安全防御——防病毒网关
安全防御——防病毒網關
- 介紹
- 基本信息
- 工作原理
- 首包檢測技術
- 啟發式檢測技術
- 文件信譽檢測技術
- 處理過程
- 防病毒網關功能特點
- 防病毒網關與防火墻的區別
- 防病毒網關與防火墻的關系
- 防病毒網關與防病毒軟件的區別
- 防病毒網關——查殺方式
- 防病毒網關查殺方式
- 反病毒網關的基本配置思路
- 傳統防病毒網關面臨的三大問題
- 防病毒網關的最新趨勢
- 按照傳播方式分類——病毒,蠕蟲,木馬
- 病毒
- 蠕蟲病毒
- 木馬
- 病毒,蠕蟲,木馬的區別
- 按照功能分類
- 后門
- 勒索
- 挖礦
- 惡意代碼的特征
- **下載特征**
- **后門特征**
- **信息收集特性**
- **自身隱藏特性**
- **文件感染特性**
- **網絡攻擊特性**
- **病毒威脅場景**
- **病毒傳播途徑**
- 電子郵件
- 網絡共享
- P2P共享軟件
- 系統漏洞
- 廣告軟件/灰色軟件
- **惡意代碼的免殺技術**
- **原理**
- **文件免殺原理**
- **改特征碼免殺原理**
- **花指令免殺原理**
- **加殼免殺原理**
- **內存免殺原理**
- **行為免殺原理**
- **反病毒技術**
- 一、結合以下問題對當天內容進行總結
網關在應用網絡的應用層協議
介紹
防病毒網關是一種網絡設備,用以保護網絡內(一般是局域網)進出數據的安全。
主要體現在病毒殺除、關鍵字過濾(如色情、反動)、垃圾郵件阻止的功能,同時部分設備也具有一定防火墻的功能。如果與互聯網相連,就需要網關的防病毒軟件。
對于網關,相信大多數人都有接觸過是對網絡進行管理。但是防病毒網關,是一種在網關的基礎上,增加了保護網絡功能的一種全新網關。防病毒網關具有優秀的殺毒,關鍵字、關鍵詞過濾、垃圾郵件攔截的功能,同時還具有防火墻功能,路由分配功能,可以對網絡內設備進行分配,防病毒網關是一種功能強大的網關,下面就來介紹介紹,防病毒網關具有哪些特點吧。
基本信息
對于企業網絡,一個安全系統的首要任務就是阻止病毒通過電子郵件與附件入侵。當今的威脅已經不單單是一個病毒,經常伴有惡意程序、黑客攻擊以及垃圾郵件等多種威脅。網關作為企業網絡連接到另一個網絡的關口,就象是一扇大門,一旦大門敞開,企業的整個網絡信息就會暴露無遺。從安全角度來看,對網關的防護得當,就能起到“一夫當關,萬夫莫開”的作用,反之,病毒和惡意代碼就會從網關進入企業內部網,為企業帶來巨大損失。基于網關的重要性,企業紛紛開始部署防病毒網關,主要的功能就是阻擋病毒進入網絡。
這種網關防病毒產品能夠檢測進出網絡內部的數據,對HTTP、FTP、SMTP、IMAP四種協議的數據進行病毒掃描,一旦發現病毒就會采取相應的手段進行隔離或查殺,在防護病毒方面起到了非常大的作用。
防病毒網關也通常被稱作UTM(統一威脅管理),目前比較有名的反病毒網關為McAfee公司的Web Gateway(也稱MWG)和趨勢科技的IWSA,這兩種產品均采用經過優化的linux內核。
其中McAfee Web Gateway還支持https等加密流量的惡意代碼檢測,并支持URL過濾、應用控制、以及對互聯網的使用行為進行統計等功能,性能和功能居于業界領導地位。
工作原理
首包檢測技術
通過提取PE(Portable Execute;Windows系統下可移植的執行體,包括exe、dll、“sys等文件類型)文
件頭部特征判斷文件是否是病毒文件。提取PE文件頭部數據,這些數據通常帶有某些特殊操作,并且采
用hash算法生成文件頭部簽名,與反病毒首包規則簽名進行比較,若能匹配,則判定為病毒。
啟發式檢測技術
啟發式檢測是指對傳輸文件進行反病毒檢測時,發現該文件的程序存在潛在風險,極有可能是
病毒文件。比如說文件加殼(比如加密來改變自身特征碼數據來躲避查殺),當這些與正常文
件不一致的行為達到一定的閥值,則認為該文件是病毒。
啟發式依靠的是"自我學習的能力",像程序員一樣運用經驗判斷擁有某種反常行為的文件為病
毒文件。
啟發式檢測的響應動作與對應協議的病毒檢測的響應動作相同。啟發式檢測可以提升網絡環境
的安全性,消除安全隱患,但該功能會降低病毒檢測的性能,且存在誤報風險,因此系統默認
情況下關閉該功能。啟動病毒啟發式檢測功能∶heuristic-detect enable 。
文件信譽檢測技術
文件信譽檢測是計算全文MD5,通過MD5值與文件信譽特征庫匹配來進行檢測。文件信譽特
征庫里包含了大量的知名的病毒文件的MD5值。華為在文件信譽檢測技術方面主要依賴于文
