【正文】 ws2022系統(tǒng)，由于一些參數(shù)的問題，只會(huì)導(dǎo)致 NT死機(jī) – 休眠與掃描：中文 windows， 600個(gè)線程 Nimda 簡(jiǎn)介 ? 影響系統(tǒng)： MS win9x, wind2k, win XP ? 傳播途徑： – Email、文件共享、頁(yè)面瀏覽、 – MS IIS目錄遍歷、 Code Red 后門 ? 影響 – 群發(fā)電子郵件，付病毒 – 掃描共享文件夾， – 掃描有漏洞的 IIS, – 掃描有 Code Red后門的 IIS Server 紅色代碼病毒 ? 紅色代碼病毒是一種結(jié)合了病毒、木馬、DDOS機(jī)制的蠕蟲。 – 2022年 7月中旬，在美國(guó)等地大規(guī)模蔓延。 – 2022年 8月初，出現(xiàn)變種 coderedII，針對(duì)中文版 windows系統(tǒng)，國(guó)內(nèi)大規(guī)模蔓延。 – 通過 80端口傳播。 – 只存在與網(wǎng)絡(luò)服務(wù)器的內(nèi)存，不通過文件載體。 – 利用 IIS緩沖區(qū)溢出漏洞（ 2022年 6月 18日發(fā)布） CodeRed I 在侵入一臺(tái)服務(wù)器后，其運(yùn)行步驟是： 1. 設(shè)置運(yùn)行環(huán)境，修改堆棧指針，設(shè)置堆棧大小為 218h字節(jié)。接著使用 RVA（相對(duì)虛擬地址）查找 GetProcAddress的函數(shù)地址，然后就獲得其他 socket、 connect、 send、 recv、 closesocket等函數(shù)地址； 2. 如果 C:\notworm在，不再進(jìn)一步傳染； 3. 傳染其他主機(jī)。創(chuàng)造 100個(gè)線程，其中 99個(gè)用戶感染其他 WEB服務(wù)器，被攻擊 IP通過一個(gè)算法計(jì)算得出； 4. 篡改主頁(yè)，如果系統(tǒng)默認(rèn)語(yǔ)言為 “ 美國(guó)英語(yǔ) ” ，第 100個(gè)進(jìn)程就將這臺(tái)服務(wù)的主頁(yè)改成 “ Wele to !, Hacked By Chinese!” ，并持續(xù) 10個(gè)小時(shí)。（這個(gè)修改直接在內(nèi)存中修改，而不是修改 *.htm文件）； 5. 如果時(shí)間在 20： 00UTC和 23： 59UTC之間，將反復(fù)和白宮主頁(yè)建立連接，并發(fā)送 98k字節(jié)數(shù)據(jù)，形成 DDOS攻擊。 CodeRed II 增加了特洛依木馬的功能，并針對(duì)中國(guó)網(wǎng)站做了改進(jìn) 1. 計(jì)算 IP的方法進(jìn)行了修改，使病毒傳染的更快； 2. 檢查是否存在 CodeRedII原子，若存在則進(jìn)入睡眠狀態(tài)防止反復(fù)感染，若不存在則創(chuàng)建 CodeRedII原子； 3. 創(chuàng)建 300個(gè)線程進(jìn)行傳染，若系統(tǒng)默認(rèn)語(yǔ)言為簡(jiǎn)體中文或繁體中文，則創(chuàng)建 600個(gè)線程； 4. 檢查時(shí)間。病毒作者的意圖是傳播過程在 2022年 10月 1日完成，之后，蠕蟲會(huì)爆發(fā)而使系統(tǒng)不斷重新啟動(dòng)。 5. 在系統(tǒng)中安裝一個(gè)特洛依木馬： ① 拷貝系統(tǒng)目錄 IIS的腳本執(zhí)行目錄下，改名為 ； ② 將病毒體內(nèi)的木馬解壓縮寫到 C盤和 D盤的 ③ 木馬每次系統(tǒng)和啟動(dòng)都會(huì)運(yùn)行，禁止系統(tǒng)的文件保護(hù)功能，并將 C盤和 D盤通過 web服務(wù)器共享 CodeRed II ? 攻擊形式 其中 IP地址， dir可以是任意命令，比如刪除系統(tǒng)中的文件，向外發(fā)送機(jī)密數(shù)據(jù)等，這個(gè)后門后來也成為了 nimda病毒的一個(gè)傳播模式。 下面是 cert/cc上提供的被攻擊服務(wù)器日志 (CA202211) 20220506 12:20:19 80 GET /scripts/../../winnt/system32/ /c+dir 200 – 20220506 12:20:19 80 GET /scripts/../../winnt/system32/ /c+dir+..\ 200 – 紅色代碼病毒的檢測(cè)和防范 ? 針對(duì)安裝 IIS的 windows系統(tǒng)； ? 是否出現(xiàn)負(fù)載顯著增加（ CPU/網(wǎng)絡(luò)）的現(xiàn)象； ? 用 stat –an檢查是否有許多對(duì)外的 80端口連接 ? 在 web日志中檢查是否有 /?xxx..%u0078%u0000 ％ u00=a HTTP/； ? 查找系統(tǒng)中是否存在文件 c:\ d:\ 以及 ； ? 檢查注冊(cè)表文件中是否增加了 C和 D虛擬目錄，以及文件保護(hù)功能是否被禁止。 ? 在任務(wù)管理器中檢查是否存在兩個(gè) 。 