木马的攻击与防御技术.doc

木马攻击与防御技术
相传在古希腊时期,特洛伊王子帕里斯劫走了斯巴达美丽的王后海伦和大量的财物:斯巴达国王组织了强大的希腊联军远征特洛伊,但久攻不下。这时,斯巴达人采用了奥德修斯的计谋,制造了一匹巨大的木马,让士兵藏在木马中;同时命令大部队佯装撤退,而把木马丢弃在特洛伊城下。特洛伊人发现敌人撤退后,将木马作为战利品拖入城中,并全城狂欢庆祝胜利。等到午夜时分全城军民进入梦乡,木马中的士兵悄悄潜入城内,打开城门,与城外的大军里应外合,彻底攻破了特洛伊城。
在计算机系统中,也存在类似的“特洛伊木马”程序。它最显著的特点是隐蔽性极强:不像其他恶意代码喜欢大肆侵扰用户,木马程序总是“悄无声息”地运行,用户很难察觉自己的信息正在被木马窃取,更谈不上对木马的清除。正因为此,木马程序给信息系统的安全带来极为严峻的挑战。

木马的基本概念

木马,又称特洛伊木马(Trojan Horse),在计算机系统和网络系统中,指系统中被植入的、人为设计的程序,目的在于通过网络远程控制其他用户的计算机,窃取信息资料,并可恶意致使计算机系统瘫痪。
RFC(Request ments,标准草案)1244中是这样描述木马的:“木马程序是一种程序,它能提供一些有用的,或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能,例如在你不了解的情况下复制文件或窃取你的密码。”这个定义虽然不十分完善,但是可以澄清一些模糊的概念:首先,木马程序并不一定实现某种对用户来说有意义或有帮助的功能,但却会实现一些隐藏的、危险的功能;其次,木马所实现的主要功能并不为受害者所知,只有木马程序编制者最清楚:第三,这个定义暗示“有效负载”是恶意的。
目前,大多数安全专家统一认可的定义是:“特洛伊木马是一段能实现有用的或必需的功能的程序,但是同时还完成一些不为人知的功能。”
通常意义上,即使不考虑木马定义中所指的欺骗含义,木马的恶意企图也涉及了许多方面。根据传统的数据安全模型的三种分类,木马的企图也可对应分为三种:①试图访问未授权资源;②试图阻止访问;③试图更改或破坏数据和系统。

作为一种攻击工具,木马程序通常伪装成合法程序的样子,―旦植入目标系统,就为远程攻击打开了***。木马利用自身所具有的植入功能,或依附其他具有传播能力的程序,或通过入侵后植入等多种途径进驻目标机器,搜集其中各种敏感信息,并通过网络与外界通信,发回所搜集到的信息,接收植入者的指令?完成其他各种操作,如修改指定文件、格式化硬盘等。
木马常被用作入侵网络系统的重要工具,感染了木马的计算机将面临数据丢失和机密泄露的危险。除了个人用户,大型网络服务器也同样面临木马的威胁,入侵者可通过向服务器中植入木马的方式偷窃到系统管理员的口令。当一个系统服务器安全性较高时,入侵者通常首先攻破庞大的系统用户群中安全性相对较弱的普通电脑用户,然后借助所植入的木马获得有关系统的有效信息,最终达到侵入目标服务器系统的目的。另一方面,木马往往又被用做***,植入被・攻破的系统,方便入侵者再次访问(被攻破的)计算机,或者利用被入侵的系统,通过欺骗合法用户的某种方式暗中散发木马,以便进一步扩大入侵成果和入侵范围,为进行其他入侵活动如分布式拒绝服务攻击(DDos)提供可能。
木马程序具有很大的危害性,主要表现在:自动搜索已中木马的计算机;管理对方资源,如复制文件、删除文件、查看文件内容、上传文件、下载文件等;跟踪监视对方屏幕;直接控制对方的键盘、鼠标;随意修改注册表和系统文件;共享被控计算机的硬盘资源;监视对方运行的任务且可终止对方任务;远程监测和操纵计算机。
木马的分类
依据不同的标准,对木马有不同的分类方法。从木马技术发展的角度考虑,木马技术自出现至今,大致可以分为四代。
(1)第一代木马。主要表现为木马的欺骗性,比如在UMX系统上表现的是假login诱骗、假弘诱骗,spy等本马。
(2)第二代木马。在隐藏、自启动和操纵服务器等技术上有了很大的发展,比如冰河,广外女生等。
(3)第三代木马。在隐藏、自启动和数据传输技术上有了根本性的进步。例如以前的木马主要靠UDP协议传输数据,但在第三代木马中出现了靠ICMP协议传递数据的木马。
(4)第四代木马。在进程隐藏方面做了更大的改动,采用改写和替换系统文件的做法,修改操作系统内核:在UNIX上它伪装成系统守护进程,而在Windows上它则伪装成动态连接库(Dynamic Link Library,DLL)、系统服务甚至驱动程序。这样一来木马几乎和操作系统结合在一起,从而较好地达到了隐藏自身的目的。
从木马所实现的功能的角度可分为:
(1)破坏型。这类木马非常简单,很容易实