恶意文件分类
木馬文件(Tronjan)
1.1?病毒介紹
木馬病毒是指隱藏在正常程序中的一段具有特殊功能的惡意代碼,是具備破壞和刪除文件、發送密碼、記錄鍵盤和攻擊Dos等特殊功能的后門程序。木馬病毒其實是計算機黑客用于遠程控制計算機的程序,將控制程序寄生于被控制的計算機系統中,里應外合,對被感染木馬病毒的計算機實施操作。一般的木馬病毒程序主要是尋找計算機后門,伺機竊取被控計算機中的密碼和重要文件等。可以對被控計算機實施監控、資料修改等非法操作。木馬病毒具有很強的隱蔽性,可以根據黑客意圖突然發起攻擊。
1.2?行為特征/攻擊方式
木馬的種類很多,主要有以下幾種:
其一,遠程控制型,如冰河。遠程控制型木馬是現今最廣泛的特洛伊木馬,這種木馬起著遠程監控的功能,使用簡單,只要被控制主機聯入網絡,并與控制端客戶程序建立網絡連接,控制者就能任意訪問被控制的計算機。
其二,鍵盤記錄型。鍵盤記錄型木馬非常簡單,它們只做一種事情,就是記錄受害者的鍵盤敲擊,并且在LOG文件里進行完整的記錄,然后通過郵件或其他方式發送給控制者。
其三,密碼發送型。密碼發送型木馬的目的是找到所有的隱藏密碼,并且在受害者不知道的情況下把它們發送到指定的信箱。這類木馬程序大多不會在每次都自動加載,一般都使用25端口發送電子郵件。
其四,反彈端口型。反彈端口型木馬的服務端使用主動端口,客戶端使用被木馬定時監測控制端的存在,發現控制端上線立即彈出端口主動連接控制端打開的主動端口。為了隱蔽起見,控制端的被動端口一般開在8O,稍微疏忽一點,用戶就會以為是自己在瀏覽網頁。
1.3 挖礦木馬
1.3.1 什么是挖礦木馬?
攻擊者通過各種手段將挖礦程序植入受害者的計算機中,在受害者不知情的情況下利用其計算機的云算力進行挖礦,從而獲取利益,這類非法植入用戶計算機的挖礦程序就是挖礦木馬。
1.3.2 挖礦木馬挖什么?
由于比特幣的成功,許多基于區塊鏈技術的數字貨幣紛紛問世,如以太幣、達世幣等;從深信服安全團隊接到的挖礦木馬案例來看,門羅幣是最受挖礦木馬青睞的數字貨幣,主要有如下幾個原因:
1.?門羅幣交易價格可觀;
2.?門羅幣是一種匿名幣,安全性更高;
3.?門羅幣的算法通過計算機CPU和GPU即可進行運算,不需要其他特定的硬件支持;
4.?互聯網上開源的門羅幣挖礦項目很多,方便使用;
5.?暗網支持門羅幣交易。
1.3.3 為什么會中挖礦木馬?
