特洛伊木馬(Trojan Horse)是指寄宿在計算機里的一種非授權的遠程控制程式,這個名稱來源於公元前十二世紀希臘和特洛伊之間的一場戰爭。由於特洛伊木馬程式能夠在計算機管理員未發覺的情況下開放系統許可權、泄漏用戶信息、甚至竊取整個計算機管理使用許可權,使得它成為了黑客們最為常用的工具之一。
它是一種典型的網路病毒。它以隱蔽的方式進入到目標機器,對目標機器中的私密信息進行收集和破壞,再通過網際網路,把收集到的私密信息反饋給攻擊者,從而實現其目的的一種新型病毒。
基本介紹
概述,發展,原理,結構,特點,功能,種類,隱藏方式,偽裝方法,防範策略,感染後措施,木馬清除,發展趨勢,
概述
特洛伊木馬(簡稱木馬)是隱藏在系統中的用以完成未授權功能的非法程式,是黑客常用的一種攻擊工具,它偽裝成合法程式,植入系統,對計算機網路安全構成嚴重威脅。區別於其他惡意代碼,木馬不以感染其它程式為目的,一般也不使用網路進行主動複製傳播。
特洛伊木馬是基於C/S(客戶/伺服器)結構的遠程控制程式,是一類隱藏在合法程式中的惡意代碼,這些代碼或者執行惡意行為,或者為非授權訪問系統的特權功能而提供後門。通常,使用木馬的過程大致分兩步首先,把木馬的伺服器端程式通過網路遠程植入受控機器,然後通過安裝程式或者啟動機制使術馬程式在受控的機器內運行。一旦木馬成功植入,就形成了基於C/S結構的控制架構體系,服務端程式位於受控機器端,客戶端程式位於控制機器端。
發展
自從世界上出現第1個木馬程式(1986年的PC-Write木馬),木馬已經經歷了5個發展階段。
第1階段:木馬在網際網路初期出現,以竊取網路密碼為主要任務。
第2階段:木馬開始利用C/S架構,進行遠程控制和監視。但是由於植入木馬的目標計算機會打開某些連線埠,所以能夠被輕易發現。
第3階段:木馬在網路連線上進行了改變,它的特徵是利用ICMP通信協定偽裝自己,部分還利用欺騙技術達到被動連線的目的,這樣就可以防止被安全軟體查殺。
第4階段:木馬利用嵌入核心的方法,例如通過插入DLL執行緒、掛接PSAPI、偽裝執行緒等。
第5階段:木馬充分利用了病毒相關技術,針對網際網路和計算機作業系統的缺點和不足,滲透到目標計算機或網路中,以達到控制目標的目的,而且可以實現自動激活的目的,使用戶和安全軟體更難發現。
原理
特洛伊木馬本質上就是一種客戶/伺服器模式的網路程式,其工作原理是一台主機提供伺服器作為伺服器端,另一台主機接受服務作為客戶端。伺服器端的程式通常會開啟一個預設的連線連線埠進行監聽,當客戶端向伺服器端的這一連線連線埠提出連線請求時,伺服器端上的相應程式就會自動執行,來回復客戶端的請求,並提供其請求的服務。對於特洛伊木馬來說,功能端程式安裝在被攻擊的主機上,它也是木馬大部分功能的實現端,木馬對背攻擊主機的所有控制功能也都集中在伺服器端。木馬的控制端程式通常安裝在攻擊者的主機上,用於控制功能端,向功能端發出各種命令,使得功能端程式按照攻擊者意圖實現各種遠程控制功能。特洛伊木馬在幾年與反病毒軟體、防火牆等防禦工具的不斷較量中,技術越來越進步,攻擊模式也從最早的傳統攻擊模式升級成為由傳統攻擊模式、反彈攻擊模式和第三方中介攻擊模式混合的方式。所謂的傳統攻擊模式就是前面說到的由服務端打開連線埠,等待連線:客戶端首先發出連線請求與服務端建立連線;然後實施攻擊,這種攻擊模式出現的比較早,使用的也最為普遍,現有的大多數木馬都是採用的是這種攻擊模式。隨著人們安全意識的不斷提高,很多計算機安裝有防火牆,由於防火牆默認的規則都是禁止由外向內發起的連線,導致傳統攻擊模式不能成功,於是特洛伊木馬進化出新的木馬攻擊模式即反彈攻擊模式。這種攻擊模式先由客戶端使用合法的報文激活服務端,然後由服務端主動連線客戶端,形成防火牆不禁止的由內而外連線,進而開始攻擊,這種攻擊模式稱為反彈攻擊模式。又因為有些攻擊方僅僅需要傳遞很少的控制信息,攻擊者為了更好的隱藏自己,防止木馬背發現了以後自己受到追查所進化出來的一種攻擊模式。通過伺服器端和客戶端不直接進行連線而是通過電子郵件伺服器或者攻擊者控制的肉雞作為中介進行信息互動,客戶端將控制進行傳送到第三方中介上,伺服器端定期到第三方中介獲取控制信息,並將竊取的信息放到第三方中介上,由客戶端自己來取。
