恶意文件分类

木马文件(Tronjan)

1.1 病毒介绍

木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。木马病毒其实是计算机黑客用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中,里应外合,对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性,可以根据黑客意图突然发起攻击。

1.2 行为特征/攻击方式

木马的种类很多,主要有以下几种:

其一,远程控制型,如冰河。远程控制型木马是现今最广泛的特洛伊木马,这种木马起着远程监控的功能,使用简单,只要被控制主机联入网络,并与控制端客户程序建立网络连接,控制者就能任意访问被控制的计算机。

其二,键盘记录型。键盘记录型木马非常简单,它们只做一种事情,就是记录受害者的键盘敲击,并且在LOG文件里进行完整的记录,然后通过邮件或其他方式发送给控制者。

其三,密码发送型。密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。这类木马程序大多不会在每次都自动加载,一般都使用25端口发送电子邮件。

其四,反弹端口型。反弹端口型木马的服务端使用主动端口,客户端使用被木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连接控制端打开的主动端口。为了隐蔽起见,控制端的被动端口一般开在8O,稍微疏忽一点,用户就会以为是自己在浏览网页。

1.3 挖矿木马

1.3.1 什么是挖矿木马?

攻击者通过各种手段将挖矿程序植入受害者的计算机中,在受害者不知情的情况下利用其计算机的云算力进行挖矿,从而获取利益,这类非法植入用户计算机的挖矿程序就是挖矿木马。

1.3.2 挖矿木马挖什么?

由于比特币的成功,许多基于区块链技术的数字货币纷纷问世,如以太币、达世币等;从深信服安全团队接到的挖矿木马案例来看,门罗币是最受挖矿木马青睐的数字货币,主要有如下几个原因:

1. 门罗币交易价格可观;

2. 门罗币是一种匿名币,安全性更高;

3. 门罗币的算法通过计算机CPU和GPU即可进行运算,不需要其他特定的硬件支持;

4. 互联网上开源的门罗币挖矿项目很多,方便使用;

5. 暗网支持门罗币交易。

1.3.3 为什么会中挖矿木马?

1. 软件捆绑:用户下载运行来历不明的破解软件

2. 垃圾邮件:用户运行了钓鱼邮件中的附件

3. 漏洞传播:用户没有及时修补漏洞,目前大部分挖矿木马都会通过漏洞传播

4. 网页挖矿:用户访问了植入挖矿脚本的网页,浏览器会解析脚本进行挖矿

后门程序(Backdoor)

1.1 病毒介绍

后门程序就是留在计算机系统中,供某位特殊使用者通过某种特殊方式控制计算机系统的途径。

后门程序,跟我们通常所说的"木马"有联系也有区别。联系在于:都是隐藏在用户系统中向外发送信息,而且本身具有一定权限,以便远程机器对本机的控制。区别在于:木马是一个完整的软件,而后门则体积较小且功能都很单一。后门程序类似于特洛依木马(简称"木马"),其用途在于潜伏在电脑中,从事搜集信息或便于黑客进入的动作。

后门程序和电脑病毒最大的差别,在于后门程序不一定有自我复制的动作,也就是后门程序不一定会“感染”其它电脑。

后门是一种登录系统的方法,它不仅绕过系统已有的安全设置,而且还能挫败系统上各种增强的安全设置。

1.2 行为特征/攻击方式

网页后门此类程序一般都是服务器上正常 的web服务来构造自己的连接方式,比如非常流行的ASP、cgi脚本后门等。

扩展后门,在普通意义上理解,可以看成是将非常多的功能集成到了后门里,让后门本身就可以实现很多功能,方便直接控制肉鸡或者服务器,这类的后门非常受初学者的喜爱,通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能,本身就是个小的工具包,功能强大。

账号后门技术是指黑客为了长期控制目标计算机,通过后门在目标计算机中建立一个备用管理员账户的技术。一般采用克隆账户技术。克隆账户一般有两种方式,一个是手动克隆账户,一个是使用克隆工具。

1.3 案例

海阳顶端:

