木馬程序技術(shù)的發(fā)展可以說非常迅速，至今木馬程序已經(jīng)經(jīng)歷了六代的改進(jìn)，下一代木馬也呼之欲出。那么木馬到底是什么，它能干什么？讓我們一起揭開它的面紗。

    一、什么是木馬

    木馬是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性、自動(dòng)運(yùn)行性、非授權(quán)性和危害性等特點(diǎn)。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是服務(wù)端，即被控制端，另一個(gè)是客戶端，即控制端。如果電腦被安裝了服務(wù)端程序，會(huì)有一個(gè)或幾個(gè)端口被打開，黑客就可以使用控制端程序通過這些端口入侵電腦。

    據(jù)統(tǒng)計(jì)表明，2013年一季度國(guó)內(nèi)有1.46億網(wǎng)民曾遭遇至少一次木馬侵襲，此類風(fēng)險(xiǎn)人群占整體網(wǎng)民比例高達(dá)25.8%，由此可見時(shí)至今日木馬入侵的手法仍然經(jīng)久不衰。

    二、木馬的結(jié)構(gòu)

    一個(gè)完整的木馬系統(tǒng)由硬件部分、軟件部分和連接部分組成，如圖1所示。

圖1 木馬的結(jié)構(gòu)

    三、木馬的分類

    目前木馬主要分為以下幾種類型。

    遠(yuǎn)程控制型木馬

    遠(yuǎn)程控制木馬是最流行的木馬，其數(shù)量最多，危害最大，它可以讓攻擊者完全控制被感染的計(jì)算機(jī)。由于要達(dá)到遠(yuǎn)程控制的目的，所以該種類的木馬往往集成了其他種類木馬的功能，使其在被感染的機(jī)器上為所欲為，可以任意訪問文件，得到用戶的敏感信息甚至包括信用卡，銀行賬號(hào)等至關(guān)重要的信息。

    密碼發(fā)送型木馬

    在高度信息化，網(wǎng)絡(luò)化的今天，密碼無(wú)疑是一個(gè)非常重要的信息。密碼發(fā)送型木馬正是專門為了盜取被感染計(jì)算機(jī)上的密碼而編寫的，木馬一旦被執(zhí)行，就會(huì)自動(dòng)搜索內(nèi)存，緩存，臨時(shí)文件夾以及各種敏感密碼文件，一旦搜索到有用的密碼，木馬就會(huì)將他們發(fā)送到指定的郵箱。

    鍵盤記錄型木馬

    這種木馬非常簡(jiǎn)單，它們所做的唯一事情就是記錄受害者的鍵盤敲擊，然后在日志文件里查找密碼。一般情況下，這種木馬隨著操作系統(tǒng)的啟動(dòng)而啟動(dòng)，它們有在線和離線的選項(xiàng)，分別記錄你在線和離線狀態(tài)下敲擊鍵盤時(shí)的按鍵情況，然后發(fā)送到指定郵箱。攻擊者從這些按鍵記錄中很容易就會(huì)得到你的各種賬戶，密碼等有用信息。

    破壞型木馬

    這種木馬唯一的功能就是刪除和破壞被感染計(jì)算機(jī)的文件系統(tǒng)，使其遭受系統(tǒng)崩潰或者重要數(shù)據(jù)丟失的巨大損失。這類木馬非常簡(jiǎn)單易用，他們能自動(dòng)刪除受影響計(jì)算機(jī)里的dll、exe、ini等后綴的文件。

    FTP型木馬

    這是一種非常簡(jiǎn)單和古老的木馬，它會(huì)打開計(jì)算機(jī)的21端口，等待FTP軟件進(jìn)行連接并自由上傳和下載文件。部分FTP型木馬還帶有密碼驗(yàn)證功能，只有攻擊者本人才知道密碼，從而進(jìn)入對(duì)方計(jì)算機(jī)。

    DoS攻擊型木馬

    隨著DDoS攻擊越來(lái)越廣泛的應(yīng)用，被用作DoS攻擊的木馬也越來(lái)越流行。當(dāng)你給入侵的計(jì)算機(jī)種上DoS攻擊木馬，那么日后這臺(tái)計(jì)算機(jī)就成為你進(jìn)行DoS攻擊的小助手了。你控制的肉雞數(shù)量越多，你發(fā)動(dòng)DoS攻擊取得成功的機(jī)率就越大。所以，這種木馬的危害不是體現(xiàn)在被感染計(jì)算機(jī)上，而是體現(xiàn)在攻擊者可以利用它來(lái)攻擊一臺(tái)又一臺(tái)計(jì)算機(jī)，給網(wǎng)絡(luò)造成更大的傷害。

