木馬程序技術(shù)的發(fā)展可以說非常迅速,至今木馬程序已經(jīng)經(jīng)歷了六代的改進,下一代木馬也呼之欲出。那么木馬到底是什么,它能干什么?讓我們一起揭開它的面紗。
一、什么是木馬
木馬是一種基于遠程控制的黑客工具,具有隱蔽性、自動運行性、非授權(quán)性和危害性等特點。木馬通常有兩個可執(zhí)行程序:一個是服務(wù)端,即被控制端,另一個是客戶端,即控制端。如果電腦被安裝了服務(wù)端程序,會有一個或幾個端口被打開,黑客就可以使用控制端程序通過這些端口入侵電腦。
據(jù)統(tǒng)計表明,2013年一季度國內(nèi)有1.46億網(wǎng)民曾遭遇至少一次木馬侵襲,此類風險人群占整體網(wǎng)民比例高達25.8%,由此可見時至今日木馬入侵的手法仍然經(jīng)久不衰。
二、木馬的結(jié)構(gòu)
一個完整的木馬系統(tǒng)由硬件部分、軟件部分和連接部分組成,如圖1所示。
圖1 木馬的結(jié)構(gòu)
三、木馬的分類
目前木馬主要分為以下幾種類型。
遠程控制型木馬
遠程控制木馬是最流行的木馬,其數(shù)量最多,危害最大,它可以讓攻擊者完全控制被感染的計算機。由于要達到遠程控制的目的,所以該種類的木馬往往集成了其他種類木馬的功能,使其在被感染的機器上為所欲為,可以任意訪問文件,得到用戶的敏感信息甚至包括信用卡,銀行賬號等至關(guān)重要的信息。
密碼發(fā)送型木馬
在高度信息化,網(wǎng)絡(luò)化的今天,密碼無疑是一個非常重要的信息。密碼發(fā)送型木馬正是專門為了盜取被感染計算機上的密碼而編寫的,木馬一旦被執(zhí)行,就會自動搜索內(nèi)存,緩存,臨時文件夾以及各種敏感密碼文件,一旦搜索到有用的密碼,木馬就會將他們發(fā)送到指定的郵箱。
鍵盤記錄型木馬
這種木馬非常簡單,它們所做的唯一事情就是記錄受害者的鍵盤敲擊,然后在日志文件里查找密碼。一般情況下,這種木馬隨著操作系統(tǒng)的啟動而啟動,它們有在線和離線的選項,分別記錄你在線和離線狀態(tài)下敲擊鍵盤時的按鍵情況,然后發(fā)送到指定郵箱。攻擊者從這些按鍵記錄中很容易就會得到你的各種賬戶,密碼等有用信息。
破壞型木馬
這種木馬唯一的功能就是刪除和破壞被感染計算機的文件系統(tǒng),使其遭受系統(tǒng)崩潰或者重要數(shù)據(jù)丟失的巨大損失。這類木馬非常簡單易用,他們能自動刪除受影響計算機里的dll、exe、ini等后綴的文件。
FTP型木馬
這是一種非常簡單和古老的木馬,它會打開計算機的21端口,等待FTP軟件進行連接并自由上傳和下載文件。部分FTP型木馬還帶有密碼驗證功能,只有攻擊者本人才知道密碼,從而進入對方計算機。
DoS攻擊型木馬
隨著DDoS攻擊越來越廣泛的應(yīng)用,被用作DoS攻擊的木馬也越來越流行。當你給入侵的計算機種上DoS攻擊木馬,那么日后這臺計算機就成為你進行DoS攻擊的小助手了。你控制的肉雞數(shù)量越多,你發(fā)動DoS攻擊取得成功的機率就越大。所以,這種木馬的危害不是體現(xiàn)在被感染計算機上,而是體現(xiàn)在攻擊者可以利用它來攻擊一臺又一臺計算機,給網(wǎng)絡(luò)造成更大的傷害。
四、木馬的入侵途徑
一般來說,木馬的入侵過程可以分為六個步驟(如圖2所示):配置木馬、傳播木馬、運行木馬、信息泄露、建立連接、遠程控制。
圖2 網(wǎng)頁木馬入侵途徑
配置木馬
