惡意移動代碼分析與研究

1、惡意移動代碼分析與研究,鄭 輝清華大學(xué)網(wǎng)絡(luò)中心CERNET Computer Emergency Response Teamzhenghui@ccert.edu.cn,主要內(nèi)容,當(dāng)前的安全狀況攻防主體主要研究成果防治周期理論主動防治系統(tǒng)Open Problems,漏洞越來越多…,攻擊越來越容易…,病毒數(shù)量增長越來越快…,風(fēng)險越來越大…,全球基礎(chǔ)設(shè)施區(qū)域性網(wǎng)絡(luò)多個網(wǎng)絡(luò)單個網(wǎng)絡(luò)單臺計算機(jī),攻擊目標(biāo)和破壞程度,

2、First GenBoot viruses,周,Second GenMacro virusesDenial of service,天,Third GenDistributed denial of serviceBlended threats,時,Next GenFlash threatsMassive worm-driven DDoSDamaging payload worms,分,1980s,1990s,Today,F

3、uture,,,,病毒、蠕蟲、DDoS組合攻擊,,Attack zombies:Use valid protocolsSpoof source IPMassively distributed,DDoS 增長趨勢,DDoS attacks challenge intrusion as the primary threat facing U.S. businesses, according to security executives

4、CSO Magazine Security Sensor III & IV Research July 2003,Internet面臨的安全挑戰(zhàn),如何防范自動化攻擊？如何防范快速突發(fā)攻擊？如何防范大規(guī)模攻擊？,惡意移動代碼主要特性,破壞性(Malicious Code, Malware)移動性(Mobile Code)通過網(wǎng)絡(luò)通過人,惡意移動代碼主要種類,Internet 蠕蟲病毒郵件文件系統(tǒng)病毒網(wǎng)頁腳本木馬

5、,惡意移動代碼的簡單比較,各種惡意移動代碼的融合趨勢,病毒、蠕蟲、木馬之間的界限已經(jīng)不再明顯；綜合使用多種攻擊手段：傳播：計算機(jī)系統(tǒng)的漏洞、電子郵件、文件共享、Web瀏覽等社會工程（social engineering ),攻防主體,影響網(wǎng)絡(luò)安全的三支力量HackerVXerCracker防范主體網(wǎng)絡(luò)運營商、服務(wù)提供商、用戶；系統(tǒng)廠商、防毒產(chǎn)品廠商；科研技術(shù)人員、政府主管部門；,蠕蟲的歷史回顧,Xerox PRAC，

6、1980年Morris Worm，1988年11月2日 WANK Worm，1989年10月16日 ADM Worm，1998年5月 Millennium，1999年9月 Ramen Worm，2001年1月 Lion Worm，2001年3月23日Adore Worm，2001年4月3日 Cheese Worm，2001年5月 Sadmind/IIS Worm，2001

7、年5月 CodeRed Worm，2001年7月19日 Nimda Worm，2001年9月18日Slapper，2002年9月14日 Slammer，2003年1月25日Dvldr32，2003年3月7日MSBlaster， 2003年8月12日Nachi，2003年8月18日,2004年蠕蟲,MyDoom.C2004年2月9日Witty Worm 2004年3月20日

8、Sasser Worm 2004年4月30日Santy Worm2004年12月21日,蠕蟲的爆發(fā)周期越來越短…,漏洞發(fā)現(xiàn),攻擊代碼,蠕蟲爆發(fā),,,,,控制,清除,,,,,,,越來越短 ?,越來越長，越來越難 ?,漏洞公布和蠕蟲爆發(fā)的間隔越來越短,,最佳時機(jī),及時,太晚了,,,惡意移動代碼主要研究內(nèi)容,惡意代碼的工作機(jī)制其他工作的基礎(chǔ)傳播模型現(xiàn)有模型忽略太多因素而缺乏指導(dǎo)意義仿真仿真Internet難度較大檢測