这是ASP脚本方面流传非常广的一个脚本后门了,在经过几次大的改革后,推出了“海阳顶端ASP木马XP版”、“海阳顶端ASP木马红粉佳人版”等功能强大、使用方便的后门,想必经常接触脚本安全的朋友对这些都不会陌生。

首先我们通过某种途径获得一个服务器的页面权限(比如利用论坛上传达室类型未严格设置、SQL注入后获得ASP系统的上传权限、对已知物理路径的服务器上传特定程序),然后我们可以通过简单的上传ASP程序或者是直接复制海阳项端的代码,然后通过WEB访问这个程序,就能很方便地查阅服务器上的资料了

蠕虫病毒(Worm)

1.1 病毒介绍

蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。当这些新的被蠕虫入侵的计算机被控制之后,蠕虫会以这些计算机为宿主继续扫描并感染其他计算机,这种行为会一直延续下去。蠕虫使用这种递归的方法进行传播,按照指数增长的规律分布自己,进而及时控制越来越多的计算机。

蠕虫可以通过计算机网络,电子邮件,即时消息服务,社交网络,可移动媒体和其他渠道传播。

1.2 行为特征/攻击方式

1、行为特征

(1)、较强的独立性

计算机病毒一般都需要宿主程序,病毒将自己的代码写到宿主程序中,当该程序运行时先执行写入的病毒程序,从而造成感染和破坏。而蠕虫病毒不需要宿主程序,它是一段独立的程序或代码,因此也就避免了受宿主程序的牵制,可以不依赖于宿主程序而独立运行,从而主动地实施攻击。

(2)、利用漏洞主动攻击

由于不受宿主程序的限制,蠕虫病毒可以利用操作系统的各种漏洞进行主动攻击。例如,“尼姆达”病毒利用了IE游览器的漏洞,使感染病毒的邮件附件在不被打开的情况下就能激活病毒;“红色代码”利用了微软IlSl服务器软件的漏洞(idq.dll远程缓存区溢出)来传播;而蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行攻击。 

(3)、传播更快更广

蠕虫病毒比传统病毒具有更大的传染性,它不仅仅感染本地计算机,而且会以本地计算机为基础,感染网络中所有的服务器和客户端。蠕虫病毒可以通过网络中的共享文件夹、电子邮件、恶意网页以及存在着大量漏洞的服务器等途径肆意传播,几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致。因此,蠕虫病毒的传播速度可以是传统病毒的几百倍,甚至可以在几个小时内蔓延全球。 

(4)、更好的伪装和隐藏方式

为了使蠕虫病毒在更大范围内传播,病毒的编制者非常注重病毒的隐藏方式。在通常情况下,我们在接收、查看电子邮件时,都采取双击打开邮件主题的方式来浏览邮件内容,如果邮件中带有病毒,用户的计算机就会立刻被病毒感染。 

(5)、技术更加先进

一些蠕虫病毒与网页的脚本相结合,利用VBScript,Java,ActiveX等技术隐藏在HTML页面里。当用户上网游览含有病毒代码的网页时,病毒会自动驻留内存并伺机触发。还有一些蠕虫病毒与后门程序或木马程序相结合,比较典型的是“红色代码病毒”,病毒的传播者可以通过这个程序远程控制该计算机。这类与黑客技术相结合的蠕虫病毒具有更大的潜在威胁。 

(6)、使追踪变得更困难

当蠕虫病毒感染了大部分系统之后,攻击者便能发动多种其他攻击方式对付一个目标站点,并通过蠕虫网络隐藏攻击者的位置,这样要抓住攻击者会非常困难。 

2、传播过程

(1)、扫描

由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。

(2)、攻击

攻击模块按漏洞攻击步骤自动攻击步骤l中找到的对象,取得该主机的权限(一般为管理员权限),获得一个shell。 

(3)、复制

复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。可以看到,传播模块实现的实际上是自动入侵的功能。所以蠕虫的传播技术是蠕虫技术的首要技术。

3、传播途径

(1)、利用漏洞

这种方式是网络蠕虫最主要的破坏方式,也是网络蠕虫的一个最显著的特点。网络蠕虫攻击时,首先探测目标计算机存在的漏洞,然后根据探测到的漏洞建立传播路径,最后实施攻击。

