“摆渡”木马原理与防范策略

“摆渡”木马原理与防范策略商晓燕11．解放军理工大学通信工程学院研究生1队江苏南京；210007PrinciplesofFerryTrojanandPreventionStrategiesSHANGXiaoYan11.PostgraduateTeam1ICE,PLAUST,Nanjing210007Abstract:Keywords:摘要:“摆渡”木马是一种利用可移动设备从与互联网物理隔离的内部网络中窃取文件资料的信息攻击的工具。论文从“摆渡”木马的原理入手，分析了“摆渡”木马的工作流程、启动方式和运行方式，讨论了木马的隐蔽性与危害性，并提出了多种相应的防范策略，关键字:信息安全，“摆渡木马”,U盘病毒1引言随着信息技术的迅速发展和互联网的日益普及，给人们的生活带来了巨大的方便，在享受这些便利的同时，也面临着来至网络的各种安全威胁，如网络攻击、病毒、木马等。在全球互联网的形势下，信息安全至关重要，一个国家信息系统的失控和崩溃将导致整个国家的经济瘫痪，进而会影响到国家安全[1]。为此，政府机关、军队、银行、科研机构等重要部门和涉密单位出于信息安全的考虑，一般将单位自建的内部网络与互联网之间实施严格的物理隔离，而U盘一度成为内、外网离线交换文件数据的首选工具，而“摆渡”木马因此应运而生，是一种专门针对移动存储设备，从与互联网物理隔离的内部网络中窃取文件资料的信息攻击手段。论文将主要介绍“摆渡”木马的工作原理及其防范策略。2“摆渡”木马原理“摆渡”木马是一种间谍人员定制的特殊木马，隐蔽性、针对性很强，一般只感染特定的计算机，普通杀毒软件和木马查杀工具难以及时发现，对国家重要部门和涉密单位的信息安全威胁巨大。2.1木马工作流程“摆渡”木马其感染机制与U盘病毒的传播机制完全一样，只是感染目标计算机后，它会尽量隐蔽自己的踪迹，不会出现普通U盘病毒感染后的症状，如更改盘符图标，破坏系统数据等，它唯一的动作就是利用关键字匹配等手段扫描系统中的文件数据，并将敏感文件悄悄写回U盘中，一旦这个U盘再插入到连接互联网的计算机上，就会将这些敏感文件自动发送到互联网上指定的计算机中或者邮箱中，而且以后在被感染的计算机上使用的U盘都会感染“摆渡”木马。图2-1描述了木马的工作流程：内部网络Internet可移动设备（木马）Hacker感染木马文件打包回写感染主机搜索文件检测上网状态发送文件图2-1“摆渡”木马工作流程在现实生活中，被河流隔断的两岸往往利用渡船进行摆渡实现相互交通，而“摆渡”木马就像内部网络和互联网的一条渡船，尽管没有连接互联网，但是秘密文件还是不断的通过中了木马的U盘向外传播。如果木马利用内部网络感染所有局域网主机，后果将更加严重。2.2木马启动与运行方式2.2.1木马启动方式“摆渡”木马在本质上还是一种U盘病毒，其自启动方式还主要依赖于windows系统的的自动运行功能，当已感染木马的U盘被插入内部网络的计算机时时，由于自动播放功能的存在，木马文件自动运行，即实施了对被插入机器的感染并实施文件窃取。这种特性是通过U盘根目录下的Autorun.inf文件实现的，其中最隐蔽的Autorun.inf文件如下所示：[autorun]Open=“U盘根目录下的木马文件的名称”Shell\open=打开(＆O)Shell\open\Command=“U盘根目录下的木马文件的名称”Shell\open\Default=lShell\aUtoplay\Default=2Shell\autoplay=自动播放(＆P)Shell\autoplay\Command=“U盘根目录下的木马文件的名称”Shell\explore=资源管理器(＆X)Shell\explore\Command=“U盘根目录下的木马文件的名称”之所以说这个Autorun.inf文件很隐蔽，是因为该U盘被插入计算机上后时，不仅双击会运行木马程序，即使通过右键点击打开也会运行木马程序，而且用右键点击自动播放或者资源管理器同样会运行木马程序，此时使用U盘最好通过“我的电脑”地址栏下拉菜单打开。