核心内容摘要
搞机time,点燃你的科技心!
特洛伊木马简称为“木马”英文为trojan由于不感染其他的文件也不破坏计算机系统同时也不进行自我的复制所以木马不具有传统计算机病毒的特征。
由于目前市面上的杀病毒软件一般都直接支持对木马的查杀所以大家习惯于将木马称为“木马病毒” 。
木马的特征和类型在恶意代码家族中木马主要用来作为远程控制和窃取用户隐私信息它同时具有计算机病毒和后门程序的特征。
木马的特征一般的木马程序包括客户端和服务器端两个程序其中客户端用于攻击者远程控制植入木马的计算机即服务器端而服务器端即是植入木马程序的远程计算机。
当木马程序或带有木马的其他程序执行后木马首先会在系统中潜伏下来并修改系统的配置参数每次启动系统时都能够实现木马程序的自动加载。
有时木马程序会修改某一类型文件的关联从而使木马的潜伏变得更加容易并不易被用户发现。
如图
所示运行木马的客户端和服务器端在工作方式上属于客户机/服务器模式Client/ServerC/S其中客户端在本地主机执行用来控制服务器端。
而服务器端则在远程主机上执行一旦执行成功该主机就中了木马就可以成为一台服务器可以被控制者进行远程管理。
▍图
木马的系统组成木马通常采取如图
所示的方式实施攻击配置木马伪装木马→传播木马通过文件下载或电子邮件等方式→运行木马自动安装并运行→信息泄露→建立连接→远程控制。
▍图
木马的运行过程目前木马入侵的主要途径是通过电子邮件的附件或文件下载等方式将木马程序复制到用户的计算机中然后通过修改系统配置文件或故意误导用户如谎称有人给你送贺卡使木马程序悄悄地在后台执行。
一般的木马程序只有几KB到几十KB的大小所以当木马程序隐藏在正常的文件中后用户一般很难发现。
木马也可以通过脚本、ActiveX及ASP.CGI交互脚本的方式植入由于IE浏览器在执行脚本时存在一些漏洞这就为攻击者植入木马提供了便利。
例如曾出现过一个利用微软公司的Scripts脚本漏洞对用户的硬盘进行格式化的HTML页面。
常见木马的种类从木马程序产生以来不但其隐蔽性得到加强而且木马的编写和控制技术及功能也在不断加强。
从总体来看可以对目前已发现的木马程序进行以下的分类。
**1远程控制型木马。
**远程控制型木马一般集成了其他木马和远程控制软件的功能实现对远程主机的入侵和控制包括访问系统的文件截取主机用户的私人信息包括系统帐号、银行账号等。
在木马家族中远程控制型木马是数量最多的一种也是危害最大的一种它可以让攻击者完全控制已植入木马的主机从事一些甚至连本地用户本身都不能顺利进行的操作。
大家熟知的冰河就是一个远程控制型木马当服务端程序运行时客户端只要能够知道服务器的IP地址就会方便地实现远程控制从事像键盘记录、上传和下载信息、修改注册表等操作。
**2密码发送型木马。
**密码发送型木马是专门为了窃取别人计算机上的密码而编写的木马一旦被执行就会自动搜索内存、Cache、临时文件夹以及其他各种包含有密码的文件如Windows Server操作系统的SAM文件中保存的Administrator账户密码等。
一旦搜索到有用的密码木马就会利用免费的电子邮件服务将密码发送到指定的邮箱从而达到非法窃取别人计算机上密码的目的。
这种木马的设计目的是找到所有的隐藏密码并且在用户不知道的情况下把密码发送到指定的信箱。
**3键盘记录型木马。
**键盘记录型木马的设计目的主要是用于记录用户的键盘敲击并且在日志文件log文件中查找密码。
该类木马分别记录用户在线和离线状态下敲击键盘时的按键信息。
攻击者在获得这些按键信息后很容易就会得到用户的密码等有用信息包括用户可能在网上输入的银行账号。
当然在该类木马中记录信息的返回一般也通过邮件发送功能来完成。
**4破坏型木马。
**破坏型木马的功能比较单一即破坏已植入木马的计算机上的文件系统轻则使重要数据被删除重则使系统崩溃。
破坏型木马的功能与计算机病毒有些相似不同的是木破坏型木马的激活是由攻击者控制的并且传播能力也比病毒慢。
