C8恶意代码分类.ppt

* * * 软件安全 C8 恶意代码及其分类 本讲提纲 8.1恶意代码的定义与发作趋势 8.2恶意代码的功能 8.3恶意代码的分类 8.1 恶意代码的定义与发作趋势 恶意代码（Malicious Code，或MalCode），也称恶意软件（MalWare）。 设计目的是用来实现恶意功能的代码或程序。 正常软件也会引发安全问题，但绝大多数情况下并非作者有意。 恶意代码发作趋势 2010年金山数据 移动智能终端恶意软件增长迅猛 2011－2013年移动恶意软件累计增长数量情况 2011－2013年安天实验室历年移动恶意软件累计数量统计图 X卧底－移动智能终端威胁的始作俑者 NSA－ANT工具箱－APT攻击成为关注重点 8.2 恶意代码的功能 攻击目的是什么？ 攻击目标有哪些？ 攻击手段有哪些？ 8.2.1 攻击目的 恶作剧、炫耀等 经济利益 商业竞争 政治目的 军事目的等 黑色产业链－示意图 黑色产业链－运转模式 * 8.2.2 攻击目标 个人计算机 服务器 移动智能终端 手机、平板等 智能设备 特斯拉汽车、智能家居、智能手表等 通信设备 路由器、交换机等 安全设备等 防火墙、IDS、IPS、VDS等 攻击目标范围： 定点攻击 邮件、IP、域名、QQ等 服务器列表、特定人员名单等 群体性杀伤 挂马攻击、钓鱼攻击 病毒、蠕虫自动扩散 8.2.3 攻击手段－如何达到攻击目的？ 获取数据 静态数据： 文件、数据库等； 动态数据： 口令、内存、计算机网络流量、通信网络数据、可移动存储介质、隔离电脑等； 破坏系统 数据：删除、修改数据； 系统服务：通用Web服务系统，数据库系统，特定行业服务系统（如工控）等。 支撑设备：网络设备、线路等。 动态控制与渗透拓展攻击路径等 中间系统 相关人员 8.3 恶意代码的分类 恶意代码，即广义上的计算机病毒。其可分为： 计算机病毒、蠕虫 木马、后门 Rootkit 僵尸(bot) 流氓软件、间谍软件 广告软件、Exploit、黑客工具等。 网络恶意代码的分类 计算机病毒：一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。 如CIH、爱虫、美丽莎、新欢乐时光、求职信、恶鹰、rose、威金、熊猫烧香、小浩、机器狗、磁碟机、AV终结者、Flame… 网络蠕虫:一组能够进行自我传播、不需要用户干预即可触发执行的破坏性程序或代码。 其通过不断有哪些信誉好的足球投注网站和侵入具有漏洞的主机来自动传播。 如红色代码、SQL蠕虫王、冲击波、震荡波、极速波、魔波、震网… 一种被业界广泛采用的分类方法 1988年Morris蠕虫爆发后，Eugene H. Spafford 为了区分蠕虫和病毒，给出蠕虫和计算机病毒的定义： “计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上” “计算机病毒是一段代码，能把自身加到其他程序包括操作系统上；它不能独立运行，需要由它的宿主程序运行来激活它” Fred Cohen(1984) “计算机病毒是一种程序，它可以感染其它程序，感染的方式为在被感染程序中加入计算机病毒的一个副本，这个副本可能是在原病毒基础上演变过来的”。 Flame（火焰） 5 种加密算法，3 种压缩技术，至少 5 种文件格式，65万行代码，编写复杂。卡巴斯基实验室表示，要全面了解Flame病毒，可能得花上10年时间。 Stuxnet(超级工厂病毒)－内网摆渡 2010年7月大面积爆发。 Stuxnet病毒被多国安全专家形容为全球首个“超级工厂病毒”。 该病毒感染了全球超过 45000个网络，伊朗、印尼、美国等多地均不能幸免。 其中，以伊朗遭到的攻击最为严重，该病毒已经造成伊朗布什尔核电站推迟发电，60%的个人电脑感染了这种病毒。 网络恶意代码的分类（续） 特洛伊木马：是指一类看起来具有正常功能，但实际上隐藏着很多用户不希望功能的程序。通常由控制端和被控制端两端组成。 如冰河、网络神偷、灰鸽子、上兴…… 后门：使得攻击者可以对系统进行非授权访问的一类程序。 如Bits、WinEggDrop、Tini… 网络恶意代码的分类（续） RootKit：通过修改现有的操作系统软件，使攻击者获得访问权并隐藏在计算机中的程序。 如RootKit、Hkdef、ByShell… 僵尸程序，恶意网页，拒绝服务程序，黑客工具，广告软件，间谍软件…… 僵尸程序 间谍软件 以主动收集用户个人信息、相关机密文件或隐私数据为主，搜集到的数据会主动传送到指定服务器。 广告软件 未经用户允许，下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。 流氓软件 具有一定的实用价值但具备电脑病毒和黑客软件的部分特征的软件（特别是难以卸载）； 它处在合法软件和电脑病毒之间的灰色地带，同样极大地