木马的攻击与防御技术

木马攻击与防御技术相传在古希腊时期,特洛伊王子帕里斯劫走了斯巴达美丽的王后海伦和大量的财物:斯巴达国王组织了强大的希腊联军远征特洛伊,但久攻不下。这时,斯巴达人采用了奥德修斯的计谋,制造了一匹巨大的木马,让士兵藏在木马中;同时命令大部队佯装撤退,而把木马丢弃在特洛伊城下。特洛伊人发现敌人撤退后,将木马作为战利品拖入城中,并全城狂欢庆祝胜利。等到午夜时分全城军民进入梦乡,木马中的士兵悄悄潜入城内,打开城门,与城外的大军里应外合,彻底攻破了特洛伊城。在计算机系统中,也存在类似的“特洛伊木马”程序。它最显著的特点是隐蔽性极强:不像其他恶意代码喜欢大肆侵扰用户,木马程序总是“悄无声息”地运行,用户很难察觉自己的信息正在被木马窃取,更谈不上对木马的清除。正因为此,木马程序给信息系统的安全带来极为严峻的挑战。10.1木马概述10.1.1木马的基本概念1.木马的定义木马,又称特洛伊木马(TrojanHorse),在计算机系统和网络系统中,指系统中被植入的、人为设计的程序,目的在于通过网络远程控制其他用户的计算机,窃取信息资料,并可恶意致使计算机系统瘫痪。RFC(RequestforComments,IETF制定的Internet标准草案)1244中是这样描述木马的:“木马程序是一种程序,它能提供一些有用的,或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能,例如在你不了解的情况下复制文件或窃取你的密码。”这个定义虽然不十分完善,但是可以澄清一些模糊的概念:首先,木马程序并不一定实现某种对用户来说有意义或有帮助的功能,但却会实现一些隐藏的、危险的功能;其次,木马所实现的主要功能并不为受害者所知,只有木马程序编制者最清楚:第三,这个定义暗示“有效负载”是恶意的。目前,大多数安全专家统一认可的定义是:“特洛伊木马是一段能实现有用的或必需的功能的程序,但是同时还完成一些不为人知的功能。”通常意义上,即使不考虑木马定义中所指的欺骗含义,木马的恶意企图也涉及了许多方面。根据传统的数据安全模型的三种分类,木马的企图也可对应分为三种:①试图访问未授权资源;②试图阻止访问;③试图更改或破坏数据和系统。2.木马的危害作为一种攻击工具,木马程序通常伪装成合法程序的样子,―旦植入目标系统,就为远程攻击打开了后门。木马利用自身所具有的植入功能,或依附其他具有传播能力的程序,或通过入侵后植入等多种途径进驻目标机器,搜集其中各种敏感信息,并通过网络与外界通信,发回所搜集到的信息,接收植入者的指令?完成其他各种操作,如修改指定文件、格式化硬盘等。木马常被用作入侵网络系统的重要工具,感染了木马的计算机将面临数据丢失和机密泄露的危险。除了个人用户,大型网络服务器也同样面临木马的威胁,入侵者可通过向服务器中植入木马的方式偷窃到系统管理员的口令。当一个系统服务器安全性较高时,入侵者通常首先攻破庞大的系统用户群中安全性相对较弱的普通电脑用户,然后借助所植入的木马获得有关系统的有效信息,最终达到侵入目标服务器系统的目的。另一方面,木马往往又被用做后门,植入被・攻破的系统,方便入侵者再次访问(被攻破的)计算机,或者利用被入侵的系统,通过欺骗合法用户的某种方式暗中散发木马,以便进一步扩大入侵成果和入侵范围,为进行其他入侵活动如分布式拒绝服务攻击(DDos)提供可能。木马程序具有很大的危害性,主要表现在:自动搜索已中木马的计算机;管理对方资源,如复制文件、删除文件、查看文件内容、上传文件、下载文件等;跟踪监视对方屏幕;直接控制对方的键盘、鼠标;随意修改注册表和系统文件;共享被控计算机的硬盘资源;监视对方运行的任务且可终止对方任务;远程监测和操纵计算机。10.1.2木马的分类依据不同的标准,对木马有不同的分类方法。从木马技术发展的角度考虑,木马技术自出现至今,大致可以分为四代。(1)第一代木马。主要表现为木马的欺骗性,比如在UMX系统上表现的是假login诱骗、假弘诱骗,在Wind0ws上则是Bo,Netspy等本马。(2)第二代木马。