-
特洛伊木馬
(計算機木馬程序)
鎖定
特洛伊木馬原理
特洛伊木馬本質上就是一種客户/服務器模式的網絡程序,其工作原理是一台主機提供服務器作為服務器端,另一台主機接受服務作為客户端。服務器端的程序通常會開啓一個預設的連接端口進行監聽,當客户端向服務器端的這一連接端口提出連接請求時,服務器端上的相應程序就會自動執行,來回復客户端的請求,並提供其請求的服務。對於特洛伊木馬來説,功能端程序安裝在被攻擊的主機上,它也是木馬大部分功能的實現端,木馬對被攻擊主機的所有控制功能也都集中在服務器端。木馬的控制端程序通常安裝在攻擊者的主機上,用於控制功能端,向功能端發出各種命令,使得功能端程序按照攻擊者意圖實現各種遠程控制功能。特洛伊木馬近幾年與反病毒軟件、防火牆等防禦工具的不斷較量中,技術越來越進步,攻擊模式也從最早的傳統攻擊模式升級成為由傳統攻擊模式、反彈攻擊模式和第三方中介攻擊模式混合的方式。所謂的傳統攻擊模式就是前面説到的由服務端打開端口,等待連接:客户端首先發出連接請求與服務端建立連接;然後實施攻擊,這種攻擊模式出現的比較早,使用的也最為普遍,現有的大多數木馬都是採用的是這種攻擊模式。隨着人們安全意識的不斷提高,很多計算機安裝有防火牆,由於防火牆默認的規則都是禁止由外向內發起的連接,導致傳統攻擊模式不能成功,於是特洛伊木馬進化出新的木馬攻擊模式即反彈攻擊模式。這種攻擊模式先由客户端使用合法的報文激活服務端,然後由服務端主動連接客户端,形成防火牆不禁止的由內而外連接,進而開始攻擊,這種攻擊模式稱為反彈攻擊模式。又因為有些攻擊方僅僅需要傳遞很少的控制信息,攻擊者為了更好的隱藏自己,防止木馬被發現了以後自己受到追查所進化出來的一種攻擊模式。通過服務器端和客户端不直接進行連接而是通過電子郵件服務器或者攻擊者控制的肉雞作為中介進行信息交互,客户端將控制進行發送到第三方中介上,服務器端定期到第三方中介獲取控制信息,並將竊取的信息放到第三方中介上,由客户端自己來取。
[1]
特洛伊木馬特點
1、隱蔽性。
2、自動運行性。
3、欺騙性。
4、頑固性。
5、易植入性。
通過上面對木馬特性的分析,可以看到特洛伊木馬非常強調隱蔽能力和感染能力,其已經將蠕蟲病毒的技術吸收了進來。
[3]
特洛伊木馬概述
特洛伊木馬(簡稱木馬)是隱藏在系統中的用以完成未授權功能的非法程序,是黑客常用的一種攻擊工具,它偽裝成合法程序,植入系統,對計算機網絡安全構成嚴重威脅。區別於其他惡意代碼,木馬不以感染其它程序為目的,一般也不使用網絡進行主動複製傳播。
[2]
特洛伊木馬是基於C/S(客户/服務器)結構的遠程控制程序,是一類隱藏在合法程序中的惡意代碼,這些代碼或者執行惡意行為,或者為非授權訪問系統的特權功能而提供後門。通常,使用木馬的過程大致分兩步首先,把木馬的服務器端程序通過網絡遠程植入受控機器,然後通過安裝程序或者啓動機制使木馬程序在受控的機器內運行。一旦木馬成功植入,就形成了基於C/S結構的控制架構體系,服務端程序位於受控機器端,客户端程序位於控制機器端。
[2]
特洛伊木馬發展
特洛伊木馬結構
1、硬件部分。建立木馬連接所必須的硬件實體分為控制端、服務端和Internet。
[3]
3、具體連接部分。包括控制端端口和木馬端口及網絡地址。
[3]
特洛伊木馬功能
只要在本地計算機上能操作的功能,現如今的木馬基本上都能實現。木馬的控制端可以像本地用户一樣操作遠程計算機。木馬的功能可以概括為以下內容。
