要攻破任何坚固的防线,最简单的方法是从内部入手。在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,赢得了战役的胜利,成为一段历史佳话。而在当今的网络世界里,也有这样一种被称做木马的程序,它们用漂亮的面具伪装自己,悄悄地潜入用户的电脑,进行着偷窃和破坏。那么木马究竟是什么呢?它有哪些危害呢?
计算机领域上所说的特洛伊木马是指一些表面有用,实际目的是危害计算机安全性并破坏计算机的一类恶意程序。
可以说计算机上的特洛伊木马也有着悠久的历史,目前我们所广泛谈论的特洛伊木马已经是第三代了,这类木马的共同特征便是通过网络传播。
近几年,特洛伊木马的发展更为迅速,2004年出现的木马从技术上以及目的性都比前几年有很大变化。为了大家能对特洛伊木马有一个整体的认识,我们先从2004年以前的木马谈起。
2004年以前:远程监控木马为主体
在2004年以前,提起特洛伊木马,人们最先想到的会是“冰河”、“BO”、“YAI”以及“Sub7”等,其中以“冰河”木马最甚,这些木马程序均属于远程监控类软件。
所谓远程监控木马是基于C/S方式构造,由两部分组成,分为服务器端(Server)和客户端(Client)。黑客将远程监控木马的服务器端种植在目标计算机上,便可以在远端使用客户端通过互联网对目标计算机进行监视和控制。
首先服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作指令,并由服务器端程序完成这些请求。这样就实现了对本地计算机的控制。
木马可以通过远程控制对本地计算机进行删添文件、注册表操作、警告信息发送、键盘记录、记录机内保密信息、开关窗口、鼠标控制、进行计算机基本设置等操作。如果一台机器连接互联网后出现鼠标不受控制,以及自动删除文件等操作,则很有可能感染了木马程序。
因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求被控制的计算机感染服务器端程序,服务器端程序是可执行程序。木马本身不具备繁殖性和自动感染的功能。
由于木马程序不能自动感染和繁殖,大多情况下都需要诱骗受害机器的使用者自己运行木马程序,木马开始在伪装上下文章。
这一时期出现的木马程序在传播上大多可以分为三类:
一、通过电子邮件直接发送,邮件主题具有一定的诱惑性,比如“我爱你”、“漂亮MM”等等的,然后在附件里包括了木马程序的服务器端,一旦用户不小心执行了这些木马程序,电脑就很可能会被攻击者控制。
二、通过下载网站,捆绑在正常的程序中。这段时期,网上出现了大量的EXE捆绑工具(EXEBinder)。通过这种工具可以把一个木马程序和一个正常的软件捆绑在一起,比如一个俄罗斯方块的小游戏。当受害者下载了这个程序并进行游戏的时候,木马也在他的计算机中悄无声息的隐藏起来。
三、利用操作系统漏洞直接下载运行。这类传播方式可以是通过电子邮件也可以是网站。但与前面两条方式不同,它利用了系统的MS01-020漏洞,当有漏洞的计算机浏览含有这些恶意代码的电子邮件或网页时,木马会自动的被下载并执行而没有任何提示信息。MS01-020虽然是一个2001年就有的漏洞,但由于大多数用户安全防范意识不高,没有及时给系统安装补丁,所以时至今日仍然有利用此漏洞进行传播的木马。
除这三大类之外,2004年以前还出现了可以感染EXE文件的木马程序,比如YAI(You and I)和冰河的一个变种。这类木马由于在技术上存在一定限制,数量很少,但它却改变了木马不具备传染特性的概念,当时也有不少专家争议是把它们列为木马还是病毒。
木马程序需要每次随系统自动启动,木马需要改写注册表以及操作系统配置文件达到启动自身的目的。这阶段的木马启动方式大多比较初级,只是在注册表中的特定启动位置(如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等)、文件的打开方式类型(如EXE、COM、TXT等)、使用操作系统配置文件(SYSTEM.INI、WIN.INI)。通过检查这几个位置,有点经验的用户就可以很容易地发现木马的行踪。
随着木马技术的不断发展,也出现了具有特定功能的木马,比如这一时期出现的一些QQ盗号木马。它们的功能不是远程监控,而是隐藏在受害的计算机中伺机记录QQ密码,并将它发送到释放木马者指定的信箱。
从上面我们可以看出,2004年以前的木马主要目的还是远程监控,并且具备了一些狡猾的伪装手段而一些基本的隐藏技巧。