提綱 1. 網(wǎng)絡(luò)攻擊方法 ? 竊聽 ? 口令破解 ? 端口掃描和信息收集 ? 緩沖區(qū)溢出 ? 漏洞掃描 ? 拒絕服務(wù) 2. 惡意移動(dòng)代碼 ? 計(jì)算機(jī)病毒 ? 網(wǎng)絡(luò)蠕蟲 ? 特洛伊木馬 ? 其他惡意代碼 特洛伊木馬 ? 名字來源：古希臘故事 ? 通過偽裝成其他程序、有意隱藏自己惡意行為的程序，通常留下一個(gè)遠(yuǎn)程控制的后門 ? 沒有自我復(fù)制的功能 ? 非自主傳播 – 用戶主動(dòng)發(fā)送給其他人 – 放到網(wǎng)站上由用戶下載 最簡(jiǎn)單的木馬舉例 ls !/bin/sh /bin/mail /etc/passwd ls PATH=./ :/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin 特洛依木馬舉例 ? Back Orifice – Cult of the Dead Cow在 1998年 8月發(fā)布 , 公開源碼軟件，遵守 GPL，是功能強(qiáng)大的遠(yuǎn)程控制器木馬。 – 、 、 ? 在 BO服務(wù)器上啟動(dòng)、停止基于文本的應(yīng)用程序 ? 目錄和文件操作。包括創(chuàng)建、刪除、查看目錄、查找、解壓、壓縮。 ? 共享。創(chuàng)建共享資源 ? HTTP服務(wù)。啟動(dòng)或停止 HTTP服務(wù)。 ? 擊鍵記錄。將 BO服務(wù)器上用戶的擊鍵記錄在一個(gè)文本文件中，同時(shí)記錄執(zhí)行輸入的窗口名。（可以獲得用戶口令） 特洛依木馬 – 視頻輸入、播放。捕捉服務(wù)器屏幕到一個(gè)位圖文件中。 – 網(wǎng)絡(luò)連接。列出和斷開 BO服務(wù)器上接入和接出的連接，可以發(fā)起新連接。 – 查看信息。查看所有網(wǎng)絡(luò)端口、域名、服務(wù)器和可見的共享“出口”。返回系統(tǒng)信息，包括機(jī)器名、當(dāng)前用戶、 CPU類型、內(nèi)存容量及可用內(nèi)存、 Windows版本、驅(qū)動(dòng)器類型、硬盤容量及使用空間。 – 端口重定向。 – 注冊(cè)表 – 鎖住或重啟計(jì)算機(jī)。 – 傳輸文件 特洛依木馬 – 使用 stat –a 檢查是否還有未知端口監(jiān)聽 (默認(rèn) 31337) – 檢測(cè)和刪除 ? 注冊(cè)表HLM\software\microsoft\windows\currentVersion\runservices鍵值，是否有“ Name ‖，若有則刪除 ? C:\windows\system目錄： 刪除“ .exe‖文件和 特洛依木馬 ? 其他木馬 – 國(guó)外 subsever、 dagger 、ACKcmdC、DeepThroat、SatansBackdoor 等 – 國(guó)內(nèi)（更常見） 冰河、廣外女生、spy、黑洞等 刪除木馬的通用方法 ? [windows]節(jié)中 run=和 load＝ ? [boot]節(jié)的 shell= ? win命令 ? 注冊(cè)表 HLM\software\microsoft\windows\currentversion\run HCU\software\microsoft\windows\currentversion\runonce HCR\exefile\shell\open\mand ―%1‖ %* HCU\control panel\desktop\wallpaper 更高級(jí)的木馬技術(shù) ? 服務(wù)器端程序文件的隱藏 – 問題：磁盤上的文件、系統(tǒng)中的進(jìn)程 – 木馬： DLL 陷阱 – 防范： DLL 簽名技術(shù) ? 隱藏端口監(jiān)聽 – 寄生：選擇一個(gè)已經(jīng)打開的端口，如 80 – 潛伏：不使用 TCP/UDP, 使用 ICMP ? 突破防火墻的限制 – 反彈端口型木馬： 突破防火墻的限制 :反彈端口型木馬 Web Server 病毒、蠕蟲與木馬的比較 特性 病毒 蠕蟲 木馬 宿主 需要 不需要 需要 表現(xiàn)形式 不以文件形式存在 獨(dú)立的文件 偽裝成其他文件 傳播方式 依賴宿主文件或介質(zhì) 自主傳播 依靠用戶主動(dòng)傳播 主要危害 破壞數(shù)據(jù)完整性、系統(tǒng)完整性 侵占資源 留下后門，竊取信息 傳播速度 快 極快 慢 提綱 1. 網(wǎng)絡(luò)攻擊方法 ? 竊聽 ? 口令破解 ? 端口掃描和信息收集 ? 緩沖區(qū)溢出 ? 漏洞掃描 ? 拒絕服務(wù) 2. 惡意移動(dòng)代碼 ? 計(jì)算機(jī)病毒 ? 網(wǎng)絡(luò)蠕蟲 ? 特洛伊木馬 ? 其他惡意代碼 ? 功能 – 病毒特征碼的數(shù)量與更新的速度 – 檢測(cè)能力 ? 查全率 ,誤報(bào)率 – 清除能力 – 實(shí)時(shí)防范與保護(hù)能力 ? 性能 ? 算法與軟件結(jié)構(gòu) ? 升級(jí)速度 水木清華 BBS Virus 板 紫丁香 （哈工大） BBS Virus 板 華南木棉 BBS Virus 板