木马病毒原理和特征分析专家讲座

特洛伊木马定义特洛伊木马(TrojanHorse)，简称木马，是一个恶意程序，是一个基于远程控制黑客工具，一旦侵入用户计算机，就悄悄地在宿主计算机上运行，在用户毫无觉察情况下，让攻击者取得远程访问和控制系统权限，进而在用户计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘，或窃取用户信息古希腊特洛伊之战中利用木马攻陷特洛伊城；当代网络攻击者利用木马，采取伪装、坑骗(哄骗，Spoofing)等伎俩进入被攻击计算机系统中，窃取信息，实施远程监控3/9/20231木马病毒原理和特征分析专家讲座第1页特洛伊木马是一个秘密潜伏能够经过远程网络进行控制恶意程序。控制者能够控制被秘密植入木马计算机一切动作和资源，是恶意攻击者进行窃取信息等工具。他由黑客经过种种路径植入并驻留在目标计算机里。3/9/20232木马病毒原理和特征分析专家讲座第2页木马能够随计算机自动开启并在某一端口进行侦听，在对目标计算机数据、资料、动作进行识别后，就对其执行特定操作，并接收“黑客”指令将相关数据发送到“黑客大本营”。这只是木马搜集信息阶段，黑客同时能够利用木马对计算机进行深入攻击！这时目标计算机就是大家常听到“肉鸡”了！3/9/20233木马病毒原理和特征分析专家讲座第3页2．特洛伊木马病毒危害性特洛伊木马和病毒、蠕虫之类恶意程序一样，也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其它恶意程序。除此以外，木马还有其本身特点：窃取内容；远程控制。3/9/20234木马病毒原理和特征分析专家讲座第4页3/9/20235木马病毒原理和特征分析专家讲座第5页常见特洛伊木马，比如BackOrifice和SubSeven等，都是多用途攻击工具包，功效非常全方面，包含捕捉屏幕、声音、视频内容功效。这些特洛伊木马能够看成键统计器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。因为功效全方面，所以这些特洛伊木马体积也往往较大，通常到达100KB至300KB，相对而言，要把它们安装到用户机器上而不引发任何人注意难度也较大。常见特洛伊木马3/9/20236木马病毒原理和特征分析专家讲座第6页对于功效比较单一特洛伊木马，攻击者会力图使它保持较小体积，通常是10KB到30KB，方便快速激活而不引发注意。这些木马通常作为键统计器使用，它们把受害用户每一个键击事件统计下来，保留到某个隐藏文件，这么攻击者就能够下载文件分析用户操作了。常见特洛伊木马3/9/20237木马病毒原理和特征分析专家讲座第7页BackOrifice是一个远程访问特洛伊木马病毒，该程序使黑客能够经TCP/IP网络进入并控制windows系统并任意访问系统任何资源，经过调用cmd.exe系统命令实现本身功效，其破坏力极大。SubSeven能够作为键统计器、包嗅探器使用，还含有端口重定向、注册表修改、麦克风和摄像头统计功效。SubSeven还含有其它功效：攻击者能够远程交换鼠标按键，关闭/打开CapsLock、NumLock和ScrollLock，禁用Ctrl+Alt+Del组合键，注销用户，打开和关闭CD-ROM驱动器，关闭和打开监视器，翻转屏幕显示，关闭和重新开启计算机常见特洛伊木马3/9/20238木马病毒原理和特征分析专家讲座第8页在之前，冰河在国内一直是不可动摇领军木马，在国内没用过冰河人等于没用过木马，由此可见冰河木马在国内影响力之巨大。该软件主要用于远程监控，自动跟踪目标机屏幕改变等。冰河原作者：黄鑫，冰河开放端口7626据传为其生日号。

1．自动跟踪目标机屏幕改变，同时能够完全模拟键盘及鼠标输入,即在同时被控端屏幕改变同时，监控端一切键盘及鼠标操作将反应在被控端屏幕（局域网适用）；2．统计各种口令信息：包含开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过口令信息；3．获取系统信息：包含计算机名、注册企业、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；4．限制系统功效：包含远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功效限制；5．远程文件操作：包含创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不一样打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功效；6．注册表操作：包含对主键浏览、增删、复制、重命名和对键值读写等全部注册表操作功效；常见特洛伊木马3/9/20239木马病毒原理和特征分析专家讲座第9页常见特洛伊木马灰鸽子（Hack.Huigezi）是一个集各种控制方法于一体木马病毒，一旦用户电脑不幸感染，能够说用户一举一动都在黑客监控之下，要窃取账号、密码、照片、主要文件都轻而易举。自，灰鸽子诞生之日起，就被反病毒专业人士判定为最具危险性后门程序，并引发了安全领域高度关注。、、，灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒，灰鸽子也所以声名大噪，逐步成为媒体以及网民关注焦点。