(2)、依赖Email传播

以电子邮件附件的形式进行传播是网络蠕虫采用的主要传播方式,蠕虫编写者通过向用户发送电子邮件,用户在点击电子邮件附件时,网络蠕虫就会感染此计算机。

(3)、依赖网络共享

网络共享是网络蠕虫传播的重要途径之一,网络蠕虫利用共享网络资源进行传播。

(4)、弱密码攻击

若用户的密码很容易猜测,网络蠕虫则会在攻克了用户密码后进入计算机并获得其控制权。所以用户应该设置复杂的密码,增加破解难度。

4、入侵过程

第一步:用各种方法收集目标主机的信息,找到可利用的漏洞或弱点。方法包括用扫描器扫描主机,探测主机的操作系统类型、版本,主机名,用户名,开放的端口,开放的服务,开放的服务器软件版本等。当然是信息搜集的越全越好。搜集完信息后进入第二步。

第二步:针对目标主机的漏洞或缺陷,采取相应的技术攻击主机,直到获得主机的管理员权限。对搜集来的信息进行分析,找到可以有效利用的信息。如果有现成的漏洞可以利用,上网找到该漏洞的攻击方法,如果有攻击代码就直接COPY下来,然后用该代码取得权限;如果没有现成的漏洞可以利用,就用根据搜集的信息试探猜测用户密码,另一方面试探研究分析其使用的系统,争取分析出—个可利用的漏洞。第三步:利用获得的权限在主机上安装后门、跳板、控制端、监视器等等,清除日志。有了主机的权限,就可以进入计算机系统完成想完成的任务了。

1.3 案例

熊猫烧香(变种)、求职信”病毒(Worm_Klez)

感染型病毒(Virus)

1.1 病毒介绍

感染型病毒要求主机通过修改主机或以某种方式将其自身插入“命令链”来使其自身附着。通过这种方式,该病毒不仅可以确保在启动主机时就可以执行该病毒,而且还可以自我复制,因为受感染的文件已被复制,下载或以其他方式转移到其他计算机系统。它的名称基于这样一个事实,即其行为与生物病毒的行为非常相似。

1.2 行为特征/攻击方式

感染型病毒由于其自身的特性,需要附加到其他宿主程序上进行运行,并且为了躲避杀毒软件的查杀,通常感染型病毒都会将自身分割、变形或加密后,再将自身的一部分或者全部附加到宿主程序上。一旦一个病毒文件执行,它很有可能就将系统中的绝大多数程序文件都加入病毒代码,进而传播给其它的电脑。

文件被感染的结果取决于病毒的作者,有可能只是将恶意代码附加在文件后面,程序可以正常使用;也可能会直接改写程序,导致程序运行报错崩溃等。

1.3 案例

Sality:病毒运行后,会终止安全相关软件和服务,感染系统内的exe和scr文件。并且注入病毒线程到所有进程中,在后台下载病毒到系统。同时它创建自身拷贝到可移动设备或者网络共享中,以达到传播的目的。

熊猫烧香:将文件的图标改为熊猫烧香图案,但不影响程序本身的功能

勒索病毒(Ransom)

1.1 病毒介绍

主机感染勒索病毒文件后,会在主机上运行勒索程序,遍历本地所有磁盘指定类型文件进行加密操作,加密后文件无法读取。随后生成勒索通知,要求受害者在规定时间内支付一定价值的比特币才能恢复数据,否则会被销毁数据。

1.2 行为特征/攻击方式

特征:

    ①生成勒索文档或桌面,提供了黑客信息要求进行付款

    ②文件被加密,无法打开,并会被更改文件后缀为同一名称

传播方式

    暴力破解(通过暴力破解RDP端口、SSH端口,数据库端口)

    Exploit Kit分发(通过黑色产业链中的Exploit Kit来分发勒索软件)

    僵尸网络分发(通过自动传播感染的僵尸网络作为下载器,下载执行勒索病毒)

    钓鱼邮件(恶意代码伪装在邮件附件中,诱使打开附件)

    蠕虫式传播(通过漏洞和口令进行网络空间中的蠕虫式传播)

