搜索
特洛伊木马特洛伊木马(TrojanHorse)又称木马,是一种通过各种方法直接或者间接与远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序。这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后,遂将“木马”作为奇异的战利品拖入城内,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名,有“一经潜入,后患无穷”之意。通常木马并不被当成病毒,因为它们通常不包括感染程序,因而并不自我复制,只是靠欺骗获得传播。现在,随着网络的普及,木马程序的危害变得十分强大,概括起来,木马的危害有:窃取数据、接受非授权操作者的指令、篡改文件和数据、删除文件和数据、施放病毒、使系统自毁、远程运行程序、跟踪监视对方屏幕、直接屏幕鼠标控制,键盘输入控制、监视对方任务且可以中止对方任务、锁定鼠标键盘和屏幕、远程重启和关机、远程读取和修改注册表、共享被控制端的硬盘等。远程控制概述。要了解木马,首先应了解远程控制。所谓远程控制,是指管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段,联通需被控制的计算机,将被控计算机的桌面环境显示到自己的计算机上,通过本地计算机对远方计算机进行配置、软件安装程序、修改等工作。这里的远程不是字面意思的远距离,一般指通过网络控制远端电脑。早期的远程控制往往指在局域网中的远程控制而言,随着互联网的普及和技术革新,现在的远程控制往往指互联网中的远程控制。当操作者使用主控端电脑控制被控端电脑时,就如同坐在被控端电脑的屏幕前一样,可以启动被控端电脑的应用程序,可以使用或窃取被控端电脑的文件资料,甚至可以利用被控端电脑的外部打印设备(打印机)和通信设备(调制解调器或者专线等)来进行打印和访问外网和内网,就像利用遥控器遥控电视的音量、变换频道或者开关电视机一样。不过,有一个概念需要明确,那就是主控端电脑只是将键盘和鼠标的指令传送给远程电脑,同时将被控端电脑的屏幕画面通过通信线路回传过来。也就是说,控制被控端电脑进行操作似乎是在眼前的电脑上进行的,实质是在远程的电脑中实现的,不论打开文件,还是上网浏览、下载等都是存储在远程的被控端电脑中的。远程控制必须通过网络才能进行。位于本地的计算机是操纵指令的发出端,称为主控端或客户端,非本地的被控计算机叫做被控端或服务器端。“远程”不等同于远距离,主控端和被控端可以是位于同一局域网的同一房间中,也可以是连入Internet的处在任何位置的两台或多台计算机。远程控制软件一般分客户端程序(Client)和服务器端程序(Server)两部分,通常将客户端程序安装到主控端的电脑上,将服务器端程序安装到被控端的电脑上。使用时客户端程序向被控端电脑中的服务器端程序发出信号,建立一个特殊的远程服务,然后通过这个远程服务,使用各种远程控制功能发送远程控制命令,控制被控端电脑中的各种应用程序运行。远程控制并不神秘,WindowsXP系统中就提供了多种简单的远程控制手段,如远程桌面连接。目前市场上有很多远程控制软件,如PCAnywhere就是一款功能强大的远程控制软件。PCAnywhere是由赛门铁克(Symantec)公司出品的远程控制软件,它功能强大,几乎支持所有的网络连接方式与网络协议,利用PCAnywhere,计算机管理人员可以轻松地实现在本地计算机上控制远程计算机,使得两地的计算机可以协同工作。在实现远程控制的同时,PCAnywhere还拥有更为完善的安全策略与密码验证机制,从而保证了远程被控主机的安全。远程控制虽然可以方便地操纵远程计算机,但它也可能给远程计算机带来安全隐患。