CEH - 职业道德黑客关于 恶意软件威胁 Malware Threat
Malware propagation ways 恶意软件传播方式
- Free software (crack files, ...)一些免费软件
- File sharing services: during the transfer, the file can be infected (torrent, ...) 来自于分享,和文件传输中
- Removable media (firmware embedded malware, ...) u盘这种可移动媒体
- Email (attachment, ...) 邮件附件
- Not using firewall or anti-virus 没有防火墙
Trojan 木马病毒
Trojan用于误导其真实意图,等待最佳时机发动攻击。通常通过社会工程传播。 部署木马的意图包括:
- Create back door 后门
- Gaining unauthorized access 无授权访问
- Steal information 信息偷取
- Infect connected devices 扩大感染
- Ransomware attacks 勒索软件攻击
- Using victim as botnet 使用受害者作为僵尸网络
- Download other malicious software 下载其他恶意软件
- Disable security 禁用安全系统
-
Trojan infection process木马感染过程:
- Creating trojan 创造, 使用Trojan Construction Kit 允许攻击者创建自己的木马。使用构建工具创建的木马可以避免病毒和木马扫描的检测。Trojan construction kits木马搭建工具:
- Dark Horse trojan virus maker
- Senna Spy Generator
- Trojan Horse Construction Kit
- Progenic mail Trojan Construction Kit
- Pandora's Box
- Create a dropper 释放, , Dropper 是一个程序,旨在在目标机器上传递有效负载deliver a payload,在不被发现的情况下安装恶意软件. Tools:
- Win32/Rotbrow.A
- Win32/Swisyn
- Win32/Meredrop
- Troj/Destover-C
- Create a wrapper 打包, 绑定恶意文件,以便创建和传播propagate木马,避免被检测到。包装器通常是流行的可执行文件,如游戏、音乐等。可以进行加密Crypter打包,基本目的是加密、混淆和操纵恶意软件。通过使用crypter,它变得更加难以检测。Tools:
- Cryogenic Crypter
- Heaven Crypter
- Swayz Cryptor
- Propagate the trojan 扩散
- Execute dropper 执行
- Creating trojan 创造, 使用Trojan Construction Kit 允许攻击者创建自己的木马。使用构建工具创建的木马可以避免病毒和木马扫描的检测。Trojan construction kits木马搭建工具:
-
Types of trojans 木马类别:
- Command Shell Trojans命令行控制木马, 木马提供对命令shell的远程控制(即为Netcat打开一个端口)
- Defacement Trojans篡改木马,允许攻击者查看、编辑和提取信息,例如用户样式的自定义应用程序。
- HTTP/HTTPS Trojans, HTTP/HTTPS Trojans 创建 http/https 交流通道。
- Botnet trojans僵尸木马,僵尸网络是一个大规模的受害系统,它们遍布世界各地由指挥控制中心控制的僵尸网络,用于发起分布式攻击,如 DDoS、垃圾邮件
- Proxy Server Trojans代理服务器木马,代理服务器木马将受感染的系统变成代理服务器,攻击者使用它来隐藏攻击的实际来源
- Remote Access Trojans (RAT)远程攻击木马,RAT 允许攻击者获得对受害者计算机的远程桌面访问权限,RAT 包括一个后门,用于维持对受害者的访问和控制,攻击者可以监控用户 monitor user、访问信息 access information、修改文件 alter files等..., Tools:
- SSH-R.A.T.
- BlackHole RAT
- Pandora RAT
-
Other Types of Trojans其他类别:
- FTP Trojans
- VNC Trojans
- Mobile Trojans
- ICMP Trojans
- Covert Channel Trojans
- Notification Trojans
- Data Hiding Trojans
-
Trojan Countermeasures木马防御
- Avoid to click on suspected email attachments避免点击可疑的电子邮件附件
- Block unused ports阻止未使用的端口
- Monitor network traffic监控网络流量
- Avoid download from untrusted sources避免从不受信任的来源下载
- Install / update security softwares and anti-viruses安装/更新安全软件和杀毒软件
- Scan removable media before use使用前扫描可移动媒体
- File integrity文件完整性
- Enable auditing启用审核
- Configure host-based firewall配置基于主机的防火墙
- Intrusion detection software入侵检测软件
Virus and Worms 病毒与蠕虫
Virus病毒
该病毒是一个自我复制程序self-replicating,它能够通过附加另一个程序来产生多个副本。
- 病毒的特征 Characteristics:
- Infecting other files感染其他文件
- Alteration of data数据变更
- Corruption腐败
- Encryption加密
- Self-replication自我复制
- 病毒生命周期 Stages of Virus Life
- Design: 从头开始开发病毒或使用构建工具包 construction kits
- Replication复制: 病毒部署后,会开始自行传播
- Launch: 用户意外启动受感染的程序
- Detection: 观察病毒的行为,识别病毒
- Incorporation合并: developers design a defensive code开发人员设计防御性代码
- Elimination消除: 更新杀毒,消除病毒
- 病毒工作流
- 感染阶段Infection Phase: 在感染阶段,病毒植入目标系统,将自身复制到可执行文件中。它可以在用户执行受感染的程序时启动。这些病毒通过复制和感染程序、文档或电子邮件附件进行传播。他们可以通过可移动驱动器或任何数字媒体进入操作系统。
- 攻击阶段Attack Phase:文件被用户意外执行。通常,病毒需要触发操作才能感染,但它们也可以配置为在某些预定义的条件下进行感染certain predefined conditions。
- 病毒类型
- System or Boot Viruses: 移除实际的 Master Boot Record (MBR) 从原路径,病毒在系统引导时从MBR的原始位置响应,首先执行病毒。
- File Viruses文件病毒: 感染可执行文件或 BAT 文件 BAT files.
