2016/4/13
基本内容 特洛伊木马
高山:gshan@dlut.edu.cn 2016年3月
基本内容
木马对抗 了解木马的基本概念 学习对抗木马的方法
发现 追踪 卸载
木马是什么
特洛伊木马的典故
木马的起源 木马的定义 木马的结构 木马的发展 木马的功能 典型木马分析
基本事实
木马后门程序已经成为攻击主流之一 Web挂马已经成为当今的主要攻击方式 要求协查的案件当中有大量与木马相关 几乎80%的入侵事件都与木马后门有关
木马定义
“木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内 进入敌方城市从而占领敌方城市的故事。 在Internet上,“特洛伊木马”指一些 程序设计人员在其可从网络上下载 (Download)的应用程序或游戏中,包含 了可以控制用户的计算机系统的程序, 可能造成用户的系统被破坏甚至瘫痪。
1
2016/4/13
特洛伊木马软件
定义分解
特洛伊木马是一种非授权远程控制工具,它隐 蔽的运行在受害者的计算机中,并且可以让安 装木马的入侵者远程控制目标机器,窃取信息
可定制的服务端
木马的服务端是可以定制的,攻击者可 以定制的项目一般包括:
服务端监听的端口号 服务端密码设置 程序的启动方式 隐藏方式 与外界的通信方式 是否加密
木马的种类
远程控制木马 密码窃取木马 键盘记录木马 破坏木马 特殊功能木马
1、非授权植入目标机器(非正常安装) 2、隐蔽性(很难被发现) 3、实现一定功能(数据窃取或者远程控 制) 4、有一定潜伏性(重启后仍然存在) 5、通过网络进行控制
木马的危害
机密信息泄漏
信用卡、网银帐号 E-mail帐号 网络游戏帐号 …
重要文件遭到破坏 作为黑客攻击的跳板
代理 BOTNET
木马与远程控制软件比较 相同点
不同点
木马
远程控制软件
能够传送数据
能够传送数据
能够远程控制
能够远程控制
能够自动启动
能够自动启动
非授权安装
授权安装
有隐蔽性
公开运行
没有公开的卸载途径
容易卸载
2
2016/4/13
木马与后门 木马
木马的结构组成 后门
针对终端机
控制模块
植入模块
通讯模块
启动模块
功能模块
针对服务器
一般提供图形界面
多为命令行界面
多数在windows平台下
多运行于unix、linux下
独立程序
可能是逻辑分支
实现人机图形界面,完成主要功能 利用漏洞或疏漏,完成服务端植入 服务端与控制端数据、命令传输 确保木马服务端能被正常启动 实现木马各主要功能的核心模块
隐藏模块
对木马的文件与通信进行隐藏保护
谁是控制端?
木马的工作流程
木马如何进入系统
植入-物理
利用物理接触的方式直接植入 ERD2000 Mount
3
2016/4/13
植入-远程攻击
远程溢出植入
IDA/IDQ WEBdav Rpc Wu-ftp
植入-网页浏览
ActiveX植入 MIME植入 Object漏洞 网页挂马 跨站脚本
植入-蠕虫
方法
利用蠕虫的传播进行木马植入
目的
一般是用户分布式拒绝服务攻击 例如PRC Remove
植入-邮件炸弹 方法
被植入条件
附件植入
执行附件
隐藏后缀名的附件
打开附件
编码嵌入式植入
浏览邮件
邮件客户端溢出植入
收邮件
植入-社会工程学
信任植入
欺骗植入
假冒邮件Microsoft Patch 很好的游戏 厉害的黑客工具
启动
作为应用程序启动 作为服务启动 作为驱动启动 作为其他程序的模块启动 替代其他程序启动
4
2016/4/13
隐藏
网络隐藏 文件隐藏 进程隐藏
网络隐藏
网络隐藏-端口与协议
最早的木马采用TCP端口监听
UDP监听
Netstat –an
ICMP监听
缺点:扫描就会暴露
明文传递的问题 被sniffer或者IDS发现 Anti-Sniffer 通讯加密 协议封装(ICMP、HTTP等)
反弹端口的原理