因为远程计算机一旦成为服务端后,其他人只要知道了这台计算机的IP地址和服务端口,就可以对其控制,带来安全隐患。黑客正是利用了远程控制软件的这种特点,设计了木马程序。其实木马程序的工作原理和远程控制软件是一样的,木马就是一种基于远程控制技术的黑客工具,只是它具有破坏性、隐藏性和非传播性等特点而异。木马程序一般也是由两部分组成,分别是服务器端和客户端。服务器端程序指的是运行在被控制的电脑的木马程序,该程序为.exe后缀的可执行文件。客户端程序安装在控制端,客户端能够对服务器端的控制。在Windows系统中,木马一般作为一个网络服务程序在中了木马的计算机后台运行,监听本机一些特定端口,这个端口号多数比较大(5000以上,但也有少数是5000以下的)。当该木马相应的客户端程序在此端口上请求连接时,它会与客户程序建立TCP连接,从而被客户端远程控制。木马和常规远程控制软件的相同点:1.常规远程控制软件和木马都是用一个客户端通过网络来控制服务端,控制端可以是WEB,也可以是手机,或者电脑,可以说控制端植入哪里,哪里就可以成为客户端,服务端也同样如此;2.常规远程控制软件和木马都可以进行远程资源管理,比如文件上传下载修改;3.常规远程控制软件和木马都可以进行远程屏幕监控,键盘记录,进程和窕口查看ဂ木马和常规远程控制软件的区别:1.木马有破坏性:比如DDOS攻击、下载者功能、格式化硬盘、肉鸡和代理功能;2.木马有隐蔽性:木马最戾著的特征就是隐蔽性,也就是服务端是隐藏的,并不在被控者桌面显示,不被被控者察觉,这样一来无疑增加了木马的危害性,也为木马窃取密码提供了方便之门。远程控制和木马在功能上非常相似,木马可以理解为加了恶意功能的远程控制软件。木马的分类。根据木马程序的具体功能,可以分为五类:1.远程访问型木马。远程访问型木马是现在最广泛的特洛伊木马。这种木马起着远程控制的功能,用起来非常简单,只需先运行服务端程序,同时获得远程主机的IP地址,控制者就能任意访问被控制端的计算机。这种木马可以使远程控制者在本地机器上做任何事情,比如键盘记录、上传和下载功能、发送一个“截取屏幕”等等。这种类型的木马有著名的BO(BackOffice)和国产的冰河等。2.密码发送型木马。密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类木马程序不会在每次系统重启时都自动加载,它们大多数使用25号端口发送电子邮件。3.键盘记录型木马。键盘记录型木马非常简单的,它只做一种事情,就是记录受害者的键盘敲击,并且在Log文件里做完整的记录。这种木马程序随着系统的启动而启动,知道受害者在线并记录每一个用户事件,然后通过邮件或其他方式发送给控制者。4.破坏型木马:大部分木马程序只窃取信息,不做破坏性的事件,但破坏型木马却以毁坏并且删除文件为目的。它们可以自动删除受控计算机上所有的.ini.exe文件,甚至格式化受害者的硬盘,系统中的信息会在顷刻间“灰飞烟灭”。5.FTP型木马:FTP型木马打开被控制计算机的21号端口,使任何人无需密码就可以用一个FTP客户端程序连接到受控制端计算机,并且可以进行最高权限的上传和下载,窃取受害者的机密文件。根据木马的网络连接方向,可以分为两类:1.正向连接型:发起通信的方向为控制端向被控制端发起,这是传统技术,其缺点是不能透过防火墙。2.反向连接型:发起通信的方向为被控制端向控制端发起,其出现主要是为了解决从内向外不能发起连接的情况的通信要求,已经被较新的木马广泛采用。黑客要控制远程计算机,必须先将木马程序的服务端程序植入远程计算机中。目前黑客一般通过如下几种方式进行传播:1.通过E-Mail附件传播;2.通过网页传播;3.通过文件传输;4.通过系统漏洞直接种植。