1. 軟件捆綁:用戶下載運行來歷不明的破解軟件
2.?垃圾郵件:用戶運行了釣魚郵件中的附件
3.?漏洞傳播:用戶沒有及時修補漏洞,目前大部分挖礦木馬都會通過漏洞傳播
4.?網頁挖礦:用戶訪問了植入挖礦腳本的網頁,瀏覽器會解析腳本進行挖礦
后門程序(Backdoor)
1.1 病毒介紹
后門程序就是留在計算機系統中,供某位特殊使用者通過某種特殊方式控制計算機系統的途徑。
后門程序,跟我們通常所說的"木馬"有聯系也有區別。聯系在于:都是隱藏在用戶系統中向外發送信息,而且本身具有一定權限,以便遠程機器對本機的控制。區別在于:木馬是一個完整的軟件,而后門則體積較小且功能都很單一。后門程序類似于特洛依木馬(簡稱"木馬"),其用途在于潛伏在電腦中,從事搜集信息或便于黑客進入的動作。
后門程序和電腦病毒最大的差別,在于后門程序不一定有自我復制的動作,也就是后門程序不一定會“感染”其它電腦。
后門是一種登錄系統的方法,它不僅繞過系統已有的安全設置,而且還能挫敗系統上各種增強的安全設置。
1.2 行為特征/攻擊方式
網頁后門此類程序一般都是服務器上正常 的web服務來構造自己的連接方式,比如非常流行的ASP、cgi腳本后門等。
擴展后門,在普通意義上理解,可以看成是將非常多的功能集成到了后門里,讓后門本身就可以實現很多功能,方便直接控制肉雞或者服務器,這類的后門非常受初學者的喜愛,通常集成了文件上傳/下載、系統用戶檢測、HTTP訪問、終端安裝、端口開放、啟動/停止服務等功能,本身就是個小的工具包,功能強大。
賬號后門技術是指黑客為了長期控制目標計算機,通過后門在目標計算機中建立一個備用管理員賬戶的技術。一般采用克隆賬戶技術。克隆賬戶一般有兩種方式,一個是手動克隆賬戶,一個是使用克隆工具。
1.3 案例
海陽頂端:
這是ASP腳本方面流傳非常廣的一個腳本后門了,在經過幾次大的改革后,推出了“海陽頂端ASP木馬XP版”、“海陽頂端ASP木馬紅粉佳人版”等功能強大、使用方便的后門,想必經常接觸腳本安全的朋友對這些都不會陌生。
首先我們通過某種途徑獲得一個服務器的頁面權限(比如利用論壇上傳達室類型未嚴格設置、SQL注入后獲得ASP系統的上傳權限、對已知物理路徑的服務器上傳特定程序),然后我們可以通過簡單的上傳ASP程序或者是直接復制海陽項端的代碼,然后通過WEB訪問這個程序,就能很方便地查閱服務器上的資料了
蠕蟲病毒(Worm)
1.1 病毒介紹
蠕蟲是一種可以自我復制的代碼,并且通過網絡傳播,通常無需人為干預就能傳播。蠕蟲病毒入侵并完全控制一臺計算機之后,就會把這臺機器作為宿主,進而掃描并感染其他計算機。當這些新的被蠕蟲入侵的計算機被控制之后,蠕蟲會以這些計算機為宿主繼續掃描并感染其他計算機,這種行為會一直延續下去。蠕蟲使用這種遞歸的方法進行傳播,按照指數增長的規律分布自己,進而及時控制越來越多的計算機。
蠕蟲可以通過計算機網絡,電子郵件,即時消息服務,社交網絡,可移動媒體和其他渠道傳播。
1.2 行為特征/攻擊方式
1、行為特征
(1)、較強的獨立性
計算機病毒一般都需要宿主程序,病毒將自己的代碼寫到宿主程序中,當該程序運行時先執行寫入的病毒程序,從而造成感染和破壞。而蠕蟲病毒不需要宿主程序,它是一段獨立的程序或代碼,因此也就避免了受宿主程序的牽制,可以不依賴于宿主程序而獨立運行,從而主動地實施攻擊。
(2)、利用漏洞主動攻擊
由于不受宿主程序的限制,蠕蟲病毒可以利用操作系統的各種漏洞進行主動攻擊。例如,“尼姆達”病毒利用了IE游覽器的漏洞,使感染病毒的郵件附件在不被打開的情況下就能激活病毒;“紅色代碼”利用了微軟IlSl服務器軟件的漏洞(idq.dll遠程緩存區溢出)來傳播;而蠕蟲王病毒則是利用了微軟數據庫系統的一個漏洞進行攻擊。?
(3)、傳播更快更廣
蠕蟲病毒比傳統病毒具有更大的傳染性,它不僅僅感染本地計算機,而且會以本地計算機為基礎,感染網絡中所有的服務器和客戶端。蠕蟲病毒可以通過網絡中的共享文件夾、電子郵件、惡意網頁以及存在著大量漏洞的服務器等途徑肆意傳播,幾乎所有的傳播手段都被蠕蟲病毒運用得淋漓盡致。因此,蠕蟲病毒的傳播速度可以是傳統病毒的幾百倍,甚至可以在幾個小時內蔓延全球。?