**5DoS攻击型木马。
**随着DoS Denial of Service拒绝服务和DDoSDistributed Denial of Service分布式拒绝服务攻击越来越广泛的应用与之相伴的DoS攻击型木马也越来越流行。
当黑客入侵了一台主机并植入了DoS攻击型木马那么这台主机就成为黑客进行DoS攻击的最得力助手。
黑客控制的主机越多发起的DoS攻击也就越具有破坏性。
由此可以看出DoS攻击型木马的危害不是体现在被植入木马的主机上而是攻击者利用它作为攻击信息的发起源头来攻击其他的计算机从而使被攻击的计算机瘫痪。
另外还有一种称之为邮件炸弹的木马它有些类似于DoS攻击型木马一旦某台主机被植入并运行了木马木马就会随机自动生成大量的邮件并将其发送到特定的邮箱中直到对方的邮件服务器瘫痪为止。
**6代理型木马。
**在计算机网络中代理是一种被广泛使用的技术。
所谓代理其实就是一个跳板或中转即两台主机之间的通信必须借助另一台主机该主机在网络中称为代理服务器来完成。
代理型木马被植入主机后像DoS攻击型木马一样该主机本身不会遭到破坏。
其实代理型木马这样做的初衷便是掩盖自己的足迹谨防别人发现自己的身份。
通过代理型木马攻击者可以在匿名的情况下使用Telnet远程登录程序以及ICQ、QQ、IRC等即时信息程序从而隐蔽自己的踪迹。
**7FTP木马。
**FTP木马使用了网上广泛使用的FTP功能通过FTP使用的TCP 21端口来实现主机之间的连接。
现在新型的FTP木马还加上了密码功能这样只有攻击者本人才知道正确的密码从而进入对方的计算机。
FTP木马是出现比较早的一类木马。
**8程序杀手木马。
**程序杀手木马的功能就是关闭对方计算机上运行的某些程序多为专门的防病毒或防木马程序让其他的木马安全进入实现对主机的攻击。
**9反弹端口型木马。
**反弹端口型木马主要是针对防火墙而设计的。
防火墙一般将网络分为内、外两部分其中主要目的是保护内网资源。
所以防火墙会对从外网进入内网的数据包进行严格的分析和过滤而对从内网发往外网的数据包不作较多的处理。
而木马的工作原理与防火墙正好相反一般情况下木马的攻击多由客户端发起所以当被攻击者位于防火墙的内部时位于外网的客户端将无法与位于内网的服务器端建立连接。
针对这类情况便出现了反弹端口型木马。
反弹端口型木马的服务端使用主动端口客户端使用被动端口。
木马定时监测控制端的存在发现控制端可以连接后便立即弹出端口来主动连接控制端打开的主动端口。
多数反弹端口型木马被动端口设置为80端口以避开用户使用端口扫描软件发现木马的存在。
很显然防火墙一般是不会封闭80端口的否则所有的Web页面将无法打开。
**10硬件木马。
**硬件木马是指插入原始电路的微小的恶意电路。
这种电路潜伏在原始电路之中在电路运行到某些特定的值或条件时使原始电路发生本不该有的情况。
这种恶意电路可对原始电路进行有目的性的修改如泄露信息给攻击者使电路功能发生改变甚至直接损坏电路。
硬件木马能够实现对专用集成电路ASIC、微处理器、微控制器、网络处理器、数字信号处理器DSP等硬件的修改。
另外随着比特币、勒索软件等应用的流行在已有木马不断产生新的变种的同时还出现了一些新的木马类型如挖矿木马可以利用网络中的计算机的帮助攻击者进行挖矿以赚取比特币另外新的木马与僵尸程序结合实施网络勒索攻击等。
木马的隐藏方式由于木马所从事的是“地下工作”因此为了防止“别人”发现它它必须采取一定的方式隐藏起来。
木马开发者一开始就想到了可能暴露木马踪迹的问题。
例如木马会修改注册表和系统文件以便计算机在下一次启动后仍能载入木马程序而不需要生成一个启动程序。
有些木马在服务器端实现了与正常程序的绑定这种绑定称之为“exe-binder绑定程序”可以在使用被绑定的正常程序时实现木马的入侵。
有些木马程序能把它自身的exe可执行文件和服务端的图片文件如扩展名为.jpg、.bmp的图片文件绑定在用户打开图片时木马便侵人了系统。
总体来看木马主要通过以下几种方式进行隐藏。