件信譽庫靜態升級更新以及與沙箱聯動自學習到的動態緩存。
文件信譽檢測依賴沙箱聯動或文件信譽庫。
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-nd8LY3LQ-1663161949330)(.\安全防御圖片\文件信譽檢測技術)]
處理過程
\1. 網絡流量進入智能感知引擎后,首先智能感知引擎對流量進行深層分析,識別出流量對應的協議類型和文件傳輸的方向。
\2. 判斷文件傳輸所使用的協議和文件傳輸的方向是否支持病毒檢測。
NGFW支持對使用以下協議傳輸的文件進行病毒檢測。FTP(File Transfer Protocol):文件傳輸協議HTTP(Hypertext Transfer Protocol):超文本傳輸協議POP3(Post Office Protocol - Version 3):郵局協議的第3個版本SMTP(Simple Mail Transfer Protocol):簡單郵件傳輸協議IMAP(Internet Message Access Protocol):因特網信息訪問協議NFS(Network File System):網絡文件系統SMB(Server Message Block):文件共享服務器NGFW支持對不同傳輸方向上的文件進行病毒檢測。上傳:指客戶端向服務器發送文件。下載:指服務器向客戶端發送文件。\3. 判斷是否命中白名單。命中白名單后,FW將不對文件做病毒檢測。
白名單由白名單規則組成,管理員可以為信任的域名、URL、IP地址或IP地址段配置白名單規則,以此提高反病毒的檢測效率。白名單規則的生效范圍僅限于所在的反病毒配置文件,每個反病毒配置文件都擁有自己的白名單。
\4. 針對域名和URL,白名單規則有以下4種匹配方式:
前綴匹配:host-text或url-text配置為“example”的形式,即只要域名或URL的前綴是“example”就命中白名單規則。
后綴匹配:host-text或url-text配置為“example”的形式,即只要域名或URL的后綴是“example”就命中白名單規則。
關鍵字匹配:host-text或url-text配置為“example”的形式,即只要域名或URL中包含“example”就命中白名單規則。
精確匹配:域名或URL必須與host-text或url-text完全一致,才能命中白名單規則。
\5. 病毒檢測:
智能感知引擎對符合病毒檢測的文件進行特征提取,提取后的特征與病毒特征庫中的特征進行匹配。如果匹配,則認為該文件為病毒文件,并按照配置文件中的響應動作進行處理。如果不匹配,則允許該文件通過。當開啟聯動檢測功能時,對于未命中病毒特征庫的文件還可以上送沙箱進行深度檢測。如果沙箱檢測到惡意文件,則將惡意文件的文件特征發送給FW,FW將此惡意文件的特征保存到聯動檢測緩存。下次再檢測到該惡意文件時,則按照配置文件中的響應動作進行處理。
病毒特征庫是由華為公司通過分析各種常見病毒特征而形成的。該特征庫對各種常見的病毒特征進行了定義,同時為每種病毒特征都分配了一個唯一的病毒ID。當設備加載病毒特征庫后,即可識別出特征庫里已經定義過的病毒。同時,為了能夠及時識別出最新的病毒,設備上的病毒特征庫需要不斷地從安全中心平臺(sec.huawei.com)進行升級。
\6. 當NGFW檢測出傳輸文件為病毒文件時,需要進行如下處理:
判斷該病毒文件是否命中病毒例外。如果是病毒例外,則允許該文件通過。
病毒例外,即病毒白名單。為了避免由于系統誤報等原因造成文件傳輸失敗等情況的發生,當用戶認為已檢測到的某個病毒為誤報時,可以將該對應的病毒ID添加到病毒例外,使該病毒規則失效。如果檢測結果命中了病毒例外,則對該文件的響應動作即為放行。如果不是病毒例外,則判斷該病毒文件是否命中應用例外。如果是應用例外,則按照應用例外的響應動作(放行、告警和阻斷)進行處理。
應用例外可以為應用配置不同于協議的響應動作。應用承載于協議之上,同一協議上可以承載多種應用。
由于應用和協議之間存在著這樣的關系,在配置響應動作時也有如下規定:
如果只配置協議的響應動作,則協議上承載的所有應用都繼承協議的響應動作。
如果協議和應用都配置了響應動作,則以應用的響應動作為準。
如果病毒文件既沒命中病毒例外,也沒命中應用例外,則按照配置文件中配置的協議和傳輸方向對應的響應動作進行處理。
防病毒網關功能特點
1、智能接入,安全可靠
和工業網關一樣,防病毒網關也支持通過ADSL,光纖等多種方式寬帶接入方案,可實現擴展帶寬和廉價的接入,可通過路由、NAT、多鏈路復用及檢測功能為企業解決靈活擴展帶寬和廉價接入的接入方案。
