恶意移动代码分析与研究

1. 恶意移动代码分析与研究 郑 辉 清华大学网络中心 CERNET Computer Emergency Response Team zhenghui@ccert.edu.cn

2. 主要内容 • 当前的安全状况 • 攻防主体 • 主要研究成果 • 防治周期理论 • 主动防治系统 • Open Problems

3. 漏洞越来越多…

4. 攻击越来越容易…

5. 病毒数量增长越来越快…

6. Rapidly Escalating Threat to Businesses 风险越来越大… 攻击目标和破坏程度 全球基础设施 区域性网络 多个网络 单个网络 单台计算机 分 • Next Gen • Flash threats • Massive worm-driven DDoS • Damaging payload worms 时 • Third Gen • Distributed denial of service • Blended threats 天 • Second Gen • Macro viruses • Denial of service 周 • First Gen • Boot viruses 1980s 1990s Today Future

7. Infrastructure-level DDoS attacks Server-level DDoS & worm attacks Bandwidth-level DDoS attacks 病毒、蠕虫、DDoS组合攻击 Attack zombies: • Use valid protocols • Spoof source IP • Massively distributed

8. Internet面临的安全挑战 • 如何防范自动化攻击？ • 如何防范快速突发攻击？ • 如何防范大规模攻击？

9. 恶意移动代码主要特性 • 破坏性(Malicious Code, Malware) • 移动性(Mobile Code) • 通过网络 • 通过人

10. 恶意移动代码主要种类 • Internet 蠕虫 • 病毒邮件 • 文件系统病毒 • 网页脚本 • 木马

11. 恶意移动代码的简单比较

12. 各种恶意移动代码的融合趋势 • 病毒、蠕虫、木马之间的界限已经不再明显； • 综合使用多种攻击手段： • 传播：计算机系统的漏洞、电子邮件、文件共享、Web浏览等 • 社会工程（social engineering )

13. 攻防主体 • 影响网络安全的三支力量 • Hacker • VXer • Cracker • 防范主体 • 网络运营商、服务提供商、用户； • 系统厂商、防毒产品厂商； • 科研技术人员、政府主管部门；

14. 蠕虫的历史回顾 • Xerox PRAC， 1980年 • Morris Worm， 1988年11月2日 • WANK Worm， 1989年10月16日 • ADM Worm， 1998年5月 • Millennium， 1999年9月 • Ramen Worm， 2001年1月 • Lion Worm， 2001年3月23日 • Adore Worm， 2001年4月3日 • Cheese Worm， 2001年5月 • Sadmind/IIS Worm， 2001年5月 • CodeRed Worm， 2001年7月19日 • Nimda Worm， 2001年9月18日 • Slapper， 2002年9月14日 • Slammer， 2003年1月25日 • Dvldr32， 2003年3月7日 • MSBlaster， 2003年8月12日 • Nachi， 2003年8月18日

15. 2004年蠕虫 • MyDoom.C2004年2月9日 • Witty Worm 2004年3月20日 • Sasser Worm 2004年4月30日 • Santy Worm2004年12月21日

16. 蠕虫的爆发周期越来越短… • 漏洞公布和蠕虫爆发的间隔越来越短 最佳时机 及时 太晚了 攻击代码 蠕虫爆发 控制 清除 漏洞发现 越来越长，越来越难  越来越短 

17. 恶意移动代码主要研究内容 • 恶意代码的工作机制 • 其他工作的基础 • 传播模型 • 现有模型忽略太多因素而缺乏指导意义 • 仿真 • 仿真Internet难度较大 • 检测 • 检测结果出来为时已晚 • 抑制 • 现实需求

18. CCERT的科研优势 • 长期对恶意移动代码研究的积累； • 迅速有效的响应机制； • 第一手的网络数据；

19. CodeRed蠕虫监测数据

20. Blaster & Nachi监测数据

21. Sasser蠕虫监测数据

22. Witty 蠕虫监测数据

23. 主要研究成果 • 针对蠕虫个体 • 实体结构模型 • 功能结构模型 • 针对网络 • 利用DNS服务抑制蠕虫传播 • Internet 蠕虫主动防治系统

24. 实体结构模型

25. 功能结构模型

26. 利用DNS服务抑制蠕虫传播

28. Internet 蠕虫防治周期 • 预防阶段 • 检测阶段 • 遏制阶段 • 清除阶段

29. Internet 蠕虫主动防治系统

30. 网络技术发展带来的变化 • P2P • Overlay网络构成的相对独立网络； • IRC、MSN、QQ、BT、eMule • IPv6 • 网络规模 • 加密传输

31. IPv6 的Internet ， 28年后，感染第一台主机 IPv6网络的抗扫描特性 IPv4 的Internet ，Slammer 蠕虫，10分钟后，感染了大多数有漏洞的计算机

32. 恶意移动代码的技术发展趋势 • 结合人工智能技术； • 动态功能升级技术； • 多平台传播技术； • 分布式实体技术；

33. Santy蠕虫 • 描述： • 2004年12月21日发现，截止到12月22日，google可以统计到被santy蠕虫破坏的网站已经达到26000多； • 利用论坛系统phpBB的漏洞传播； • 智能特性： • 从搜索引擎google得到攻击站点列表； • 存在形式： • 脚本代码；

36. Santy蠕虫引出的新问题 • 如何检测智能蠕虫？ • 不需扫描，流量无明显异常； • 查询条件的无穷组合； • 脚本代码的任意变化； • 如何防治智能蠕虫？ • IPv6的抗扫描特性不再适用； • 封锁搜索引擎？海量信息如何查找； • 搜索引擎屏蔽？查询合法性的不可判定；

37. Open Problems • 蠕虫爆发预警 • 仿真环境与蠕虫传播模拟 • 良性蠕虫的控制策略 • 恶意移动代码来源定位 • 网络安全生态理论

38. 参考文献 • 蠕虫的行为特征描述和工作原理分析, http://worm.ccert.edu.cn/doc/spark/WormBehaviorPrincipleAnalysis.pdf • Internet蠕虫研究，http://worm.ccert.edu.cn/doc/InternetWormResearch.pdf • 大规模网络中Internet 蠕虫主动防治技术研究 -- 利用DNS 服务抑制蠕虫传播, http://worm.ccert.edu.cn/doc/spark/WormDefenseWithDNS.pdf • 主动Internet蠕虫防治技术-接种疫苗, http://worm.ccert.edu.cn/doc/Vaccination.pdf • Internet蠕虫主动防治系统原理与设计, http://worm.ccert.edu.cn/doc/spark/WormDefenseSystem.pdf

39. 谢谢！