(4)、更好的偽裝和隱藏方式
為了使蠕蟲病毒在更大范圍內傳播,病毒的編制者非常注重病毒的隱藏方式。在通常情況下,我們在接收、查看電子郵件時,都采取雙擊打開郵件主題的方式來瀏覽郵件內容,如果郵件中帶有病毒,用戶的計算機就會立刻被病毒感染。?
(5)、技術更加先進
一些蠕蟲病毒與網頁的腳本相結合,利用VBScript,Java,ActiveX等技術隱藏在HTML頁面里。當用戶上網游覽含有病毒代碼的網頁時,病毒會自動駐留內存并伺機觸發。還有一些蠕蟲病毒與后門程序或木馬程序相結合,比較典型的是“紅色代碼病毒”,病毒的傳播者可以通過這個程序遠程控制該計算機。這類與黑客技術相結合的蠕蟲病毒具有更大的潛在威脅。?
(6)、使追蹤變得更困難
當蠕蟲病毒感染了大部分系統之后,攻擊者便能發動多種其他攻擊方式對付一個目標站點,并通過蠕蟲網絡隱藏攻擊者的位置,這樣要抓住攻擊者會非常困難。?
2、傳播過程
(1)、掃描
由蠕蟲的掃描功能模塊負責探測存在漏洞的主機。當程序向某個主機發送探測漏洞的信息并收到成功的反饋信息后,就得到一個可傳播的對象。
(2)、攻擊
攻擊模塊按漏洞攻擊步驟自動攻擊步驟l中找到的對象,取得該主機的權限(一般為管理員權限),獲得一個shell。?
(3)、復制
復制模塊通過原主機和新主機的交互將蠕蟲程序復制到新主機并啟動。可以看到,傳播模塊實現的實際上是自動入侵的功能。所以蠕蟲的傳播技術是蠕蟲技術的首要技術。
3、傳播途徑
(1)、利用漏洞
這種方式是網絡蠕蟲最主要的破壞方式,也是網絡蠕蟲的一個最顯著的特點。網絡蠕蟲攻擊時,首先探測目標計算機存在的漏洞,然后根據探測到的漏洞建立傳播路徑,最后實施攻擊。
(2)、依賴Email傳播
以電子郵件附件的形式進行傳播是網絡蠕蟲采用的主要傳播方式,蠕蟲編寫者通過向用戶發送電子郵件,用戶在點擊電子郵件附件時,網絡蠕蟲就會感染此計算機。
(3)、依賴網絡共享
網絡共享是網絡蠕蟲傳播的重要途徑之一,網絡蠕蟲利用共享網絡資源進行傳播。
(4)、弱密碼攻擊
若用戶的密碼很容易猜測,網絡蠕蟲則會在攻克了用戶密碼后進入計算機并獲得其控制權。所以用戶應該設置復雜的密碼,增加破解難度。
4、入侵過程
第一步:用各種方法收集目標主機的信息,找到可利用的漏洞或弱點。方法包括用掃描器掃描主機,探測主機的操作系統類型、版本,主機名,用戶名,開放的端口,開放的服務,開放的服務器軟件版本等。當然是信息搜集的越全越好。搜集完信息后進入第二步。
第二步:針對目標主機的漏洞或缺陷,采取相應的技術攻擊主機,直到獲得主機的管理員權限。對搜集來的信息進行分析,找到可以有效利用的信息。如果有現成的漏洞可以利用,上網找到該漏洞的攻擊方法,如果有攻擊代碼就直接COPY下來,然后用該代碼取得權限;如果沒有現成的漏洞可以利用,就用根據搜集的信息試探猜測用戶密碼,另一方面試探研究分析其使用的系統,爭取分析出—個可利用的漏洞。第三步:利用獲得的權限在主機上安裝后門、跳板、控制端、監視器等等,清除日志。有了主機的權限,就可以進入計算機系統完成想完成的任務了。