2、健康網絡,應用安全
自帶防火墻功能,可通過防火墻攔截病毒以及非法請求。用以保障企業的網絡安全和數據的安全。還可通過DHCP服務器,ARP防火墻、DDNS等功能為企業提供全方位的局域網管理方案。
3、移動辦公,快速安全
帶有的SSLVPN、IPSEC、PPTP、L2TP等VPN功能,能夠讓用戶通過一鍵式操作,方便快捷的建立價格低廉的廣域網上專用網絡,為企業提供廣域網安全業務傳輸通道,便利的實現了企業總部與移動工作人員、分公司、合作伙伴、產品供應商、客戶間的連接,提高與分公司、客戶、供應商和合作伙伴開展業務的能力。
4、動態智能帶寬管理
可通過動態智能帶寬管理功能,對網絡帶寬進行合理分配,便于解決bt、p2p、p2p和視頻視頻下載和視頻視頻下載等帶寬問題。
防病毒網關與防火墻的區別
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-uL3ko4px-1663161949330)(.\安全防御圖片\防病毒網關與防火墻的區別)]
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-2uoJEiMo-1663161949330)(.\安全防御圖片\防病毒網關與防火墻的網絡傳輸的IP數據包結構)]
防病毒網關
分析數據包中傳輸數據內容
下載1個文件會被拆分多個數據包傳輸
對由數據包組成的文件運用反病毒技術分析是否為病毒
防毒墻對數據包分析比防火墻要深入
防火墻
分析數據包中原IP目的IP
匹配IP訪問控制規則控制訪問
防病毒網關與防火墻的關系
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-hTJDPbk7-1663161949331)(.\安全防御圖片\防病毒網關與防火墻的關系)]
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-6kObkLAt-1663161949331)(.\安全防御圖片\防病毒網關與防病毒軟件關系)]
防病毒網關與防病毒軟件的區別
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-52h6dw7D-1663161949332)(.\安全防御圖片\防病毒網關與防病毒軟件的區別)]
防病毒網關——查殺方式
1、對進出防病毒網關數據檢測
綜觀國外的網關防病毒產品,其對數據的病毒檢測還是以特征碼匹配技術為主其掃描技術及病毒庫與其服務器版防病毒產品是一致的
2、對檢測出病毒數據進行查殺
如何對進出網關的數據進行查殺,是網關防病毒網關技術的關鍵。由于目前國內外防病毒產品還無法對數據包進行病L檢測,所以各廠商在網關處只能采取將數據包還原成文件的方式進行病毒處理。
防病毒網關查殺方式
防病毒廠商所采取的方式又各不相同,主要分為以下四種方式:
1、基于代理服務器的方式
2、基于防火墻協議還原的方式
3、基于郵件服務器的方式
4、基于信息渡船產品方式
反病毒網關的基本配置思路
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-x41exDcG-1663161949332)(.\安全防御圖片\反病毒網關的基本配置思路)]
案例
某公司在網絡邊界處部署了FW作為安全網關。內網用戶需要通過Web服務器和POP3服務器下載文件和
郵件,內網FTP服務器需要接收外網用戶上傳的文件。公司利用FW提供的反病毒功能阻止病毒文件在這
些過程中進入受保護網絡,保障內網用戶和服務器的安全。
其中,由于公司使用Ctdisk網盤作為工作郵箱,為了保證工作郵件的正常收發,需要放行Ctdisk網盤的
所有郵件。另外,內網用戶在通過Web服務器下載某重要軟件時失敗,排查發現該軟件因被FW判定為病
毒而被阻斷(病毒ID為16424404),考慮到該軟件的重要性和對該軟件來源的信任,管理員決定臨時放
行該類病毒文件,以使用戶可以成功下載該軟件。
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-QhG1Rjem-1663161949332)(.\安全防御圖片\反病毒網關的基本配置思路案例)]
傳統防病毒網關面臨的三大問題
首先,傳統防病毒網關一般是基于X86或者單一的ASIC、NP架構的,其單處理器的模式無法同時處理多個任務流,而其基于Proxy的引擎類型也無法同時處理多個環節,這致使其無法進行并行處理,網關性能只能依托于CPU主頻,性能提升空間有限。
