主要恶意代码形态及原理概述——四室周六讲座

标签:无 741人阅读 评论(0)

本次讨论班报告人是来自于六室的刘潮歌老师,主要研究恶意代码、追踪溯源、web安全、APT等。

主要内容包括一下部分:

image.png

恶意代码是网络攻击的的核心要素,主要运用“社工”、“N-day”、“U盘”而非“0-day”进行攻击。

首先谈到了病毒,文件型病毒的结构如下:

image.png

当打开文件后,则执行病毒程序。文件型病毒中比较了解的是宏病毒,它的执行步骤如下:

image.png

接下来刘老师讲了蠕虫的定义,蠕虫需要主动发现攻击目标,并且主动执行的。

然后,介绍了软件后门威胁模型:

image.png

首先是认证后门,这个主要是研发过程中硬编码了账号:

image.png


其次是逻辑后门

image.png

逻辑后门比较出名是“中国采到案例”。

内部组件后门的典型案例是“XcodeGhost”。开发者修改了第三方库并上传,因网络原因,其他人员不是从官方网站下载转而向第三方获取公开的库,从而导致严重的网络安全事件。

image.png

外部组件后门比较知名的事件是“Wormhole”,其运行原理如下所示。

image.png

此外还有僵尸网络,这个比较普遍的应用是ddos。

image.png

通常,为了管理众多的僵尸主机,攻击者需要大量的资源。僵尸网络的组成为:

image.png

僵尸网络主要的命令控制协议有:

image.png

首先使用的IRC,通过中间的服务控制僵尸主机。

随着僵尸主机规模的扩大的需要,出现了Domain flux:

image.png

为了隐匿以及cloud的出现,出现了URL  flux:

image.png

这种方式传播快,但隐匿性还不够强,后来就出现了 P2P协议:

image.png

作为对僵尸网络的总结,刘老师最后讲述了相关方面的研究:

image.png

最后,介绍了APT以及比较代表性的“震网”事件,以及近几年比较出名的勒索软件。

查看评论

暂无评论

发表评论
  • 评论内容:
      
首页
团队介绍
发展历史
组织结构
MESA大事记
新闻中心
通知
组内动态
科研成果
专利
论文
项目
获奖
软著
人才培养
MESA毕业生
MESA在读生
MESA员工
招贤纳士
走进MESA
学长分享
招聘通知
招生宣传
知识库
文章
地址:北京市朝阳区华严北里甲22号楼五层 | 邮编:100029
邮箱:nelist@iie.ac.cn
京ICP备15019404号-1