目前“摆渡”木马主要用的就是这种自启动方式。2.2.1木马运行方式“摆渡”木马程序启动后，往往利用各种进程隐藏技术达到伪装的目的，搜索文件时通过降低进程的优先级让用户感觉不到木马程序执行对内存的影响；在连接互联网向外发送文件时，通过进程注入，利用IE浏览器或一些系统关键进程向外发送，达到绕过防火墙的目的，隐蔽性非常好[2]。3“摆渡”木马防范策略基本了解了“摆渡”木马的工作原理后，本节将给出几种防范策略。3.1关闭自动播放功能只要U盘中的木马程序没有自启动就不会执行，通过关闭系统自动播放功能可以达到这个目的，下面给出3中不同的方法。(1)shift关闭法：只需在插入移动硬盘时持续按住shift键，直到系统提示“设备可以使用”，然后打开U盘就能避免自动播放的执行，该方法简单、有效，适合临时的防范。(2)组策略关闭法：XPprofessional系统下，在“开始-运行”中输入gpedit.msc打开组策略，依次展开“计算机配置-管理模块-系统”，找到“关闭自动播放”，单击右键点属性，选择“已启用”和“所有驱动器”，点确定即可，如图3-1所示。在VISTA系统下，稍有不同，打开控制面板-自动播放CD或其他媒体，在“自动播放”窗口中不选中“为所有媒体和设备使用自动播放”的复选框。在XPHomeEdit下，由于没有组策略管理，该方法无效。(3)修改注册表关闭法：在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer与HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，找到“NoDriveTypeAutoRun”和“ClassicShell”。这两个键决定了是否执行U盘的AutoRun功能，依次分别赋值255、01即可。图3-1组策略关闭自动播放3.2修改权限策略在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Mount-Points2，右键点MountPoints2选择权限，依次点击“安全中的用户和组”，在下面的权限中都改成拒绝，刷新一遍，此后即使U盘有木马也不会激活,双击U盘会正常进入U盘。3.3autorun.inf免疫策略在根目录下建立一个文件夹，名字就叫autorun.inf，并设定为只读属性，由于Windows规定在同一目录中，同名的文件和文件夹不能共存，这样就无法创建autorun.inf文件了，即使你双击盘符，也不会运行病毒。3.4物理免疫策略物理隔绝是最彻底防范策略，上网的计算机和办公的计算机严格分开。如果可能用可擦写刻录机下载数据，不要用移动存储设备；如果一定要用，购买专门用于拷贝上网数据的专用U盘，必须带写保护，该U盘插到个人电脑上时候，写保护一定要处于不可写的状态，只有这样才能保证数据只有从上网机器——个人机器的单向流通，能够在一定程度上预防泄密的发生。同时，还要建立内部网络监控机制，严禁非注册U盘在网络中使用。4总结与建议论文阐述了“摆渡”木马的原理，分析了木马的工作流程、启动和运行方式，并提出了相应的预防策略。这种木马隐蔽性强，普通杀毒软件和木马查杀工具难以及时发现，对国家重要部门和涉密单位的信息安全威胁巨大，各单位应该建立强大的安全防范措施，建立内部网络监控机制，减少U盘使用，预防“摆渡”木马等安全威胁，最大限度的防止泄密事件的发生。参考文献:[1]张世永.网络安全原理与应用[M].北京:科学出版社,2003.[2]孙淑华,马恒太,张楠,卿斯汉.内核级木马隐藏技术研究与实践[J]微电子学与计算机,2004,(03).