    注:国内常见的勒索病毒攻击方式为RDP暴力破解后,人工内网渗透,与安全软件进行对抗,手动运行勒索病毒加密;少部分通过漏洞利用、僵尸网络和钓鱼邮件进行攻击,目前几乎没有蠕虫式传播的勒索病毒,曾经爆发的wannacry家族已不具有加密威胁。

    

加密方式:非对称加密+对称加密(如:RSA+AES)

1.3 案例

WannaCry勒索病毒:2017年5月12日WannaCry在全球爆发,勒索病毒使用MS17-010永恒之蓝漏洞进行传播感染。短时间内感染全球30w+用户,包括学校、医疗、政府等各个领域

Globelmposter勒索病毒:首次出现在2017年5月,主要钓鱼邮件传播,期间出现多种变种会利用RDP进行传播

漏洞利用(Exploit)

1.1 病毒介绍

主要通过对已知的系统漏洞或重要程序的公开漏洞进行利用,攻击对象为未及时打补丁的主机。

1.2 行为特征/攻击方式

通过shellcode对漏洞进行利用攻击,从而达到提权或破坏的作用。

1.3 案例

永恒之蓝漏洞

挖矿病毒(Miner)

1.1 病毒介绍

挖矿木马,是近年兴起的网络安全威胁,2017年下半年开始进入普通用户的视野,而2018年开始流行。中挖矿木马的计算机,其计算机资源被大量占用用于数字加密币的挖掘。

1.2 行为特征/攻击方式

中了挖矿病毒的主机,会出现操作卡顿,cpu占用率高等现象。

挖矿病毒一般会开启进程进行数字货币挖掘,并且创建定时任务,定时启动。

1.3 案例

老一辈家族: BillGates

新生代家族: DDG、SystemdMiner、StartMiner、WatchDogMiner、XorDDos、Icnanker

IoT家族: Mirai、Gafgyt

宏病毒(Macro)

1.1 病毒介绍

宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。

1.2 行为特征/攻击方式

1、行为特征

(1)传播极快

Word宏病毒通过.DOC文档及.DOT模板进行自我复制及传播,而计算机文档是交流最广的文件类型。人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染,而对外来的文档文件基本是直接浏览使用,这给Word宏病毒传播带来很多便利。特别是Internet网络的普及,Email的大量应用更为Word宏病毒传播铺平道路。根据国外较保守的统计,宏病毒的感染率高达40%以上,即在现实生活中每发现100个病毒,其中就有40多个宏病毒,而国际上普通病毒种类已达12000多种。

(2)制作、变种方便

以往病毒是以二进制的计算机机器码形式出现,而宏病毒则是以人们容易阅读的源代码宏语言WordBasic形式出现,所以编写和修改宏病毒比以往病毒更容易。世界上的宏病毒原型己有几十种,其变种与日俱增,追究其原因还是Word的开放性所致。Word病毒都是用WordBasic语言所写成,大部分Word病毒宏并没有使用Word提供的Execute-Only处理函数处理,它们仍处于可打开阅读修改状态。所有用户在Word工具的宏菜单中很方便就可以看到这种宏病毒的全部面目。当然会有“不法之徒”利用掌握的Basic语句简单知识把其中病毒激活条件和破坏条件加以改变,立即就生产出了一种新的宏病毒,甚至比原病毒的危害更加严重。

(3)破坏可能性极大

鉴于宏病毒用WordBasic语言编写,WordBasic语言提供了许多系统级底层调用,如直接使用DOS系统命令,调用WindowsAPI,调用DDE或DLL等。这些操作均可能对系统直接构成威胁,而Word在指令安全性、完整性上检测能力很弱,破坏系统的指令很容易被执行。宏病毒Nuclear就是破坏操作系统的典型一例。

(4)多平台交叉感染

宏病毒冲破了以往病毒在单一平台上传播的局限,当WORD、EXCEL这类著名应用软件在不同平台(如Windows、Windo_wsNT、OS/2和MACINTOSH等)上运行时,会被宏病毒交叉感染。

2、攻击方式

1、U盘交流染毒文档文件;

2、硬盘染毒,处理的文档文件必将染毒;