1.3 案例
熊貓燒香(變種)、求職信”病毒(Worm_Klez)
感染型病毒(Virus)
1.1 病毒介紹
感染型病毒要求主機通過修改主機或以某種方式將其自身插入“命令鏈”來使其自身附著。通過這種方式,該病毒不僅可以確保在啟動主機時就可以執行該病毒,而且還可以自我復制,因為受感染的文件已被復制,下載或以其他方式轉移到其他計算機系統。它的名稱基于這樣一個事實,即其行為與生物病毒的行為非常相似。
1.2 行為特征/攻擊方式
感染型病毒由于其自身的特性,需要附加到其他宿主程序上進行運行,并且為了躲避殺毒軟件的查殺,通常感染型病毒都會將自身分割、變形或加密后,再將自身的一部分或者全部附加到宿主程序上。一旦一個病毒文件執行,它很有可能就將系統中的絕大多數程序文件都加入病毒代碼,進而傳播給其它的電腦。
文件被感染的結果取決于病毒的作者,有可能只是將惡意代碼附加在文件后面,程序可以正常使用;也可能會直接改寫程序,導致程序運行報錯崩潰等。
1.3 案例
Sality:病毒運行后,會終止安全相關軟件和服務,感染系統內的exe和scr文件。并且注入病毒線程到所有進程中,在后臺下載病毒到系統。同時它創建自身拷貝到可移動設備或者網絡共享中,以達到傳播的目的。
熊貓燒香:將文件的圖標改為熊貓燒香圖案,但不影響程序本身的功能
勒索病毒(Ransom)
1.1 病毒介紹
主機感染勒索病毒文件后,會在主機上運行勒索程序,遍歷本地所有磁盤指定類型文件進行加密操作,加密后文件無法讀取。隨后生成勒索通知,要求受害者在規定時間內支付一定價值的比特幣才能恢復數據,否則會被銷毀數據。
1.2 行為特征/攻擊方式
特征:
????①生成勒索文檔或桌面,提供了黑客信息要求進行付款
????②文件被加密,無法打開,并會被更改文件后綴為同一名稱
傳播方式:
????暴力破解(通過暴力破解RDP端口、SSH端口,數據庫端口)
????Exploit Kit分發(通過黑色產業鏈中的Exploit Kit來分發勒索軟件)
????僵尸網絡分發(通過自動傳播感染的僵尸網絡作為下載器,下載執行勒索病毒)
????釣魚郵件(惡意代碼偽裝在郵件附件中,誘使打開附件)
????蠕蟲式傳播(通過漏洞和口令進行網絡空間中的蠕蟲式傳播)
????注:國內常見的勒索病毒攻擊方式為RDP暴力破解后,人工內網滲透,與安全軟件進行對抗,手動運行勒索病毒加密;少部分通過漏洞利用、僵尸網絡和釣魚郵件進行攻擊,目前幾乎沒有蠕蟲式傳播的勒索病毒,曾經爆發的wannacry家族已不具有加密威脅。
? ??
