木馬病毒原理及特征分析

關(guān)于木馬病毒原理及特征分析03.03.20231第1頁，共47頁，2023年，2月20日，星期四03.03.20232特洛伊木馬的定義特洛伊木馬(TrojanHorse)，簡稱木馬，是一種惡意程序，是一種基于遠(yuǎn)程控制的黑客工具，一旦侵入用戶的計(jì)算機(jī)，就悄悄地在宿主計(jì)算機(jī)上運(yùn)行，在用戶毫無察覺的情況下，讓攻擊者獲得遠(yuǎn)程訪問和控制系統(tǒng)的權(quán)限，進(jìn)而在用戶的計(jì)算機(jī)中修改文件、修改注冊表、控制鼠標(biāo)、監(jiān)視/控制鍵盤，或竊取用戶信息古希臘特洛伊之戰(zhàn)中利用木馬攻陷特洛伊城；現(xiàn)代網(wǎng)絡(luò)攻擊者利用木馬，采用偽裝、欺騙(哄騙，Spoofing)等手段進(jìn)入被攻擊的計(jì)算機(jī)系統(tǒng)中，竊取信息，實(shí)施遠(yuǎn)程監(jiān)控第2頁，共47頁，2023年，2月20日，星期四03.03.20233

特洛伊木馬是一種秘密潛伏的能夠通過遠(yuǎn)程網(wǎng)絡(luò)進(jìn)行控制的惡意程序?？刂普呖梢钥刂票幻孛苤踩肽抉R的計(jì)算機(jī)的一切動作和資源，是惡意攻擊者進(jìn)行竊取信息等的工具。他由黑客通過種種途徑植入并駐留在目標(biāo)計(jì)算機(jī)里。第3頁，共47頁，2023年，2月20日，星期四03.03.20234

木馬可以隨計(jì)算機(jī)自動啟動并在某一端口進(jìn)行偵聽，在對目標(biāo)計(jì)算機(jī)的的數(shù)據(jù)、資料、動作進(jìn)行識別后，就對其執(zhí)行特定的操作，并接受“黑客”指令將有關(guān)數(shù)據(jù)發(fā)送到“黑客大本營”。這只是木馬的搜集信息階段，黑客同時可以利用木馬對計(jì)算機(jī)進(jìn)行進(jìn)一步的攻擊！這時的目標(biāo)計(jì)算機(jī)就是大家常聽到的“肉雞”了！第4頁，共47頁，2023年，2月20日，星期四03.03.202352．特洛伊木馬病毒的危害性特洛伊木馬和病毒、蠕蟲之類的惡意程序一樣，也會刪除或修改文件、格式化硬盤、上傳和下載文件、騷擾用戶、驅(qū)逐其他惡意程序。除此以外，木馬還有其自身的特點(diǎn)：竊取內(nèi)容；遠(yuǎn)程控制。第5頁，共47頁，2023年，2月20日，星期四03.03.20236第6頁，共47頁，2023年，2月20日，星期四03.03.20237

常見的特洛伊木馬，例如BackOrifice和SubSeven等，都是多用途的攻擊工具包，功能非常全面，包括捕獲屏幕、聲音、視頻內(nèi)容的功能。這些特洛伊木馬可以當(dāng)作鍵記錄器、遠(yuǎn)程控制器、FTP服務(wù)器、HTTP服務(wù)器、Telnet服務(wù)器，還能夠?qū)ふ液透`取密碼。由于功能全面，所以這些特洛伊木馬的體積也往往較大，通常達(dá)到100KB至300KB，相對而言，要把它們安裝到用戶機(jī)器上而不引起任何人注意的難度也較大。常見的特洛伊木馬第7頁，共47頁，2023年，2月20日，星期四03.03.20238

對于功能比較單一的特洛伊木馬，攻擊者會力圖使它保持較小的體積，通常是10KB到30KB，以便快速激活而不引起注意。這些木馬通常作為鍵記錄器使用，它們把受害用戶的每一個鍵擊事件記錄下來，保存到某個隱藏的文件，這樣攻擊者就可以下載文件分析用戶的操作了。常見的特洛伊木馬第8頁，共47頁，2023年，2月20日，星期四03.03.20239

BackOrifice是一個遠(yuǎn)程訪問特洛伊木馬的病毒，該程序使黑客可以經(jīng)TCP/IP網(wǎng)絡(luò)進(jìn)入并控制windows系統(tǒng)并任意訪問系統(tǒng)任何資源，通過調(diào)用cmd.exe系統(tǒng)命令實(shí)現(xiàn)自身的功能，其破壞力極大。

SubSeven可以作為鍵記錄器、包嗅探器使用，還具有端口重定向、注冊表修改、麥克風(fēng)和攝像頭記錄的功能。