直接连接的问题
暴露监听端口 无法穿越防火墙 动态IP地址
反向连接
其他(IPv6木马)
网络隐藏-网络数据
端口重用
网络隐藏-控制端保护
端口与协议 网络数据与加密 控制端保护 对抗防火墙
采用中间服务器为中转 被控制端发起连接
Socks代理支持
5
2016/4/13
网络隐藏-对抗防火墙
端口重用的原理
网络服务一般是并发多线程的 在网络服务中制造分支条件 利用分支条件处理木马通讯 同一个端口提供正常服务与木马功能
封装的原理
将数据包作为另一个协议的数据段进行传输封装
文件隐藏
进程隐藏
欺骗用户(类似的进程名) 欺骗进程管理器 DLL木马与进程植入 具备病毒特征的木马
隐藏/系统文件 欺骗性的文件名 双重后缀名 文件加密 启动后删除自身 欺骗文件系统
木马的反清除技术
在和杀毒软件的对抗过程中,为了增强 生存能力,木马发展出了反清除技术。 主要的反清除技术包括
主动攻击技术 多实例监控技术 系统内核嵌入技术
6
2016/4/13
主动攻击技术
目前有许多木马在获取系统控制权以后 就会自动搜索主机是否安装反病毒软件。 一旦检测到有常见反病毒软件的进程, 木马就尝试强制杀掉该进程。
多实例监控技术
操作系统内核嵌入
木马程序也逐渐向系统内核方向靠拢, 将自身作为系统驱动加载。
多实例监控技术就是将木马分别存放在 目标主机的不同目录下,这些木马实例 彼此互相监督,以防止某个木马实例被 查杀。 有些木马同时启动多个线程,彼此利用 量或触发事件来实现互相监视。
木马的信息获取技术
获取目标主机的各种敏感信息,是木马有别 于其它病毒或蠕虫的最大特点之一。木马可 以获取目标主机的各种信息,这其中包括:
DLL木马 DLL即动态链接库 DLL也是可执行文件 DLL没有独立进程
依附于EXE文件
基本信息,如系统版本、系统用户信息、机密 文件等; 利用钩子函数截获用户的键盘输入; 对目标主机所在网络的数据包进行嗅探,以获 得网络服务(如Telnet、FTP)口令等敏感信息; 目标机屏幕截取与传送; 目标机声音信号、视频信号的采集与传输。
DLL木马 DLL拥有进程的所有资源和权限 木马的主体是DLL 通过Rundll32.exe或者其他exe文件调用 执行 可以实现进程隐藏与端口重用
7
2016/4/13
功能
文件功能
进程功能
远程控制功能
玩笑功能
上传、下载、删除、修改、浏览、执行 浏览、启动、停止进程 关机、密码获取、截屏、键盘输入截获 屏幕翻转 光驱弹出
木马介绍-冰河
附件或文件合并的方式植入 注册表与文件关联双启动 注册为服务从而隐藏进程 文件名采取社会工程学隐藏(kernl32.exe) 开高端端口口号7626
QAZ与微软
网络神偷
国内最早的木马之一 第一代 具备以下功能
木马技术的发展
对抗木马
2000年10月,微软源代码泄露 罪魁祸首为一个名为QAZ的木马蠕虫 QAZ是附在电子邮件附件里。一旦用户打开 附件,QAZ就把windows写字板替换,并开启 一个后门 黑客是从一位微软员工的电脑进入的,这名 员工使用家用电脑连接微软的系统以便检查 电子邮件,微软不得不中止39000名员工的 远程进入。
8
2016/4/13
木马的发现
文件审计 注册表审计 进程审计 网络审计 异常审计 逆向工程
文件审计
方法
利用对文件特征的匹配,发现可以或者有害文 件 对系统配置文件进行审计以发现可疑文件
措施
对重点目录的审计 对特征的匹配 对可疑文件的逆向分析 分析INI文件等
注册表审计
注册表是木马用来 启动和保护自身的重 要场所之一
启动 关联保护
主要审计常用的注册表键值
工具
Run和runonce
regedit
例子:
国产“冰河” HKEY_CLASSES_ROOT\txtfile\shell\ope n\command下的键值改为: “c:\windows\system\sysexplr.exe%1” 只要打开txt文件,木马程序即运行