- Multipartite Viruses多方病毒: 同时感染引导扇区boot sector和文件simultaneously.
- Macro Viruses宏病毒: 专为 Microsoft Office 和其他使用 Visual Basic for Application (VBA) 的应用程序设计。 Visual Basic for Application (VBA).
- Cluster Viruses簇病毒: 旨在攻击和修改文件位置表或目录表。
- Stealth/Tunneling Viruses隧道病毒:为了逃避检测,隐形病毒采用隧道技术通过隧道在反病毒下启动并拦截操作系统中断处理程序的请求。
- Logic Bombs逻辑炸弹: 设计为保持等待状态,直到预定事件发生,然后有效载荷引爆并执行其预期任务,难以检测,难以检测
- Encryption Virus加密病毒:使用加密来避免检测,使用新的加密对副本进行加密和解密。
- Ransomware勒索软件:勒索软件是一种恶意软件程序,它通过加密来限制对系统文件和文件夹的访问。某些类型的勒索软件也可能锁定系统。攻击者要求赎金以提供解密密钥。勒索软件是使用木马部署的。比如WannaCry,类型:
- Cryptobit Ransomware
- CryptoLocker Ransomware
- CryptoDefense Ransomware
- CryptoWall Ransomware
- Police-themed Ransomware 其他类型:
- Metamorphic Viruses
- File Overwriting or Cavity Viruses
- Sparse Infection Viruses
- Companion/Camuflage Viruses
- Shell Viruses
- File Extension Viruses
- Add-on and Intrusive Viruses
- Transient and Terminate and Stay Resident Viruses 病毒生成器
- Sam's Virus Generator
- JPS Virus Maker
- Sonic Bat
Worm蠕虫
蠕虫可以自我复制,但不能自我附着。它有能力在被害者没有操作的行动的情况下旅行。蠕虫可以使用文件传输进行传播,并在病毒无法传播的受感染网络中传播。
- Analysis and Detection Methods探测蠕虫:
- Scanning: 扫描可疑文件的签名字符串
- Check: 检查整个磁盘的完整性,完整性检查器通常通过计算校验和来记录所有文件的完整性calculating checksum
- Interception拦截: 监控来自操作系统的请求, emulation and heuristic analysis仿真和启发式分析 ,通过在复杂的环境中执行包括行为分析和代码分析
Malware Reverse Engineering 恶意软件逆向工程
- sheep Dipping:分析是在专用的计算机上执行的dedicated computer,同时还有端口监控、防病毒和其他安全程序。
- Malware Analysis:识别恶意软件的过程,直到其验证恶意软件已被完全删除,包括观察恶意软件的行为、确定对系统的潜在威胁以及寻找其他措施。Process:
- Creating the testbed创建测试平台: 使用虚拟机作为主机操作系统,通过执行恶意软件进行恶意软件分析,该虚拟机与网络隔离,并与它创建隔离区
- Static and Dynamic malware analysis静态和动态恶意软件分析: 观察行为,使用进程监控工具、数据包监控工具和调试工具,稍后也建立网络连接
Goals of Malware Analysis 恶意软件分析的目的
- Diagnostics of threat severity or level of attack威胁严重性或攻击级别的诊断
- Diagnostics of the type of malware类别诊断
- Scope the attack 攻击范围
- Build defense to secure networks and systems繁育系统建设
- Finding root cause 找到根本原因
- Built incident response actions 应急措施
- Develop anti-malware to eliminate 反恶意软件发展规划
Types of Malware Analysis 恶意软件分析类型
- Static Analysis or Code Analysis静态分析或代码分析,进行Disassemble the binary file反汇编二进制文件, fragmenting the resources分割资源, 不对所有组件都进行甄别.
- Dynamic Analysis or Behavioral Analysis动态分析或行为分析,执行恶意软件并观察其行为. T这些分析在沙盒环境中执行 sandbox environment. Sandboxing沙盒 有助于在复杂环境中以专用方式进行分析。在恶意软件的沙箱化过程中,会在情报数据库中搜索分析报告。诊断记录以备将来使用,有助于更快地响应。
