通过网络、邮件、共享等途径传播通常具备触发条件

删除文件破坏系统格式化硬盘

nizq Malware

. . . . . .




.. 蠕虫

能够自我复制的计算机程序通过网络，利用系统或应用的漏洞传播

.与病毒的区别..

......

蠕虫不必寄生在特定的文件上病毒需要寄生于特定文件蠕虫针对的主机系统，会影响网络病毒破坏主机的文件

nizq Malware

. . . . . .




.. 木马(Trojan horses)

木马(Trojan horses)是一种后门程序伪造成合法程序诱使用户安装、运行一般不进行自我复制

nizq Malware

. . . . . .




.. rootkit

A rootkit is a software system that consists of one or more programsdesigned to obscure the fact that a system has been compromised.Contrary to what its name may imply, a rootkit does not grant a useradministrator privileges, as it requires prior access to execute and tamperwith system files and processes.

–Wikipedia

Rootkit是指其主要功能为隐藏其他程序进程的软件可能是一个或一个以上的软件组合广义而言，Rootkit也可视为一项技术

nizq Malware

. . . . . .




.. rootkit技术

应用程序：直接替换系统的应用程序，实现隐藏自己的目的程序库：rootkit通过修改库文件（例如：windows的dll文件），或者在库函数上插入钩子函数，甚至替换系统调用方式，隐藏与自己相关信息的输出内核驱动：rootkit直接作为内核的驱动安装到操作系统，在内核层实现信息的劫持，实现隐藏的目的Hypervisor：rootkit作为一个微内核首先启动，而正常的操作系统作为它的虚拟机启动硬件/固件：rootkit直接在设备的硬件或固件中安装木马等恶意软件的镜像

nizq Malware

. . . . . .




.. 应用程序rootkit

起源于SunOS 4.1.1替换操作系统的相关工具，实现隐藏的目的

文件查看工具ls网络检查工具netstat进程检查工具ps, top系统校验工具

nizq Malware

. . . . . .




.. Windows API的结构示意图

nizq Malware

. . . . . .




.. Windows程序API调用过程

nizq Malware

. . . . . .




.. 被rootkit安装钩子之后

nizq Malware

. . . . . .




.. 内核rootkit.windows驱动类型..

......

总线驱动程序虚拟总线驱动程序

功能驱动程序微型端口驱动程序

USBAudioSCSI网络适配器

虚拟设备驱动程序类型驱动程序

过滤驱动程序上行过滤下行过滤

nizq Malware

. . . . . .




.. 内核rootkit

.rootkit驱动..

......

...1 将自己插入到驱动链中

...2 拦截系统的输入/输出键盘输入网络流量文件

...3 收集感兴趣的数据

...4 过滤掉会暴露自己的信息进程端口文件

nizq Malware

. . . . . .




.. Hypervisor Rootkit.......Joanna Rutkowska于2006年Blackhat大会发布bluepill

nizq Malware

. . . . . .




.. PCI/PXE Rootkit

John Heasman[John Heasman, 2006]PCI扩展ROM在固件中隐藏恶意代码

If a Legacy card’s option ROM code hooks INT 19h during itsinitialization call it controls the boot process.

连接到一个恶意的PXE服务器获得一个内核rootkit

nizq Malware

. . . . . .




.. Bios Rootkits

替换BIOS代码将rootkit隐藏到BIOS难度很大，受系统的局限很大只是理论上的

nizq Malware

. . . . . .




.. 微控制器(Microcontroller) Rootkit

Intel AMT(Active management technology) 3.0+以及所谓的VPro技术华硕的主板也曾经发现过类似的东西微控制器能够远程升级

nizq Malware

. . . . . .




.. 盈利型恶意软件

广告软件(adware)间谍软件(Spyware)机器人网络(Botnet)键盘记录(Keystroke logging)拨号器(Dialer)

nizq Malware

. . . . . .




.. Conficker

2008年11月首次被发现综合运用各种恶意软件相关的技术...1 攻击漏洞...2 自我升级...3 自我保护

nizq Malware

. . . . . .