在“任务栏”里隐藏这是木马最常采用的隐藏方式。
为此如果用户在Windows的“任务栏”里发现莫名其妙的图标应怀疑可能是木马程序在运行。
但现在的许多木马程序已实现了在任务栏中的隐藏当木马运行时已不会在任务栏中显示其程序图标。
在“任务管理器”里隐藏在任务栏的空白位置单击鼠标右键在出现的快捷菜单中选择“任务管理器”打开其“进程”列表就可以查看正在运行的进程。
在进程列表中如果看到一些来路不明的名称这时可以怀疑是木马程序。
为了隐藏自己现在的一些木马程序已实现了在进程中的伪装使自己不出现在任务管理器里。
有时木马程序会将自己伪装为“系统服务”进程以骗过用户。
隐藏通信方式隐藏通信也是木马经常采用的手段之一。
通过前面的介绍读者已经明白任何木马运行后都要和攻击者客户端进行通信连接。
这种连接一般有直接连接和间接连接两种方式其中“直接连接”是指攻击者通过客户端直接接人植有木马的主机服务器端而“间接连接”即是如通过电子邮件、文件下载等方式木马把侵入主机的敏感信息送给攻击者。
现在大部分木马一般会在植入主机后通过TCP或UDP端口进行驻留而且有些木马多选择一些像
53、
23等常用的端口。
例如有一种木马还可以做到在通过80端口进行HTTP连接后在收到正常的HTTP请求时仍然将其交给Web服务器进行处理只有收到一些特殊约定的数据包时才调用木马程序。
隐藏加载方式木马在植入主机后如果不采取一定的方式运行也就等于在用户的计算机上拷入了一个无用的文件为此在木马值入主机后需要伺机运行。
在运行时如果木马不做任何伪装可以会被用户很快发现所以木马必须采取非常隐蔽的方式通过欺骗用户来运行。
木马为了控制服务端必须在系统启动时跟随启动所以它必须潜入用户计算机的启动配置文件中如win.ini、system.ini、winstart.bat以及启动组文件等。
目前随着一些互功网站的大量应用为木马的植入和运行提供了方便之门像Java Script、VBScript、ActiveX、XML等WWW的每一个新功能已几乎成为木马入侵的媒介。
通过修改系统配置文件来隐藏木马可以通过修改VXD虚拟设备驱动程序或DLL动态链接库文件来加载木马。
这种方法与一般方法不同它基本上摆脱了原有的木马所采用的监听端口进行连接的模式而将木马程序改写成系统已知的VXD或DLL文件以替代系统功能的方法来入侵。
这样做的好处是没有增加新的文件不需要打开新的端口没有新的进程使用常规的方法监测不到。
在这种方式中木马几乎没有表现出任何症状且木马的控制端向被控制端发出特定的信息后隐藏的程序就立即开始运作。
具有多重备份功能现在许多木马程序已实现了模块化其中一些功能模块已不再由单一的文件组成而是具有多重备份可以相互恢复。
当用户删除了其中的一个模块文件时其他的备份文件就会立即运行。
这类木马很难防范。
系统中植入木马后的运行和表现形式任何一种恶意代码在成功入侵系统后都会表现出一些特征掌握这些特征可帮助查找和清除木马程序。
系统植入木马后的表现形式与计算机病毒一样当木马入侵系统后也会表现出一定的症状。
主要表现为以下几种。
**1随意弹出窗口。
**虽然用户的计算机已经连接在网上但即没有打开任何的浏览器。
这时如果系统突然会弹出一个上网窗口并打开某一个网站这时有可能运行了木马。
如果用户上网使用的是拨号方式如果系统突出进行自动拨号也可能是有木马在运行。
另外在用户操作计算机时有时会弹出一些警告框或信息提示对话框这时也可能已运行了木马程序。
**2系统配置参数发生改变。
**有的时候用户使用的Windows操作系统的配置参数如屏幕保护、时间和日期显示、声音控制、鼠标的形状及灵敏度、CD-ROM的自动运行程序等莫名其妙地被自动更改。
**3频繁地读写硬盘。
**在计算机上并未进行任何操作时如果系统频繁地读写硬盘硬盘指示灯会不停地闪烁有时软盘驱动器也会经常自己读盘这时可能有木马在运行。
另外在本章前面已经介绍过木马还可能会在任务栏、任务管理器等处显示其运行的图标和进程。
