软件安全C8 恶意代码及其分类本讲提纲o 8.1恶意代码的定义与发作趋势 o 8.2恶意代码的功能 o 8.3恶意代码的分类8.1 恶意代码的定义与发作趋势o 恶意代码（Malicious Code，或MalCode） ，也称恶意软件（MalWare）。 n 设计设计 目的是用来实现恶实现恶 意功能的代码码或程序。 n 正常软软件也会引发发安全问题问题 ，但绝绝大多数情况 下并非作者有意。恶意代码发作趋势2010年金山数据移动智能终端恶意软件增长迅猛20112013年移动恶意软件累计增长数量情况20112013年安天实验室历年移动恶意软件累计数量统计图 X卧底移动智能终端威胁的始作俑者NSAANT工具箱 APT攻击成为关注重点8.2 恶意代码的功能o 攻击目的是什么？ o 攻击目标有哪些？ o 攻击手段有哪些？8.2.1 攻击目的o 恶作剧、炫耀等 o 经济利益 o 商业竞争 o 政治目的 o 军事目的等黑色产业链示意图黑色产业链运转模式138.2.2 攻击目标o个人计算机 o服务器 o移动智能终端 n手机、平板等 o智能设备 n特斯拉汽车车、智能家居、智能 手表等 o通信设备 n路由器、交换换机等 o安全设备等 n防火墙墙、IDS、IPS、VDS 等o攻击目标范围： n定点攻击击 o邮邮件、IP、域名、QQ等 o服务务器列表、特定人员员名单单等n群体性杀伤杀伤 o挂马马攻击击、钓鱼钓鱼攻击击 o病毒、蠕虫自动扩动扩散8.2.3 攻击手段如何达到攻击目的 ？o获取数据 n静态数据： o文件、数据库等； n动态数据： o口令、内存、计算机网络流量 、通信网络数据、可移动存储 介质、隔离电脑等；o破坏系统 n数据：删除、修改数据； n系统服务：通用Web服务系 统，数据库系统，特定行业服 务系统（如工控）等。 n支撑设备：网络设备、线路等 。o动态控制与渗透拓展攻击路 径等 n中间系统 n相关人员8.3 恶意代码的分类o 恶意代码，即广义上的计算机病毒。其可分 为： n 计计算机病毒、蠕虫 n 木马马、后门门 n Rootkit n 僵尸(bot) n 流氓软软件、间谍软间谍软 件 n 广告软软件、Exploit、黑客工具等。网络恶意代码的分类1.计算机病毒：一组能够进行自我传播、需要用户干预来触发执 行的破坏性程序或代码。 o如CIH、爱爱虫、美丽丽莎、新欢乐时欢乐时 光、求职职信、恶鹰恶鹰 、rose 、威金、熊猫烧烧香、小浩、机器狗、磁碟机、AV终结终结 者、 Flame2.网络蠕虫:一组能够进行自我传播、不需要用户干预即可触发执行 的破坏性程序或代码。 o其通过过不断搜索和侵入具有漏洞的主机来自动传动传 播。 o如红红色代码码、SQL蠕虫王、冲击击波、震荡荡波、极速波、魔波、 震网一种被业界广泛采用的分类方法o1988年Morris蠕虫爆发后，Eugene H. Spafford 为了 区分蠕虫和病毒，给出蠕虫和计算机病毒的定义： n“计计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传传播 到另外的计计算机上”n“计计算机病毒是一段代码码，能把自身加到其他程序包括操作系统统上；它不能独 立运行，需要由它的宿主程序运行来激活它” Fred Cohen(1984)“计算机病毒是一种程序，它可以感染其它程序，感染的方式 为在被感染程序中加入计算机病毒的一个副本，这个副本可能 是在原病毒基础上演变过来的”。Flame（火焰）5 种加密算法，3 种压缩技术，至少 5 种 文件格式，65万行代码，编写复杂。卡 巴斯基实验室表示，要全面了解Flame 病毒，可能得花上10年时间。Stuxnet(超级工厂病毒) 内网摆渡o2010年7月大面积爆发。oStuxnet病毒被多国安全专家形容为全球首个“超级工厂病毒” 。o该病毒感染了全球超过 45000个网络，伊朗、印尼、美国等多 地均不能幸免。o其中，以伊朗遭到的攻击最为严重，该病毒已经造成伊朗布什 尔核电站推迟发电，60%的个人电脑感染了这种病毒。 网络恶意代码的分类（续）3.特洛伊木马：是指一类看起来具有正常功能，但实际 上隐藏着很多用户不希望功能的程序。通常由控制端 和被控制端两端组成。 o 如冰河、网络络神偷偷、灰鸽鸽子、上兴兴4.后门：使得攻击者可以对系统进行非授权访问的一类 程序。 o如Bits、WinEggDrop、Tini网络恶意代码的分类（续）4.RootKit：通过修改现有的操作系统软件，使攻击者 获得访问权并隐藏在计算机中的程序。 o如RootKit、Hkdef、ByShell5.僵尸程序，恶意网页，拒绝服务程序，黑客工具，广 告软件，间谍软件僵尸程序间谍软件o 以主动收集用户个人信息、相关机密文件或 隐私数据为主，搜集到的数据会主动传送到 指定服务器。广告软件o 未经用户允许，下载并安装或与其他软件捆 绑通过弹出式广告或以其他形式进行商业广 告宣传的程序。流氓软件o具有一定的实用价值但具备电脑病毒和黑客软件的部分特征的软 件（特别是难以卸载）；o它处在合法软件和电脑病毒之间的灰色地带，同样极大地侵害着 电脑用户的权益。也称为灰色软件。Exploito 精心设计的用于利用特定漏洞以对目标系统 进行控制的程序。黑客工具等o 黑客工具：各类直接或间接用于网络和主机 渗透的软件，如各类扫描器、后门植入工具 、密码嗅探器、权限提升工具