基于数据二极管技术的摆渡木马防御研究发表时间：2011-4-29中国软件来源：e-works关键字：电子文件安全摆渡木马数据二极管访问控制信息化应用调查我要找茬在线投稿加入收藏发表评论好文推荐打印文本电子文件具有易复制和易传播的特点，如何防止电子文件被恶意窃取和传播，是电子文件安全面临的突出难题。本文针对借助移动存储介质入侵的摆渡木马进行阐述，提出防护摆渡木马的方法。通过访问控制技术和数据二极管技术，实现数据流的单向传输，为电子文件的共享和交流建立安全屏障，从根本上解决摆渡木马恶意窃取、传播文件的问题，从而保证电子文件的安全。引言随着国家信息化建设的不断发展，电子文件作为信息的载体，已在日常工作中占据很大的比重。电子文件交流和共享，如网络传输，已成为主要的信息交流方式，而电子文件的安全性，也成为当今安全领域面临的巨大挑战。为保证电子文件的安全，防止网络传输过程中受到木马等病毒的感染以及因此造成的泄密，国家保密局颁布的BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》和公安部提出的《信息系统等级保护安全设计技术要求》都有对不同等级系统的防护提出了要求，对计算机与互联网实行物理隔离。目前大多数的政府机关、军队的内外网络均采用物理隔离的方式保护信息的安全性。但在物理隔离的同时，也形成了内外网络之间的信息孤岛，两网之间的信息交换，只能通过移动存储介质来实现。目前，软盘、优盘、移动硬盘等移动存储介质的广泛应用，给工作带来极大便利的同时，也带来不容忽视的安全保密问题。移动存储介质被植入“摆渡”功能木马病毒程序就是其中之一。该“摆渡”木马病毒利用移动存储介质作为“渡船”，达到间接从内网中秘密窃取文件资料的目的，从而给内网的信息安全造成极大的威胁。如何彻底解决摆渡木马的问题，是当前保密工作中目前的一个严重的问题。针对该问题，本文提出了一种防御摆渡木马的思路和方法。1摆渡木马问题摆渡木马就是指存在于移动存储介质中的木马。其传播、窃取信息的过程如图1所示:1）当移动存储介质在未知安全性的外网计算机（已被植入摆渡型木马）使用时，木马自我复制到移动存储介质中；2）当感染病毒的移动存储介质接入内网计算机后，木马自动运行并就植入到被接入的计算机中；3）该木马搜索计算机内的涉密信息；4）已植入内网计算机的木马，一旦发现有移动存储介质连接到当前计算机上，即感染此介质，同时将收集到的信息作为隐藏的秘密文件写入存储介质；5）当隐藏秘密文件的移动存储介质连接到外网计算机时，潜伏在外网计算机中的木马读取存储介质中的隐藏文件，通过网络发送到窃密者，窃密者可远程下载信息。图1摆渡木马窃取传播信息示意图作为一种特殊的木马；摆渡木马的感染机制与优盘病毒的传播机制完全一样，只是感染目标计算机后，它会尽量隐蔽自己的踪迹，不会出现普通优盘病毒感染后的症状：如更改盘符图标，破坏系统数据，在弹出菜单中添加选项等。摆渡木马唯一的动作就是扫描系统中的文件数据，利用关键字匹配等手段将敏感文件悄悄写回移动存储介质中。一旦这个移动存储介质再插入到连接互联网的计算机上，就会将这些敏感文件自动发送到互联网上指定的计算机中。2当前的摆渡木马防御方法摆渡木马是一种间谍人员定制的木马，隐蔽性、针对性很强，一般只感染特定的计算机，普通杀毒软件和木马查杀工具难以及时发现，这对国家重要部门和涉密单位的信息安全造成极大的威胁。自2005年在网络中首次截获摆渡木马以来；很多单位的安全保密部门在做内部网络安全检测时，陆续发现了许多同类木马。针对摆渡木马而造成的泄密，目前，主要防御方法有如下三种：（1）移动存储介质只读控制；（2）移动存储介质加密控制；（3）涉密数据加密控制。（1）移动存储介质只读控制移动存储介质只读控制是指限制移动存储介质只读，防止内容写入移动存储介质。这种方式从表面上分析，可以阻止摆渡木马将内网计算机中的涉密信息写到移动存储介质中。实际上，移动存储介质的只读开关易被再次打开。当只读开关被