.. 定向威胁(Targeted threats)

Targeted threats are a class of malware destined for one specificorganization or industry. A type of crimeware, these threats are ofparticular concern because they are designed to capture sensitiveinformation. Targeted attacks may include threats delivered via SMTPe-mail, port attacks, zero day attack vulnerability exploits or phishingmessages. The home user is the most targeted sector. Financialindustries are the second most targeted sector, most likely becausecybercriminals desire to profit from the confidential, sensitiveinformation the financial industry IT infrastructure houses. Similarly,online brokerage accounts have also been targeted by such attacks.

–Wikipedia

nizq Malware

. . . . . .



生命周期传播触发运行隐藏

.. 生命周期开始

传播

感染

受控

联系C&C

更新模块

内网传播发出数据执行命令

执行命令发出数据

清除

结束

是

否

.

......

...1 传播关键因素是途径和媒介

...2 感染需要触发的条件

...3 接受控制攻击者可能设置控制方式

...4 驻留直接根据预先设定的操作窃取数据不断从控制端获得更新和指令

...5 清除采取措施之后，恶意软件被清除

nizq Malware

. . . . . .




.. 攻击模式

四个要素攻击路径攻击媒介和载体攻击对象受控方式

两种方式有目标地攻击钓鱼式攻击

nizq Malware

. . . . . .




.. 垃圾邮件

骗局–优惠信息，银行的信息打开(甚至不用打开)附件即可启动恶意软件

nizq Malware

. . . . . .




.. 即时通讯

直接传输恶意软件文件发送存在恶意软件的连接

nizq Malware

. . . . . .




.. P2P

nizq Malware

. . . . . .




.. Web攻击

攻击者攻击web站点，植入恶意代码用户访问恶意站点，计算机被植入恶意软件2007年4月USENIX的一个研讨会上，将其定义为下载驱动(Drive-by_download)攻击[Niels Provos]

nizq Malware

. . . . . .




.. 下载驱动攻击(Drive-by_download)

用户直接下载，但是不理解下载的东西(ActiveX或者JavaApplet)是干什么的用户不知道的下载行为用户不知道的情况下下载间谍软件、计算机病毒或者其它恶意软件

用户访问网站显示电子邮件点击弹出窗口

在没有用户交互行为的情况下，通过被攻击的浏览器、邮件客户端或者操作系统，下载恶意软件

nizq Malware

. . . . . .




.. 下载驱动攻击(Drive-by_download)

nizq Malware

. . . . . .




.. 攻击载体(数据)

web相关数据URL、CSSJavaScript、VBScriptActiveX、Java AppletFlash/Flex

其它数据office文件可执行文件音频、视频，以及图像文件pdf文件

nizq Malware

. . . . . .




.. 恶意图片.......恶意图片攻击windows处理wmf文件的动态连接库存在的漏洞

nizq Malware

. . . . . .




.. 利用pdf文件攻击

Acrobat Reader能够解释JavaScript脚本下面的连接能够触发Acrobat Reader执行恶意JavaScript

http://www.example.com/file.pdf#a=javascript:alert(’你被攻击了’)

nizq Malware

. . . . . .




.. 恶意脚本

nizq Malware

. . . . . .




.. 触发条件

直接启动不当权限的帐户(使用管理员帐户处理日常工作)几乎所有的Windows用户都使用Administrator或相当权限的账户处理日常工作

系统漏洞动态连接库漏洞程序漏洞支持硬件虚拟化

nizq Malware

. . . . . .




.. 运行形态和运行环境

运行形态独立程序寄生于其它进程寄生于动态连接库内核驱动微内核（原有操作系统作虚拟机）安装到硬件/固件的程序

运行环境操作系统宿主进程（如IE）宿主动态连接库宿主操作系统支持虚拟化的硬件硬件/固件

nizq Malware

. . . . . .