SubSeven還具有其他功能：攻擊者可以遠(yuǎn)程交換鼠標(biāo)按鍵，關(guān)閉/打開CapsLock、NumLock和ScrollLock，禁用Ctrl+Alt+Del組合鍵，注銷用戶，打開和關(guān)閉CD-ROM驅(qū)動器，關(guān)閉和打開監(jiān)視器，翻轉(zhuǎn)屏幕顯示，關(guān)閉和重新啟動計(jì)算機(jī)常見的特洛伊木馬第9頁，共47頁，2023年，2月20日，星期四03.03.202310在2006年之前，冰河在國內(nèi)一直是不可動搖的領(lǐng)軍木馬，在國內(nèi)沒用過冰河的人等于沒用過木馬，由此可見冰河木馬在國內(nèi)的影響力之巨大。該軟件主要用于遠(yuǎn)程監(jiān)控，自動跟蹤目標(biāo)機(jī)屏幕變化等。冰河原作者：黃鑫，冰河的開放端口7626據(jù)傳為其生日號。

1．自動跟蹤目標(biāo)機(jī)屏幕變化，同時可以完全模擬鍵盤及鼠標(biāo)輸入,即在同步被控端屏幕變化的同時，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕（局域網(wǎng)適用）；2．記錄各種口令信息：包括開機(jī)口令、屏保口令、各種共享資源口令及絕大多數(shù)在對話框中出現(xiàn)過的口令信息；3．獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)；4．限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊表等多項(xiàng)功能限制；5．遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程打開文件（提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式）等多項(xiàng)文件操作功能；6．注冊表操作：包括對主鍵的瀏覽、增刪、復(fù)制、重命名和對鍵值的讀寫等所有注冊表操作功能；常見的特洛伊木馬第10頁，共47頁，2023年，2月20日，星期四03.03.202311常見的特洛伊木馬灰鴿子（Hack.Huigezi）是一個集多種控制方法于一體的木馬病毒，一旦用戶電腦不幸感染，可以說用戶的一舉一動都在黑客的監(jiān)控之下，要竊取賬號、密碼、照片、重要文件都輕而易舉。自2001年，灰鴿子誕生之日起，就被反病毒專業(yè)人士判定為最具危險性的后門程序，并引發(fā)了安全領(lǐng)域的高度關(guān)注。2004年、2005年、2006年，灰鴿子木馬連續(xù)三年被國內(nèi)各大殺毒廠商評選為年度十大病毒，灰鴿子也因此聲名大噪，逐步成為媒體以及網(wǎng)民關(guān)注的焦點(diǎn)。第11頁，共47頁，2023年，2月20日，星期四03.03.202312特洛伊木馬的定義木馬與病毒一般情況下，病毒是依據(jù)其能夠進(jìn)行自我復(fù)制即傳染性的特點(diǎn)而定義的特洛伊木馬主要是根據(jù)它的有效載體，或者是其功能來定義的，更多情況下是根據(jù)其意圖來定義的木馬一般不進(jìn)行自我復(fù)制，但具有寄生性，如捆綁在合法程序中得到安裝、啟動木馬的權(quán)限，DLL木馬甚至采用動態(tài)嵌入技術(shù)寄生在合法程序的進(jìn)程中木馬一般不具有普通病毒所具有的自我繁殖、主動感染傳播等特性，但我們習(xí)慣上將其納入廣義病毒，也就是說，木馬也是廣義病毒的一個子類木馬的最終意圖是竊取信息、實(shí)施遠(yuǎn)程監(jiān)控木馬與合法遠(yuǎn)程控制軟件(如pcAnyWhere)的主要區(qū)別在于是否具有隱蔽性、是否具有非授權(quán)性第12頁，共47頁，2023年，2月20日，星期四03.03.202313特洛伊木馬的結(jié)構(gòu)木馬系統(tǒng)軟件一般由木馬配置程序、控制程序和木馬程序(服務(wù)器程序)三部分組成第13