恶意软件、反病毒网关简析

目录

1. 什么是恶意软件/p>

病毒：通过文件传播

蠕虫：通过网络传播

木马：捆绑、利用网页

后门：具有感染设备全部操作权限的恶意代码

挖矿：攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的恶意代码。

2. 恶意软件有哪些特征/p>

下载特征

后门特征

信息收集特征

自身隐藏特性

文件感染特性

网络攻击特征

病毒威胁的场景

3. 恶意软件的免杀技术有哪些/p>

4. 反病毒技术有哪些/p>

5. 反病毒网关的工作原理是什么/p>

6. 反病毒网关的工作过程是什么/p>

1. 网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类

2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

3. 判断是否命中白名单。命中白名单后，FW将不对文件做病毒检测。

4. 针对域名和URL，白名单规则有以下4种匹配方式：

5. 病毒检测：

6. 当NGFW检测出传输文件为病毒文件时，需要进行如下处理：

7. 反病毒网关的配置流程是什么/p>

---

1. 什么是恶意软件/h2>

按传播方式分类

病毒：通过文件传播

病毒是一种基于硬件或操作系统的程序，有传染和破坏能力。其必须依托于宿主才能工作。本质是一种寄生行为对宿主造成破坏，不能独立存在，病毒攻击的宿主程序是病毒的栖身地，也是病毒的传播目的地，又是下一次感染的出发点。病毒可感染操作系统的存储扇区和可执行文件，命令文件，覆盖文件，command文件等。

计算机病毒感染的一般过程为：当计算机运行染毒的宿主程序时，病毒夺取控制权；寻找感染的突破口；将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似，它寄生再宿主机程序中，进入计算机并借助操作系统和宿主程序的运行，复制自身，大量繁殖。

比较熟知的就是”熊猫烧香病毒”

“熊猫烧香”，是由李俊制作并肆虐网络的一款电脑病毒，熊猫烧香跟灰鸽子不同，是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒，它不但能感染系统的exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件（该类文件是一系统备份工具“GHOST”的备份文件，删除后会使用户的系统备份文件丢失）。 

蠕虫：通过网络传播

蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝到另一台计算机上的程序。与病毒的区别是蠕虫病毒是有自我行动能力的不用像病毒需要借助正常文件来传播。蠕虫中模块有很多，主要的传播模块控制传播方式，借助扫描模块扫描网络，发现网络中其他终端，扫描其漏洞进行传播复制。

最初的蠕虫病毒定义是因为在DOS环境中，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母将其改形。

永恒之蓝：2017年4月14日晚，黑客团队Shadow Brokers（影子经纪人）公布了一大批网络攻击工具，其中包含“永恒之蓝”工具，“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日，不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒，英国、俄罗斯、整个欧洲以及中国内多个高校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件。

原理：

 

 

木马：捆绑、利用网页

木马时攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般是由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。它需要进行配置。

黑客利用木马配置工具生成一个木马的服务端；通过各种手段如Spam、Phish、Worm等安装到用户终端；利用社会工程学，或者其他技术手段使得木马运行；木马窃取用户隐私信息发送给黑客；同时允许黑客控制用户终端

列如裸聊诈骗，通过诱惑，让受害人下载木马软件，最后监控其摄像头或者获取受害人通讯录以及其他私密信息

原理：

 

按照功能分类

后门：具有感染设备全部操作权限的恶意代码

典型功能：文件管理、屏幕监控、键盘监控、视频监控、命令执行等

典型家族：灰鸽子、pcshare

勒索：通过加密文件，敲诈用户缴纳赎金

加密特点：

~主要采用非对称加密方式

~对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密

其他特点：

~通过比特币或其他虚拟货币

~利用钓鱼邮件和爆破rdp口令进行传播

~典型家族：Wannacry、GandCrab、Globelmposter

挖矿：攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的恶意代码。

特点：

~不会对感染设备的数据和系统造成破坏

~由于大量消耗设备资源，可能会对设备硬件造成损害

2. 恶意软件有哪些特征/h2>

病毒感染系统后，无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象。

下载特征

很多木马、后面程序间谍软件会自动连接到 Internet  某Web站点，下载其他病毒文件或者该病毒自身的更新版本/其他变种。

后门特征

后面程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控；

某些情况下，病毒还会自动连接到某IRC站点某频道中，使得该频道中特定的恶意用户远程访问受感染的计算机

信息收集特征

~qq密码和聊天记录；

~网络游戏账号密码；

~网上银行账号密码；

~用户网页浏览记录和上网习惯；

自身隐藏特性

多数病毒会将自身文件的属性设置为”隐藏“、”系统“和”只读“，更有些病毒会通过修改注册表，从而修改用户对系统的文件夹访问权限，显示权限等，以使病毒更加隐蔽和不易被发现。