另一個制約其性能的因素是臃腫不堪的病毒庫。如今每天新病毒木馬都層出不窮,這導致傳統反病毒網關使用的病毒特征庫也變得越來越大,目前傳統反病毒網關的病毒特征庫總數一般都在十萬級以上,如此龐大的病毒庫數量,導致在其在分析文件時消耗CPU高,網關吞吐率變低,從而也會造成較高的延遲。但事實上,盡管如今病毒數量總量已經數以十萬計,實際上每天活躍的病毒數量才一兩千個,病毒特征庫中絕大部分內容并沒有發揮多少作用,而且,隨著病毒數量的與日俱增,病毒庫臃腫的問題只會越來越嚴重。
最后,網絡應用的Web化趨勢也給傳統反病毒網關也帶來了新的挑戰。如今網絡應用越來越復雜多樣,同時呈現出Web化的趨勢,用戶每天在網絡上要使用的諸多網絡應用,如QQ、MSN等即時通訊工具,各種音頻視頻應用,各種CS(Client/Server)客戶端,還有文件下載等,都通過Web化的形式呈現出來,這不僅增加了防病毒網關要處理的任務量,還提升了進行分析處理時的難度。傳統的防病毒網關在目前的應用Web化趨勢下,越來越顯出其性能的相對不足,難以滿足當前形勢下的網絡安全需求。
防病毒網關的最新趨勢
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-wE9qNxGx-1663161949332)(.\安全防御圖片\防病毒網關的最新趨勢1)]
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-XL5G71xy-1663161949332)(.\安全防御圖片\防病毒網關的最新趨勢2)]
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-PbIQyE2T-1663161949333)(.\安全防御圖片\3)]
按照傳播方式分類——病毒,蠕蟲,木馬
首先病毒,木馬,蠕蟲統稱為電腦病毒。病毒(包含蠕蟲)的共同特征是自我復制、傳播、破壞電腦文件,對電腦造成數據上不可逆轉的損壞。而木馬獨有特征是偽裝成正常應用騙取用戶信任而入侵,潛伏在電腦中盜取用戶資料與信息。
病毒
病毒是編制者在計算機程序中插入的破壞計算機功能或者數據的代碼,能影響計算機使用,能自我復制的一組計算機指令或者程序代碼。
病毒是一種基于硬件和操作系統的程序,具有感染和破壞能力,這與病毒程序的結構有關。病毒攻擊的宿主程序是病毒的棲身地,它是病毒傳播的目的地,又是下一次感染的出發點。
計算機病毒感染的一般過程
當計算機運行染毒的宿主程序時,病毒奪取控制權; 尋找感染的突破口; 將病毒程序嵌入感染目標中。計算機病毒的感染過程與生物學病毒的感染過程非常相似,它寄生在宿主程序中,進入計算機并借助操作系統和宿主程序的運行,復制自身、大量繁殖。
病毒感染目標包括
硬盤系統分配表扇區(主引導區)、硬盤引導扇區、軟盤引導扇區、可執行文件(.exe)、命令文件(.com)、覆蓋文件(.ovl)、COMMAND文件、IBMBIO文件、IBMDOS文件。
計算機病毒感染的一般過程
當計算機運行染毒的宿主程序時,病毒奪取控制權; 尋找感染的突破口; 將病毒程序嵌入感染目標中。計算機病毒的感染過程與生物學病毒的感染過程非常相似,它寄生在宿主程序中,進入計算機并借助操作系統和宿主程序的運行,復制自身、大量繁殖。主要傳播方式∶感染文件傳播。
主要傳播方式∶感染文件傳播
例如, “熊貓燒香” 是一款擁有自動傳播、自動感染硬盤能力和強大的破壞能力的病毒,它不但能感染系統中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進程并且會刪除擴展名為gho的文件。由于被其感染的文件圖標會被替換成 "熊貓燒香"圖案,所以該病毒被稱為"熊貓燒香"病毒。
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-TMVJUb0v-1663161949334)(.\安全防御圖片\熊貓燒香)]
蠕蟲病毒
蠕蟲病毒一種能夠利用系統漏洞通過網絡進行自我傳播的惡意程序。它不需要附著在其他程序上,而是獨立存在的。當形成規模、傳播速度過快時會極大地消耗網絡資源導致大面積網絡擁塞甚至癱瘓。
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-QxIQi9r7-1663161949335)(.\安全防御圖片\蠕蟲病毒)]
蠕蟲病毒原理:
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-yBCGbWBH-1663161949335)(.\安全防御圖片\蠕蟲病毒原理)]
