木馬程序技術的發展可以說非常迅速,至今木馬程序已經經歷了六代的改進,下一代木馬也呼之欲出。那么木馬到底是什么,它能干什么?讓我們一起揭開它的面紗。
一、什么是木馬
木馬是一種基于遠程控制的黑客工具,具有隱蔽性、自動運行性、非授權性和危害性等特點。木馬通常有兩個可執行程序:一個是服務端,即被控制端,另一個是客戶端,即控制端。如果電腦被安裝了服務端程序,會有一個或幾個端口被打開,黑客就可以使用控制端程序通過這些端口入侵電腦。
據統計表明,2013年一季度國內有1.46億網民曾遭遇至少一次木馬侵襲,此類風險人群占整體網民比例高達25.8%,由此可見時至今日木馬入侵的手法仍然經久不衰。
二、木馬的結構
一個完整的木馬系統由硬件部分、軟件部分和連接部分組成,如圖1所示。
圖1 木馬的結構
三、木馬的分類
目前木馬主要分為以下幾種類型。
遠程控制型木馬
遠程控制木馬是最流行的木馬,其數量最多,危害最大,它可以讓攻擊者完全控制被感染的計算機。由于要達到遠程控制的目的,所以該種類的木馬往往集成了其他種類木馬的功能,使其在被感染的機器上為所欲為,可以任意訪問文件,得到用戶的敏感信息甚至包括信用卡,銀行賬號等至關重要的信息。
密碼發送型木馬
在高度信息化,網絡化的今天,密碼無疑是一個非常重要的信息。密碼發送型木馬正是專門為了盜取被感染計算機上的密碼而編寫的,木馬一旦被執行,就會自動搜索內存,緩存,臨時文件夾以及各種敏感密碼文件,一旦搜索到有用的密碼,木馬就會將他們發送到指定的郵箱。
鍵盤記錄型木馬
這種木馬非常簡單,它們所做的唯一事情就是記錄受害者的鍵盤敲擊,然后在日志文件里查找密碼。一般情況下,這種木馬隨著操作系統的啟動而啟動,它們有在線和離線的選項,分別記錄你在線和離線狀態下敲擊鍵盤時的按鍵情況,然后發送到指定郵箱。攻擊者從這些按鍵記錄中很容易就會得到你的各種賬戶,密碼等有用信息。
破壞型木馬
這種木馬唯一的功能就是刪除和破壞被感染計算機的文件系統,使其遭受系統崩潰或者重要數據丟失的巨大損失。這類木馬非常簡單易用,他們能自動刪除受影響計算機里的dll、exe、ini等后綴的文件。
FTP型木馬
這是一種非常簡單和古老的木馬,它會打開計算機的21端口,等待FTP軟件進行連接并自由上傳和下載文件。部分FTP型木馬還帶有密碼驗證功能,只有攻擊者本人才知道密碼,從而進入對方計算機。
DoS攻擊型木馬
隨著DDoS攻擊越來越廣泛的應用,被用作DoS攻擊的木馬也越來越流行。當你給入侵的計算機種上DoS攻擊木馬,那么日后這臺計算機就成為你進行DoS攻擊的小助手了。你控制的肉雞數量越多,你發動DoS攻擊取得成功的機率就越大。所以,這種木馬的危害不是體現在被感染計算機上,而是體現在攻擊者可以利用它來攻擊一臺又一臺計算機,給網絡造成更大的傷害。
四、木馬的入侵途徑
一般來說,木馬的入侵過程可以分為六個步驟(如圖2所示):配置木馬、傳播木馬、運行木馬、信息泄露、建立連接、遠程控制。
圖2 網頁木馬入侵途徑
配置木馬
通常情況下,木馬都有配置程序,從具體的配置內容看,主要是為了實現下面兩方面功能。
木馬偽裝:木馬配置程序為了在服務端盡可能的隱藏木馬,會采用多種偽裝手段,如捆綁文檔,修改圖標,自我銷毀等。
信息反饋:木馬配置程序對信息反饋的方式或地址進行配置,如配置信息反饋的郵件地址等。
傳播木馬
木馬的傳播方式從總體上主要可以分為三種。
下載傳播:一些網站提供的下載軟件可能被攻擊者捆綁了木馬,用戶下載軟件時木馬也被下載到了本地。
郵件傳播:攻擊者將木馬以附件的形式附在郵件中發送出去,收信人只要打開附件就會感染木馬。隨著技術的發展,目前已出現一種郵件內容木馬,也可以稱為郵件網頁木馬,其本質是在發送郵件是以HTML方式內嵌網頁木馬,這種木馬能化被動為主動,用戶一旦點擊閱讀此郵件就可能中招。
漏洞傳播:通過漏洞傳播的大部分都是網頁木馬,其實質就是利用漏洞向用戶傳播木馬下載器。
在圖2的示例2-1步驟中,攻擊者在有漏洞的第三方網站網頁中插入惡意代碼或者建立惡意網站,當用戶訪問該惡意網頁后木馬被下載到本地。
運行木馬
服務端用戶運行木馬或捆綁木馬的程序后,木馬就會自動進行安裝。木馬首先將自身復制到系統文件夾中,然后設置好觸發條件,這樣就完成了安裝。安裝后就可以啟動木馬了,這就是示例中的第3步。