    四、木馬的入侵途徑

    一般來(lái)說，木馬的入侵過程可以分為六個(gè)步驟（如圖2所示）：配置木馬、傳播木馬、運(yùn)行木馬、信息泄露、建立連接、遠(yuǎn)程控制。

圖2 網(wǎng)頁(yè)木馬入侵途徑

    配置木馬

    通常情況下，木馬都有配置程序，從具體的配置內(nèi)容看，主要是為了實(shí)現(xiàn)下面兩方面功能。

    木馬偽裝：木馬配置程序?yàn)榱嗽诜��?wù)端盡可能的隱藏木馬，會(huì)采用多種偽裝手段，如捆綁文檔，修改圖標(biāo)，自我銷毀等。

    信息反饋：木馬配置程序?qū)π畔⒎答伒姆绞交虻刂愤M(jìn)行配置，如配置信息反饋的郵件地址等。

    傳播木馬

    木馬的傳播方式從總體上主要可以分為三種。

    下載傳播：一些網(wǎng)站提供的下載軟件可能被攻擊者捆綁了木馬，用戶下載軟件時(shí)木馬也被下載到了本地。

    郵件傳播：攻擊者將木馬以附件的形式附在郵件中發(fā)送出去，收信人只要打開附件就會(huì)感染木馬。隨著技術(shù)的發(fā)展，目前已出現(xiàn)一種郵件內(nèi)容木馬，也可以稱為郵件網(wǎng)頁(yè)木馬，其本質(zhì)是在發(fā)送郵件是以HTML方式內(nèi)嵌網(wǎng)頁(yè)木馬，這種木馬能化被動(dòng)為主動(dòng)，用戶一旦點(diǎn)擊閱讀此郵件就可能中招。

    漏洞傳播：通過漏洞傳播的大部分都是網(wǎng)頁(yè)木馬，其實(shí)質(zhì)就是利用漏洞向用戶傳播木馬下載器。

    在圖2的示例2-1步驟中，攻擊者在有漏洞的第三方網(wǎng)站網(wǎng)頁(yè)中插入惡意代碼或者建立惡意網(wǎng)站，當(dāng)用戶訪問該惡意網(wǎng)頁(yè)后木馬被下載到本地。

    運(yùn)行木馬

    服務(wù)端用戶運(yùn)行木馬或捆綁木馬的程序后，木馬就會(huì)自動(dòng)進(jìn)行安裝。木馬首先將自身復(fù)制到系統(tǒng)文件夾中，然后設(shè)置好觸發(fā)條件，這樣就完成了安裝。安裝后就可以啟動(dòng)木馬了，這就是示例中的第3步。

    信息泄露

    一般的木馬都有一個(gè)信息反饋機(jī)制。所謂信息反饋機(jī)制是指木馬成功安裝后會(huì)收集一些服務(wù)端的軟硬件信息，并通過郵件等方式告知控制端用戶，如第4步所示。這里的軟硬件信息主要包括服務(wù)端IP，系統(tǒng)密碼，操作系統(tǒng)，系統(tǒng)目錄，硬盤分區(qū)等。在這些信息中，最重要的是服務(wù)端IP，因?yàn)橹挥械玫竭@個(gè)參數(shù)，控制端才能與服務(wù)端建立連接。

    建立連接

    一個(gè)木馬連接的建立首先必須滿足兩個(gè)條件：一是服務(wù)端已安裝了木馬程序；二是控制端，服務(wù)端都要在線。在此基礎(chǔ)上控制端可以通過木馬端口與服務(wù)端建立連接，如第5步所示。

    遠(yuǎn)程控制

    木馬連接建立后，控制端端口和木馬端口之間將會(huì)出現(xiàn)一條通道，控制端可通過這條通道與服務(wù)端上的木馬程序進(jìn)行通信，并通過木馬程序?qū)Ψ��?wù)端進(jìn)行遠(yuǎn)程控制。攻擊者可以竊取用戶密碼，破壞文件，修改注冊(cè)表，以及進(jìn)行一些系統(tǒng)操作，這就是第6步。

    五、木馬的隱形位置

    木馬程序具有很強(qiáng)的隱蔽性，它可以在不知不覺中控制和監(jiān)視受影響計(jì)算機(jī)。那么木馬到底都有哪些隱藏手法呢，研究發(fā)現(xiàn)目前主流的方法有以下幾種。

    集成到程序中：木馬為了不被輕易的刪除，常常集成到程序里。用戶激活木馬程序后，木馬文件和某一應(yīng)用程序捆綁在一起，然后生成新的文件并覆蓋原文件，這樣即使木馬被刪除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬又會(huì)被重新安裝。

    隱藏在配置文件中：大多數(shù)用戶對(duì)操作系統(tǒng)的配置文件不熟悉，攻擊者利用這一點(diǎn)將木馬隱藏在配置文件中，如windows系統(tǒng)的win.ini文件，System.ini文件和Winstart.bat文件。