[2]
1、竊取用户文件。
特洛伊木馬在目標計算機中潛伏,當遇到感興趣的文件時就會將相關文件傳輸給提前設定的目的地而不會被用户發現。
[2]
2、接受木馬釋放者的指令。
3、篡改文件和數據。
根據指令對系統文件和數據進行修改,使目標計算機的數據和文件產生錯誤,導致作出錯誤的決策。
[2]
4、刪除文件和數據。
將目標計算機操作系統中的文件和數據隨意地刪除。
[2]
5、施放病毒。
激活潛伏在目標計算機操系統中的病毒,或將病毒下載至目標計算機系統,使其感染。
[2]
6、使系統自毀。
特洛伊木馬種類
1、破壞型
唯一的功能就是破壞並且刪除文件,可以自動的刪除電腦上的DLL、INI、EXE等重要文件。
[4]
2、密碼發送型
可以找到隱藏密碼並把它們發送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在計算機中,認為這樣方便;還有人喜歡用WINDOWS提供的密碼記憶功能,這樣就可以不必每次都輸入密碼了。許多黑客軟件可以尋找到這些文件,把它們送到黑客手中。也有些黑客軟件長期潛伏,記錄操作者的鍵盤操作,從中尋找有用的密碼。
[4]
3、遠程訪問型
最廣泛的是特洛伊木馬,只需有人運行了服務端程序,如果客户知道了服務端的IP地址,就可以實現遠程控制。以下的程序可以實現觀察"受害者"正在幹什麼,當然這個程序完全可以用在正道上的,比如監視學生機的操作。
[4]
4、鍵盤記錄木馬
這種特洛伊木馬是非常簡單的。它們只做一件事情,就是記錄受害者的鍵盤敲擊並且在LOG文件裏查找密碼。這種特洛伊木馬隨着Windows的啓動而啓動。它們有在線和離線記錄這樣的選項,顧名思義,它們分別記錄你在線和離線狀態下敲擊鍵盤時的按鍵情況。也就是説你按過什麼按鍵,下木馬的人都知道,從這些按鍵中他很容易就會得到你的密碼等有用信息,甚至是你的信用卡賬號哦!當然,對於這種類型的木馬,郵件發送功能也是必不可少的。
[4]
5、Dos攻擊木馬
隨着DoS攻擊越來越廣泛的應用,被用作DoS攻擊的木馬也越來越流行起來。當你入侵了一台機器,給他種上DoS攻擊木馬,那麼日後這台計算機就成為你DoS攻擊的最得力助手了。所以,這種木馬的危害不是體現在被感染計算機上,而是體現在攻擊者可以利用它來攻擊一台又一台計算機,給網絡造成很大的傷害和帶來損失。
[4]
還有一種類似DoS的木馬叫做郵件炸彈木馬,一旦機器被感染,木馬就會隨機生成各種各樣主題的信件,對特定的郵箱不停地發送郵件,一直到對方癱瘓、不能接受郵件為止。
[4]
6、代理木馬
黑客在入侵的同時掩蓋自己的足跡,謹防別人發現自己的身份是非常重要的,因此,給被控制的肉雞種上代理木馬,讓其變成攻擊者發動攻擊的跳板就是代理木馬最重要的任務。
[4]
7、FTP木馬
這種木馬可能是最簡單和古老的木馬了,它的唯一功能就是打開21端口,等待用户連接。新FTP木馬還加上了密碼功能,這樣,只有攻擊者本人才知道正確的密碼,從而進入對方計算機。
[4]
8、程序殺手木馬
9、反彈端口型木馬
木馬是木馬開發者在分析了防火牆的特性後發現:防火牆對於連入的鏈接往往會進行非常嚴格的過濾,但是對於連出的鏈接卻疏於防範。於是,與一般的木馬相反,反彈端口型木馬的服務端(被控制端)使用主動端口,客户端(控制端)使用被動端口。木馬定時監測控制端的存在,發現控制端上線立即彈出端口主動連結控制端打開的主動端口;為了隱蔽起見,控制端的被動端口一般開在80,即使用户使用掃描軟件檢查自己的端口,稍微疏忽一點,你就會以為是自己在瀏覽網頁。