信息泄露
一般的木馬都有一個信息反饋機制。所謂信息反饋機制是指木馬成功安裝后會收集一些服務端的軟硬件信息,并通過郵件等方式告知控制端用戶,如第4步所示。這里的軟硬件信息主要包括服務端IP,系統密碼,操作系統,系統目錄,硬盤分區等。在這些信息中,最重要的是服務端IP,因為只有得到這個參數,控制端才能與服務端建立連接。
建立連接
一個木馬連接的建立首先必須滿足兩個條件:一是服務端已安裝了木馬程序;二是控制端,服務端都要在線。在此基礎上控制端可以通過木馬端口與服務端建立連接,如第5步所示。
遠程控制
木馬連接建立后,控制端端口和木馬端口之間將會出現一條通道,控制端可通過這條通道與服務端上的木馬程序進行通信,并通過木馬程序對服務端進行遠程控制。攻擊者可以竊取用戶密碼,破壞文件,修改注冊表,以及進行一些系統操作,這就是第6步。
五、木馬的隱形位置
木馬程序具有很強的隱蔽性,它可以在不知不覺中控制和監視受影響計算機。那么木馬到底都有哪些隱藏手法呢,研究發現目前主流的方法有以下幾種。
集成到程序中:木馬為了不被輕易的刪除,常常集成到程序里。用戶激活木馬程序后,木馬文件和某一應用程序捆綁在一起,然后生成新的文件并覆蓋原文件,這樣即使木馬被刪除了,只要運行捆綁了木馬的應用程序,木馬又會被重新安裝。
隱藏在配置文件中:大多數用戶對操作系統的配置文件不熟悉,攻擊者利用這一點將木馬隱藏在配置文件中,如windows系統的win.ini文件,System.ini文件和Winstart.bat文件。
內置到注冊表中:注冊表是Windows系統的核心數據庫,其中存放著各種參數,直接控制著Windows的啟動、硬件和驅動程序的加載以及一些Windows應用的運行。由于注冊表比較復雜,對于普通用戶來說較難發現隱藏在里面的木馬。
插入到網頁中:隱藏在網頁中的木馬又叫網頁木馬,網頁木馬就是表面上偽裝成普通的網頁或者將惡意的代碼插入到正常網頁中,當用戶訪問時木馬就會利用用戶計算機系統或者瀏覽器的漏洞自動將木馬下載到本地。
偽裝在普通文件中:把可執行文件偽裝成圖片或文本,在程序中把圖標改成操作系統的默認圖片圖標,再把文件名改為*.gif.exe。當用戶計算機設置為"隱藏已知文件類型的擴展名"時,只能顯示"*.gif"這部分,而不會顯示真正的擴展名".exe"。
包含在視頻中:從網絡中下載并觀看視頻是計算機用戶的一個普遍行為,攻擊者可以通過提供特制的惡意視頻進行攻擊,其實現就是讓視頻播放時自動彈出瀏覽器窗口,并訪問含有木馬的惡意網頁。
六、木馬的防御
木馬的防御主要可以從三個層面進行,即服務端的防御、用戶端的防御和安全設備的防御。
服務端的防御
木馬主要是借助第三方進行傳播,這里的第三方主要包括含有漏洞的網站,提供上傳下載的站點,郵件服務器等。如果上述服務提供方高度重視網絡安全,及時修補各種漏洞無疑能夠減少木馬的傳播。
用戶端的防御
木馬的入侵雖然隱蔽性非常高,但只要我們養成良好的上網習慣,就能從一定程度上減少中招的概率。
不要隨意點擊陌生人發送的鏈接、圖片、程序,尤其是后綴為exe的可執行文件。
不要隨意瀏覽一些小網站,不從不正規站點下載文件、軟件或者視頻。
不要下載運行來歷不明的郵件附件。將木馬放置在郵件附件中這一傳播方式相信大家都有所耳聞,借助郵件內容進行傳播的木馬更是防不勝防,所以建議大家不輕易下載運行陌生郵件的附件,不點擊閱讀來歷不明的郵件。
安裝殺毒軟件并經常查殺木馬。
及時安裝瀏覽器和其他常見軟件的新版本和補丁。一些木馬是借助漏洞進行傳播的,及時修復漏洞可以有效防御此種木馬。
安全設備的防御
近年來,新的木馬一直以井噴式的速度出現。據統計,2013年二季度國內新增木馬高達5.27億個,2013年前三季度金融木馬數量增長了三倍。面對如此多的木馬,對網絡安全要求較高的用戶可以部署專業的第三方安全設備。目前H3C公司發布的SecPath IPS系列產品采用多種先進技術,能對網絡中主流木入侵中傳播階段、信息泄露階段、建立連接階段和遠程控制階段分別進行識別防護。
七、結束語
針對移動端的木馬逐漸泛濫,對普通用戶來說,適當了解木馬的相關知識并養成良好的上網習慣可以更好的預防木馬攻擊。
京公網安備 11010502049343號