9
2016/4/13
进程审计
第一代木马 第二代木马 第三代木马 第四代木马
网络审计 进程管理器 特殊的进程管理器 带模块查看的ps 病毒分析软件
木马的卸载
1、收集木马的资料与信息 2、仔细分析木马的特点 3、制定完备的卸载方案 4、备份系统文件和注册表 5、卸载 6、检查木马是否还存在
端口监听木马 反弹端口木马 端口重用
netstat –an,fport Sniffer监听 尚无好方法
利用网络资源
搜索引擎 反病毒厂商的专杀工具 利用进程分析软件
1、CPU占用
五类木马特点及解决方法
通过不断地消耗本机的系统资源,最终导致cpu 占用率高达100%,使计算机不能再处理其他用户 的进程。 病毒原理:通过javascript产生一个死循环。 传播途径:恶意网站、邮件附件。 产生后果:只要访问恶意网站或打开邮件附件, 屏幕上就会出现无数个新开的浏览器窗口。最后 让你不得不重新启动计算机。 避免方法: 对于这类问题,只能是不要随便打 开陌生人寄来的邮件的附件,不妨问陌生网站。
10
2016/4/13
2、非法读取本地文件
病毒原理:在网页中通过对activex、 javascript和webbrowser control的调用来 读本地文件。 病毒特点:表现方式较隐蔽,一般的人不容 易发现隐形代码正在读取自己硬盘上的文件。 传播途径:利用浏览器自身漏洞来实现 产生后果:可以读取你本地硬盘上的任何ie 可以打开的文件。 避免方法:可以通过关闭javascript,并随 时注意微软的安全补丁来解决。
4、控制用户主机
病毒原理:利用了ie对actives的使用上。 攻击方法:自己ie的安全设置,对于“下载已签名的 activex控件”,现在的选项是“提示”。但ie仍然有特权 在无需提示的情况下下载和执行程序。这是一个严重的安全 问题,我们可能在不知情的情况下被别人完全控制。 避恶方法:在注册表hkey-localmachinesoftwaremicrosoftinternet exploreractivexcompatiblity”下为“active setup controls”创建一个基于clsid的新建{6e449683-c50911cf-aafa-00aa00b6015c}在新建下创建regdword类型的值: compatibility flags 0x00000400。
3、WEB欺骗
病毒原理:攻击者通过先攻入负责目标机域名解析的dns服 务器,然后把dns-ip地址复位到一台他已经拿下超级用户权 限的主机。 攻击方法:在他已经拿下超级用户权限的那台主机上伪造一 个和目标机完全一样的环境,来诱骗你交出你的用户名和密 码。比如说我们的邮件甚至网上的银行账号和密码。因为你 面对的是一个和昨天一样的环境,在你熟练的敲入用户名和 密码的时候。根本没有想到不是真正的主机。 避恶方法:上网时,最好关掉浏览器的javascript,使攻击 者不能隐藏攻击的迹象,只有当访问熟悉的网站时才打开它, 虽然这会减少浏览器的功能,但我想这样做还是值得的。还 有就是不要从自己不熟悉的网站上链接到其他网站,特别是 链接那些需要输入个人账户名和密码的网站。
5、非法格式化本地硬盘 病毒原理:可以通过执行activex而使硬盘被格式化。 攻击方法:这类代码的危害较大。你如果浏览含有 这类代码的网页,浏览器只会出一个警告说:“当 前的 页面含有不完全的activex,可能会对你造成危害”, 问你是否执行。如果你选择“是”的话,你的本机 硬盘就会被快速格式化,而且因为格式化时窗口是 最小化的,你可能根本就没注意,等发现已悔之晚 矣。 避免方法:有类似警告时“当前的页面含有不完全 的activex,可能会对你造成危害”,请用户不要执 行。
11