頁，共47頁，2023年，2月20日，星期四03.03.202314特洛伊木馬的基本原理運(yùn)用木馬實(shí)施網(wǎng)絡(luò)入侵的基本過程第14頁，共47頁，2023年，2月20日，星期四03.03.202315特洛伊木馬的基本原理木馬控制端與服務(wù)端連接的建立控制端要與服務(wù)端建立連接必須知道服務(wù)端的木馬端口和IP地址由于木馬端口是事先設(shè)定的，為已知項(xiàng)，所以最重要的是如何獲得服務(wù)端的IP地址獲得服務(wù)端的IP地址的方法主要有兩種：信息反饋和IP掃描第15頁，共47頁，2023年，2月20日，星期四03.03.202316特洛伊木馬的基本原理木馬控制端與服務(wù)端連接的建立第16頁，共47頁，2023年，2月20日，星期四03.03.202317特洛伊木馬的基本原理木馬通道與遠(yuǎn)程控制木馬連接建立后，控制端端口和服務(wù)端木馬端口之間將會出現(xiàn)一條通道控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系，并通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制，實(shí)現(xiàn)的遠(yuǎn)程控制就如同本地操作第17頁，共47頁，2023年，2月20日，星期四03.03.202318特洛伊木馬的傳播方式木馬常用的傳播方式，有以下幾種：以郵件附件的形式傳播控制端將木馬偽裝之后添加到附件中，發(fā)送給收件人通過OICQ、QQ等聊天工具軟件傳播在進(jìn)行聊天時，利用文件傳送功能發(fā)送偽裝過的木馬程序給對方通過提供軟件下載的網(wǎng)站(Web/FTP/BBS)傳播木馬程序一般非常小，只有是幾K到幾十K，如果把木馬捆綁到其它正常文件上，用戶是很難發(fā)現(xiàn)的，所以，有一些網(wǎng)站被人利用，提供的下載軟件往往捆綁了木馬文件，在用戶執(zhí)行這些下載的文件的同時，也運(yùn)行了木馬通過一般的病毒和蠕蟲傳播通過帶木馬的磁盤和光盤進(jìn)行傳播第18頁，共47頁，2023年，2月20日，星期四03.03.202319特洛伊木馬技術(shù)的發(fā)展木馬的發(fā)展及成熟，大致也經(jīng)歷了兩個階段Unix階段Windows階段木馬技術(shù)發(fā)展至今，已經(jīng)經(jīng)歷了4代第一代木馬只是進(jìn)行簡單的密碼竊取、發(fā)送等，沒有什么特別之處第二代木馬在密碼竊取、發(fā)送等技術(shù)上有了很大的進(jìn)步，冰河可以說是國內(nèi)木馬的典型代表之一第三代木馬在數(shù)據(jù)傳輸技術(shù)上，又做了不小的改進(jìn)，出現(xiàn)了ICMP等類型的木馬，利用畸形報文傳遞數(shù)據(jù)，增加了查殺的難度第四代木馬在進(jìn)程隱藏方面，做了很大的改動，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)，嵌入DLL線程；或者掛接PSAPI(ProcessStatusAPI)，實(shí)現(xiàn)木馬程序的隱藏第19頁，共47頁，2023年，2月20日，星期四03.03.202320木馬的高級技術(shù)第20頁，共47頁，2023年，2月20日，星期四03.03.202321駐留在內(nèi)存為了生存，病毒要盡可能長時間地駐留在內(nèi)存中，而不是host程序一結(jié)束就完蛋了。有三種種方法，一是象Funlove那樣在系統(tǒng)目錄里釋放一個文件，并修改注冊表或者建立一個系統(tǒng)服務(wù)。這種方式很普通，也很普遍，大多數(shù)病毒包括蠕蟲都這么干。另一種方式則是感染所有的已運(yùn)行進(jìn)程。在Win2K下很容易實(shí)現(xiàn),CreateRemoteThread，但要想在所有Win32平臺下實(shí)現(xiàn)，則要比較高的技巧。工作在ring0病毒，內(nèi)核模式病毒。