“摆渡”木马原理与防范策略

“摆渡”木马原理与防范策略商晓燕11．解放军理工大学通信工程学院研究生1队江苏南京；210007PrinciplesofFerryTrojanandPreventionStrategiesSHANGXiaoYan11.PostgraduateTeam1ICE,PLAUST,Nanjing210007Abstract:Keywords:摘要:“摆渡”木马是一种利用可移动设备从与互联网物理隔离的内部网络中窃取文件资料的信息攻击的工具。论文从“摆渡”木马的原理入手，分析了“摆渡”木马的工作流程、启动方式和运行方式，讨论了木马的隐蔽性与危害性，并提出了多种相应的防范策略，关键字:信息安全，“摆渡木马”,U盘病毒1引言随着信息技术的迅速发展和互联网的日益普及，给人们的生活带来了巨大的方便，在享受这些便利的同时，也面临着来至网络的各种安全威胁，如网络攻击、病毒、木马等。在全球互联网的形势下，信息安全至关重要，一个国家信息系统的失控和崩溃将导致整个国家的经济瘫痪，进而会影响到国家安全[1]。为此，政府机关、军队、银行、科研机构等重要部门和涉密单位出于信息安全的考虑，一般将单位自建的内部网络与互联网之间实施严格的物理隔离，而U盘一度成为内、外网离线交换文件数据的首选工具，而“摆渡”木马因此应运而生，是一种专门针对移动存储设备，从与互联网物理隔离的内部网络中窃取文件资料的信息攻击手段。论文将主要介绍“摆渡”木马的工作原理及其防范策略。2“摆渡”木马原理“摆渡”木马是一种间谍人员定制的特殊木马，隐蔽性、针对性很强，一般只感染特定的计算机，普通杀毒软件和木马查杀工具难以及时发现，对国家重要部门和涉密单位的信息安全威胁巨大。2.1木马工作流程“摆渡”木马其感染机制与U盘病毒的传播机制完全一样，只是感染目标计算机后，它会尽量隐蔽自己的踪迹，不会出现普通U盘病毒感染后的症状，如更改盘符图标，破坏系统数据等，它唯一的动作就是利用关键字匹配等手段扫描系统中的文件数据，并将敏感文件悄悄写回U盘中，一旦这个U盘再插入到连接互联网的计算机上，就会将这些敏感文件自动发送到互联网上指定的计算机中或者邮箱中，而且以后在被感染的计算机上使用的U盘都会感染“摆渡”木马。图2-1描述了木马的工作流程：内部网络Internet可移动设备（木马）Hacker感染木马文件打包回写感染主机搜索文件检测上网状态发送文件图2-1“摆渡”木马工作流程在现实生活中，被河流隔断的两岸往往利用渡船进行摆渡实现相互交通，而“摆渡”木马就像内部网络和互联网的一条渡船，尽管没有连接互联网，但是秘密文件还是不断的通过中了木马的U盘向外传播。如果木马利用内部网络感染所有局域网主机，后果将更加严重。2.2木马启动与运行方式2.2.1木马启动方式“摆渡”木马在本质上还是一种U盘病毒，其自启动方式还主要依赖于windows系统的的自动运行功能，当已感染木马的U盘被插入内部网络的计算机时时，由于自动播放功能的存在，木马文件自动运行，即实施了对被插入机器的感染并实施文件窃取。这种特性是通过U盘根目录下的Autorun.inf文件实现的，其中最隐蔽的Autorun.inf文件如下所示：[autorun]Open=“U盘根目录下的木马文件的名称”Shell\open=打开(＆O)Shell\open\Command=“U盘根目录下的木马文件的名称”Shell\open\Default=lShell\aUtoplay\Default=2Shell\autoplay=自动播放(＆P)Shell\autoplay\Command=“U盘根目录下的木马文件的名称”Shell\explore=资源管理器(＆X)Shell\explore\Command=“U盘根目录下的木马文件的名称”之所以说这个Autorun.inf文件很隐蔽，是因为该U盘被插入计算机上后时，不仅双击会运行木马程序，即使通过右键点击打开也会运行木马程序，而且用右键点击自动播放或者资源管理器同样会运行木马程序，此时使用U盘最好通过“我的电脑”地址栏下拉菜单打开。