[4]
特洛伊木馬隱藏方式
1、在任務欄裏隱藏
2、在任務管理器裏隱藏
查看正在運行的進程最簡單的方法就是按下Ctrl+Alt+Del時出現的任務管理器。如果你按下Ctrl+Alt+Del後可以看見一個木馬程序在運行,那麼這肯定不是什麼好木馬。所以,木馬會千方百計地偽裝自己,使自己不出現在任務管理器裏。木馬發現把自己設為 "系統服務“就可以輕鬆地騙過去。
[5]
3、端口
一台機器有65536個端口,你會注意這麼多端口麼?而木馬就很注意你的端口。如果你稍微留意一下,不難發現,大多數木馬使用的端口在1024以上,而且呈越來越大的趨勢。當然也有佔用1024以下端口的木馬,但這些端口是常用端口,佔用這些端口可能會造成系統不正常,這樣的話,木馬就會很容易暴露。
[5]
4、隱藏通訊
隱藏通訊也是木馬經常採用的手段之一。任何木馬運行後都要和攻擊者進行通訊連接,或者通過即時連接,如攻擊者通過客户端直接接入被植入木馬的主機;或者通過間接通訊,如通過電子郵件的方式。木馬把侵入主機的敏感信息送給攻擊者。大部分木馬一般在佔領主機後會在1024以上不易發現的高端口上駐留,有一些木馬會選擇一些常用的端口,如80、23,有一種非常先進的木馬還可以做到在佔領80HTTP端口後,收到正常的HTTP請求仍然把它交與Web服務器處理,只有收到一些特殊約定的數據包後,才調用木馬程序。
[5]
5、協同隱藏
顧名思義,協同隱藏就是指一組木馬之間互相協作,實現更強的隱藏能力。Harold Thimbleby
[6]
等人提出了木馬程序的模型框架。這種框架從宏觀整體上擺脱了傳統隱藏技術的單一性,得到了不斷的發展。其後,梅登華等人[14]將多代理技術與木馬技術結合,提出了基於多代理的木馬技術;康治平等人[14]在木馬協同隱藏模型的基礎上提出了基於多線程和多對多的結構。
[6]
特洛伊木馬偽裝方法
1、修改圖標
木馬服務端所用的圖標也是有講究的,木馬經常故意偽裝成了XT.HTML等你可能認為對系統沒有多少危害的文件圖標,這樣很容易誘惑你把它打開。
[5]
2、捆綁文件
3、出錯顯示
有一定木馬知識的人部知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序。木馬的設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用户打開木馬程序時,會彈出一個錯誤提示框 (這當然是假的),錯誤內容可自由定義,大多會定製成一些諸如 "文件已破壞,無法打開!"之類的信息,當服務端用户信以為真時,木馬卻悄悄侵人了系統。
[5]
4、自我銷燬
這項功能是為了彌補木馬的一個缺陷。我們知道,當服務端用户打開含有木馬的文件後,木馬會將自己拷貝到Windows的系統文件夾中(C:\windows或C:\windows\system目錄下),一般來説,源木馬文件和系統文件夾中的木馬文件的大小是一樣的 (捆綁文件的木馬除外),那麼,中了木馬的朋友只要在收到的信件和下載的軟件中找到源木馬文件,然後根據源木馬的大小去系統文件夾找相同大小的文件,判斷一下哪個是木馬就行了。而木馬的自我銷燬功能是指安裝完木馬後,源木馬文件自動銷燬,這樣服務端用户就很難找到木馬的來源,在沒有查殺木馬的工具幫助下,就很難刪除木馬了。
[5]
特洛伊木馬防範策略
