【正文】 ws2022系統(tǒng)，由于一些參數(shù)的問題，只會導致 NT死機 – 休眠與掃描：中文 windows， 600個線程 Nimda 簡介 ? 影響系統(tǒng)： MS win9x, wind2k, win XP ? 傳播途徑： – Email、文件共享、頁面瀏覽、 – MS IIS目錄遍歷、 Code Red 后門 ? 影響 – 群發(fā)電子郵件，付病毒 – 掃描共享文件夾， – 掃描有漏洞的 IIS, – 掃描有 Code Red后門的 IIS Server 紅色代碼病毒 ? 紅色代碼病毒是一種結合了病毒、木馬、DDOS機制的蠕蟲。 – 2022年 7月中旬，在美國等地大規(guī)模蔓延。 – 2022年 8月初，出現(xiàn)變種 coderedII，針對中文版 windows系統(tǒng)，國內大規(guī)模蔓延。 – 通過 80端口傳播。 – 只存在與網(wǎng)絡服務器的內存，不通過文件載體。 – 利用 IIS緩沖區(qū)溢出漏洞（ 2022年 6月 18日發(fā)布） CodeRed I 在侵入一臺服務器后，其運行步驟是： 1. 設置運行環(huán)境，修改堆棧指針，設置堆棧大小為 218h字節(jié)。接著使用 RVA（相對虛擬地址）查找 GetProcAddress的函數(shù)地址，然后就獲得其他 socket、 connect、 send、 recv、 closesocket等函數(shù)地址； 2. 如果 C:\notworm在，不再進一步傳染； 3. 傳染其他主機。創(chuàng)造 100個線程，其中 99個用戶感染其他 WEB服務器，被攻擊 IP通過一個算法計算得出； 4. 篡改主頁，如果系統(tǒng)默認語言為 “ 美國英語 ” ，第 100個進程就將這臺服務的主頁改成 “ Wele to !, Hacked By Chinese!” ，并持續(xù) 10個小時。（這個修改直接在內存中修改，而不是修改 *.htm文件）； 5. 如果時間在 20： 00UTC和 23： 59UTC之間，將反復和白宮主頁建立連接，并發(fā)送 98k字節(jié)數(shù)據(jù)，形成 DDOS攻擊。 CodeRed II 增加了特洛依木馬的功能，并針對中國網(wǎng)站做了改進 1. 計算 IP的方法進行了修改，使病毒傳染的更快； 2. 檢查是否存在 CodeRedII原子，若存在則進入睡眠狀態(tài)防止反復感染，若不存在則創(chuàng)建 CodeRedII原子； 3. 創(chuàng)建 300個線程進行傳染，若系統(tǒng)默認語言為簡體中文或繁體中文，則創(chuàng)建 600個線程； 4. 檢查時間。病毒作者的意圖是傳播過程在 2022年 10月 1日完成，之后，蠕蟲會爆發(fā)而使系統(tǒng)不斷重新啟動。 5. 在系統(tǒng)中安裝一個特洛依木馬： ① 拷貝系統(tǒng)目錄 IIS的腳本執(zhí)行目錄下，改名為 ； ② 將病毒體內的木馬解壓縮寫到 C盤和 D盤的 ③ 木馬每次系統(tǒng)和啟動都會運行，禁止系統(tǒng)的文件保護功能，并將 C盤和 D盤通過 web服務器共享 CodeRed II ? 攻擊形式 其中 IP地址， dir可以是任意命令，比如刪除系統(tǒng)中的文件，向外發(fā)送機密數(shù)據(jù)等，這個后門后來也成為了 nimda病毒的一個傳播模式。 下面是 cert/cc上提供的被攻擊服務器日志 (CA202211) 20220506 12:20:19 80 GET /scripts/../../winnt/system32/ /c+dir 200 – 20220506 12:20:19 80 GET /scripts/../../winnt/system32/ /c+dir+..\ 200 – 紅色代碼病毒的檢測和防范 ? 針對安裝 IIS的 windows系統(tǒng)； ? 是否出現(xiàn)負載顯著增加（ CPU/網(wǎng)絡）的現(xiàn)象； ? 用 stat –an檢查是否有許多對外的 80端口連接 ? 在 web日志中檢查是否有 /?xxx..%u0078%u0000 ％ u00=a HTTP/； ? 查找系統(tǒng)中是否存在文件 c:\ d:\ 以及 ； ? 檢查注冊表文件中是否增加了 C和 D虛擬目錄，以及文件保護功能是否被禁止。 ? 在任務管理器中檢查是否存在兩個 。 提綱 1. 網(wǎng)絡攻擊方法 ? 竊聽 ? 