.. 隐藏

rootkit技术反跟踪技术

反虚拟机技术反调试/反跟踪

多态(polymorphic)加壳技术变形(Metamorphic)技术

nizq Malware

. . . . . .




.. 多态技术

.

......

制作者利用加壳工具对恶意软件加壳恶意软件运行时先解密，重构可执行文件，然后运行加壳是目前免查杀的一个重要手段

nizq Malware

. . . . . .




.. 变形(Metamorphic)技术

nizq Malware

. . . . . .

主动防御分析、检测基线分析

Part II.

......检测与防御

nizq Malware

. . . . . .


.. Part 2: 主题

...4 主动防御

...5 分析、检测反向工程蜜罐和沙箱

...6 基线分析系统和应用配置运行期行为系统状态外部视图

nizq Malware

. . . . . .


.. 现有防御手段

网关设备代理服务器+ICAP防垃圾邮件系统防病毒网关/UTM/IPS

桌面防病毒软件其它恶意软件查杀工具个人版防火墙或HIPS

补丁管理、终端管理专用工具

Icesword、sysinternals系列工具

nizq Malware

. . . . . .


.. 相关技术

.特征码检测..

......

...1 从样本中提取特征码

...2 发布特征码

...3 用户更新特征码

...4 检测引擎利用特征码进行对比

.局限..

......

特征码的更新滞后于恶意软件的发展利用隐藏技术，可以很轻易地骗过查杀

nizq Malware

. . . . . .


.. 相关技术

.可疑行为分析..

......

不去试图识别恶意软件监控进程的行为

在程序可执行文件中写入数据引导扇区或执行格式化磁盘等可疑动作病毒程序与宿主程序切换和搜索API函数地址

.局限..

......

误报率比较高很多合法程序也可能有定义中的可疑行为

nizq Malware

. . . . . .


.. 相关技术.启发式检测..

......

源于人工智能技术，利用概率论和数理分析技术是传统的特征码扫描技术的改进静态启发式分析

特征码扫描技术的基础上，利用对病毒代码的分析，获得一些统计的、静态的启发知识

动态启发式检测通过杀软内置的虚拟机技术，给病毒构建一个仿真的运行环境，诱使病毒在杀软的模拟缓冲区中运行，如运行过程中检测到可疑的动作，则判定为危险程序并进行拦截

.局限..

......不太成熟，各个厂商宣传的成分较多

nizq Malware

. . . . . .


反向工程蜜罐和沙箱

.. 反向工程

静态分析反汇编加壳检测/脱壳

动态分析调试器内存、堆栈、寄存器测试

二进制代码对比指纹(文件散列值)分析

nizq Malware

. . . . . .



.. 蜜罐

模拟各种安全漏洞，捕获针对漏洞的攻击行为

nizq Malware

. . . . . .



.. 沙箱

模拟真实的环境，触发恶意软件的运行，跟踪其行为

nizq Malware

. . . . . .



.. 沙箱分析结果

捕获进程造成的文件和注册表变更，以及网络行为

nizq Malware

. . . . . .



.. 沙箱类型

应用程序部分浏览器防护插件使用了相关技术

虚拟环境Wine模拟的API环境libemu模拟的指令环境Jail环境

虚拟机沙箱

nizq Malware

. . . . . .



.. 蜜罐和沙箱的局限

为了充分地触发恶意软件，需要大量投入，模拟各种环境

nizq Malware

. . . . . .


系统和应用配置运行期行为系统状态外部视图

.. 影响

对系统影响系统配置

重要配置文件注册表

应用程序配置系统运行状态

CPU负载内存占用进程、服务网络连接

对浏览器的影响浏览器配置

主页设置插件安全级别

浏览器运行状态CPU占用临时文件网络连接线程

nizq Malware

. . . . . .



.. Windows系统自动启动项

启动时自动运行项自动加载的驱动自动启动的服务登录时自动运行程序Network ProviderWinsock ProviderLSA Provider资源管理器的模块和组件定时调度的任务

nizq Malware

. . . . . .



.. 安装的软件和补丁

nizq Malware

. . . . . .