結構
一個完整的木馬系統由硬體部分、軟體部分和具體的連線部分組成。
1、硬體部分。建立木馬連線所必須的硬體實體分為控制端、服務端和Internet。
2、軟體部分。實現遠程控制所必須的軟體程式,包括控制端程式、木馬程式、潛入服務端內部和木馬配置程式。
3、具體連線部分。包括控制端連線埠和木馬連線埠及網路地址。
特點
1、隱蔽性。
特洛伊木馬的隱蔽性是其最重要的特徵,如果一種特洛伊木馬不能很好地隱藏在目標計算機或網路中就會被用戶或安全軟體發現和查殺,也就無法生存下去了。
2、自動運行性。
特洛伊木馬必須是自動啟動和運行的程式,因此其採取的方法可能是嵌入在啟動配置檔案或者註冊表中。
3、欺騙性。
特洛伊木馬要想不被用戶或安全軟體發現和查殺,常常將自己偽裝成一般的檔案或系統和程式的圖示,其名字往往偽裝成一般的檔案或程式名字,例如 win、dll、sys 等。
4、頑固性。
特洛伊木馬一旦被發現就會面臨被清除的危險,此時部分特洛伊木馬能夠在用戶或安全軟體查殺的過程中潛伏下來而不被清除掉。
5、易植入性。
特洛伊木馬實現其控制或監視目的的前提是能滲透進入目標計算機,所以特洛伊木馬必須具備神不知鬼不覺地進入目標計算機的能力。
通過上面對木馬特性的分析,可以看到特洛伊木馬非常強調隱蔽能力和感染能力,其已經將蠕蟲病毒的技術吸收了進來。
功能
只要在本地計算機上能操作的功能,目前的木馬基本上都能實現。木馬的控制端可以像本地用戶一樣操作遠程計算機。木馬的功能可以概括為以下內容。
1、竊取用戶檔案。
特洛伊木馬在目標計算機中潛伏,當遇到感興趣的檔案時就會將相關檔案傳輸給提前設定的目的地而不會被用戶發現。
2、接受木馬釋放者的指令。
特洛伊木馬一旦感染網際網路中的伺服器就會竊取較高許可權,隨意地控制和監視通過該伺服器的數據和賬戶。
3、篡改檔案和數據。
根據指令對系統檔案和數據進行修改,使目標計算機的數據和檔案產生錯誤,導致作出錯誤的決策。
4、刪除檔案和數據。
將目標計算機作業系統中的檔案和數據隨意地刪除。
5、施放病毒。
激活潛伏在目標計算機操系統中的病毒,或將病毒下載至目標計算機系統,使其感染。
6、使系統自毀。
包括改變時鐘頻率,使晶片熱崩潰而損壞,造成系統癱瘓等。
種類
1、破壞型
唯一的功能就是破壞並且刪除檔案,可以自動的刪除電腦上的DLL、INI、EXE等重要檔案。
2、密碼傳送型
可以找到隱藏密碼並把它們傳送到指定的信箱。有人喜歡把自己的各種密碼以檔案的形式存放在計算機中,認為這樣方便;還有人喜歡用WINDOWS提供的密碼記憶功能,這樣就可以不必每次都輸入密碼了。許多黑客軟體可以尋找到這些檔案,把它們送到黑客手中。也有些黑客軟體長期潛伏,記錄操作者的鍵盤操作,從中尋找有用的密碼。
木馬病毒
木馬病毒3、遠程訪問型
最廣泛的是特洛伊木馬,只需有人運行了服務端程式,如果客戶知道了服務端的IP位址,就可以實現遠程控制。以下的程式可以實現觀察"受害者"正在乾什麼,當然這個程式完全可以用在正道上的,比如監視學生機的操作。
4、鍵盤記錄木馬
這種特洛伊木馬是非常簡單的。它們只做一件事情,就是記錄受害者的鍵盤敲擊並且在LOG檔案里查找密碼。這種特洛伊木馬隨著Windows的啟動而啟動。它們有線上和離線記錄這樣的選項,顧名思義,它們分別記錄你線上和離線狀態下敲擊鍵盤時的按鍵情況。也就是說你按過什麼按鍵,下木馬的人都知道,從這些按鍵中他很容易就會得到你的密碼等有用信息,甚至是你的信用卡賬號喔!當然,對於這種類型的木馬,郵件傳送功能也是必不可少的。
5、Dos攻擊木馬
隨著DoS攻擊越來越廣泛的套用,被用作DoS攻擊的木馬也越來越流行起來。當你入侵了一台機器,給他種上DoS攻擊木馬,那么日後這台計算機就成為你DoS攻擊的最得力助手了。所以,這種木馬的危害不是體現在被感染計算機上,而是體現在攻擊者可以利用它來攻擊一台又一台計算機,給網路造成很大的傷害和帶來損失。
