惡意軟件的收集與初步分析
前面,我們為讀者介紹了漏洞利用和逆向工程方面的基本技能,現在,我們將綜合利用這些技術來探究惡意軟件。作為道德黑客,有時我們需要在確保安全的情況下動手考察惡意軟件,判斷其危險性,并設法清除它。本文中,您將有機會體驗這一安全領域,涉及的主題有:如果您對這些主題感興趣的話,可以在“參考資料”部分找到更進一步的資料。
惡意軟件
蜜罐技術最新趨勢
捕獲惡意軟件:布置陷阱
惡意軟件的初步分析
所謂惡意軟件,就是在用戶不知情或者未經許可的情況下,不經意安裝的或者不請自來的那些軟件。
惡意軟件的類型
惡意軟件的類型有多種,但是我們這里只討論下列幾種:
病毒
所謂病毒,其實是一種寄生性的程序,它們將自己附著到另一個程序之上,以便感染此程序從而執行一些有害的功能。 病毒程序的危害性較大。 有些病毒易于檢測和清除,而另一些病毒檢測和清除起來卻非常棘手。 一些病毒在傳播過程中,會利用多態(變形)技術產生新的變體,從而使得檢測工作更為困難。 只有當用戶啟動包含病毒的應用程序或者腳本的時候,病毒才會發作。當然,用戶通常不知道自己執行了一個病毒程序,相反,他們通常以為自己打開的只是一張圖片,或者是一個看上去無害的應用程序。
特洛伊木馬程序
特洛伊木馬程序是指含有惡意代碼的軟件,它能夠在用戶毫無察覺的情況下為攻擊者干一些見不得人的勾當。 顧名思義,許多特洛伊木馬通過嵌入到其它軟件的方式混入計算機系統。
實際上,盜版軟件中經常會有特洛伊木馬程序代碼。
蠕蟲
簡單地說,蠕蟲就是些能夠自動傳播的病毒。 它們無需用戶參與,就能在系統之間進行傳播。 近年來,蠕蟲已經非常流行,并且被用于多種目的,例如傳播特洛伊木馬以及其它類型的惡意軟件。
間諜軟件/廣告軟件
間諜軟件和廣告軟件指的是這樣一類軟件,它們在用戶不知情的情況下偷偷安裝到計算機上,并向攻擊者報告用戶的活動情況。 在這種情況下,攻擊者通常效力于廣告主、市場專員或者因特網研究人員。 大多數情況下,這類軟件除了侵犯隱私之外并沒有其它惡意。 然而,有些間諜軟件會使用鍵盤紀錄技術來捕獲用戶的擊鍵,從而將用戶的機器變成一個中央數據庫。 那樣的話,密碼和金融信息就會被收集,所以間諜軟件對于用戶或組織來說也是高度危險的。
惡意軟件防御技術
惡意軟件的一個重要特點是,重新啟動后它仍存在于系統中,所以它的存活期很長。所以,攻擊者為了保護惡意軟件,通常都會設法令其難以發現。
Rootkits
“rootkit”的定義是與時俱進的,不過目前來說,它主要是指這樣一類軟件,它們能夠隱藏自身以及其它軟件從而完成一些邪惡的任務。一款優秀的rootkit不僅應該能夠具備抗重新啟動性,還應該能隱藏進程、文件、注冊表項、網絡連接,最為重要的是能夠隱藏它自己。
加殼工具
加殼工具用來對Windows PE文件格式進行加殼或壓縮處理。 常見的加殼工具有
UPX
ASPack
tElock
通過加密提供保護層
一些黑客使用下面的工具來對他們的二進制代碼進行加密包裝:
Burneye
Shiva
VM檢測
不難預料,由于越來越多的安全研究人員使用VMware俘獲和研究惡意軟件,所以許多惡意軟件已經開始使用各種虛擬機(VM)檢測技術。 在本章后面部分,我們將介紹這場軍備競賽的最新進展(當然是指截止編寫本書為止這段時間內的發展情況)。#p#
蜜罐技術最新趨勢
談到軍備競賽,隨著攻擊者技術上的不斷進步,安全防御者的技術也隨之發展。這場貓捉老鼠的游戲已經上演了多年了,攻擊者設法逃避檢測,而安全防御者則盡力發現最新的威脅,并開發相應的對策來更好地保護他們的網絡。
蜜罐
蜜罐是些放到網絡中的誘餌系統,它們是專門用來吸引黑客的。 這些系統本身并不貴重,也沒有敏感信息,不過它們看起來卻很重要。它們之所以被稱為蜜罐,是因為這些系統對黑客來說一上手就能得逞,所以他們還會再次光顧。
Honeynets
蜜罐是以單個系統作為誘餌。 而honeynet則是用多個系統作為誘餌。 當然,我們也可以這樣認為,即一個honeynet包含兩個或更多的蜜罐,如下所示:
為什么使用蜜罐
在企業網絡中使用蜜罐的原因有很多,例如偽裝和情報搜集。
用于偽裝
美國傳統詞典將“偽裝”定義為“1. 通過利用障眼法;2. 被掩飾的事實或狀態;3. 欺詐;詭計.” 蜜罐可用于欺騙攻擊者,致使他們拿不到王冠,反倒按響警報器。這里的想法是,讓您的蜜罐緊貼您的王冠。
【編輯推薦】
