窃密型木马攻击性分析和防范措施

17

攻击性分析和防范措施

国家计算机网络应急技术处理协调中心（ＣＮＣＥＲＴ／ＣＣ） 崔 翔 陈明奇

窃密型木马

近两年，网络犯罪趋向于能够给攻击者带来直接或间接的经济利益，不同于此前以追求纯技术为目的。随着黑客技术和黑客工具的普及，网络犯罪的技术门槛降低，许多不法分子利用这些技术进行非法牟利。其中，窃密型木马（Ｔｒｏｊａｎ－ＰＳＷ）是表现尤为突出且对用户影响很大的一类安全威胁。

窃密型木马通过各种各样的方式植入用户电脑，从中搜索自己需要的资料或者直接截取用户输入的信息，记录后通过某种方式发送给攻击者，攻击者利用盗取的资料非法牟利。

窃密型木马使个人用户面临隐私信息泄漏和经济损失的危险，也给银行、证券、金融、电子商务等带来安全隐患，所以有必要重视这类木马的原理和防范措施。

如何植入用户主机

相对于蠕虫来说，木马缺乏主动传播性，木马的传播行为一般都有人参与，而且经常利用“社会工程学”的技巧，窃密型木马也不例外，其主要传播方式和途径如下：

　１．　利用系统漏洞直接传播

用户电脑本身存在漏洞，如操作系统漏洞或者是ＩＥ浏览器漏洞等，都可以被不法分子利用，直接将木马程序复制或者下载到用户电脑并运行。

　２．　利用蠕虫或僵尸网络传播

　自２００１年红色代码蠕虫出现以后，很多蠕虫感染用户主机后，会从某些服务器下载木马，对用户主机实施进一步控制。同样，感染僵尸程序的主机下载木马运行也很常见。

　３．　利用即时聊天工具诱惑传播

木马通过发送一段具有诱惑性内容的消息，附带一个链接，诱使用户点击访问。一旦访问，就会自动将木马程序下载到用户机器并运行。

４．　利用网站、论坛欺骗传播

木马程序所有者通常会在一些音乐网站或者知名论坛发布一些虚假消息，欺骗用户说可以获取某种利益，引诱用户使用一些小工具或者访问恶意网站地址，这其中就安放了木马程序，等待用户下载运行。

　５．　利用电子邮件传播

木马所有者发送附带木马程序的电子邮件，邮件主题通常比较吸引人，诱使用户浏览附件，从而感染木马。

主要窃取哪些信息

经统计，当前的窃密型木马窃取的重点信息包括以下７类信息：

　１．　银行帐号类

工商银行、交通银行、花旗银行、汇丰银行等国内外知名银行和Ｖｉｓａ、ＭａｓｔｅｒＣａｒｄ等银行卡和信用卡卡号和密码。

　２．　交易帐号类

盗取证券或股票交易系统的交易帐号和密码。

　３．　网游帐号类

随着网络游戏近几年的飞速发展，游戏玩家越来越多，游戏所制造的网上财富也日益增加，卖出玩家人物角色，或出售玩家高级装备，从而利的交易市场也出现。因此，玩家的游戏帐号和密码也成为了重要目标。

　４．　网络帐号类

通常指一些论坛或者电子邮箱的登陆帐号和密码，窃取这些帐号后，能够获得其中的有价值资源，或者冒充被盗人进

热点追踪

18

行一些非法活动。

　５． 聊天帐号类

ＱＱ、ＭＳＮ等著名聊天工具的帐号。一个好的ＱＱ号码能够在网上卖到很高的价钱，这就是木马窃取聊天工具密码的原动力。

　６． 商业机密类

商业竞争激烈，如果能够获得竞争对手的关键商业资料，那么就可能赢得一场艰难的商业战，因此，获取商业机密类信息所“赚”来的利润也是最高的。

　７． 大型软件注册号类

窃取某些正版软件的序列号或者某些游戏的ＣＤ－ＫＥＹ。

如何窃取敏感信息

上面列举了７类木马试图窃取的主要信息，那么，木马如何窃取这些信息呢？可以将木马窃密方法归类为以下三种。

　１． 监视特殊窗口

木马实时地监控ＩＥ等浏览器窗口的标题栏，判断当前窗口是否为相关网上银行、网络游戏等的登录页面。木马一旦发现当前窗口与关注的页面相符，便开始记录用户在键盘上输入的所有键值，甚至还会拷贝当前屏幕，从中窃取用户网上银行等的账号和密码。这类木马工作时避开了其他键盘输入的情况，获取目标直指网上银行的登录信息，目的性很强，误判率低。