傳播方式∶ 通過網絡發送攻擊數據包
最初的蠕蟲病毒定義是因為在D0S環境下,病毒發作時會在屏幕上出現一條類似蟲子的東西,胡亂吞吃屏幕上的字母并將其改形。
永恒之藍:2017年4月14日晚,黑客團體Shadow Brokers(影子經紀人)公布一大批網絡攻擊工具,其中包含"永恒之藍"工具,"永恒之藍"利用Windows系統的SMB漏洞可以獲取系統最高權限。5月12日,不法分子通過改造"永恒之藍"制作了wannacry勒索病毒,英國、俄羅斯、整個歐洲以及中國國內多個高校校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金才能解密恢復文件。
木馬
木馬也稱木馬病毒,是指通過特定的程序來控制另一臺計算機。與一般的病毒不同,它不會自我繁殖,也專并不“刻意”地去感染其他文件,它通過將自身偽裝吸引用戶下載執行,向施種木馬者提供打開被種主機的門戶,使施屬種者可以任意毀壞、竊取被種者的文件,甚至遠程操控被種主機。
原理:
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-yrRowSnt-1663161949335)(.\安全防御圖片\木馬入侵原理)]
傳播方式∶捆綁、利用網頁
傳播過程:
黑客利用木馬配置工具生成一個木馬的服務端;通過各種手段如Spam、Phish、Worm等安裝到用戶終端;利用社會工程學,或者其它技術手段使得木馬運行;木馬竊取用戶隱私信息發送給黑客;同時允許黑客控制用戶終端。
掛馬代碼的功能是在網頁打開的時候,同時打開另外一個網頁,當然這個網頁可能包含大量的木馬,也可能僅僅是為了騙取流量。
病毒,蠕蟲,木馬的區別
1、本質不同
病毒(包含蠕蟲)是自我復制、傳播、破壞電腦文件,對電腦造成數據上不可逆轉的損壞。而木馬是偽裝成正常應用騙取用戶信任而入侵,潛伏在電腦中盜取用戶資料與信息。
2、特征不同
病毒的特征:很強的感染性;一定隱蔽性;一定的潛伏性;特定的觸發性;不可預見性;很大的破壞性。
蠕蟲的特征:它的入侵對象是整個互聯網上的電腦;不采用將自身復制在租住程序的方式傳播;通過互聯網傳播,極強的傳染性、破壞性。
木馬的特征:主要包括隱蔽性、自動運行性、欺騙性、自動恢復、自動打開端口。
按照功能分類
后門
·具有感染設備全部操作權限的惡意代碼。
典型功能∶ 文件管理、屏幕監控、鍵盤監控、視頻監控、命令執行等。
典型家族∶ 灰鴿子、pCshare
勒索
通過加密文件,敲詐用戶繳納贖金。
·加密特點∶
主要采用非對稱加密方式
對文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種文件類型進行加密
·其他特點∶
通過比特幣或其它虛擬貨幣交易
利用釣魚郵件和爆破rdp口令進行傳播
·典型家族∶ Wannacry、GandCrab、Globelmposter
挖礦
攻擊者通過向被感染設備植入挖礦工具,消耗被感染設備的計算資源進行挖礦,以獲取數字貨幣收益的
惡意代碼。
特點∶
不會對感染設備的數據和系統造成破壞。
? 由于大量消耗設備資源,可能會對設備硬件造成損害。
惡意代碼的特征
病毒感染系統后,無疑會對系統做出各種修改和破壞。有時病毒會使受感染的系統出現自動彈出網頁、占用高CPU資源、自動彈出/關閉窗口、自動終止某些進程等各種不正常現象。
下載特征
很多木馬、后門程序間諜軟件會自動連接到Internet某Web站點,下載其他的病毒文件或該病毒自身的更新版本/其他變種。
后門特征
后門程序及很多木馬、蠕蟲和間諜軟件會在受感染的系統中開啟 并偵聽某個端口,允許遠程惡意用戶來對該系統進行遠程操控;
某些情況下,病毒還會自動連接到某IRC站點某頻道中,使得該頻道中特定的惡意用戶遠程訪問受感染的計算機。
信息收集特性
QQ密碼和聊天記錄;
網絡游戲帳號密碼;
網上銀行帳號密碼;
用戶網頁瀏覽記錄和上網習慣;
自身隱藏特性
多數病毒會將自身文件的屬性設置為“隱藏”、“系統”和“只讀”,更有一些病毒會通過修改注冊表,從而修改用戶對系統的文件夾訪問權限、顯示權限等,以使病毒更加隱蔽不易被發現。
文件感染特性
病毒會將惡意代碼插入到系統中正常的可執行文件中,使得系統正常文件被破壞而無法運行,或使系統正常文件感染病毒而成為病毒體;
有的文件型病毒會感染系統中其他類型的文件。
Wannacry就是一種典型的文件型病毒,它分為兩部分,一部分是蠕蟲部分,利用windows的“永恒之藍”漏洞進行網絡傳播。一部分是勒索病毒部分,當計算機感染wannacry之后,勒索病毒部分就會自動安裝并且加密計算機中包括音頻、圖像、文檔等各種類型的文件。與此同時彈出勒索框進行勒索。