還有一種類似DoS的木馬叫做郵件炸彈木馬,一旦機器被感染,木馬就會隨機生成各種各樣主題的信件,對特定的信箱不停地傳送郵件,一直到對方癱瘓、不能接受郵件為止。
6、代理木馬
黑客在入侵的同時掩蓋自己的足跡,謹防別人發現自己的身份是非常重要的,因此,給被控制的肉雞種上代理木馬,讓其變成攻擊者發動攻擊的跳板就是代理木馬最重要的任務。
7、FTP木馬
這種木馬可能是最簡單和古老的木馬了,它的唯一功能就是打開21連線埠,等待用戶連線。新FTP木馬還加上了密碼功能,這樣,只有攻擊者本人才知道正確的密碼,從而進入對方計算機。
8、程式殺手木馬
上面的木馬功能雖然形形色色,不過到了對方機器上要發揮自己的作用,還要過防木馬軟體這一關才行。程式殺手木馬的功能就是關閉對方機器上運行的這類程式,讓其他的木馬更好地發揮作用。
9、反彈連線埠型木馬
木馬是木馬開發者在分析了防火牆的特性後發現:防火牆對於連入的連結往往會進行非常嚴格的過濾,但是對於連出的連結卻疏於防範。於是,與一般的木馬相反,反彈連線埠型木馬的服務端(被控制端)使用主動連線埠,客戶端(控制端)使用被動連線埠。木馬定時監測控制端的存在,發現控制端上線立即彈出連線埠主動連結控制端打開的主動連線埠;為了隱蔽起見,控制端的被動連線埠一般開在80,即使用戶使用掃描軟體檢查自己的連線埠,稍微疏忽一點,你就會以為是自己在瀏覽網頁。
隱藏方式
1、在系統列里隱藏
這是最基本的隱藏方式。如果在windows的系統列里出現一個莫名其妙的圖示,大家都會明白是怎么回事。要實現在系統列中隱藏在編程時是很容易實現的。
2、在任務管理器里隱藏
查看正在運行的進程最簡單的方法就是按下Ctrl+Alt+Del時出現的任務管理器。如果你按下Ctrl+Alt+Del後可以看見一個木馬程式在運行,那么這肯定不是什麼好木馬。所以,木馬會千方百計地偽裝自己,使自己不出現在任務管理器里。木馬發現把自己設為 "系統服務“就可以輕鬆地騙過去。
3、連線埠
一台機器有65536個連線埠,你會注意這么多連線埠么?而木馬就很注意你的連線埠。如果你稍微留意一下,不難發現,大多數木馬使用的連線埠在1024以上,而且呈越來越大的趨勢。當然也有占用1024以下連線埠的木馬,但這些連線埠是常用連線埠,占用這些連線埠可能會造成系統不正常,這樣的話,木馬就會很容易暴露。
4、隱藏通訊
隱藏通訊也是木馬經常採用的手段之一。任何木馬運行後都要和攻擊者進行通訊連線,或者通過即時連線,如攻擊者通過客戶端直接接入被植入木馬的主機;或者通過間接通訊,如通過電子郵件的方式。木馬把侵入主機的敏感信息送給攻擊者。大部分木馬一般在占領主機後會在1024以上不易發現的高連線埠上駐留,有一些木馬會選擇一些常用的連線埠,如80、23,有一種非常先進的木馬還可以做到在占領80HTTP連線埠後,收到正常的HTTP請求仍然把它交與Web伺服器處理,只有收到一些特殊約定的數據包後,才調用木馬程式。
5、協同隱藏
顧名思義,協同隱藏就是指一組木馬之間互相協作,實現更強的隱藏能力。Harold Thimbleby等人提出了木馬程式的模型框架。這種框架從巨觀整體上擺脫了傳統隱藏技術的單一性,得到了不斷的發展。其後,梅登華等人[14]將多代理技術與木馬技術結合,提出了基於多代理的木馬技術;康治平等人[14]在木馬協同隱藏模型的基礎上提出了基於多執行緒和多對多的結構。
偽裝方法
1、修改圖示
木馬服務端所用的圖示也是有講究的,木馬經常故意偽裝成了XT.HTML等你可能認為對系統沒有多少危害的檔案圖示,這樣很容易誘惑你把它打開。
2、捆綁檔案
這種偽裝手段是將木馬捆綁到一個安裝程式上,當安裝程式運行時,木馬在用戶毫無察覺的情況下,偷偷地進入了系統。被捆綁的檔案一般是執行檔 (即EXE、COM一類的檔案)。
3、出錯顯示
有一定木馬知識的人部知道,如果打開一個檔案,沒有任何反應,這很可能就是個木馬程式。木馬的設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程式時,會彈出一個錯誤提示框 (這當然是假的),錯誤內容可自由定義,大多會定製成一些諸如 "檔案已破壞,無法打開!"之類的信息,當服務端用戶信以為真時,木馬卻悄悄侵人了系統。