　２． 搜索重要文件

通常重要的信息可能存在几类文件中，比如．ｔｘｔ文本、．ｄｏｃ文档、．ｘｌｓ表格等，木马可以搜索用户主机上可能记录的关键信息的文件，从中获取字符串，并记录在自己的日志文件里。此外窃取密码的木马针对性比较强，如针对于某一个网络游戏、某一种商业软件，其记录关键信息的位置往往也固定于一些文件之中，木马通过遍历文件，搜索其中的关键字符，也同样能够获取到有用信息。

　３． 查找ｃｏｏｋｉｅ信息

用户在登陆一些网页时会产生一些ｃｏｏｋｉｅ信息，其中可能包含了一些像用户名及密码一类的关键信息，木马程序会读取ｃｏｏｋｉｅ文件，从而获得有效信息。

信息回收方式

当木马窃取到大量信息后，会在用户电脑上产生记录，随后会通过几种常用的方式发送给攻击者，这个过程称之为信息回收，下面列举几种木马常用的信息回送方式：

　１．利用电子邮件（Ｅ－Ｍａｉｌ）回收

这是目前最常见的信息回收方式。木马将获得的信息以电子邮件的方式发送给攻击者，这种木马自身具备邮件客户端的功能。

　２．利用网站（Ｗｅｂ）回收

木马使用ＧＥＴ或ＰＯＳＴ命令将获得信息发送给ＨＴＴＰ服务器，攻击者从该服务器上取走信息。

　３．　利用ＦＴＰ服务器回收木马将获得信息发送给ＦＴＰ服务器，攻击者从该服务器上取走信息。

　４．　ＩＲＣ服务器

木马连接预先指定的ＩＲＣ服务器，使用ＤＣＣ命令发送获得的信息，攻击者登陆该服务器即可收到信息。

　５．　后门功能

木马在感染的系统上开启一个服务，等待用户自行下载获得的信息。这种方法并不常用。

窃密型木马的防范措施

窃密型木马使用户面临很大经济损失、隐私泄漏等风险，因此，能否成功防范窃密型木马直接涉及到人们的切身利益，这里给出几点防范措施和建议。

　１．　使用键盘加密保护技术

使用键盘加密保护技术可以保护用户的按键信息不被木马的键盘记录功能所获取，从而在一定程度上防范那些依赖键盘记录获取信息的木马。

使用（乱序）软键盘曾经是防范键盘记录木马的一种方法。但需要说明的是现在改进了的木马会截取屏幕和鼠标位置来猜测用户点击的键，所以这种方法也不是安全的。

　２．　采用提供安全认证的网络服务

这些安全认证技术包括：

（１）数字证书与钥匙盘。这是目前多数网上银行采用的安全方案。用户在申请开通网上银行时，银行会根据用户帐户资料生成一个本地证书，使用ＵＳＢ密钥盘作为载体。使用ＵＳＢ盘时需要安装银行提供的密钥盘驱动来读取证书，它的原理是用本地的证书加证书密码来实现防盗，缺少证书或密码都会失效。

（２）手机通知。这是一种简单但有效的方式。当用户登陆成功后或者开始交易之前，向用户预先指定的手机发送包含激活码的短信，用户输入该激活码后才能进行下一步操作。这样，即使攻击者利用木马获得了帐户和密码，因为不能获得激活码，所以无法进行交易。

（３）动态口令。动态口令是一种动态密码技（下转４４页）

热点追踪