1.什么是恶意软件?
按照传播方式分类
病毒
病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一次感染的出发点。
计算机病毒感染的一般过程为: 当计算机运行染毒的宿主程序时,病毒夺取控制权; 寻找感染的突破口; 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似,它寄生在宿主程序中,进入计算机并借助操作系统和宿主程序的运行,复制自身、大量繁殖。
病毒感染目标包括:硬盘系统分配表扇区(主引导区)、硬盘引导扇区、软盘引导扇区、可执行文件(.exe)、命令文件(.com)、覆盖文件(.ovl)、COMMAND文件、IBMBIO文件、IBMDOS文件
蠕虫
蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝到另一台计算机上的程序。
木马
木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。
按照功能分类
后门
具有感染设备全部操作权限的恶意代码。
典型功能∶
文件管理、屏幕监控、键盘监控、视频监控、命令执行等。
典型家族∶
灰鸽子、pCshare
勒索
通过加密文件,敲诈用户缴纳赎金。
加密特点∶
主要采用非对称加密方式对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密。
其他特点∶
通过比特币或其它虚拟货币交易
利用钓鱼邮件和爆破rdp口令进行传播
典型家族∶
Wannacry、GandCrab、Globelmposter
挖矿
攻击者通过向被感染设备植入挖矿工具,消耗被感染设备的计算资源进行挖矿,以获取数字货币收益的恶意代码。
特点∶
不会对感染设备的数据和系统造成破坏。
由于大量消耗设备资源,可能会对设备硬件造成损害。
- 恶意软件有哪些特征?
恶意代码的特征
病毒感染系统后,无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象。
下载特征
很多木马、后门程序间谍软件会自动连接
后门特征
后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启 并侦听某个端口,允许远程恶意用户来对该系统进行远程操控;
某些情况下,病毒还会自动连接到某IRC站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。
信息收集特性
QQ密码和聊天记录;
网络游戏帐号密码;
网上银行帐号密码;
用户网页浏览记录和上网习惯;
自身隐藏特性
多数病毒会将自身文件的属性设置为“隐藏”、“系统”和“只读”,更有一些病毒会通过修改注册表,从而修改用户对系统的文件夹访问权限、显示权限等,以使病毒更加隐蔽不易被发现。
文件感染特性
病毒会将恶意代码插入到系统中正常的可执行文件中,使得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体;
有的文件型病毒会感染系统中其他类型的文件。
Wannacry就是一种典型的文件型病毒,它分为两部分,一部分是蠕虫部分,利用windows的“永恒之蓝”漏洞进行网络传播。一部分是勒索病毒部分,当计算机感染wannacry之后,勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索。
网络攻击特性
木马和蠕虫病毒会修改计算机的网络设置,使该计算机无法访问网络;
木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络,甚至通过散布虚假网关地址的广播包来欺骗网络中其他计算机,从而使得整个网络瘫痪。
爱虫病毒是一种利用Windows outlook邮件系统传播的蠕虫病毒,将自己伪装成一封情书,邮件主题设置为“I LOVE YOU”,诱使受害者打开,由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的50个联系人再进行发送传播。传播速度非常之快,致使大量电子邮件充斥了整个网络,不仅会导致邮件服务器崩溃,也会让网络受影响变慢。从而达到攻击网络的目的
3. 恶意软件的可分为那几类?