文件感染特性

病毒会将恶意代码插入到系统中正常可执行文件中，使得系统正常文件中，使得系统正常文件被破坏而无法允许，或使系统正常文件感染病毒而成为病毒体；

有的文件型病毒会感染系统中其他类型的文件。

Wannacry就是一种典型的文件型病毒，它分为两部分，一部分是蠕虫部分，利用windows的”永恒之蓝“漏洞进行网络传播。一部分是勒索病毒部分，当计算机感染wannacry后，勒索病毒部分就会自动安装并加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行勒索。

网络攻击特征

木马和蠕虫病毒会修改计算机的网络设置，使得计算机无法访问网络

木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络，甚至通过帆布虚假弯管地址的广播包来棋牌你网络中其他计算机，从而使得整个网络瘫痪。

爱虫病毒是一种利用Windows outlook邮件系统传播的蠕虫病毒，将自己伪装成一封情书，邮件主题设置为”i love you“，诱使受害者打开，由此得名。当爱虫病毒运行后迅速找到邮箱通信薄里的50个联系人再进行发送传播。传播速度非常之快，致使大量电子邮件充斥了整个网络，不仅会导致邮件服务器崩溃，也会让网络受影响变慢。从而达到攻击网络的目的。

病毒威胁的场景

3. 恶意软件的免杀技术有哪些/h2>

恶意代码希望能顺利绕过杀毒软件与防火墙，在受害者的计算机中长期隐藏下去，并能在必要的时候向攻击者提供有用的信息。

免杀技术又称为免杀病毒（Anti Anti-Virus）技术。是防止恶意代码免于被杀毒设备查杀的技术。主流免杀技术如下：

~修改文件特征码

~修改内存特征码

~行为免杀技术

原理

免杀的最基本思想就是破坏特征，这个特征有可能是特征码，有可能是行为特征，只要破坏了病毒与木马所固有的特征，并保证其原有功能没有改变，一次免杀就能完成了。 特征码就是反病毒软件用于判断文件是否带病毒的一段独一无二的代码，这些特征码在不同的反病毒软件的病毒库中不尽相同。 特征码就是一种只在病毒或木马文件内才有的独一无二的特征，它或是一段字符，或是在特定位置调用的一个函数。总之，如果某个文件具有这个特征码，那反病毒软件就会认为它是病毒。反过来，如果将这些特征码从病毒、木马的文件中抹去或破坏掉，那么反病毒软件就认为这是一个正常文件了。 ~改特征码免杀 ~花指令免杀 ~加壳免杀 ~内存免杀 ~行为免杀

4. 反病毒技术有哪些/h2>

单机反病毒

检测工具 单机反病毒可以通过安装杀毒软件实现，也可以通过专业的防病毒工具实现。 病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能。 常见的病毒检测工具包括： TCP View Regmon Filemon Process Explorer IceSword Process Monitor Wsyscheck SREng Wtool Malware Defender 杀毒软件 杀毒软件主要通过一些引擎技术来实现病毒的查杀，比如以下主流技术： 特征码技术 杀毒软件存在病毒特征库，包含了各种病毒的特征码，特征码是一段特殊的程序，从病毒样本中抽取而来，与正常的程序不太一样。把被扫描的信息与特征库进行对比，如果匹配到了特征库，则认为该被扫描信息为病毒 行为查杀技术 病毒在运行的时候会有各种行为特征，比如会在系统里增加有特殊后缀的文件，监控用户行为等，当检测到某被检测信息有这些特征行为时，则认为该被检测信息为病毒。 常见的杀毒软件举例 ：瑞星金山毒霸 360 安全软件卡巴斯基赛门铁克 Mcafee 网关反病毒 在以下场合中，通常利用反病毒特性来保证网络安全： 内网用户可以访问外网，且经常需要从外网下载文件。 内网部署的服务器经常接收外网用户上传的文件。 FW作为网关设备隔离内、外网，内网包括用户PC和服务器。内网用户可以从外网下载文件，外网用户 可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全，需要在FW上配置反病毒功 能。 在FW上配置反病毒功能后，正常文件可以顺利进入内部网络，包含病毒的文件则会被检测出来，并被采 取阻断或告警等手段进行干预。

 

5. 反病毒网关的工作原理是什么/h2> 首包检测技术 通过提取 PE （ Portable Execute;Windows 系统下可移植的执行体，包括 exe 、 dll 、 “sys 等文件类型）文 件头部特征判断文件是否是病毒文件。提取 PE 文件头部数据，这些数据通常带有某些特殊操作，并且采 用 hash 算法生成文件头部签名，与反病毒首包规则签名进行比较，若能匹配，则判定为病毒。 启发式检测技术 启发式检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是 病毒文件。比如说文件加壳（比如加密来改变自身特征码数据来躲避查杀），当这些与正常文 件不一致的行为达到一定的阀值，则认为该文件是病毒。 启发式依靠的是 “ 自我学习的能力 “ ，像程序员一样运用经验判断拥有某种反常行为的文件为病 毒文件。 启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境 的安全性，消除安全隐患，但该功能会降低病毒检测的性能，且存在误报风险，因此系统默认 情况下关闭该功能。 启动病毒启发式检测功能∶ heuristic-detect enable 文件信誉检测技术 文件信誉检测是计算全文 MD5 ，通过 MD5 值与文件信誉特征库匹配来进行检测。文件信誉特 征库里包含了大量的知名的病毒文件的 MD5 值。华为在文件信誉检测技术方面主要依赖于文 件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。 文件信誉检测依赖沙箱联动或文件信誉库