加密方式:非對稱加密+對稱加密(如:RSA+AES)
1.3 案例
WannaCry勒索病毒:2017年5月12日WannaCry在全球爆發,勒索病毒使用MS17-010永恒之藍漏洞進行傳播感染。短時間內感染全球30w+用戶,包括學校、醫療、政府等各個領域
Globelmposter勒索病毒:首次出現在2017年5月,主要釣魚郵件傳播,期間出現多種變種會利用RDP進行傳播
漏洞利用(Exploit)
1.1 病毒介紹
主要通過對已知的系統漏洞或重要程序的公開漏洞進行利用,攻擊對象為未及時打補丁的主機。
1.2 行為特征/攻擊方式
通過shellcode對漏洞進行利用攻擊,從而達到提權或破壞的作用。
1.3 案例
永恒之藍漏洞
挖礦病毒(Miner)
1.1 病毒介紹
挖礦木馬,是近年興起的網絡安全威脅,2017年下半年開始進入普通用戶的視野,而2018年開始流行。中挖礦木馬的計算機,其計算機資源被大量占用用于數字加密幣的挖掘。
1.2 行為特征/攻擊方式
中了挖礦病毒的主機,會出現操作卡頓,cpu占用率高等現象。
挖礦病毒一般會開啟進程進行數字貨幣挖掘,并且創建定時任務,定時啟動。
1.3 案例
老一輩家族: BillGates
新生代家族: DDG、SystemdMiner、StartMiner、WatchDogMiner、XorDDos、Icnanker
IoT家族: Mirai、Gafgyt
宏病毒(Macro)
1.1 病毒介紹
宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔,其中的宏就會被執行,于是宏病毒就會被激活,轉移到計算機上,并駐留在Normal模板上。從此以后,所有自動保存的文檔都會“感染”上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會轉移到他的計算機上。
1.2 行為特征/攻擊方式
1、行為特征
(1)傳播極快
Word宏病毒通過.DOC文檔及.DOT模板進行自我復制及傳播,而計算機文檔是交流最廣的文件類型。人們大多重視保護自己計算機的引導部分和可執行文件不被病毒感染,而對外來的文檔文件基本是直接瀏覽使用,這給Word宏病毒傳播帶來很多便利。特別是Internet網絡的普及,Email的大量應用更為Word宏病毒傳播鋪平道路。根據國外較保守的統計,宏病毒的感染率高達40%以上,即在現實生活中每發現100個病毒,其中就有40多個宏病毒,而國際上普通病毒種類已達12000多種。
(2)制作、變種方便
以往病毒是以二進制的計算機機器碼形式出現,而宏病毒則是以人們容易閱讀的源代碼宏語言WordBasic形式出現,所以編寫和修改宏病毒比以往病毒更容易。世界上的宏病毒原型己有幾十種,其變種與日俱增,追究其原因還是Word的開放性所致。Word病毒都是用WordBasic語言所寫成,大部分Word病毒宏并沒有使用Word提供的Execute-Only處理函數處理,它們仍處于可打開閱讀修改狀態。所有用戶在Word工具的宏菜單中很方便就可以看到這種宏病毒的全部面目。當然會有“不法之徒”利用掌握的Basic語句簡單知識把其中病毒激活條件和破壞條件加以改變,立即就生產出了一種新的宏病毒,甚至比原病毒的危害更加嚴重。
(3)破壞可能性極大
鑒于宏病毒用WordBasic語言編寫,WordBasic語言提供了許多系統級底層調用,如直接使用DOS系統命令,調用WindowsAPI,調用DDE或DLL等。這些操作均可能對系統直接構成威脅,而Word在指令安全性、完整性上檢測能力很弱,破壞系統的指令很容易被執行。宏病毒Nuclear就是破壞操作系統的典型一例。
(4)多平臺交叉感染
宏病毒沖破了以往病毒在單一平臺上傳播的局限,當WORD、EXCEL這類著名應用軟件在不同平臺(如Windows、Windo_wsNT、OS/2和MACINTOSH等)上運行時,會被宏病毒交叉感染。
2、攻擊方式
1、U盤交流染毒文檔文件;
2、硬盤染毒,處理的文檔文件必將染毒;
3、光盤攜帶宏病毒;