第21頁，共47頁，2023年，2月20日，星期四03.03.202322內(nèi)核模式病毒W(wǎng)indowsNT/2K環(huán)境下第一個以內(nèi)核模式驅(qū)動程序運(yùn)行，并駐留內(nèi)存的寄生型病毒是Infis.Infis作為內(nèi)核模式驅(qū)動程序駐留內(nèi)存，并且掛鉤文件操作，它能夠在文件打開時立即感染該文件。安裝程序把病毒拷貝到系統(tǒng)內(nèi)存中，并在系統(tǒng)注冊表中添加該病毒的注冊項(xiàng)。該病毒把自己的可執(zhí)行代碼連同自己的PE文件頭一起追加到目標(biāo)文件的末尾，然后從自己代碼中提取出一個名為INF.SYS的獨(dú)立驅(qū)動程序，把這個程序保存在%SystemRoot%\system32\drivers目錄下，修改注冊表，保證下一次系統(tǒng)啟動時病毒也能夠進(jìn)入運(yùn)行狀態(tài)。第22頁，共47頁，2023年，2月20日，星期四03.03.202323檢測方法檢查系統(tǒng)驅(qū)動程序列表中已經(jīng)裝入的驅(qū)動程序的名稱，如果在驅(qū)動程序列表中發(fā)現(xiàn)了病毒驅(qū)動程序，說明基本上感染了病毒病毒可能使用隱藏技術(shù)避免在驅(qū)動程序列表中出現(xiàn)，需要通過計(jì)算機(jī)管理器中的驅(qū)動程序列表。第23頁，共47頁，2023年，2月20日，星期四03.03.202324病毒的隱藏技術(shù)隱藏是病毒的天性，在業(yè)界對病毒的定義里，“隱蔽性”就是病毒的一個最基本特征，任何病毒都希望在被感染的計(jì)算機(jī)中隱藏起來不被發(fā)現(xiàn)，因?yàn)椴《径贾挥性诓槐话l(fā)現(xiàn)的情況下，才能實(shí)施其破壞行為。為了達(dá)到這個目的，許多病毒使用了各種不同的技術(shù)來躲避反病毒軟件的檢驗(yàn)，這樣就產(chǎn)生了各種各樣令普通用戶頭痛的病毒隱藏形式。隱藏窗口&隱藏進(jìn)程&隱藏文件桌面看不到任務(wù)管理器中不可見文件中看不到第24頁，共47頁，2023年，2月20日，星期四03.03.202325進(jìn)程隱藏Windows9x中的任務(wù)管理器是不會顯示服務(wù)類進(jìn)程，結(jié)果就被病毒鉆了空子，病毒將自身注冊為“服務(wù)進(jìn)程”，可以躲避用戶的監(jiān)視。Windows2000/xp/2003等操作系統(tǒng)上已經(jīng)無效了，直接使用系統(tǒng)自帶的任務(wù)管理器便能發(fā)現(xiàn)和迅速終止進(jìn)程運(yùn)行。第25頁，共47頁，2023年，2月20日，星期四03.03.202326通過DLL實(shí)現(xiàn)進(jìn)程隱藏Windows系統(tǒng)的另一種“可執(zhí)行文件”----DLL，DLL文件沒有程序邏輯，是由多個功能函數(shù)構(gòu)成，它并不能獨(dú)立運(yùn)行，一般都是由進(jìn)程加載并調(diào)用的。運(yùn)行DLL文件最簡單的方法是利用Rundll32.exe，Rundll/Rundll32是Windows自帶的動態(tài)鏈接庫工具，可以用來在命令行下執(zhí)行動態(tài)鏈接庫中的某個函數(shù)，Rundll32的使用方法如下：

Rundll32DllFileNameFuncName

例如我們編寫了一個MyDll.dll，這個動態(tài)鏈接庫中定義了一個MyFunc的函數(shù)，那么，我們通過Rundll32.exeMyDll.dllMyFunc就可以執(zhí)行MyFunc函數(shù)的功能。