網絡攻擊特性
木馬和蠕蟲病毒會修改計算機的網絡設置,使該計算機無法訪問網絡;木馬和蠕蟲還會向網絡中其他計算機攻擊、發送大量數據包以阻塞網絡,甚至通過散布虛假網關地址的廣播包來欺騙網絡中其他計算機,從而使得整個網絡癱瘓。
愛蟲病毒是一種利用Windows outlook郵件系統傳播的蠕蟲病毒,將自己偽裝成一封情書,郵件主題設置為“I LOVE YOU”,誘使受害者打開,由此得名。當愛蟲病毒運行后迅速找到郵箱通信簿里的50個聯系人再進行發送傳播。傳播速度非常之快,致使大量電子郵件充斥了整個網絡,不僅會導致郵件服務器崩潰,也會讓網絡受影響變慢。從而達到攻擊網絡的目的。
病毒威脅場景
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-FXv6gqma-1663161949336)(.\安全防御圖片\病毒威脅場景)]
病毒一般是以文件為載體進行傳播的。
病毒傳播途徑
電子郵件
HTML正文可能被嵌入惡意腳本;
郵件附件攜帶病毒壓縮文件;
利用社會工程學進行偽裝,
增大病毒傳播機會;快捷傳播特性。
網絡共享
病毒會搜索本地網絡中存在的共享,包括默認共享,如ADMIN、IPC、IPC、IPC、E、D、D、D、C$;
通過空口令或弱口令猜測,獲得完全訪問權限;
病毒自帶口令猜測列表;
將自身復制到網絡共享文件夾中;
通常以游戲、CDKEY等相關名字命名。
P2P共享軟件
將自身復制到P2P共享文件夾;
通常以游戲,CDKEY等相關名字命名;
通過P2P軟件共享給網絡用戶;
利用社會工程學進行偽裝,誘使用戶下載。
系統漏洞
由于操作系統固有的一些設計缺陷,導致被惡意用戶通過畸形的方式利用后,可執行任意代
碼。
病毒往往利用系統漏洞進入系統,達到傳播的目的。
一些大家熟知的漏洞:
微軟IIS漏洞
快捷方式文件解析漏洞
RPC遠程執行漏洞
打印機后臺程序服務漏洞
廣告軟件/灰色軟件
灰色軟件是指不被認為是病毒木馬,但對用戶的計算機會造成負面影響的軟件。比如說廣告軟件,它們有時候是由用戶主動安裝,更多的是與其他正常軟件進行綁定而被安裝。
其他
網頁感染;
與正常軟件捆綁;
用戶直接運行病毒程序;
由其他惡意程序釋放。
惡意代碼的免殺技術
惡意代碼希望能順利繞過殺毒軟件與防火墻,在受害者的計算機中長期隱藏下去,并能在必要的時候向攻擊者提供有用的信息。
免殺技術又稱為免殺毒(Anti Anti- Virus)技術,是防止惡意代碼免于被殺毒設備查殺的技術。
主流免殺技術如下∶
修改文件特征碼
修改內存特征碼
行為免查殺技術
原理
免殺的最基本思想就是破壞特征,這個特征有可能是特征碼,有可能是行為特征,只要破壞了病毒與木馬所固有的特征,并保證其原有功能沒有改變,一次免殺就能完成了。
特征碼就是反病毒軟件用于判斷文件是否帶病毒的一段獨一無二的代碼,這些特征碼在不同的反病毒軟件的病毒庫中不盡相同。
特征碼就是一種只在病毒或木馬文件內才有的獨一無二的特征,它或是一段字符,或是在特定位置調用的一個函數。總之,如果某個文件具有這個特征碼,那反病毒軟件就會認為它是病毒。反過來,如果將這些特征碼從病毒、木馬的文件中抹去或破壞掉,那么反病毒軟件就認為這是一個正常文件了。
文件免殺原理
黑客們研究木馬免殺的最終目標就是在保證原文件功能正常的前提下,通過一定的更改,使得原本會被查殺的文件免于被殺。
要達到不再被殺的目的方法有很多種,其中最直接的方法就是讓反病毒軟件停止工作,或使病毒木馬“變”為一個正常的文件。
然而如何使一個病毒或木馬變成一個正常文件,對于黑客們來說其實是一個比較棘手的問題,不過只要學會了一種免殺原理,其他的免殺方案也就觸類旁通了。
改特征碼免殺原理
所謂的特征碼,我們可以將其理解為反病毒軟件的黑名單。黑客們顯然無法將木馬從反病毒軟件的黑名單中刪除,所以他們要讓病毒改頭換面!例如原來黑名單中有“灰鴿子”這么一款木馬,黑客們將其改頭換面后不叫灰鴿子了,比如叫“白鴿子”!當然,這只是一個例子,現實中僅僅依靠改名是騙不了反病毒軟件的。
就目前的反病毒技術來講,更改特征碼從而達到免殺的效果事實上包含著兩種思想。
一種思想是改特征碼,這也是免殺的最初方法。例如一個文件在某一個地址內有“灰鴿子上線成功!”這么一句話,表明它就是木馬,只要將相應地址內的那句話改成別的就可以了,如果是無關痛癢的,直接將其刪掉也未嘗不可。
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-Sr3edQw6-1663161949336)(.\安全防御圖片\改特征碼免殺原理1)]