2004年:木马软件功能细化,具备反安全软件特性
今年的木马在功能上发生了很大变化,真正的远程监控木马占整个木马很小的比例,木马的功能开始细化。2004年的木马按功能可以分为五大类:网游木马、广告木马、即时通信木马、网络银行木马及后门程序。
随着近几年网络游戏业的迅速发展,网上虚拟装备、财产成为黑客们猎取的对象,网络游戏盗号木马大量涌现。这类木马一旦感染用户的计算机,就会自动记录用户网络游戏的帐号和密码并发送给木马使用者,木马使用者通过出卖盗取的虚拟装备、人物帐号谋取利益。由于偷盗网络游戏帐号具有很大的诱惑性,甚至可以在网上买到定制的网游木马。
今年9月初,国内发现了一例专门窃取网络银行帐号的木马“快乐耳朵”(也称“网银大盗”)。它专门针对某银行网上业务个人版编写,可以取得该行网络银行专业版的数字证书、密码和账号,可以在网上实现完整的盗窃资金过程,对用户的危害极大。11月26日,众多反病毒公司又截获了针对数家国内证券公司的网络交易系统编写、窃取用户的股票网络交易账号和密码的“股票盗贼”木马(又名“股票窃密者”、“证券大盗”)。
网游木马和网络银行木马的出现揭示了木马的发展趋势,现阶段的木马越来越向着直接获取经济利益的方向发展。病毒作者编写即时通信木马和广告木马同样也是受到利益的趋势。即时通信木马以“QQ狩猎者”(也叫“QQ尾巴”)木马最具代表性。感染这类木马后,QQ会自动发送诸如“http://xmc.******.net快去看看,你感兴趣的消息”、“http://ni***.126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样?”之类的消息。当其他用户登陆消息中的网站它的计算机就有可能也感染这个木马自动发送消息。通常,这些网站上还包含有广告木马,感染这类木马的计算机IE首页会被锁定为含有病毒的网站无法修改,并且还会定期弹出广告窗口。
即时通信木马和广告木马的目的就是为了提高网站的访问量,但频繁发送消息和弹出广告已经严重干扰了用户正常上网和办公。我们可以看出2004年木马在功能上有了很大变化,与此同时,计算机木马在技术上也越来越复杂化。
首先,从传播方式看,2004年木马主要通过两大渠道传播。一个是即使通信软件与含有恶意代码的网站相配合,另一个是通过蠕虫病毒释放。
那些频频更新,变种数以百计的“QQ尾巴”木马、今年10月份大肆传播的Worm.MSN.Funny(又称“MSN骗子”)就是利用即时通信软件自动发送广告消息传播的典型木马。同时今年发现的几个偷盗“传奇”网络游戏帐号的“武汉男生”木马变种也是利用这种方式传播。
利用蠕虫病毒释放木马是国外一些病毒作者的惯用手法。许多国外的病毒在成功感染计算机后都会在受害的计算机上留有后门程序。这种方法目前也逐渐被国内的病毒作者所采用。
其次,从隐藏手段看,2004年的木马采用的随系统自启动项的名称更具欺骗性,启动方式也更加复杂。
目前的木马大多采用和系统文件相近的文件名进行伪装,比如采用rund11.exe(用数字1伪装字母l)、Svch0st.exe(用数字0伪装字母o)作为生成文件的名字。更有一些木马干脆采用和系统文件相同的名字,但所在位置与正常文件不同,这样用户就很难注意到它的存在了。甚至专业的反病毒专家也弄不清微软自己的一些文件究竟应该放在windows的目录还是Windows下面的系统目录中。由于木马采用了和正常文件近似或相同的文件名,用户经常会对这类文件麻痹大意,就让木马有了可乘之机。
在启动方式方面,2004年的木马采用了更多的先进技术。许多自动修改IE首页、反复在搜索页,受信人站点、收藏夹中添加恶意网站地址,浏览正常网站时自动弹出恶意网站广告的木马都以IE的插件形式随IE的启动自动运行。这种方式被称为IE浏览器捆绑或浏览器劫持。
在文件格式方面,许多木马制作成DLL或OCX文件,使用Rundll32.exe运行。这样做有两个目的:其一,启动方式隐蔽,不易被发现;其二,目前杀毒软件对DLL文件的内存查杀能力不强,正常模式下往往难于清除。
最后,2004年的木马普遍带有反安全软件的特性,多数木马都会查找内存中杀毒软件和个人防火墙软件的进程,并结束这些进程使它们失效。结束安全软件进程并不是一个新的技术,但这两年该技术被普遍采用,今年出现的几乎所有木马都具备这个功能。同时,木马还利用其他手段躲避安全软件的查杀,比如用DLL格式文件运行来躲避内存杀毒、自动检测、卸载或删除反病毒软件等。