假設(shè)我們在MyFunc函數(shù)中實(shí)現(xiàn)了病毒的功能，那么我們不就可以通過Rundll32來運(yùn)行這個病毒了么？在系統(tǒng)管理員看來，進(jìn)程列表中增加的是Rundll32.exe而并不是病毒文件，這樣也算是病毒的一種簡易欺騙和自我保護(hù)方法第26頁，共47頁，2023年，2月20日，星期四03.03.202327特洛伊DLL特洛伊DLL的工作原理是使用木馬DLL替換常用的DLL文件，通過函數(shù)轉(zhuǎn)發(fā)器將正常的調(diào)用轉(zhuǎn)發(fā)給原DLL，截獲并處理特定的消息。例如，我們知道WINDOWS的Socket1.x的函數(shù)都是存放在wsock32.dll中的，那么我們自己寫一個wsock32.dll文件，替換掉原先的wsock32.dll（將原先的DLL文件重命名為wsockold.dll）我們的wsock32.dll只做兩件事，一是如果遇到不認(rèn)識的調(diào)用，就直接轉(zhuǎn)發(fā)給wsockold.dll（使用函數(shù)轉(zhuǎn)發(fā)器forward）；二是遇到特殊的請求（事先約定的）就解碼并處理。這樣理論上只要木馬編寫者通過SOCKET遠(yuǎn)程輸入一定的暗號，就可以控制wsock32.dll（木馬DLL）做任何操作第27頁，共47頁，2023年，2月20日，星期四03.03.202328動態(tài)嵌入技術(shù)DLL木馬的最高境界是動態(tài)嵌入技術(shù)，動態(tài)嵌入技術(shù)指的是將自己的代碼嵌入正在運(yùn)行的進(jìn)程中的技術(shù)。理論上來說，在Windows中的每個進(jìn)程都有自己的私有內(nèi)存空間，別的進(jìn)程是不允許對這個私有空間進(jìn)行操作的，但是實(shí)際上，我們?nèi)匀豢梢岳梅N種方法進(jìn)入并操作進(jìn)程的私有內(nèi)存存在多種動態(tài)嵌入技術(shù)中：窗口Hook、掛接API、遠(yuǎn)程線程第28頁，共47頁，2023年，2月20日，星期四03.03.202329遠(yuǎn)程線程技術(shù)遠(yuǎn)程線程技術(shù)指的是通過在另一個進(jìn)程中創(chuàng)建遠(yuǎn)程線程的方法進(jìn)入那個進(jìn)程的內(nèi)存地址空間。在進(jìn)程中，可以通過CreateThread函數(shù)創(chuàng)建線程，被創(chuàng)建的新線程與主線程（就是進(jìn)程啟動時被同時自動建立的那個線程）共享地址空間以及其他的資源通過CreateRemoteThread也同樣可以在另一個進(jìn)程內(nèi)創(chuàng)建新線程，被創(chuàng)建的遠(yuǎn)程線程同樣可以共享遠(yuǎn)程進(jìn)程的地址空間，所以，實(shí)際上，我們通過一個遠(yuǎn)程線程，進(jìn)入了遠(yuǎn)程進(jìn)程的內(nèi)存地址空間，也就擁有了那個遠(yuǎn)程進(jìn)程相當(dāng)?shù)臋?quán)限。這種病毒難以處理。第29頁，共47頁，2023年，2月20日，星期四03.03.202330動態(tài)嵌入的實(shí)現(xiàn)動態(tài)嵌入的實(shí)現(xiàn)步驟①通過OpenProcess函數(shù)打開試圖嵌入的進(jìn)程因?yàn)樾枰獙懭脒h(yuǎn)程進(jìn)程的內(nèi)存地址空間，所以必須申請足夠的權(quán)限，包括遠(yuǎn)程創(chuàng)建線程、遠(yuǎn)程VM操作、遠(yuǎn)程VM寫權(quán)限②為LoadLibraryW函數(shù)線程啟動DLL木馬準(zhǔn)備參數(shù)LoadLibraryW函數(shù)是在kernel32.dll中定義的一個功能函數(shù)，用于加載DLL文件，它只有一個參數(shù)，就是DLL文件的絕對路徑名(也就是木馬DLL文件的全路徑文件名)。由于木馬DLL是在遠(yuǎn)程進(jìn)程內(nèi)調(diào)用的，所以還需要將這個文件名復(fù)制到遠(yuǎn)程地址空間③計(jì)算LoadLibraryW的入口地址，啟動遠(yuǎn)程線程LoadLibraryW，通過遠(yuǎn)程線程調(diào)用木馬DLL可以用遠(yuǎn)程線程技術(shù)啟動木馬DLL，也可以事先將一段代碼復(fù)制到遠(yuǎn)程進(jìn)程的內(nèi)存空間，然后通過遠(yuǎn)程線程起動這段代碼第30頁，共47頁，2023年，2月20日，星期四03.03.202331文件隱藏早期，把病毒文件屬性設(shè)為隱藏，修改文件不顯示隱藏文件。