恶意代码原型系统研究成果简述

（一）SIP软交换的测试与分析

对基于SIP协议的通信网络仿真平台进行相关测试，验证目标系统进行的是SIP软交换语音、视频、即时消息通信的能力和通信过程使用的协议。图3-24展示的是SIP客户端发起的通话请求，被叫方接受请求，从而建立通话的过程。

图3-24　客户端建立呼叫

用Wireshark协议分析器捕获数据包并验证其通信协议，从图3-25中可以看出，客户端从注册、发起会话到会话结束均遵循SIP规范。

图3-25　Wireshark捕获的通信过程

（二）蠕虫和隐藏

蠕虫客户端具有自动注入并运行、本地隐藏和自动重启的功能。蠕虫客户端主动与控制中心进行连接，蠕虫客户端自动执行由控制中心下达的命令。通过蠕虫客户端的注入和通信，控制中心能够控制住受控端。蠕虫控制中心的界面如图3-26所示。恶意代码可以隐藏在通信网络常见的平台中，图3-27和图3-28是测试程序在检测到宿主程序运行进程隐藏的对比图，由于程序在客户端是进行了捆绑隐藏的，所以在对方主机上看不到蠕虫客户端的任何进程、文件、端口和注册表信息。网页挂马的主页被点击执行后，蠕虫客户端自动下载并运行，同时蠕虫进程被隐藏。

图3-26　蠕虫与控制中心通信

图3-27　宿主进程隐藏前运行界面

图3-28　宿主进程隐藏后运行界面

（三）攻击策略制订

根据从木马客户端收集到的信息分析结果，制订相应的攻击策略，控制中心通过向木马客户端下达发送攻击方案命令，木马客户端依据命令接收指定的攻击方案，注入和启动攻击方案中指定的一个或多个恶意代码。木马下达指令如图3-29所示。蠕虫客户端依据命令注入信息收集程序并启动其执行，对已获取目标主机的系统信息、网络信息、服务信息、目录列表、敏感文件信息进行规整，使其能正确导入数据库。攻击目标的系统配置信息和文件信息是制订具有针对性的攻击方案的重要依据。我们关注的系统配置信息包括：主机名、操作系统类型及版本、IP地址等相关网络信息、部署的服务信息，以及其运行信息、驱动器等硬件设备信息等。目标系统信息获取如图3-30所示。

图3-29　木马下达指令

图3-30　目标系统信息获取

（四）恶意代码的测试

1.Shellcode的测试

在Shellcode引擎生成后，执行结果如图3-31所示。将生成的Shellcode嵌入后续的恶意代码中，以执行恶意代码的功能。Shellcode引擎大大简化了Shellcode的生成过程。

图3-31　生成的Shellcode

2.基于堆的溢出测试

基于堆的缓冲区溢出攻击不但比基于堆栈的缓冲区溢出攻击更具威胁性，而且隐蔽性更强。实验是从172.168.6.119机器利用Wu-Ftpd的漏洞，远程攻击172.168.6.100的FTP服务器，并且在FTP服务器中检测被入侵的痕迹。

3.格式化字符串测试

采用的是覆盖.dtors表的方法，首先，查询漏洞程序的.dtors表的地址；其次，写入希望执行的Shellcode，最终实现了攻击的，会得到一个具有根用户权限的本地shell。格式化字符串攻击的运行结果如图3-32所示。

图3-32　格式化字符串攻击运行结果

4.内核入侵隐藏测试

在获得被攻击主机上的shell后，可使用攻击机上打开的http服务下载内核攻击程序至被攻击机上。在执行内核入侵程序后，完成内核入侵。在达到信息隐藏目的的同时，还会在被攻击机上开启一个后门进程。图3-33、图3-34和图3-35展示了实验的对比测试结果。(www.xing528.com)

（1）文件隐藏功能对比测试

图3-33　文件隐藏功能对比结果

（2）隐藏网络连接功能的测试

所有被隐藏的进程产生的网络连接都会被隐藏。

图3-34　进程隐藏后网络连接隐藏的测试

但是，在攻击机上可看到网络连接的信息

图3-35　攻击机上网络连接显示

从以上对演示验证系统的测试及结果分析可以看出，对通信网络攻击测试是成功的，而且攻击达到了很好的效果。

5.杀毒软件反制的测试

在Windows XP平台下，在卡巴斯基杀毒软件2011的监视下，观察杀毒软件在反制程序运行前后对恶意程序的发现情况。测试程序运行前后界面如图3-36和图3-37所示。

图3-36　测试程序运行前界面

图3-37　测试程序运行后界面

在测试程序运行前，卡巴斯基杀毒软件2011能检测到病毒；在测试程序运行后，杀毒软件失效。

6.SIP监听与拒绝服务测试

笔者设计了一个通过删除注册表信息使SIP服务器无法启动的恶意代码程序，以测试其破坏效果。首先，通过对注册表的操作（删除、修改相关注册表项），使SIP服务器无法正常提供服务，实现一次拒绝服务类攻击。过滤条件“ip and udp and port 5060”来得到SIP数据包。

图3-38　通信监听类攻击

从图3-38中可以分析出需要的数据，通信双方的用户名是100和101，注册服务器IP地址是192.168.100.200，通信内容是100向101发送了即时消息“hello”。

木马下载执行监听功能的恶意代码DelReg.exe并启动执行，如图3-39和图3-40所示。此后，SIP服务器和客户端无法使用服务。

图3-39　无法显示网页

图3-40　拒绝服务类攻击

（五）攻击效果的反馈

对于根据策略下达的恶意代码，通过恶意代码隐蔽通信技术，实现了以端口复用为基础的隐蔽通信通道传送文件，并且能够将恶意代码的执行结果反馈给控制中心，从而可以掌握恶意代码是否已经达到了预定的执行效果，并判定给对方造成的危害程度。给恶意代码提供隐蔽的通信路径，穿透防火墙，逃过防火墙的拦截，并且在传送数据时没有明显的网络连接，从而使得数据传送得更加隐蔽。通信监听进程和通过隐蔽通道接收的攻击反馈如图3-41和图3-42所示。

图3-41　通信监听进程

图3-42　通过隐蔽通道接收的攻击反馈