**4系统资源占用率高。
**目前以比特币为代表的数字货币受到关注许多基于区块链技术的数字货币也纷纷问世例如以太币门罗币等。
这类数字货币并非由特定的货币发行机构发行而是依据特定算法通过大量运算所得而完成如此大量运算的工具就是挖矿木马。
挖矿木马运用计算机强大的运算力进行大量运算由此获取数字货币。
由于硬件性能的限制数字货币玩家需要大量计算机进行运算以获得一定数量的数字货币因此一些不法分子通过各种手段将挖矿木马植入受害者的计算机中利用受害者计算机的处理能力进行挖矿从而获取利益。
由于挖矿木马要占用大量的CPU等计算资源所以突出表现为在没有计算任务的情况下计算机的CPU、内存等资源的利用率很高。
木马的自运行方式作为一个优秀的木马程序必须具备自启动功能一个典型的例子就是把木马加入到用户经常执行的程序如explorer.exe、winword.exe)中用户执行该程序时木马则会自动运行。
木马更普遍的方法是通过修改Windows系统文件和注册表达到目的主要表现在以下几个方面。
**1在win.ini中启动。
**Windows操作系统的win.ini文件其中[windows]字段中有“load”和“run”两个启动命令系统默认情况下这两条后面是空白的。
如果木马要利用win.ini实现自运行就可以将要运行的木马程序加载到这两条启动命令中。
**2在system.ini中启动。
**在Windows的安装目录下有一个系统配置文件system.ini在[386Enh]字段下的“driver路径\程序名”一般是木马经常加载的地方。
再有在system.ini中的[mic]、[drivers]、[drivers32]这3个字段主要是Windows操作系统来加载驱动程序这也为添加木马程序提供了良好的场所。
**3在autoexec.bat和config.sys中启动。
**在硬盘的第一个引导分区一般为C分区下存放着autoexec.bat和config.sys两个系统批处理和配置文件这两个文件也是木马经常实现自运行的地方。
**4在Windows启动组中启动。
**如果用户要在Windows操作系统启动时自动启动某一个程序就可以将其添加到“开始→程序→启动”组中所以Windows的启动组也成为木马经常选择的驻留之地。
启动组对应的文件夹为C:\Windows\start menu\programs\startup在注册表中的位置为HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell Folders中的 Startup如图
所示。
▍图
启动组在注册表中的位置**5修改文件关联。
**木马本身无法方便地实现自启动就需要借助其他合法程序来完成将这一过程称为文件关联。
例如在Windows下我们经常使用“记事本”工具notepad.exe来打开文本文件但是如果被木马修改了notepad.exe的关联后当我们打开.txt的文本文件时将会自动运行木马程序著名的国产木马冰河就是以这种方式实现木马程序的启动的。
在修改了notepad.exe的文件关联后一旦用户在打开.txt文件时就启动了木马程序。
**6捆绑文件。
**当控制端和服务端已通过木马建立了连接后控制端通过工具软件将木马文件和某一应用程序捆绑在一起后上传到服务端并覆盖服务端的同名文件这样当已运行的木马被发现并删除后只要运行了捆绑有木马的应用程序木马就会再次运行。
现在每一台上网的计算机一般都安装在杀病毒软件而杀病毒软件一般在系统启动后都在自动运行并驻留内存。
所以如果将木马程序捆绑到杀病毒程序后那么每次Windows启动均会启动木马而且杀病毒软件一般也不会发现该木马。
**7嵌入到Web页面中。
**攻击者首先将挖矿木马植入到指定的网站具有一定诱惑力的网站的网页中只要访问者通过浏览器浏览被恶意植入了网页挖矿木马的站点浏览器会即刻执行挖矿指令从而沦为僵尸矿机为攻击者提供算力间接为其生产虚拟货币。
木马的防范方法防范木马的过程其实就是预先采取一定的措施来预防木马进入系统即将木马阻止在计算机之外。