    內(nèi)置到注冊(cè)表中：注冊(cè)表是Windows系統(tǒng)的核心數(shù)據(jù)庫(kù)，其中存放著各種參數(shù)，直接控制著Windows的啟動(dòng)、硬件和驅(qū)動(dòng)程序的加載以及一些Windows應(yīng)用的運(yùn)行。由于注冊(cè)表比較復(fù)雜，對(duì)于普通用戶來(lái)說較難發(fā)現(xiàn)隱藏在里面的木馬。

    插入到網(wǎng)頁(yè)中：隱藏在網(wǎng)頁(yè)中的木馬又叫網(wǎng)頁(yè)木馬，網(wǎng)頁(yè)木馬就是表面上偽裝成普通的網(wǎng)頁(yè)或者將惡意的代碼插入到正常網(wǎng)頁(yè)中，當(dāng)用戶訪問時(shí)木馬就會(huì)利用用戶計(jì)算機(jī)系統(tǒng)或者瀏覽器的漏洞自動(dòng)將木馬下載到本地。

    偽裝在普通文件中：把可執(zhí)行文件偽裝成圖片或文本，在程序中把圖標(biāo)改成操作系統(tǒng)的默認(rèn)圖片圖標(biāo)，再把文件名改為*.gif.exe。當(dāng)用戶計(jì)算機(jī)設(shè)置為"隱藏已知文件類型的擴(kuò)展名"時(shí)，只能顯示"*.gif"這部分，而不會(huì)顯示真正的擴(kuò)展名".exe"。

    包含在視頻中：從網(wǎng)絡(luò)中下載并觀看視頻是計(jì)算機(jī)用戶的一個(gè)普遍行為，攻擊者可以通過提供特制的惡意視頻進(jìn)行攻擊，其實(shí)現(xiàn)就是讓視頻播放時(shí)自動(dòng)彈出瀏覽器窗口，并訪問含有木馬的惡意網(wǎng)頁(yè)。

    六、木馬的防御

    木馬的防御主要可以從三個(gè)層面進(jìn)行，即服務(wù)端的防御、用戶端的防御和安全設(shè)備的防御。

    服務(wù)端的防御

    木馬主要是借助第三方進(jìn)行傳播，這里的第三方主要包括含有漏洞的網(wǎng)站，提供上傳下載的站點(diǎn)，郵件服務(wù)器等。如果上述服務(wù)提供方高度重視網(wǎng)絡(luò)安全，及時(shí)修補(bǔ)各種漏洞無(wú)疑能夠減少木馬的傳播。

    用戶端的防御

    木馬的入侵雖然隱蔽性非常高，但只要我們養(yǎng)成良好的上網(wǎng)習(xí)慣，就能從一定程度上減少中招的概率。

    不要隨意點(diǎn)擊陌生人發(fā)送的鏈接、圖片、程序，尤其是后綴為exe的可執(zhí)行文件。

    不要隨意瀏覽一些小網(wǎng)站，不從不正規(guī)站點(diǎn)下載文件、軟件或者視頻。

    不要下載運(yùn)行來(lái)歷不明的郵件附件。將木馬放置在郵件附件中這一傳播方式相信大家都有所耳聞，借助郵件內(nèi)容進(jìn)行傳播的木馬更是防不勝防，所以建議大家不輕易下載運(yùn)行陌生郵件的附件，不點(diǎn)擊閱讀來(lái)歷不明的郵件。

    安裝殺毒軟件并經(jīng)常查殺木馬。

    及時(shí)安裝瀏覽器和其他常見軟件的新版本和補(bǔ)丁。一些木馬是借助漏洞進(jìn)行傳播的，及時(shí)修復(fù)漏洞可以有效防御此種木馬。

    安全設(shè)備的防御

    近年來(lái)，新的木馬一直以井噴式的速度出現(xiàn)。據(jù)統(tǒng)計(jì)，2013年二季度國(guó)內(nèi)新增木馬高達(dá)5.27億個(gè)，2013年前三季度金融木馬數(shù)量增長(zhǎng)了三倍。面對(duì)如此多的木馬，對(duì)網(wǎng)絡(luò)安全要求較高的用戶可以部署專業(yè)的第三方安全設(shè)備。目前H3C公司發(fā)布的SecPath IPS系列產(chǎn)品采用多種先進(jìn)技術(shù)，能對(duì)網(wǎng)絡(luò)中主流木入侵中傳播階段、信息泄露階段、建立連接階段和遠(yuǎn)程控制階段分別進(jìn)行識(shí)別防護(hù)。

    七、結(jié)束語(yǔ)

    針對(duì)移動(dòng)端的木馬逐漸泛濫，對(duì)普通用戶來(lái)說，適當(dāng)了解木馬的相關(guān)知識(shí)并養(yǎng)成良好的上網(wǎng)習(xí)慣可以更好的預(yù)防木馬攻擊。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：信息防泄漏：解密特洛伊

本文網(wǎng)址：http://www.oesoe.com/html/support/11121518152.html