12.1网页木马12.1.1背景描述随着信息技术的不断发展,互联网网站已经成为信息传播、流通、交换及存储的重要手段,但是由于承载网站的应用程序具有自身无法完全克服的漏洞问题,为黑客的入侵提供了可乘之机。利用网站漏洞,尤其是WEB应用程序漏洞:如SQL注入等,黑客能够得到Web服务器的控制权限,随意篡改网页内容或窃取重要内部数据,更为严重的则是在网页中植入恶意代码,既“网页挂马”。通过这一行为,黑客可以控制网站的访问者甚至包括网站本单位的人员的计算机,从而实现盗取银行帐号、内部机密信息等各种不可告人的目的。由于网页木马制作的简单性和网络漏洞存在的必然性,通过网站漏洞进行网页挂马已经成为当前最流行的网站攻击方法和最受黑客青睐的木马散播方式。超级巡警团队、数据安全实验室(DSWLAB)等相关部门汇总数据表明:2008年上半年,网页木马急骤增长,专业化、团队式的木马制造者,在攫取巨额非法利益的同时,给广大网民的正常工作学习带来了很大的不便,使网友们的利益受到了极大的损失。巨额利润、Web应用程序漏洞、社会工程学成为2008年上半年的网页木马增长的主要条件。很多流行病毒(如:机器狗、磁碟机、游戏盗号病毒等)除了利用程序自身的传播机制进行传播外,也都会利用各种网页木马来扩大其破坏范围。图12-1-1网马增长曲线图从图12-1-1中可以看出,短短十周的时间内国内网络上的网页木马竟达到了10多倍的增长。由于一个网页木马对应着成百上千的,甚至是数以万计的计算机网络用户,所以通过网页木马被感染的计算机是放射性增长的。超级巡警团队监控数据显示,在抽样调查所统计的时间内,被感染的网页数量达到1449034,几乎是平均每个网民每天至少会浏览到一个恶意链接。被感染的网页增长走势如下图12-1-2:图12-1-2被感染网页增长曲线图根据瑞星“云安全”数据中心的统计数据(见图12-1-3和图12-1-4)表明,2009年上半年,瑞星“云安全”系统拦截到的挂马网页数累计达2.9亿个,共有11.2亿人次网民遭木马攻击,平均每天有622万余人次网民访问挂马网站;其中大型网站、流行软件被挂马的有35万个(以域名计算)。网民被挂马网站攻击成功时使用的软件,主要是各种浏览器,以及内嵌了网页的流行软件。根据以上瑞星公司的统计研究表明,目前的互联网非常脆弱,各种热点新闻、流行软件、社交(SNS)网站、浏览器插件的漏洞层出不穷,为黑客提供了大量入侵和攻击的机会。网页取代网络成为攻击活动的主要渠道,“挂马网页”已经成为黑客传播病毒的主要手段。目前90%以上的木马病毒通过“挂马”方式传播,这些几乎都源于系统漏洞、后台服务器存在不安全设置、网站实现代码缺陷(如SQL注入、论坛代码缺陷、跨站脚本等)、或网站提供Web服务的程序漏洞、IIS漏洞、Apache漏洞等隐患,给黑客可乘之机;其中访问量越大的网站越有被挂马的可能,因为此类网站被黑客关注程度较高;另外就是政府机关网站、各大中型企业网站,由于专业性技术人员缺乏,网站大多由第三方公司外包开发,存在缺陷较多,也最容易被挂马。图12-1-32009年上半年截获木马网站数量统计图12-1-42009年上半年挂马网站攻击次数统计另据中国教育和科研计算机网计算机安全应急相应组2010年6月的统计,挂马网站数量仍呈上升趋势,并且占当月攻击事件总和的39%,如图12-1-5所示。图12-1-52010年05月~06月CERNET安全投诉事件统计网页木马作为打开网络上计算机的“弹头”,它会通过各种系统漏洞或应用程序漏洞,率先获取网络终端计算机的某种权限。通过已经获得的权限,去指定的服务器下载回来“有效载荷”。而这些“有效载荷”就是数十个盗取各种游戏软件、即时通讯软件、邮箱等密码或敏感信息的木马。12.1.2工作原理1.网页木马的基本概念网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。“网页木马”