通常情況下,木馬都有配置程序,從具體的配置內(nèi)容看,主要是為了實現(xiàn)下面兩方面功能。
木馬偽裝:木馬配置程序為了在服務(wù)端盡可能的隱藏木馬,會采用多種偽裝手段,如捆綁文檔,修改圖標,自我銷毀等。
信息反饋:木馬配置程序?qū)π畔⒎答伒姆绞交虻刂愤M行配置,如配置信息反饋的郵件地址等。
傳播木馬
木馬的傳播方式從總體上主要可以分為三種。
下載傳播:一些網(wǎng)站提供的下載軟件可能被攻擊者捆綁了木馬,用戶下載軟件時木馬也被下載到了本地。
郵件傳播:攻擊者將木馬以附件的形式附在郵件中發(fā)送出去,收信人只要打開附件就會感染木馬。隨著技術(shù)的發(fā)展,目前已出現(xiàn)一種郵件內(nèi)容木馬,也可以稱為郵件網(wǎng)頁木馬,其本質(zhì)是在發(fā)送郵件是以HTML方式內(nèi)嵌網(wǎng)頁木馬,這種木馬能化被動為主動,用戶一旦點擊閱讀此郵件就可能中招。
漏洞傳播:通過漏洞傳播的大部分都是網(wǎng)頁木馬,其實質(zhì)就是利用漏洞向用戶傳播木馬下載器。
在圖2的示例2-1步驟中,攻擊者在有漏洞的第三方網(wǎng)站網(wǎng)頁中插入惡意代碼或者建立惡意網(wǎng)站,當用戶訪問該惡意網(wǎng)頁后木馬被下載到本地。
運行木馬
服務(wù)端用戶運行木馬或捆綁木馬的程序后,木馬就會自動進行安裝。木馬首先將自身復(fù)制到系統(tǒng)文件夾中,然后設(shè)置好觸發(fā)條件,這樣就完成了安裝。安裝后就可以啟動木馬了,這就是示例中的第3步。
信息泄露
一般的木馬都有一個信息反饋機制。所謂信息反饋機制是指木馬成功安裝后會收集一些服務(wù)端的軟硬件信息,并通過郵件等方式告知控制端用戶,如第4步所示。這里的軟硬件信息主要包括服務(wù)端IP,系統(tǒng)密碼,操作系統(tǒng),系統(tǒng)目錄,硬盤分區(qū)等。在這些信息中,最重要的是服務(wù)端IP,因為只有得到這個參數(shù),控制端才能與服務(wù)端建立連接。
建立連接
一個木馬連接的建立首先必須滿足兩個條件:一是服務(wù)端已安裝了木馬程序;二是控制端,服務(wù)端都要在線。在此基礎(chǔ)上控制端可以通過木馬端口與服務(wù)端建立連接,如第5步所示。
遠程控制
木馬連接建立后,控制端端口和木馬端口之間將會出現(xiàn)一條通道,控制端可通過這條通道與服務(wù)端上的木馬程序進行通信,并通過木馬程序?qū)Ψ⻊?wù)端進行遠程控制。攻擊者可以竊取用戶密碼,破壞文件,修改注冊表,以及進行一些系統(tǒng)操作,這就是第6步。
五、木馬的隱形位置
木馬程序具有很強的隱蔽性,它可以在不知不覺中控制和監(jiān)視受影響計算機。那么木馬到底都有哪些隱藏手法呢,研究發(fā)現(xiàn)目前主流的方法有以下幾種。
集成到程序中:木馬為了不被輕易的刪除,常常集成到程序里。用戶激活木馬程序后,木馬文件和某一應(yīng)用程序捆綁在一起,然后生成新的文件并覆蓋原文件,這樣即使木馬被刪除了,只要運行捆綁了木馬的應(yīng)用程序,木馬又會被重新安裝。
隱藏在配置文件中:大多數(shù)用戶對操作系統(tǒng)的配置文件不熟悉,攻擊者利用這一點將木馬隱藏在配置文件中,如windows系統(tǒng)的win.ini文件,System.ini文件和Winstart.bat文件。