6. 反病毒网关的工作过程是什么/h2>

1. 网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类

型和文件传输的方向。

2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

NGFW 支持对使用以下协议传输的文件进行病毒检测。 FTP （ File Transfer Protocol ）：文件传输协议 HTTP （ Hypertext Transfer Protocol ）：超文本传输协议 POP3 （ Post Office Protocol – Version 3 ）：邮局协议的第 3 个版本 SMTP （ Simple Mail Transfer Protocol ）：简单邮件传输协议 IMAP （ Internet Message Access Protocol ）：因特网信息访问协议 NFS （ Network File System ）：网络文件系统 SMB （ Server Message Block ）：文件共享服务器 NGFW 支持对不同传输方向上的文件进行病毒检测。 上传：指客户端向服务器发送文件。 下载：指服务器向客户端发送文件。

3. 判断是否命中白名单。命中白名单后，FW将不对文件做病毒检测。

白名单由白名单规则组成，管理员可以为信任的域名、 URL 、 IP 地址或 IP 地址段配置白名单规 则，以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件，每个 反病毒配置文件都拥有自己的白名单。

4. 针对域名和URL，白名单规则有以下4种匹配方式：

前缀匹配： host-text 或 url-text 配置为 “example” 的形式，即只要域名或 URL 的前缀是 “example” 就命中白名单规则。 后缀匹配： host-text 或 url-text 配置为 “example” 的形式，即只要域名或 URL 的后缀是 “example” 就命中白名单规则。 关键字匹配： host-text 或 url-text 配置为 “example” 的形式，即只要域名或 URL 中包含 “example” 就命中白名单规则。 精确匹配：域名或 URL 必须与 host-text 或 url-text 完全一致，才能命中白名单规则。

5. 病毒检测：

智能感知引擎对符合病毒检测的文件进行特征提取，提取后的特征与病毒特征库中的特征进行 匹配。如果匹配，则认为该文件为病毒文件，并按照配置文件中的响应动作进行处理。如果不 匹配，则允许该文件通过。当开启联动检测功能时，对于未命中病毒特征库的文件还可以上送 沙箱进行深度检测。如果沙箱检测到恶意文件，则将恶意文件的文件特征发送给 FW ， FW 将此 恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时，则按照配置文件中的响应 动作进行处理。 病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特 征进行了定义，同时为每种病毒特征都分配了一个唯一的病毒 ID 。当设备加载病毒特征库 后，即可识别出特征库里已经定义过的病毒。同时，为了能够及时识别出最新的病毒，设备上 的病毒特征库需要不断地从安全中心平台（ sec.huawei.com ）进行升级。

6. 当NGFW检测出传输文件为病毒文件时，需要进行如下处理：

判断该病毒文件是否命中病毒例外。如果是病毒例外，则允许该文件通过。 病毒例外，即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生，当 用户认为已检测到的某个病毒为误报时，可以将该对应的病毒 ID 添加到病毒例外，使该病毒 规则失效。如果检测结果命中了病毒例外，则对该文件的响应动作即为放行。 如果不是病毒例外，则判断该病毒文件是否命中应用例外。如果是应用例外，则按照应用例外 的响应动作（放行、告警和阻断）进行处理。 应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上，同一协议上可以承载 多种应用。 由于应用和协议之间存在着这样的关系，在配置响应动作时也有如下规定： 如果只配置协议的响应动作，则协议上承载的所有应用都继承协议的响应动作。 如果协议和应用都配置了响应动作，则以应用的响应动作为准。 如果病毒文件既没命中病毒例外，也没命中应用例外，则按照配置文件中配置的协议和传输方 向对应的响应动作进行处理。

7. 反病毒网关的配置流程是什么/h2>

 

 

案例 某公司在网络边界处部署了 FW 作为安全网关。内网用户需要通过 Web 服务器和 POP3 服务器下载文件和邮件，内网FTP 服务器需要接收外网用户上传的文件。公司利用 FW 提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络，保障内网用户和服务器的安全。 其中，由于公司使用 Ctdisk 网盘作为工作邮箱，为了保证工作邮件的正常收发，需要放行 Ctdisk 网盘的所有邮件。另外，内网用户在通过Web 服务器下载某重要软件时失败，排查发现该软件因被 FW 判定为病毒而被阻断（病毒ID 为 16424404 ），考虑到该软件的重要性和对该软件来源的信任，管理员决定临时放行该类病毒文件，以使用户可以成功下载该软件

 

 配置如下

配置内网到internet的安全策略

配置反病毒网关，添加应用列外勾选允许，添加病毒列外id号让后勾选允许

 

 

配置internet到dmz的安全策略

 

 

来源：???s????