在隐藏、自启动和操纵服务器等技术上有了很大的发展,比如冰河,广外女生等。(3)第三代木马。在隐藏、自启动和数据传输技术上有了根本性的进步。例如以前的木马主要靠UDP协议传输数据,但在第三代木马中出现了靠ICMP协议传递数据的木马。(4)第四代木马。在进程隐藏方面做了更大的改动,采用改写和替换系统文件的做法,修改操作系统内核:在UNIX上它伪装成系统守护进程,而在Windows上它则伪装成动态连接库(DynamicLinkLibrary,DLL)、系统服务甚至驱动程序。这样一来木马几乎和操作系统结合在一起,从而较好地达到了隐藏自身的目的。从木马所实现的功能的角度可分为:(1)破坏型。这类木马非常简单,很容易实现,但也非常让用户烦恼。它的唯一功能就是破坏或删除用户文档和重要的系统文件,造成系统损坏,用户数据被破坏。(2)密码发送型。找到隐藏的密码或密码文件,把它们发港到指定的电子邮箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用Windows提供的密码记忆功能,这样就可以不必每次都输入密码了。殊不知这些非常危险,许多木马可以寻找到保存这些密码的文件,把它们送到黑客手中。(3)远程访问型。这是使用较多的一种木马。它在受害者主机上运行一个服务端,监听某个特定的端口;入侵者则使用木马的客户端连接到该端口上,向服务端发出各种指令,访问受害者计算机资源。(4)键盘记录木马。这种木马的工作非常简单,它们只做―件事情,就是记录受害者的键盘敲击并且在日志文件里查找密码。它们有在线和离线记录这样的选项,顾名思义,这两个选项分别记录用户在线和离线状态下敲击键盘时的按键情况；也就是说用户按过什么按键,木马都记录下来,并定时将记录文件发送给植入木马的人。从这个记录文件中他可以很容易得到用户的账号和密码等有用信息,甚至是用户的信用卡账号。当然,对于这种类型的木马,邮件发送功能也是必不可少的。(5)Dos攻击木马。随着Dos攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当入侵了一台机器,给它植入Dos攻击木马,那么日后这台计算机就成了发动DoS攻击的最得力的助手,这台被控制的计算机叉称为“肉鸡”。被远程控制的计算机的数量越多,发动Dos攻击取得成功的几率就越大。所以,这种木马的危害不是体现在被感染的计算机上,而是体现在攻击者可以利用它来攻击一台又―台计算机给网络造成很大的伤害和损失。还有一种DoS攻击木马叫作“邮件炸弹木马”。一旦机器被该木马感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。(6)代理木马。黑客在入侵的同时需要掩盖自己的足迹,谨防别人发现自己的身份。黑客在另一台计算机中种上代理木马,通过代理木马间接发起攻击,从而隐藏自己的踪迹。代理木马在这里起一个中转的作用。(7)FTP木马。这种木马可能是最简单和最芦老的木马了,体积也很小。一般情况下用来打开21端口来等待攻击者连接。(8)程序杀手木马。上面提到的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要通过防木马软件这一关才行。主流的杀毒软件一般都具备查杀木马的功能,程序杀手木马的作用就是关闭对方机器上运行的这类监控软件,让木马更安全地保留在系统中,从而更好地发挥作用。(9)反弹端口型木马。木马开发者在分析了防火墙的特性后发现,防火墙对于进入内网的连接往往会进行非常严格的过滤,但是对于向外的连接却疏于防范。于是,反弹端口型木马应运而生。与一般的木马相反,反弹端口型木马定时向外发送信息检测控制端的存在,发现控制端上线后,立即弹出端口主动连接控制端打开的主动端口。为了隐蔽起见,控制端一般使用80或其他常用的端口。这样即使用户使用端口扫描软件检查自己的端口,也容易误认为是正常的应用,很难想到这是木马在活动。10.1.3木马的特点木马程序与远程控制程序、病毒等其他攻击性程序相比,既有相似之处,又有其不同之处。