高級階段通過HOOK文件讀取函數(shù)，自動隱藏病毒文件。公開的主流檢測隱藏文件主要有兩種方法：第一種是文件系統(tǒng)層的檢測，屬于這一類的有Icesword，darkspy，gmer等。第二種便是磁盤級別的低級檢測（DiskLow-LevelScanning），屬于這一類的ark也很多，典型代表為rootkitunhooker，filereg（is的插件），rootkitrevealer，blacklight等。第31頁，共47頁，2023年，2月20日，星期四03.03.202332加殼木馬再狡猾，可是一旦被殺毒軟件定義了特征碼，在運(yùn)行前就被攔截了。要躲過殺毒軟件的追殺，很多木馬就被加了殼，相當(dāng)于給木馬穿了件衣服，這樣殺毒軟件就認(rèn)不出來了，但有部分殺毒軟件會嘗試對常用殼進(jìn)行脫殼，然后再查殺。除了被動的隱藏外，最近還發(fā)現(xiàn)了能夠主動和殺毒軟件對著干的殼，木馬在加了這種殼之后，一旦運(yùn)行，則外殼先得到程序控制權(quán)，由其通過各種手段對系統(tǒng)中安裝的殺毒軟件進(jìn)行破壞，最后在確認(rèn)安全(殺毒軟件的保護(hù)已被瓦解)后由殼釋放包裹在自己"體內(nèi)"的木馬體并執(zhí)行之。第32頁，共47頁，2023年，2月20日，星期四03.03.202333通信隱藏通信隱藏是指利用授權(quán)的通信手段和載體進(jìn)行在系統(tǒng)安全策略允許之外的非授權(quán)的通信活動。通信隱藏主要包括通信內(nèi)容、流量、信道和端口的隱藏。木馬常用的通信隱藏方法是對傳輸內(nèi)容加密,這可以采用常見/自定義的加密、解密算法實(shí)現(xiàn)，但這只能隱藏通信內(nèi)容,無法隱藏通信信道。采用網(wǎng)絡(luò)隱蔽通道技術(shù)不僅可以成功地隱藏通信信道，還可以隱藏通信內(nèi)容。第33頁，共47頁，2023年，2月20日，星期四03.03.202334網(wǎng)絡(luò)隱蔽通道TCP/IP協(xié)議族中,有許多信息冗余可用于建立網(wǎng)絡(luò)隱蔽通道。木馬可以利用這些網(wǎng)絡(luò)隱蔽通道突破網(wǎng)絡(luò)安全機(jī)制，比較常見的有:ICMP畸形報文傳遞、HTTP隧道技術(shù),自定義TCP/UDP報文等。采用網(wǎng)絡(luò)隱蔽通道技術(shù)，如果選用一般安全策略都允許的端口通信,如80端口，則可輕易穿透防火墻和避過入侵檢測系統(tǒng)等安全機(jī)制的檢測,從而具有很強(qiáng)的隱蔽性。第34頁，共47頁，2023年，2月20日，星期四03.03.202335使用TCP協(xié)議隱蔽通信--反向連接技術(shù)為了克服服務(wù)端在某一端口上偵聽易被發(fā)現(xiàn)這一缺點(diǎn)，現(xiàn)在服務(wù)端不再偵聽端口，而是去連接客戶端在偵聽的某一端口。這樣用一般的portscanner或者fport就發(fā)現(xiàn)不了服務(wù)端了。而為了更好的麻痹宿主機(jī)，客戶端偵聽的端口一般是21，80,23這種任何人都要訪問的端口。雖然在安裝了防火墻的機(jī)器上，服務(wù)端去連接客戶端還是要引起防火墻報警，但是一個粗心的用戶很可能會忽略“應(yīng)用程序xxxxx試圖訪問xxx.xxx.xxx.xxx通過端口80”這樣的警告?？蛻舳藗陕?，服務(wù)端連接。這就是所謂的反向連接技術(shù)了。第35頁，共47頁，2023年，2月20日，星期四03.03.202336使用TCP協(xié)議隱蔽通信--反向連接技術(shù)這種反向連接技術(shù)要解決的一個問題是，服務(wù)端如何找到客戶端。由于一般客戶端都是撥號上網(wǎng)的，沒有一個固定的IP，所以客戶端IP不可能硬編碼在服務(wù)端程序中。