4、Internet上下載染毒文檔文件;
5、BBS交流染毒文檔文件;
6、電子郵件的附件夾帶病毒。
1.3 案例
TaiwanNo.1
CAD病毒
1.1 病毒介紹
專門感染CAD的病毒,一般在你的CAD文件的目錄下生成ACAD.lsp文件。.lsp文件是Auto lsp程序,它的內容對電腦沒有危害,但可能會損壞你做的圖。
1.2 行為特征/攻擊方式
該病毒利用CAD的讀取機制,在第一次打開帶有病毒的圖紙后,該病毒即悄悄運行,并感染每一張新打開的圖紙,將病毒文件到處復制,并生成很多名為acad.lsp的程序。即便是重裝CAD甚至重裝系統都不能解決問題。病毒感染計算機系統后,會在搜索AutoCAD軟件數據庫路徑下的自動運行文件(acad.lsp)后,生成一個備份文件acadapp.lsp,其內容和自動運行文件一樣。打開CAD圖紙時,軟件就會運行加載該文件,同時在存放圖紙文件的目錄中生成兩個文件(acad.lsp和acadapp.lsp)的副本。
1.3 案例
acad.lsp、acad.fas、acad.vlx
內核劫持(Rootkit)
1.1 病毒介紹
rootkit是允許某人控制操作系統的特定方面而不暴露他或她的蹤跡的一組代碼。從根本上說來,用戶無法察覺這種特性構成了rootkit。rootkit會想盡辦法去隱藏自己的網絡、進程、I/O等信息(注意,這里所謂的隱藏,只是針對ring3的ui隱藏,內核層的功能不能隱藏,否則rootkit自己也無法使用功能了),所以,rootkit的攻防問題很大程度上是一個ring0爭奪戰的問題,監控程序必須直接深入到系統的底層去獲取最原始的數據,才能避免因為rootkit的ring3隱藏導致的誤判。
1.2 行為特征/攻擊方式
一個典型rootkit包括:
1、以太網嗅探器程序,用于獲得網絡上傳輸的用戶名和密碼等信息。
2、特洛伊木馬程序,例如:inetd或者login,為攻擊者提供后門。
3、隱藏攻擊者的目錄和進程的程序,例如:ps、netstat、rshd和ls等。
4、可能還包括一些日志清理工具,例如:zap、zap2或者z2,攻擊者使用這些清理工具刪除wtmp、utmp和lastlog等日志文件中有關自己行蹤的條目。
一些復雜的rootkit還可以向攻擊者提供telnet、shell和finger等服務。還包括一些用來清理/var/log和/var/adm目錄中其它文件的一些腳本。
1.3 案例
adore-ng、Diamorphine、 suterusu
廣告軟件(Adware)
1.1 病毒介紹
廣告軟件(廣告支持的軟件)是任何播放,顯示或下載廣告內容到用戶計算機的軟件應用程序。
典型功能包括彈出窗口或橫幅,更改網頁和Web瀏覽器中的搜索引擎設置等。某些廣告軟件是在計算機用戶許可的情況下安裝的:例如,在與廣告軟件捆綁在一起的合法應用程序的安裝過程中。各種可疑工具欄就是這種情況。
1.2 行為特征/攻擊方式
采用多種社會和技術手段,強行或者秘密安裝,并抵制卸載;
強行修改用戶軟件設置,如瀏覽器的主頁,軟件自動啟動選項,安全選項;
強行彈出廣告,或者其他干擾用戶、占用系統資源行為;
有侵害用戶信息和財產安全的潛在因素或者隱患;
與電腦病毒聯合侵入用戶電腦;
停用殺毒軟件或其他電腦管理程序來做進一步的破壞;
未經用戶許可,或者利用用戶疏忽,或者利用用戶缺乏相關知識,秘密收集用戶個人信息、秘密和隱私;
惡意篡改注冊表信息;
威脅恐嚇或誤導用戶安裝其他的產品。
1.3 案例
2345瀏覽器自帶全家桶
威脅命名規則
1、?四段式
人工入庫會采用比較標準的四段式來對惡意文件進行命名,格式為:主要分類.平臺環境.家族信息.變種編號
其中重點關注“主要分類”和“家族信息”是否有一些可以進行識別的關鍵字。
例如:Trojan.Win32.Dorkbot.a
我們可以知道這是一個木馬病毒,屬于Dorkbot家族的變種,就可以通過搜索引擎尋找Dorkbot家族的信息,從而進行進一步了解和分析。
總結
- 上一篇: 斗破苍穹小游戏
- 下一篇: kass中lisp文件_自动加载文件目录