一个典型的木马程序通常具有以下凼个特点:有效性、隐蔽性、顽固性和易植入性。木马的危害性大小和清除难易程度可以从这四个方面来评估。1)有效性木马是网络入侵的一个重要手段,它运行在目标机器上就是为了实现入侵者的某些企图。有效性就是指入侵的木马能够与其控制端(入侵者)建立某种有效联系,从而能够充分控制目标机器并窃取其中的敏感信息。入侵木马对目标机器的监控和信息采集能力是衡量其有效性的一个重要方面。2)隐蔽性木马和远程控制软件是有区别的,木马由于其携带的恶意目的,总是想方设法地隐藏自己,它必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的本马往往会很容易被杀毒软件或木马查杀软件甚至用户手动检查出来,这样将使得这类木马变得毫无价值,因此,可以说隐蔽性是木马的生命。3)顽固性当木马被检查出来(失去隐蔽性)之后,为继续确保其入侵的有效性,木马往往还具有另一个重要特性――顽固性,也就是指有效清除木马的难易程度。若一个木马在被检查出来之后,仍然无法轻易将其一次性有效清除,那么该木马就具有较强的顽固性。4)易植入性显然任何木马必须首先能够进入目标机器,即完成植入操作,因此易植入性就成为木马有效性的先决条件。“欺骗”是自木马诞生起最常见的植入手段,各种好用的小软件就成为木马常用的栖息地。利用系统漏洞进行木马植入也是木马入侵的一类重要途径。目前木马技术与蠕虫技术的结合使得木马具有类似蠕虫的传播性,这也就极大提高了木马的易植入性。此外,木马通常还具有以下辅助性特点。1)自动运行通常木马程序会修改系统的配置文件或注册表文件,在目标系统启动时就自动加载运行。这种自动加载运行不需要控制端干预,同时也不易被目标系统用户所觉察。2)欺骗性木马程序要达到其长期隐蔽的目的,就必须采取各种各样的欺骗手段,蒙蔽目标系统用户,以防被发现。比如木马程序经常会采用文件名欺骗的手段,使用诸如exp1oer.exe这样的文件名,以此来与系统中的合法程序exploer.exe相混淆。木马的编制者还在不断制造新的欺骗手段,花样层出不穷,让人防不胜防。3)自动恢复现在很多木马程序中的功能模块己不再是由单一的文件组成,而是具有多重备份,可以相互恢复。计算机一旦感染⊥这种木马程序,想靠单独删除某个文件来清除是不可能的。4)功能的特殊性通常木马的功能都是十分特殊的,除了普通的文件操作以外,有些本马具有搜索并发送目标主机中的口令、记录用户事件、远程注册表操作,以及锁定鼠标等功能。近年来,木马技术取得了较大的发展,'目前已彻底摆脱了传统模式下植入方法原始、通信方式单一、隐蔽性差等不足。借助一些新技术,木马不再依赖于对用户进行简单的欺骗,也可以不必修改系统注册表,不开新端口,不在磁盘上保存新文件,甚至可以没有独立的进程。这些新特点使得木马的功能得到了大幅提升,也使得木马的查杀变得愈加困难。10.2.木马的攻击步骤本质上说,木马无一例外都是客户端/服务端(Client/Server)程序的组合,通常由一个攻击者用来控制被入侵计算机的客户端程序和冖个运行在被控计算机上的服务端程序组成。攻击者利用木马进行网络入侵的攻击过程一般为:首先将木马植入目标系统;然后,木马程序必须能够自动加载运行,并且能够很好地隐藏自己;最后,木马必须可以实现一些攻击者感兴趣的功能。下面从植入技术、自动加载运行技术、隐藏技术和远程监控技术四个方面予以详述。10.2.1植入技术攻击者向目标主机植入木马,是指攻击者通过各种方式将木马的服务端程序上传到目标主机的过程。木马植入技术可以大致分为主动植入与被动植入两类。所谓主动植入,就是攻击者主动将木马程序种到本地或者是远程主机上,这个行为过程完全由攻击者主动掌握。而被动植入是指攻击者预先设置某种环境,然后被动等待目标系统用户的某种可能的操作,只有这种操作执行,木马程序才有可能被植入目标系统。1.主动植入主动植入一般需要通过某种方法获取目标主机的一定权限,然后由攻击者自己动手进行安装。按照目标系统是本地还是远程,这种方法又有本地安装与远程安装之分。本地