http訪問獲取地址方式?？刂贫藢⒈緳C(jī)的ip地址更新到存放于ftp空間的文件中，被控端采用http方式訪問該文件，從而獲取控制端的ip地址。通過域名獲取地址方式。攻擊者需要申請一個動態(tài)域名，并通過域名解析服務(wù)客戶端軟件如PeanutHull等把域名與控制端主機(jī)綁定，再將此域名預(yù)先設(shè)置在控制端中，則被控端就可以通過訪問此域名上線了。所以還有一種方法是使用RAWsocket來收聽ECHOREPLY類型的ICMP包，在ICMP數(shù)據(jù)包的數(shù)據(jù)去就包含了客戶端IP。對于普通用戶來說，由于要上網(wǎng)瀏覽，這樣的ICMP包是很少過濾掉的。第36頁，共47頁，2023年，2月20日，星期四03.03.202337使用UDP協(xié)議通信服務(wù)端偵聽，客戶端連接；客戶端偵聽，服務(wù)端連接。方法和安全性與使用TCP協(xié)議差不多。需要注意的是UDP不是一個可靠的協(xié)議，所以，必須在UDP協(xié)議的基礎(chǔ)上設(shè)計(jì)一個自己的可靠的報文傳遞協(xié)議。第37頁，共47頁，2023年，2月20日，星期四03.03.202338用ICMP來通信既然客戶端可以通過發(fā)一個ICMP(ECHOREPLY)來告訴服務(wù)端它的IP，那為什么不把所有服務(wù)端和客戶端的通訊都建立在ICMP基礎(chǔ)上呢?服務(wù)端向客戶端發(fā)ICMP(ECHOREQUEST)，客戶端向服務(wù)端發(fā)ICMP(ECHOREPLY)，然后可以在ICMP基礎(chǔ)上建立一個自己的可靠數(shù)據(jù)報通訊協(xié)議。如果不怕麻煩的話，還可以建立一個TCPoverICMP。由于一般的用戶這兩類ICMP包都是設(shè)為無警告放行的，這種方法的隱秘性還是很強(qiáng)的。第38頁，共47頁，2023年，2月20日，星期四03.03.202339利用ICMP協(xié)議建立秘密通道ICMP回顯請求(type=0)和回顯應(yīng)答(type=8)報文規(guī)范約定ICMP報文中的標(biāo)識符和序列號字段由發(fā)送端任意選擇，因此在ICMP包中標(biāo)識符、序列號和選項(xiàng)數(shù)據(jù)等部分都可用來秘密攜帶信息由于防火墻、入侵檢測系統(tǒng)等網(wǎng)絡(luò)設(shè)備通常只檢查ICMP報文的首部，因此使用ICMP建立秘密通道時往往直接把數(shù)據(jù)放到選項(xiàng)數(shù)據(jù)中這類秘密信道可以實(shí)現(xiàn)直接的客戶端和服務(wù)端通信，具有準(zhǔn)實(shí)時的特點(diǎn)第39頁，共47頁，2023年，2月20日，星期四03.03.202340基于嗅探原理的通信服務(wù)器端是一個sniffer和發(fā)包器，它將捕獲指定特征的數(shù)據(jù)包。客戶端是一個發(fā)包器和嗅探器，用來發(fā)送指定特征的數(shù)據(jù)包并包括定義的命令以及接收服務(wù)器端的數(shù)據(jù)。當(dāng)服務(wù)器端捕獲到該指定特征的數(shù)據(jù)包時，變成激活狀態(tài)，通過分析該數(shù)據(jù)包，獲得客戶端發(fā)送的命令和客戶端的IP地址，然后實(shí)現(xiàn)相應(yīng)的命令，并將執(zhí)行后的結(jié)果發(fā)送回客戶端，客戶端的嗅探部分則接收相應(yīng)的數(shù)據(jù)。所有的數(shù)據(jù)發(fā)送都是通過原始套接字進(jìn)行。第40頁，共47頁，2023年，2月20日，星期四03.03.202341木馬的通信特征當(dāng)被控端被植入目標(biāo)主機(jī)或開機(jī)自動運(yùn)行后，將每隔一定時間檢查一下網(wǎng)絡(luò)環(huán)境是否能夠與控制端建立連接，如果符合連接條件，則向控制端發(fā)起連接并上線，而控制端則將上線主機(jī)顯示出來，以供攻擊