1、不執行來歷不明的軟件
大部分木馬病毒都是通過綁定在其他的軟件中來實現傳播的,一旦運行了該軟件就會被除數感染。因此,一般推薦去一些信譽較高的站點下載應用軟件,並且在安裝軟件之前一定要用反病毒軟件檢查一下,確定無毒後再使用。
[7]
2、不隨便打開郵件附件
3、重新選擇新的客户端軟件
很多木馬病毒主要感染的是Outlook和OutlookExpress的郵件客户端軟件。如果選用其他的郵件軟件,受木馬病毒攻擊的可能性就會減小。另外通過Web方式訪問郵箱也可以減小感染木馬的概率。
[7]
4、儘量少用或不用共享文件夾
如果非因工作需要,儘量少用或不用共享文件夾,注意千萬不要將系統目錄設置成共享。多渠道地拒絕木馬程序的傳播。
[7]
5、實時監控
特洛伊木馬感染後措施
特洛伊木馬木馬清除
1、通過木馬的客户端程序刪除
在win.ini或system.ini的文件中找到可疑文件判斷木馬的名字和版本,然後在網絡上找到相應的客户端程序,下載並運行該程序,在客户程序對應位置填入本地算機地址端口號,就可以與木馬程序建立連接,再由客户端的刪除木馬服務器的功能來刪除木馬。
[7]
2、手工刪除
用Msconfig打開系統配置實用程序,對Win.ini、system.ini和啓動項目進行編輯,屏蔽掉非法啓動項。用regedit打開註冊表編輯器,對註冊表進行編輯,先由上面的方法找到木馬的程序名,再在整個註冊表中搜索,並刪除所有木馬項目。由查找到的木馬程序註冊項,分析木馬文件在硬盤中的位置,然後再進行刪除。重新啓動以後再用上面各種檢測木馬的方法對系統進行檢查,以確保木馬確實被刪除。
[7]
3、工具刪除
上面二種方法對於非專業人員來説操作起來並不容易,但現在已有許多非常好的木馬專殺工具,大家可以根據自己需要下載或購買使用.利用工具刪除,可以免除煩瑣的操作,完全由軟件程序自行完成。
[7]
特洛伊木馬發展趨勢
1、木馬將會更加隱蔽。目前,能夠查殺特洛伊木馬的安全軟件日益增多,對特洛伊木馬的隱蔽性提出了挑戰。特洛伊木馬如果想生存下來就必須更加重視隱蔽性。
[3]
4、木馬將會繼續融合蠕蟲和病毒的部分技術,增強自身傳播和生存能力。
[3]
5、時效性越來越強,挖礦木馬團伙在利益的驅使下,往往會不斷集成更有效的1/N D
[8]
ay漏洞來感染更多主機資源,從而獲取更多的收益。
- 參考資料
-
- 1. 特洛伊木馬淺析及防範 .萬方數據知識服務平台[引用日期2019-07-02]
- 2. 特洛伊木馬的隱藏技術分析 .萬方數據知識服務平台[引用日期2019-07-02]
- 3. 淺析特洛伊木馬病毒 .萬方數據知識服務平台[引用日期2019-07-02]
- 4. 談病毒之特洛伊木馬 .萬方數據知識服務平台[引用日期2019-07-02]
- 5. 特洛伊木馬完全解析 .萬方數據知識服務平台[引用日期2019-07-02]
- 6. Thimbleby H, Anderson S, Cairns P.A Framework for Modelling Trojans and Computer Virus Infection[J].The Computer Journal, 1998,41(07):444-458
- 7. 特洛伊木馬的表現及防範 .萬方數據知識服務平台[引用日期2019-07-02]
- 8. 2021年挖礦木馬趨勢報告 .知乎.2022-01-11[引用日期2022-06-26]