1.病毒
作为最广泛传播的恶意软件,病毒是可自我复制的恶意代码,它依附或内置于可执行文件,以降低用户的警觉性。一旦执行,病毒可感染其他应用程序并继续自我复制。病毒可通过邮件和硬件(USB秘钥和其他计算机外部配件)传输。病毒通常采用隐形技术设计,以避免杀毒软件检测。
2.蠕虫
蠕虫和病毒经常被混为一谈。确实,除了蠕虫是可自我执行的文件外,两者在很多方面都很像。它们不需要用户激活,可在多台计算机上进行自我执行和复制。强大的蠕虫可自我调节,甚至自我修复,Stuxnet就是最显著的例子。
3.木马
木马是恶意代码的盾牌。它们伪装成无害的应用程序,诱使用户从网站下载或从外部存储设备复制该应用程序。视频播放器、游戏和其他免费的互联网服务都是常见的诱饵,可诱使用户下载木马。木马的一个重要特点是:它们不可以自动执行,需要借助目标受害者才能感染其他应用程序。
4.间谍软件、勒索软件和键盘记录
就传播方法而言,病毒、蠕虫和木马都属于恶意软件的第一大类。恶意软件还可以按照功能进行细分。比如,击键记录、间谍软件和勒索软件都是通过病毒、蠕虫或木马进行传播的。击键记录可记录用户在计算机上输入的每条指令,包括密码、信用卡信息和任何其他敏感数据。间谍软件部署后可偷偷激活摄像头和麦克风,收集操作环境的相关信息,暗中监视用户。
勒索软件的攻击目标为具有高价值数据资产的用户和公司。一旦激活,勒索软件可加密和劫持整个数据库,在获取赎金后才进行数据解密。
5.Rootkit、RAT和后门
Rootkit、RAT和后门都属于复杂的恶意软件,旨在获取或绕过计算机的最高权限。一旦部署,攻击者可通过Rootkit获得对Root系统的特权访问。RAT和后门这两种不同的恶意软件,目的是对受害者的计算机进行远程秘密访问,因此攻击者可远程、合法地监视和执行应用程序。
4. 恶意软件的免杀技术有哪些?
修改文件特征码
修改内存特征码
行为免查杀技术
5. 反病毒技术有哪些?
单机反病毒
网关反病毒
6. 反病毒网关的工作原理是什么?
首包检测技术
通过提取PE(Portable Execute;Windows系统下可移植的执行体,包括exe、dll、“
sys等文件类型)文件头部特征判断文件是否是病毒文件。提取PE文件头部数据,这些数据通常带有某些特殊操作,并且采用hash算法生成文件头部签名,与反病毒首包规则签名进行比较,若能匹配,则判定为病毒。
启发式检测技术
启发式检测是指对传输文件进行反病毒检测时,发现该文件的程序存在潜在风险,极有可能是病毒文件。比如说文件加壳(比如加密来改变自身特征码数据来躲避查杀),当这些与正常文件不一致的行为达到一定的阀值,则认为该文件是病毒。启发式依靠的是"自我学习的能力",像程序员一样运用经验判断拥有某种反常行为的文件为病毒文件。启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境的安全性,消除安全隐患,但该功能会降低病毒检测的
性能,且存在误报风险,因此系统默认情况下关闭该功能。
启动病毒启发式检测功能∶heuristic-detect enable 。
文件信誉检测技术
文件信誉检测是计算全文MD5,通过MD5值与文件信誉特征库匹配来进行检测。文件信誉特征库里包含了大量的知名的病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。文件信誉检测依赖沙箱联动或文件信誉库。
7. 反病毒网关的工作过程是什么?
处理过程
1. 网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向。
2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
NGFW支持对使用以下协议传输的文件进行病毒检测。
FTP(File Transfer Protocol):文件传输协议
HTTP(Hypertext Transfer Protocol):超文本传输协议
POP3(Post Office Protocol - Version 3):邮局协议的第3个版本
SMTP(Simple Mail Transfer Protocol):简单邮件传输协议
IMAP(Internet Message Access Protocol):因特网信息访问协议
NFS(Network File System):网络文件系统
SMB(Server Message Block):文件共享服务器
NGFW支持对不同传输方向上的文件进行病毒检测。
上传:指客户端向服务器发送文件。
下载:指服务器向客户端发送文件。
3. 判断是否命中白名单。命中白名单后,FW将不对文件做病毒检测。
白名单由白名单规则组成,管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规则,以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件,每个反病毒配置文件都拥有自己的白名单。
4. 针对域名和URL,白名单规则有以下4种匹配方式:
前缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的前缀是
“example”就命中白名单规则。
后缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的后缀是
“example”就命中白名单规则。
关键字匹配:host-text或url-text配置为“example”的形式,即只要域名或URL中包含
“example”就命中白名单规则。
精确匹配:域名或URL必须与host-text或url-text完全一致,才能命中白名单规则。
5. 病毒检测:
智能感知引擎对符合病毒检测的文件进行特征提取,提取后的特征与病毒特征库中的特征进行匹配。如果匹配,则认为该文件为病毒文件,并按照配置文件中的响应动作进行处理。如果不匹配,则允许该文件通过。当开启联动检测功能时,对于未命中病毒特征库的文件还可以上送沙箱进行深度检测。如果沙箱检测到恶意文件,则将恶意文件的文件特征发送给FW,FW将此恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时,则按照配置文件中的响应动作进行处理。
病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特征进行了定义,同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库后,即可识别出特征库里已经定义过的病毒。同时,为了能够及时识别出最新的病毒,设备上的病毒特征库需要不断地从安全中心平台(sec.huawei.com)进行升级。
6. 当NGFW检测出传输文件为病毒文件时,需要进行如下处理:
判断该病毒文件是否命中病毒例外。如果是病毒例外,则允许该文件通过。
病毒例外,即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生,当用户认为已检测到的某个病毒为误报时,可以将该对应的病毒ID添加到病毒例外,使该病毒规则失效。如果检测结果命中了病毒例外,则对该文件的响应动作即为放行。
如果不是病毒例外,则判断该病毒文件是否命中应用例外。如果是应用例外,则按照应用例外的响应动作(放行、告警和阻断)进行处理。
应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上,同一协议上可以承载多种应用。
由于应用和协议之间存在着这样的关系,在配置响应动作时也有如下规定:
如果只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作。
如果协议和应用都配置了响应动作,则以应用的响应动作为准。
如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。
8. 反病毒网关的配置流程是什么?