內(nèi)置到注冊表中:注冊表是Windows系統(tǒng)的核心數(shù)據(jù)庫,其中存放著各種參數(shù),直接控制著Windows的啟動、硬件和驅(qū)動程序的加載以及一些Windows應(yīng)用的運行。由于注冊表比較復(fù)雜,對于普通用戶來說較難發(fā)現(xiàn)隱藏在里面的木馬。
插入到網(wǎng)頁中:隱藏在網(wǎng)頁中的木馬又叫網(wǎng)頁木馬,網(wǎng)頁木馬就是表面上偽裝成普通的網(wǎng)頁或者將惡意的代碼插入到正常網(wǎng)頁中,當用戶訪問時木馬就會利用用戶計算機系統(tǒng)或者瀏覽器的漏洞自動將木馬下載到本地。
偽裝在普通文件中:把可執(zhí)行文件偽裝成圖片或文本,在程序中把圖標改成操作系統(tǒng)的默認圖片圖標,再把文件名改為*.gif.exe。當用戶計算機設(shè)置為"隱藏已知文件類型的擴展名"時,只能顯示"*.gif"這部分,而不會顯示真正的擴展名".exe"。
包含在視頻中:從網(wǎng)絡(luò)中下載并觀看視頻是計算機用戶的一個普遍行為,攻擊者可以通過提供特制的惡意視頻進行攻擊,其實現(xiàn)就是讓視頻播放時自動彈出瀏覽器窗口,并訪問含有木馬的惡意網(wǎng)頁。
六、木馬的防御
木馬的防御主要可以從三個層面進行,即服務(wù)端的防御、用戶端的防御和安全設(shè)備的防御。
服務(wù)端的防御
木馬主要是借助第三方進行傳播,這里的第三方主要包括含有漏洞的網(wǎng)站,提供上傳下載的站點,郵件服務(wù)器等。如果上述服務(wù)提供方高度重視網(wǎng)絡(luò)安全,及時修補各種漏洞無疑能夠減少木馬的傳播。
用戶端的防御
木馬的入侵雖然隱蔽性非常高,但只要我們養(yǎng)成良好的上網(wǎng)習慣,就能從一定程度上減少中招的概率。
不要隨意點擊陌生人發(fā)送的鏈接、圖片、程序,尤其是后綴為exe的可執(zhí)行文件。
不要隨意瀏覽一些小網(wǎng)站,不從不正規(guī)站點下載文件、軟件或者視頻。
不要下載運行來歷不明的郵件附件。將木馬放置在郵件附件中這一傳播方式相信大家都有所耳聞,借助郵件內(nèi)容進行傳播的木馬更是防不勝防,所以建議大家不輕易下載運行陌生郵件的附件,不點擊閱讀來歷不明的郵件。
安裝殺毒軟件并經(jīng)常查殺木馬。
及時安裝瀏覽器和其他常見軟件的新版本和補丁。一些木馬是借助漏洞進行傳播的,及時修復(fù)漏洞可以有效防御此種木馬。
安全設(shè)備的防御
近年來,新的木馬一直以井噴式的速度出現(xiàn)。據(jù)統(tǒng)計,2013年二季度國內(nèi)新增木馬高達5.27億個,2013年前三季度金融木馬數(shù)量增長了三倍。面對如此多的木馬,對網(wǎng)絡(luò)安全要求較高的用戶可以部署專業(yè)的第三方安全設(shè)備。目前H3C公司發(fā)布的SecPath IPS系列產(chǎn)品采用多種先進技術(shù),能對網(wǎng)絡(luò)中主流木入侵中傳播階段、信息泄露階段、建立連接階段和遠程控制階段分別進行識別防護。
七、結(jié)束語
針對移動端的木馬逐漸泛濫,對普通用戶來說,適當了解木馬的相關(guān)知識并養(yǎng)成良好的上網(wǎng)習慣可以更好的預(yù)防木馬攻擊。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:信息防泄漏:解密特洛伊
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121518152.html