第二種是針對目前推出的校驗和查殺技術提出的免殺思想,它的原理雖然仍是特征碼,但是已經脫離純粹意義上特征碼的概念,不過萬變不離其宗。其實校驗和也是根據病毒文件中與眾不同的區塊計算出來的,如果一個文件某個特定區域的校驗和符合病毒庫中的特征,那么反病毒軟件就會報警。所以如果想阻止反病毒軟件報警,只要對病毒的特定區域進行一定的更改,就會使這一區域的校驗和改變,從而達到欺騙反病毒軟件的目的,如圖所示。這就是在定位特征碼時,有時候定位了兩次卻得出不同結果的原因所在。
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-h5oSSFAL-1663161949336)(.\安全防御圖片\改特征碼免殺原理2)]
花指令免殺原理
花指令其實就是一段毫無意義的指令,也可以稱之為垃圾指令。花指令是否存在對程序的執行結果沒有影響,所以它存在的唯一目的就是阻止反匯編程序,或對反匯編設置障礙。然而這種障礙對于反病毒軟件來說同樣也是致命的,如果黑客們的花指令添加得足夠高明,就可以使木馬很輕松地逃脫查殺!但是,為什么它會影響反病毒軟件的判斷呢?通過前面的學習大家都已經知道,大多數反病毒軟件是靠特征碼來判斷文件是否有毒的,而為了提高精度,現在的特征碼都是在一定偏移量限制之內的,否則會對反病毒軟件的效率產生嚴重的影響!而在黑客們為一個程序添加一段花指令之后,程序的部分偏移會受到影響,如果反病毒軟件不能識別這段花指令,那么它檢測特征碼的偏移量會整體位移一段位置,自然也就無法正常檢測木馬了。當然,這也僅僅是針對第一代掃描技術的方法,不過即便是反病毒軟件采用虛擬機分析、校驗和掃描或啟發式分析,花指令同樣會起到一定的作用,針對每種檢測方法的不同,花指令所起到的作用亦不相同。它最根本的思想就是擾亂程序運行順序,并為破解者(反病毒人員)設下陷阱。而如果花指令可以成功保護軟件真正代碼不被輕易反匯編,那么對于反病毒軟件來說,它所檢測的自然也就不是木馬文件中真正的內容了。
加殼免殺原理
說起軟件加殼,簡單地說,軟件加殼其實也可以稱為軟件加密(或軟件壓縮),只是加密(或壓縮)的方式與目的不一樣罷了。一般的加密是為了防止陌生人隨意訪問我們的數據。但是加殼就不一樣了,它的目的是減少被加殼應用程序的體積,或避免讓程序遭到不法分子的破壞與利用,例如最常見的共享軟件,如果不對軟件加以保護,那么這個軟件就會很輕易地被破解,也就沒有人去向軟件的作者購買注冊碼了。既然加殼后的軟件還能正常運行,那么這些殼究竟將軟件的哪些部分加密了呢?其實,我們可以從“加 殼”這個詞語本身著手,為什么不叫加密、防盜或其他的名稱,而偏偏稱其為加殼呢?我們可以將未加殼的軟件想象成美味的食物,太多的人想要得到它,想借此大飽口福!于是食物的主人就將其保存了起來,放到一個只有他能打開的硬殼里,這樣就可以避免其他人打它的主意。而當自己的客人到來時,他可以很輕松地打開這個硬殼,供客人品嘗……上面所說殼就是我們加的保護,它并不會破壞里面的程序,當我們運行這個加殼的程序時,系統首先會運行程序的“殼”,然后由殼將加密的程序逐步還原到內存中,最后運行程序。這樣一來,在我們看來,似乎加殼之后的程序并沒有什么變化,然而它卻達到了加密的目的,這就是殼的作用。現在,我們再回頭看看反病毒軟件,如果說加殼之后的文件我們都無法將其還原,那么反病毒軟件自然也就“看”不懂了。加密后的文件結構已經產生了天翻地覆的變化,原有的特征碼早已不知去處,反病毒軟件自然也就會認為它是一個正常的文件了。
由以上3種方法可知,基于文件的免殺基本上就是破壞原有程序的特征,無論是直接修改特征碼還是加上一段花指令,抑或是將其加殼,其最后的目的只有一個,那就是打亂或加密可執行文件內部的數據。
內存免殺原理
自從文件免殺的方法在黑客圈子內部流傳開后,反病毒公司將這場博弈升級到了另一個層次—內存中。
內存在計算機安全領域中向來就是兵家必爭之地,從信息截取、軟件破解,到內核Hook、修改內核,再到緩沖區溢出等,其主要戰場都在內存中,由此可見內存是一個多么復雜而又變幻莫測的地方。之所以說內存復雜,是因為一般情況下內存是數據進入CPU之前的最后一個可控的物理存儲設備。在這里,數據往往都已經被處理成可以直接被CPU執行的形式了,像我們前面講的加殼免殺原理在這里也許
就會失效了。
我們知道,CPU不可能是為某一款加殼軟件而特別設計的,因此某個軟件被加殼后的可執行代碼CPU是讀不懂的。這就要求在執行外殼代碼時,要先將原軟件解密,并放到內存里,然后再通知CPU執行。