目前“摆渡”木马主要用的就是这种自启动方式。2.2.1木马运行方式“摆渡”木马程序启动后，往往利用各种进程隐藏技术达到伪装的目的，搜索文件时通过降低进程的优先级让用户感觉不到木马程序执行对内存的影响；在连接互联网向外发送文件时，通过进程注入，利用IE浏览器或一些系统关键进程向外发送，达到绕过防火墙的目的，隐蔽性非常好[2]。3“摆渡”木马防范策略基本了解了“摆渡”木马的工作原理后，本节将给出几种防范策略。3.1关闭自动播放功能只要U盘中的木马程序没有自启动就不会执行，通过关闭系统自动播放功能可以达到这个目的，下面给出3中不同的方法。(1)shift关闭法：只需在插入移动硬盘时持续按住shift键，直到系统提示“设备可以使用”，然后打开U盘就能避免自动播放的执行，该方法简单、有效，适合临时的防范。(2)组策略关闭法：XPprofessional系统下，在“开始-运行”中输入gpedit.msc打开组策略，依次展开“计算机配置-管理模块-系统”，找到“关闭自动播放”，单击右键点属性，选择“已启用”和“所有驱动器”，点确定即可，如图3-1所示。在VISTA系统下，稍有不同，打开控制面板-自动播放CD或其他媒体，在“自动播放”窗口中不选中“为所有媒体和设备使用自动播放”的复选框。在XPHomeEdit下，由于没有组策略管理，该方法无效。(3)修改注册表关闭法：在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer与HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，找到“NoDriveTypeAutoRun”和“ClassicShell”。这两个键决定了是否执行U盘的AutoRun功能，依次分别赋值255、01即可。图3-1组策略关闭自动播放3.2修改权限策略在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Mount-Points2，右键点MountPoints2选择权限，依次点击“安全中的用户和组”，在下面的权限中都改成拒绝，刷新一遍，此后即使U盘有木马也不会激活,双击U盘会正常进入U盘。3.3autorun.inf免疫策略在根目录下建立一个文件夹，名字就叫autorun.inf，并设定为只读属性，由于Windows规定在同一目录中，同名的文件和文件夹不能共存，这样就无法创建autorun.inf文件了，即使你双击盘符，也不会运行病毒。3.4物理免疫策略物理隔绝是最彻底防范策略，上网的计算机和办公的计算机严格分开。如果可能用可擦写刻录机下载数据，不要用移动存储设备；如果一定要用，购买专门用于拷贝上网数据的专用U盘，必须带写保护，该U盘插到个人电脑上时候，写保护一定要处于不可写的状态，只有这样才能保证数据只有从上网机器——个人机器的单向流通，能够在一定程度上预防泄密的发生。同时，还要建立内部网络监控机制，严禁非注册U盘在网络中使用。4总结与建议论文阐述了“摆渡”木马的原理，分析了木马的工作流程、启动和运行方式，并提出了相应的预防策略。这种木马隐蔽性强，普通杀毒软件和木马查杀工具难以及时发现，对国家重要部门和涉密单位的信息安全威胁巨大，各单位应该建立强大的安全防范措施，建立内部网络监控机制，减少U盘使用，预防“摆渡”木马等安全威胁，最大限度的防止泄密事件的发生。参考文献:[1]张世永.网络安全原理与应用[M].北京:科学出版社,2003.[2]孙淑华,马恒太,张楠,卿斯汉.内核级木马隐藏技术研究与实践[J]微电子学与计算机,2004,(03).