处理过程
1. 网络流量进入智能感知引擎后,首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向。
2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
NGFW支持对使用以下协议传输的文件进行病毒检测。
FTP(File Transfer Protocol):文件传输协议
HTTP(Hypertext Transfer Protocol):超文本传输协议
POP3(Post Office Protocol - Version 3):邮局协议的第3个版本
SMTP(Simple Mail Transfer Protocol):简单邮件传输协议
IMAP(Internet Message Access Protocol):因特网信息访问协议
NFS(Network File System):网络文件系统
SMB(Server Message Block):文件共享服务器
NGFW支持对不同传输方向上的文件进行病毒检测。
上传:指客户端向服务器发送文件。
下载:指服务器向客户端发送文件。
3. 判断是否命中白名单。命中白名单后,FW将不对文件做病毒检测。
白名单由白名单规则组成,管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规则,以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件,每个反病毒配置文件都拥有自己的白名单。
4. 针对域名和URL,白名单规则有以下4种匹配方式:
前缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的前缀是
“example”就命中白名单规则。
后缀匹配:host-text或url-text配置为“example”的形式,即只要域名或URL的后缀是
“example”就命中白名单规则。
关键字匹配:host-text或url-text配置为“example”的形式,即只要域名或URL中包含
“example”就命中白名单规则。
精确匹配:域名或URL必须与host-text或url-text完全一致,才能命中白名单规则。
5. 病毒检测:
智能感知引擎对符合病毒检测的文件进行特征提取,提取后的特征与病毒特征库中的特征进行匹配。如果匹配,则认为该文件为病毒文件,并按照配置文件中的响应动作进行处理。如果不匹配,则允许该文件通过。当开启联动检测功能时,对于未命中病毒特征库的文件还可以上送沙箱进行深度检测。如果沙箱检测到恶意文件,则将恶意文件的文件特征发送给FW,FW将此恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时,则按照配置文件中的响应动作进行处理。
病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特征进行了定义,同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库后,即可识别出特征库里已经定义过的病毒。同时,为了能够及时识别出最新的病毒,设备上的病毒特征库需要不断地从安全中心平台(sec.huawei.com)进行升级。
6. 当NGFW检测出传输文件为病毒文件时,需要进行如下处理:
判断该病毒文件是否命中病毒例外。如果是病毒例外,则允许该文件通过。
病毒例外,即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生,当用户认为已检测到的某个病毒为误报时,可以将该对应的病毒ID添加到病毒例外,使该病毒规则失效。如果检测结果命中了病毒例外,则对该文件的响应动作即为放行。
如果不是病毒例外,则判断该病毒文件是否命中应用例外。如果是应用例外,则按照应用例外的响应动作(放行、告警和阻断)进行处理。
应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上,同一协议上可以承载多种应用。
由于应用和协议之间存在着这样的关系,在配置响应动作时也有如下规定:
如果只配置协议的响应动作,则协议上承载的所有应用都继承协议的响应动作。
如果协议和应用都配置了响应动作,则以应用的响应动作为准。
如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。