9、檢測結(jié)果出來為時已晚抑制現(xiàn)實需求,CCERT的科研優(yōu)勢,長期對惡意移動代碼研究的積累；迅速有效的響應(yīng)機(jī)制；第一手的網(wǎng)絡(luò)數(shù)據(jù)；,CodeRed蠕蟲監(jiān)測數(shù)據(jù),Blaster & Nachi監(jiān)測數(shù)據(jù),Sasser蠕蟲監(jiān)測數(shù)據(jù),Witty 蠕蟲監(jiān)測數(shù)據(jù),,主要研究成果,針對蠕蟲個體實體結(jié)構(gòu)模型功能結(jié)構(gòu)模型針對網(wǎng)絡(luò)利用DNS服務(wù)抑制蠕蟲傳播Internet 蠕蟲主動防治系統(tǒng),實體結(jié)構(gòu)模型,功能結(jié)構(gòu)模型,利用DNS服務(wù)抑

10、制蠕蟲傳播,Internet 蠕蟲防治周期,預(yù)防階段檢測階段遏制階段清除階段,Internet 蠕蟲主動防治系統(tǒng),網(wǎng)絡(luò)技術(shù)發(fā)展帶來的變化,P2POverlay網(wǎng)絡(luò)構(gòu)成的相對獨立網(wǎng)絡(luò)； IRC、MSN、QQ、BT、eMuleIPv6網(wǎng)絡(luò)規(guī)模加密傳輸,蠕蟲的掃描策略,典型分類：J. Wu, S. Vangala, L. Gao, and K. Kwiat:Selective Random Scan（選擇性隨機(jī)掃描）包括L

11、ocal Preference（本地優(yōu)先）Routable Scan （可路由地址掃描）Divide-Conquer Scan（地址分組掃描）Hybrid Scan （組合掃描）Extreme Scan （極端掃描），存在一些限制。如： DNS ScanComplete Scan,IPv4 的Internet ，Slammer 蠕蟲，10分鐘后，感染了大多數(shù)有漏洞的計算機(jī),IPv6 的Internet ，28年后，感染第一

12、臺主機(jī),IPv6網(wǎng)絡(luò)的抗掃描特性,惡意移動代碼的技術(shù)發(fā)展趨勢,結(jié)合人工智能技術(shù)；動態(tài)功能升級技術(shù)；多平臺傳播技術(shù)；分布式實體技術(shù)；,Santy蠕蟲,描述：2004年12月21日發(fā)現(xiàn)，截止到12月22日，google可以統(tǒng)計到被santy蠕蟲破壞的網(wǎng)站已經(jīng)達(dá)到26000多；利用論壇系統(tǒng)phpBB的漏洞傳播；智能特性：從搜索引擎google得到攻擊站點列表；存在形式：腳本代碼；,Santy蠕蟲引出的新問題,如何檢測智能蠕蟲

13、？不需掃描，流量無明顯異常；查詢條件的無窮組合；腳本代碼的任意變化；如何防治智能蠕蟲？ IPv6的抗掃描特性不再適用；封鎖搜索引擎？海量信息如何查找；搜索引擎屏蔽？查詢合法性的不可判定；,Open Problems,蠕蟲爆發(fā)預(yù)警仿真環(huán)境與蠕蟲傳播模擬良性蠕蟲的控制策略惡意移動代碼來源定位網(wǎng)絡(luò)安全生態(tài)理論,參考文獻(xiàn),蠕蟲的行為特征描述和工作原理分析, http://worm.ccert.edu.cn/doc/spar

14、k/WormBehaviorPrincipleAnalysis.pdfInternet蠕蟲研究，http://worm.ccert.edu.cn/doc/InternetWormResearch.pdf大規(guī)模網(wǎng)絡(luò)中Internet 蠕蟲主動防治技術(shù)研究 -- 利用DNS 服務(wù)抑制蠕蟲傳播, http://worm.ccert.edu.cn/doc/spark/WormDefenseWithDNS.pdf主動Internet蠕蟲防治