总的来说,2004年的木马不再像早些时候为了追求功能全面臃肿复杂,通常是针对用户真实财产,功能单一但非常有效。从技术角度讲,今年的木马具有更高的隐蔽性和对抗安全软件的能力。
未来木马的发展趋势
从2004年的木马发展就可以看出,目前的木马越来越“务实”,以直接获取真实财产的偷盗类木马大大增多。
通过对过去几年的木马发展趋势可以判断出未来木马的发展趋势:
一、具备病毒特征的木马大量涌现:
现在的木马可以说是“为达目的不择手段”,传统的木马不主动传播的概念已经被改写,比如MSN骗子病毒就同时具备木马和病毒双重特性。传统的“木马是装作有用程序的一类恶意程序,不主动进行感染和传播”的定义已经变得片面。为了能够迅速的将木马种植在尽可能多的计算机上,未来的木马将大量采用计算机病毒技术,也就是说木马本身就是蠕虫病毒,反过来讲蠕虫病毒也具有木马的功能特征,木马和病毒之间没有明显的区分界限。
二、利用操作系统漏洞的木马逐渐增多:
不光只有病毒会利用操作系统的漏洞,越来越多的木马也开始利用这些漏洞进行传播,特别是一些IE浏览器的漏洞允许木马在未经用户许可的情况下自动下载并运行。早些时候的iframe漏洞、今年弄得人心惶惶的的JPEG溢出漏洞以及年底出现的网页元素处理溢出漏洞都属于这种情况。同时,由于宽带在中国的普及,利用远程攻击漏洞进行传播的木马也会出现。
三、对抗反病毒软件和个人防火墙软件的技术升级:
在对抗杀毒软件方面,未来的木马不会简单的只结束杀毒软件的进程或者卸载杀毒软件,因为这种做法实际上已经暴露了自身,使有经验的用户马上察觉到系统的异常。
新的木马可能会针对杀毒软件的弱点进行编写,比如删除杀毒软件的病毒特征库,有些杀毒软件加载病毒库不成功并不会进行告警。这样,杀毒软件看似正常运行,实际已经无法对木马、病毒进行查杀,成了木马的“帮凶”。
同时为了躲避杀毒软件的追杀,未来可能会出现能够变形的木马。举个简单的例子(只是一个概念,可行性有待研究):木马会内置源代码和编译器,每次随机的对源代码进行自动改写并释放,然后用内置的编译器重新编译。对杀毒软件来说,每次重新编译的木马都是一个新的变种,对它们的查杀将会变得比较困难。
在对抗个人防火墙软件方面,目前已经有一些概念性的软件出现,FireHole就是其中一个(http://keir.net/firehole.html)。它的原理是创建一个DLL文件并将这个文件放置在一个被防火墙信任的程序中比如IE浏览器,则这个DLL文件对网络的访问便不会被防火墙拦截。即使有一些谨慎的用户设置了他们的防火墙,使浏览器只能在指定的TCP80端口连接,但这个唯一开放的端口也足以保证这个DLL文件进行通讯。
四、木马功能智能化:
传统的木马通常只通过捕获用户键盘操作来窃取用户的密码,目前不少软件(如腾讯QQ)采用通过软键盘输入帐号、密码的方式来防止这类偷盗情况的发生。未来的木马会自动检测用户是否开启软键盘,通过Hook技术捕获用户的鼠标操作,并根据鼠标点击顺序截图并发送到黑客的信箱中。这样黑客仍然可以轻松的获取用户的密码。
如何对木马进行有效防范
面对这些越来越狡猾的木马,传统的防范木马手段仍然有效。对于一般用户来说应该做到如下几点:
1、及时修补操作系统漏洞,安装补丁程序。
2、不要轻易打开陌生人发来的邮件附件。
3、尽量从正规网站下载软件。
4、QQ、MSN中收到好友发来的网址要确认不是木马、病毒自动发送的消息再打开。
5、使用网络游戏外挂需格外小心,不能确定其安全性宁可不用。
6、使用正版的杀毒软件及个人防火墙产品并及时升级。
对于企业来说,应该从整体防御出发。在企业内部部署网络版杀毒软件防止木马通过软盘、光盘、移动硬盘等移动存贮介质进入网络。同时,企业还应尽量避免木马从互联网进入内部网络。不少厂商都提供了技术成熟的产品,能够在网络边缘对病毒和木马进行查杀过滤。国内的安全厂商瑞星公司不久前也推出了一款名为防毒墙的网关防毒产品,网关防毒已经成为目前网络安全防护的一个趋势。由于木马大多以窃取资料为目的,为了避免企业机密信息泄漏,企业网络还应该安装网络监控系统进行内容过滤。
后记:所谓“魔高一尺,道高一丈”,无论未来木马如何发展,总能够解决它的方法。面对木马我们即不能心存畏惧也不要漠然视之,养成良好的安全习惯,采用整体安全防护手段就可以大大减少中木马的几率。Trackback: http://tb.donews.net/TrackBack.aspx?PostId=447796