防止以电子邮件方式植入木马目前电子邮件的使用已非常广泛每一个使用Internet的用户几乎都拥有自己的电子信箱。
为此大量的木马便利用电子邮件来植入用户的计算机系统。
木马在电子邮件中的位置一般有两种附件和正文。
早期的电子邮件正文多使用文本很显然在文本中是无法隐藏木马程序的所以木马只能藏匿在电子邮件的附件中而且还采取双后缀名方式。
一旦用户打开了藏有木马的附件就将木马植入到了系统中。
为预防这类木马建议用户不要随意打开来路不名的电子邮件的附件。
如果确实要打开不确定来历的电子邮件附件时建议先将其下载到指定的文件夹中用杀病毒软件查杀病毒并用专用查杀木马工具扫描后再打开。
现在的电子邮件系统在正文中已直接支持图片、HTML页面等内容的显示有些电子邮件系统还支持语音和视频。
例如当邮件正文中显示了HTML页面并显示了一些链接时一般不要点击这些链接。
另外HTML页面中本身也可以隐藏不安全的代码一旦打开这类邮件不知不觉中就已感染了计算机病毒或植入了木马。
对于利用邮件正文传播的病毒和木马唯一可行的预防方法是不要打开这类邮件而将其直接删除。
防止在下载文件时植入木马计算机网络的特点之一是提供了海量的信息和资源其中包括一些软件。
目前很多网络用户已习惯于在网络上搜索和下载所需要的软件但没有任何人能够保证网络上下载的软件是“干净”的。
为了防止通过在网上下载文件时植入木马建议服务器上安装的所有软件不要使用从网上下载的对于客户机上使用的软件如果确实需要从网上下载时建议先将软件下载后某一个指定的文件夹中用杀病毒软件查杀病毒并用专用查杀木马工具扫描后再安装使用。
建议习惯于从网上下载软件的用户使用专用的下载工具如FlashGet来将文件下载到指定的文件夹中同时把下载工具和杀病毒或查杀木马软件进行绑定这样每当下载完一个文件后下载工具便会利用已绑定的杀病毒或查杀木马软件对其进行自动扫描。
以FlashGet为例实现与杀病毒或查杀木马软件绑定的方法为在FlashGet操作窗口中选择“工具→选项→文件管理”在打开的如图
所示的对话框中选取“下载完毕后进行病毒检查”项并单击“浏览”按钮选择本机上已使用的杀病毒或查杀木马软件名称同时选择“下载完毕后打开或者查看已下载的文件”项。
图
使用专用下载工具并绑定杀病毒软件
防止在浏览网页时植入木马由于IE浏览器本身存在的缺陷许多程序可以在用户不知情的情况下安装在系统中这也为木马的值入提供了一条途径。
加强IE的安全性一方面是使用最新版本的IE软件因为新版本的IE修改了老版本的许多不足尤其在安全性方面得到了提高。
同时在使用任何一个IE时都要及时升级Services Pack补丁程序以修补IE存在的漏洞另一方面是设置IE的设置属性具体方法是在IE窗口中选择“工具→Internet选项→安全”打开如图
所示的对话框。
选取安全设置对象栏中的“Internet”后单击“自定义级别”在打开的如图
所示的对话框中把“ActiveX控件和插件”下的选项全部设置为“禁用”这样就阻止了IE自动下载和执行文件的可能性。
▍图
Internet选项设置对话框▍图
禁用AcitveX控件和插件除此之外还可以使用木马消除工具如木马克星、木马分析专家、木马专家等定期对计算机系统进行扫描。
学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。
知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。
广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。
实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。
通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。