.. 重要数据

注册表内容用户数据库Windows系统文件

文件的大小、权限、日期信息等文件的散列值(SHA、MD5等)

nizq Malware

. . . . . .



.. 可执行文件和动态连接库

传统完整性检测的特征文件的路径、大小、权限、日期信息等文件的散列值(SHA、MD5等)

数字签名–是否为权威机构(例如,Micro$oft)签发PE结构异常可执行文件导入的内容

过多或者多余的导入经常是可疑的

段权限可断或者可以加载执行

nizq Malware

. . . . . .



.. PE结构异常

检查可执行文件(PE格式)是否结构或格式异常

段起点没有对齐–某些加壳工具会把数据放在段中没有对齐的偏移地址中校验和等于0–校验和错误的文件禁止加载，而校验和为0的允许加载文件中存在文件结束符(EOF)错误的镜像大小–恶意代码修改代码之后，如果没有仔细检查，经常会造成文件的大小与PE头记录的大小不匹配损坏的导入表空的段名非ASCII字符的段名无效的入口点

nizq Malware

. . . . . .



.. 运行期行为的核心是进程

所有恶意/正常的行为都是由进程完成的

nizq Malware

. . . . . .



.. 进程的操作信息

进程的完整镜像进程号(这是关联相关事件的主要索引)文件所在的设备、卷（C:,D:...）文件所在的路径文件的全名

操作事件打开、读、写、关闭文件打开、关闭端口网络操

进程的启动、终止信息其它信息，例如:进程权限

nizq Malware

. . . . . .



.. 进程的状态数据

[Joseph Rabaiotti]提出了利用分类算法检测恶意进程进程的线程数目进程打开的句柄(文件和通讯)数目打开多少TCP端口打开多少UDP端口发生多少读操作发生多少写操作...

nizq Malware

. . . . . .



.. 机器学习–分类检测

生成分类模型，对状态数据进行分类检测

nizq Malware

. . . . . .



.. 基线分析

数据完整性检测=主机入侵检测系统人工经验(来源于安全专家) + 专家系统 =基线分析专家系统

nizq Malware

. . . . . .



.. 系统状态

典型的系统状态IP, ICMPTCP, UDP处理器(CPU)进程, 线程网络接口状态

[Dima Stopel, Zvi Boger]给出了两种数据集发表于IEEE Worlds Congress on Computational Intelligence利用Windows内置的WMI功能提取数据精简数据集68个指标全数据集323个指标

nizq Malware

. . . . . .



.. 什么是外部视图

外部视图是在系统(计算机终端)外部进行观测的视角进出计算机的网络流量

基本流量统计网络协议分布情况访问的域名，例如是否访问Fast Flux等恶意域名

计算机开放的网络端口计算机对外提供的网络服务

nizq Malware

. . . . . .



.. 外部视图的用途

单独作为恶意行为检测的数据源与运行期行为、系统状态关联，检测隐藏的恶意行为

nizq Malware

. . . . . .



.. 外部视图的实现

端口扫描工具网络流量分析工具Fast Flux恶意域名检测系统

nizq Malware

. . . . . .

参考资料

.. 参考资料

John HeasmanImplementing and Detecting a PCI Rootkit.

Niels Provos, Dean McNamee, Panayiotis Mavrommatis, Ke Wangand Nagendra ModaduguThe Ghost In The Browser Analysis of Web-based Malware

Joseph RabaiottiCounter Intrusion SoftwareDanny QuistStorm Worm Process Injection from the Windows Kernel

nizq Malware

. . . . . .

参考资料

.. 参考资料

Dima Stopel, Zvi Boger, Robert Moskovitch, Yuval Shahar, YuvalEloviciApplication of Artificial Neural Networks Techniques to ComputerWorm DetectionDima StopelDetecting Malicious Code Activity Based on Computer BehaviorUsing Artificial Neural Networks

Hyunchul KimComparison of Internet Traffic Classification Tools

nizq Malware

malware introduction and defense

Technology