口令破解 ? 端口掃描和信息收集 ? 緩沖區(qū)溢出 ? 漏洞掃描 ? 拒絕服務 2. 惡意移動代碼 ? 計算機病毒 ? 網(wǎng)絡蠕蟲 ? 特洛伊木馬 ? 其他惡意代碼 特洛伊木馬 ? 名字來源：古希臘故事 ? 通過偽裝成其他程序、有意隱藏自己惡意行為的程序，通常留下一個遠程控制的后門 ? 沒有自我復制的功能 ? 非自主傳播 – 用戶主動發(fā)送給其他人 – 放到網(wǎng)站上由用戶下載 最簡單的木馬舉例 ls !/bin/sh /bin/mail /etc/passwd ls PATH=./ :/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin 特洛依木馬舉例 ? Back Orifice – Cult of the Dead Cow在 1998年 8月發(fā)布 , 公開源碼軟件，遵守 GPL，是功能強大的遠程控制器木馬。 – 、 、 ? 在 BO服務器上啟動、停止基于文本的應用程序 ? 目錄和文件操作。包括創(chuàng)建、刪除、查看目錄、查找、解壓、壓縮。 ? 共享。創(chuàng)建共享資源 ? HTTP服務。啟動或停止 HTTP服務。 ? 擊鍵記錄。將 BO服務器上用戶的擊鍵記錄在一個文本文件中，同時記錄執(zhí)行輸入的窗口名。（可以獲得用戶口令） 特洛依木馬 – 視頻輸入、播放。捕捉服務器屏幕到一個位圖文件中。 – 網(wǎng)絡連接。列出和斷開 BO服務器上接入和接出的連接，可以發(fā)起新連接。 – 查看信息。查看所有網(wǎng)絡端口、域名、服務器和可見的共享“出口”。返回系統(tǒng)信息，包括機器名、當前用戶、 CPU類型、內存容量及可用內存、 Windows版本、驅動器類型、硬盤容量及使用空間。 – 端口重定向。 – 注冊表 – 鎖住或重啟計算機。 – 傳輸文件 特洛依木馬 – 使用 stat –a 檢查是否還有未知端口監(jiān)聽 (默認 31337) – 檢測和刪除 ? 注冊表HLM\software\microsoft\windows\currentVersion\runservices鍵值，是否有“ Name ‖，若有則刪除 ? C:\windows\system目錄： 刪除“ .exe‖文件和 特洛依木馬 ? 其他木馬 – 國外 subsever、 dagger 、ACKcmdC、DeepThroat、SatansBackdoor 等 – 國內（更常見） 冰河、廣外女生、spy、黑洞等 刪除木馬的通用方法 ? [windows]節(jié)中 run=和 load＝ ? [boot]節(jié)的 shell= ? win命令 ? 注冊表 HLM\software\microsoft\windows\currentversion\run HCU\software\microsoft\windows\currentversion\runonce HCR\exefile\shell\open\mand ―%1‖ %* HCU\control panel\desktop\wallpaper 更高級的木馬技術 ? 服務器端程序文件的隱藏 – 問題：磁盤上的文件、系統(tǒng)中的進程 – 木馬： DLL 陷阱 – 防范： DLL 簽名技術 ? 隱藏端口監(jiān)聽 – 寄生：選擇一個已經打開的端口，如 80 – 潛伏：不使用 TCP/UDP, 使用 ICMP ? 突破防火墻的限制 – 反彈端口型木馬： 突破防火墻的限制 :反彈端口型木馬 Web Server 病毒、蠕蟲與木馬的比較 特性 病毒 蠕蟲 木馬 宿主 需要 不需要 需要 表現(xiàn)形式 不以文件形式存在 獨立的文件 偽裝成其他文件 傳播方式 依賴宿主文件或介質 自主傳播 依靠用戶主動傳播 主要危害 破壞數(shù)據(jù)完整性、系統(tǒng)完整性 侵占資源 留下后門，竊取信息 傳播速度 快 極快 慢 提綱 1. 網(wǎng)絡攻擊方法 ? 竊聽 ? 口令破解 ? 端口掃描和信息收集 ? 緩沖區(qū)溢出 ? 漏洞掃描 ? 拒絕服務 2. 惡意移動代碼 ? 計算機病毒 ? 網(wǎng)絡蠕蟲 ? 特洛伊木馬 ? 其他惡意代碼 ? 功能 – 病毒特征碼的數(shù)量與更新的速度 – 檢測能力 ? 查全率 ,誤報率 – 清除能力 – 實時防范與保護能力 ? 性能 ? 算法與軟件結構 ? 升級速度 水木清華 BBS Virus 板 紫丁香 （哈工大） BBS Virus 板 華南木棉 BBS Virus 板