4、自我銷毀
這項功能是為了彌補木馬的一個缺陷。我們知道,當服務端用戶打開含有木馬的檔案後,木馬會將自己拷貝到Windows的系統資料夾中(C:\windows或C:\windows\system目錄下),一般來說,源木馬檔案和系統資料夾中的木馬檔案的大小是一樣的 (捆綁檔案的木馬除外),那么,中了木馬的朋友只要在收到的信件和下載的軟體中找到源木馬檔案,然後根據源木馬的大小去系統資料夾找相同大小的檔案,判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬後,源木馬檔案自動銷毀,這樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工具幫助下,就很難刪除木馬了。
防範策略
1、不執行來歷不明的軟體
大部分木馬病毒都是通過綁定在其他的軟體中來實現傳播的,一旦運行了該軟體就會被除數感染。因此,一般推薦去一些信譽較高的站點下載套用軟體,並且在安裝軟體之前一定要用反病毒軟體檢查一下,確定無毒後再使用。
2、不隨便打開郵件附屬檔案
絕大部分木馬病毒都是通過郵件來傳遞,而且有的還會連環擴散,因此對郵件附屬檔案的運行尤其需要注意。
3、重新選擇新的客戶端軟體
很多木馬病毒主要感染的是Outlook和OutlookExpress的郵件客戶端軟體。如果選用其他的郵件軟體,受木馬病毒攻擊的可能性就會減小。另外通過Web方式訪問信箱也可以減小感染木馬的機率。
4、儘量少用或不用已分享檔案夾
如果非因工作需要,儘量少用或不用已分享檔案夾,注意千萬不要將系統目錄設定成共享。多渠道地拒絕木馬程式的傳播。
5、實時監控
運用已有的木馬查殺工具進行實時監控是最好的途徑,同時也需要不斷升級更新木馬程式及防毒軟體,並安裝防火牆等軟體工具,讓自己計算機做到相對高的安全性。
感染後措施
1、所有的賬號和密碼都要馬上更改,例如撥號連線、ICQ、mIRC、FTP、你的個人站點、免費信箱等等,凡是需要密碼的地方,你都要把密碼儘快改過來。
2、刪掉所有你硬碟上原來沒有的東西。
3、檢查一次硬碟上是否有病毒存在。
4、如果條件允許、重灌系統或是拷貝數據後直接換掉硬碟。
木馬清除
刪除木馬時,首先要將網路斷開,再用相應的方法來刪除它。
1、通過木馬的客戶端程式刪除
在win.ini或system.ini的檔案中找到可疑檔案判斷木馬的名字和版本,然後在網路上找到相應的客戶端程式,下載並運行該程式,在客戶程式對應位置填入本地算機地址連線埠號,就可以與木馬程式建立連線,再由客戶端的刪除木馬伺服器的功能來刪除木馬。
2、手工刪除
用Msconfig打開系統配置實用程式,對Win.ini、system.ini和啟動項目進行編輯,禁止掉非法啟動項。用rededit打開註冊表編輯器,對註冊表進行編輯,先由上面的方法找到木馬的程式名,再在整個註冊表中搜尋,並刪除所有木馬項目。由查找到的木馬程式註冊項,分析木馬檔案在硬碟中的位置,然後再進行刪除。重新啟動以後再用上面各種檢測木馬的方法對系統進行檢查,以確保木馬確實被刪除。
3、工具刪除
上面二種方法對於非專業人員來說操作起來並不容易,但現在已有許多非常好的木馬專殺工具,大家可以根據自己需要下載或購買使用.利用工具刪除,可以免除煩瑣的操作,完全由軟體程式自行完成。
發展趨勢
1、木馬將會更加隱蔽。目前,能夠查殺特洛伊木馬的安全軟體日益增多,對特洛伊木馬的隱蔽性提出了挑戰。特洛伊木馬如果想生存下來就必須更加重視隱蔽性。
2、木馬將會具有即時通訊能力。網際網路中動態網路地址的使用日益增多,在這種情況下特洛伊木馬可能無法將信息傳輸到提前設定的傳輸目的地。因此,特洛伊木馬必須與傳輸目的地建立即時通訊線路。
3、木馬將會具有自我更新能力。為了應對不斷更新的反木馬安全軟體,特洛伊木馬也必須能夠具有自我更新的能力。
4、木馬將會繼續融合蠕蟲和病毒的部分技術,增強自身傳播和生存能力。
