16 特洛伊木马

第十二章特洛伊木马2本章概要本章内容主要是特洛伊木马的知识，包括：木马的概念木马的危害木马的隐藏和传播技术典型木马分析与防范措施特洛伊木马简史特洛伊木马传说古希腊传说，特洛伊王子帕里斯访问希腊，诱惑走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。4特洛伊木马病毒概念特洛伊木马(Trojan)病毒：是指隐藏在正常程序中的一段具有特殊功能的恶意代码是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序5特洛伊木马程序往往表面上看起来无害，但是会执行一些未预料或未经授权，通常是恶意的操作。木马的组成•一个完整的木马程序由两部分组成6服务器端•中木马的计算机,即被控制端控制器端•通过网络控制您的计算机特洛伊木马简史特洛伊木马的演变•第一代木马：伪装型病毒–通过伪装成一个合法性程序诱骗用户上当•第二代木马：AIDS型木马–利用现实生活中的邮件进行散播：给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品，价格，预防措施等相关信息。软盘中的木马程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾8特洛伊木马的演变•第三代木马：网络传播型木马–随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时他还添加了“后门”和击键记录等功能。–所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。–击键记录的功能功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。9特洛伊木马的类型•破坏型•密码发送型•远程访问型•键盘记录木马•DoS攻击木马•代理木马•FTP木马•程序杀手木马•反弹端口型木马10破坏型木马•破坏并且删除文件•删除DLL、INI、EXE文件11密码发送型•查找相关密码•发送指定邮件（控制者）获取密码的方法：–搜索密码文件–记录键盘操作–暴力破译加密文件12远程访问型•只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。•利用程序可以实现观察“受害者”正在干什么•可用于计算机远程监控和远程排错等操作13键盘记录木马•记录受害者的键盘敲击并且在LOG文件里查找密码•随着Windows启动•同时具有邮件发送功能14DoS攻击木马•入侵一台机器•将该计算机做为DoS攻击的平台，也称为肉鸡•攻击者可以利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失•邮件炸弹木马一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止15代理木马•黑客在入侵的同时掩盖自己的足迹•给被控制的肉鸡种上代理木马•攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序16FTP木马•功能就是打开21端口，等待用户连接•对端口进行加密，只有攻击者本人才知道正确的密码，从而进入对方计算机17程序杀手木马•关闭对方机器上运行的防木马程序•让其他的木马更好地发挥作用。18反弹端口型木马•服务端(被控制端)使用主动端口•客户端(控制端)使用被动端口•木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见，控制端的被动端口一般开在80，即使用户使用扫描软件检查自己的端口，发现类似TCPUserIP:1026ControllerIP:80ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页。19特洛伊木马隐藏技术隐藏技术（一）•在任务管理器里隐藏–任务管理器中查看不到木马进程–木马将自己设成“系统服务”•在任务栏里隐藏–通过VB编程中属性设置实现自身不出现在任务栏中•端口修改–使用非常用端口，或高位端口–自己修改端口21隐藏技术（二）•隐藏通讯–占领80HTTP端口–收到正常的HTTP请求仍然把它交与Web服务器处理，只有收到一些特殊约定的数据包后，才调用木马程序•隐藏加载方式–在Win.ini中启动–在System.ini中启动–利用注册表加载运行–在Autoexec.bat和Config.sys中加载运行–在Winstart.bat中启动–启动组–*.INI–修改文件关联–捆绑文件22隐藏技术（三）•最新隐身技术–修改虚拟设备驱动程序(VXD)–修改动态链接库(DLL)–将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤–优势：没有增加新的文件不需要打开新的端口没有新的进程产生23特洛伊木马的传播常见传播方式（一）•捆绑欺骗–把木马服务端和某个游戏/软件捆绑成一个文件–通过即时通讯工具、邮件、下载工具等渠道发送出去•钓鱼欺骗（Phishing）–构造一个链接或者一个网页–利用社会工程学欺骗方法–欺骗用户输入某些个人，隐私信息，然后窃取个人隐私•漏洞攻击–利用操作系统和应用软件的漏洞进行的攻25常见传播方式（二）•网页挂马–网页挂马就是攻击者通过在正常的页面中（通常是网站的主页）插入一段代码。浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机26网页挂马技术（一）•框架嵌入式网络挂马–将网页木马利用frame语句加载到任意网页中27iframesrc==0height=0/iframe解释：在打开插入该句代码的网页后，就也就打开了页面，但是由于它的长和宽都为“0”，所以很难察觉，非常具有隐蔽性。网页挂马技术（二）•js调用型网页挂马–利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术28scriptlanguage=javascriptsrc=://就是一个js脚本文件，通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关的选项就可以了网页挂马技术（三）•图片伪装挂马–攻击者直接将网页木马加载到图片中29中的木马代码植入到test.jpg图片文件中图片木马生成后，再利用代码调用执行，实例代码如：htmliframesrc==0width=0/iframeimgsrc=注：当用户打开是，显示给用户的是，而网页代码也随之运行。TROJ_WIDGET.046301.用户从互联网下载免费软件特洛伊木马防范措施防范措施1）使用正版防毒软件，并及时更新防毒病毒码；2）及时打上系统和软件补丁；3）不要访问色情、黑客等不良网站；4）不要轻易相信“朋友”发来的链接和程序，对于下载的软件应该先查毒，然后才能运行；5）陌生人的邮件勿轻易打开；6）定期更新密码，尤其是银行账号、游戏账号等的密码；7)使用防毒软件定期扫描系统。对于企业用户而言还应做好以下几点：1）加强网络管理，关闭不必要的网络端口和应用；2）使用网络版的防毒软件，可以进行全网管理；3）加强用户安全意识教育；4）做好安全监控和病毒事件应急响应；5）监控Web服务器是否挂马，有条件者可以寻求专业防毒机构和专业人士的支持。32