3、光盘携带宏病毒;

4、Internet上下载染毒文档文件;

5、BBS交流染毒文档文件;

6、电子邮件的附件夹带病毒。

1.3 案例

TaiwanNo.1

CAD病毒

1.1 病毒介绍

专门感染CAD的病毒,一般在你的CAD文件的目录下生成ACAD.lsp文件。.lsp文件是Auto lsp程序,它的内容对电脑没有危害,但可能会损坏你做的图。

1.2 行为特征/攻击方式

该病毒利用CAD的读取机制,在第一次打开带有病毒的图纸后,该病毒即悄悄运行,并感染每一张新打开的图纸,将病毒文件到处复制,并生成很多名为acad.lsp的程序。即便是重装CAD甚至重装系统都不能解决问题。病毒感染计算机系统后,会在搜索AutoCAD软件数据库路径下的自动运行文件(acad.lsp)后,生成一个备份文件acadapp.lsp,其内容和自动运行文件一样。打开CAD图纸时,软件就会运行加载该文件,同时在存放图纸文件的目录中生成两个文件(acad.lsp和acadapp.lsp)的副本。

1.3 案例

acad.lsp、acad.fas、acad.vlx

内核劫持(Rootkit)

1.1 病毒介绍

rootkit是允许某人控制操作系统的特定方面而不暴露他或她的踪迹的一组代码。从根本上说来,用户无法察觉这种特性构成了rootkit。rootkit会想尽办法去隐藏自己的网络、进程、I/O等信息(注意,这里所谓的隐藏,只是针对ring3的ui隐藏,内核层的功能不能隐藏,否则rootkit自己也无法使用功能了),所以,rootkit的攻防问题很大程度上是一个ring0争夺战的问题,监控程序必须直接深入到系统的底层去获取最原始的数据,才能避免因为rootkit的ring3隐藏导致的误判。

1.2 行为特征/攻击方式

一个典型rootkit包括:

1、以太网嗅探器程序,用于获得网络上传输的用户名和密码等信息。

2、特洛伊木马程序,例如:inetd或者login,为攻击者提供后门。

3、隐藏攻击者的目录和进程的程序,例如:ps、netstat、rshd和ls等。

4、可能还包括一些日志清理工具,例如:zap、zap2或者z2,攻击者使用这些清理工具删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。

一些复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。还包括一些用来清理/var/log和/var/adm目录中其它文件的一些脚本。

1.3 案例

adore-ng、Diamorphine、 suterusu

广告软件(Adware)

1.1 病毒介绍

广告软件(广告支持的软件)是任何播放,显示或下载广告内容到用户计算机的软件应用程序。

典型功能包括弹出窗口或横幅,更改网页和Web浏览器中的搜索引擎设置等。某些广告软件是在计算机用户许可的情况下安装的:例如,在与广告软件捆绑在一起的合法应用程序的安装过程中。各种可疑工具栏就是这种情况。

1.2 行为特征/攻击方式

采用多种社会和技术手段,强行或者秘密安装,并抵制卸载;

强行修改用户软件设置,如浏览器的主页,软件自动启动选项,安全选项;

强行弹出广告,或者其他干扰用户、占用系统资源行为;

有侵害用户信息和财产安全的潜在因素或者隐患;

与电脑病毒联合侵入用户电脑;

停用杀毒软件或其他电脑管理程序来做进一步的破坏;

未经用户许可,或者利用用户疏忽,或者利用用户缺乏相关知识,秘密收集用户个人信息、秘密和隐私;

恶意篡改注册表信息;

威胁恐吓或误导用户安装其他的产品。

1.3 案例

2345浏览器自带全家桶

威胁命名规则

1、 四段式

人工入库会采用比较标准的四段式来对恶意文件进行命名,格式为:主要分类.平台环境.家族信息.变种编号

其中重点关注“主要分类”和“家族信息”是否有一些可以进行识别的关键字。

例如:Trojan.Win32.Dorkbot.a

我们可以知道这是一个木马病毒,属于Dorkbot家族的变种,就可以通过搜索引擎寻找Dorkbot家族的信息,从而进行进一步了解和分析。