如果是這樣,那么從理論上來講任何被加密的可執行數據在被CPU執行前,肯定是會被解密的,否則CPU就無法執行。也正是利用這個特點,反病毒公司便在這里設了一個關卡,這就使得大部分運用原有文件免殺技巧處理過的病毒木馬紛紛被殺。
其實,與上面這個原因相比較,反病毒公司選擇掃描內存更多是從戰略角度出發的。因為將要被執行的程序肯定比未執行程序的威脅更大。即便是再厲害的病毒木馬,只要能保證它不被執行,它在用戶的計算機中最多也就算是一個垃圾文件,就不會對用戶及網絡構成任何威脅。但是黑客們又是如何對抗內存查殺的呢?其實套路與文件查殺一樣,因為殺毒軟件的內存掃描原理與硬盤上的文件掃描原理都是一樣的,都是通過特征碼比對的,只不過為了制造迷惑性,大多數反病毒公司的內存掃描與文件掃描采用的不是同一套特征碼,這就導致了一個病毒木馬同時擁有兩套特征碼,必須要將它們全部破壞掉才能躲過反病毒軟件的查殺。因此,除了加殼外,黑客們對抗反病毒軟件的基本思路沒變。而對于加殼,只要加一個會混淆程序原有代碼的“猛”殼,其實還是能躲過殺毒軟件的查殺的。
行為免殺原理
當文件查殺與內存查殺都相繼失效后,反病毒廠商便提出了行為查殺的概念,從最早的“文件防火墻”發展到后來的“主動防御”,再到現在的部分“云查殺”,其實都應用了行為查殺技術。而對于行為查殺,黑客們會怎樣破解呢?我們都知道一個應用程序之所以被稱為病毒或者木馬,就是因為它們執行后的行為與普通軟件不一樣。因此從2007年行為查殺相繼被大多數反病毒公司運用成熟后,黑客免殺技術這個領域的門檻也就一下提高到了頂層。
反病毒公司將這場博弈徹底提高到了軟件領域最深入的一層—系統底層,這就使得黑客們需要掌握的各種高精尖知識爆炸式增長,這一舉動將大批的黑客技術的初學者擋在了門外。
然而由于初期的行為查殺剛剛興起,很多反病毒產品的主動防御模塊把關不嚴,應用的技術也并不先進,從而導致了一大批內核級病毒木馬的出現。而隨著技術的逐漸升溫,攻防雙方的技術最后變得勢均力敵,反病毒公司得益于計算機領域先入為主的定律,使得黑客們從這時開始陷入被動。因此黑客免殺技術發展到現在,已經出現了向滲透入侵等領域靠攏的趨勢,黑客們將能躲過主動防御的方法稱為0Day,并且越來越多的木馬選擇使用本地緩沖區溢出等攻擊手法來突破主動防御。但是反病毒愛好者們也不能因此麻痹大意,黑客領域中的任何技術從來都是靠思路與技術這兩條腿走路的,免殺技術也不例外。黑客技術的初學者仍然想出了非常多的方法,有效地突破了現在的主動防御與云查殺。
反病毒技術
單機反病毒
檢測工具
單機反病毒可以通過安裝殺毒軟件實現,也可以通過專業的防病毒工具實現。
病毒檢測工具用于檢測病毒、木馬、蠕蟲等惡意代碼,有些檢測工具同時提供修復的功能。
常見的病毒檢測工具包括:
TCP View
Regmon
Filemon
Process Explorer
IceSword
Process Monitor
Wsyscheck
SREng
Wtool
Malware Defender
Process Explorer是一款增強型任務管理器。可以查看進程的完整路徑,識別進程,查看進程的完整信
息,關閉進程等。
殺毒軟件
殺毒軟件主要通過一些引擎技術來實現病毒的查殺,比如以下主流技術:
特征碼技術
殺毒軟件存在病毒特征庫,包含了各種病毒的特征碼,特征碼是一段特殊的程序,從病
毒樣本中抽取而來,與正常的程序不太一樣。把被掃描的信息與特征庫進行對比,如果匹配到了特征庫,則認為該被掃描信息為病毒。
行為查殺技術
病毒在運行的時候會有各種行為特征,比如會在系統里增加有特殊后綴的文件,監控用
戶行為等,當檢測到某被檢測信息有這些特征行為時,則認為該被檢測信息為病毒。
常見的殺毒軟件舉例:瑞星金山毒霸360安全軟件卡巴斯基賽門鐵克Mcafee
網關反病毒
在以下場合中,通常利用反病毒特性來保證網絡安全:
內網用戶可以訪問外網,且經常需要從外網下載文件。
內網部署的服務器經常接收外網用戶上傳的文件。
FW作為網關設備隔離內、外網,內網包括用戶PC和服務器。內網用戶可以從外網下載文件,外網用戶
可以上傳文件到內網服務器。為了保證內網用戶和服務器接收文件的安全,需要在FW上配置反病毒功
能。
在FW上配置反病毒功能后,正常文件可以順利進入內部網絡,包含病毒的文件則會被檢測出來,并被采
取阻斷或告警等手段進行干預。
一、結合以下問題對當天內容進行總結
總結
以上是生活随笔為你收集整理的安全防御——防病毒网关的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: (一文读懂社交网络分析(附应用、前沿、学
- 下一篇: Exchange反垃圾防病毒网关——Se