3/9/202310木马病毒原理和特征分析专家讲座第10页特洛伊木马定义木马与病毒普通情况下，病毒是依据其能够进行自我复制即传染性特点而定义特洛伊木马主要是依据它有效载体，或者是其功效来定义，更多情况下是依据其意图来定义木马普通不进行自我复制，但含有寄生性，如捆绑在正当程序中得到安装、开启木马权限，DLL木马甚至采取动态嵌入技术寄生在正当程序进程中木马普通不含有普通病毒所含有自我繁殖、主动感染传输等特征，但我们习惯上将其纳入广义病毒，也就是说，木马也是广义病毒一个子类木马最终意图是窃取信息、实施远程监控木马与正当远程控制软件(如pcAnyWhere)主要区分在于是否含有隐蔽性、是否含有非授权性3/9/202311木马病毒原理和特征分析专家讲座第11页特洛伊木马结构木马系统软件普通由木马配置程序、控制程序和木马程序(服务器程序)三部分组成3/9/202312木马病毒原理和特征分析专家讲座第12页特洛伊木马基本原理利用木马实施网络入侵基本过程3/9/202313木马病毒原理和特征分析专家讲座第13页特洛伊木马基本原理木马控制端与服务端连接建立控制端要与服务端建立连接必须知道服务端木马端口和IP地址因为木马端口是事先设定，为已知项，所以最主要是怎样取得服务端IP地址取得服务端IP地址方法主要有两种：信息反馈和IP扫描3/9/202314木马病毒原理和特征分析专家讲座第14页特洛伊木马基本原理木马控制端与服务端连接建立3/9/202315木马病毒原理和特征分析专家讲座第15页特洛伊木马基本原理木马通道与远程控制木马连接建立后，控制端端口和服务端木马端口之间将会出现一条通道控制端上控制端程序可藉这条通道与服务端上木马程序取得联络，并经过木马程序对服务端进行远程控制，实现远程控制就如同当地操作3/9/202316木马病毒原理和特征分析专家讲座第16页特洛伊木马传输方式木马惯用传输方式，有以下几个：以邮件附件形式传输控制端将木马伪装之后添加到附件中，发送给收件人经过OICQ、QQ等聊天工具软件传输在进行聊天时，利用文件传送功效发送伪装过木马程序给对方经过提供软件下载网站(Web/FTP/BBS)传输木马程序普通非常小，只有是几K到几十K，假如把木马捆绑到其它正常文件上，用户是极难发觉，所以，有一些网站被人利用，提供下载软件往往捆绑了木马文件，在用户执行这些下载文件同时，也运行了木马经过普通病毒和蠕虫传输经过带木马磁盘和光盘进行传输3/9/202317木马病毒原理和特征分析专家讲座第17页特洛伊木马技术发展木马发展及成熟，大致也经历了两个阶段Unix阶段Windows阶段木马技术发展至今，已经经历了4代第一代木马只是进行简单密码窃取、发送等，没有什么尤其之处第二代木马在密码窃取、发送等技术上有了很大进步，冰河能够说是国内木马经典代表之一第三代木马在数据传输技术上，又做了不小改进，出现了ICMP等类型木马，利用畸形报文传递数据，增加了查杀难度第四代木马在进程隐藏方面，做了很大改动，采取了内核插入式嵌入方式，利用远程插入线程技术，嵌入DLL线程；或者挂接PSAPI(ProcessStatusAPI)，实现木马程序隐藏3/9/202318木马病毒原理和特征分析专家讲座第18页木马高级技术3/9/202319木马病毒原理和特征分析专家讲座第19页驻留在内存为了生存，病毒要尽可能长时间地驻留在内存中，而不是host程序一结束就完蛋了。有三种种方法，一是象Funlove那样在系统目录里释放一个文件，并修改注册表或者建立一个系统服务。这种方式很普通，也很普遍，大多数病毒包含蠕虫都这么干。另一个方式则是感染全部已运行进程。在Win2K下很轻易实现,CreateRemoteThread，但要想在全部Win32平台下实现，则要比较高技巧。工作在ring0病毒，内核模式病毒。3/9/202320木马病毒原理和特征分析专家讲座第20页内核模式病毒WindowsNT/2K环境下第一个以内核模式驱动程序运行，并驻留内存寄生型病毒是Infis.Infis作为内核模式驱动程序驻留内存，而且挂钩文件操作，它能够在文件打开时马上感染该文件。安装程序把病毒拷贝到系统内存中，并在系统注册表中添加该病毒注册项。该病毒把自己可执行代码连同自己PE文件头一起追加到目标文件末尾，然后从自己代码中提取出一个名为INF.SYS独立驱动程序，把这个程序保留在%SystemRoot%\system32\drivers目录下，修改注册表，确保下一次系统开启时病毒也能够进入运行状态。3/9/202321木马病毒原理和特征分析专家讲座第21页检测方法检验系统驱动程序列表中已经装入驱动程序名称，假如在驱动程序列表中发觉了病毒驱动程序，说明基本上感染了病毒病毒可能使用隐藏技术防止在驱动程序列表中出现，需要经过计算机管理器中驱动程序列表。3/9/202322木马病毒原理和特征分析专家讲座第22页病毒隐藏技术隐藏是病毒天性，在业界对病毒定义里，“隐蔽性”就是病毒一个最基本特征，任何病毒都希望在被感染计算机中隐藏起来不被发觉，因为病毒都只有在不被发觉情况下，才能实施其破坏行为。为了到达这个目标，许多病毒使用了各种不一样技术来躲避反病毒软件检验，这么就产生了各种各样令普通用户头痛病毒隐藏形式。隐藏窗口&隐藏进程&隐藏文件桌面看不到任务管理器中不可见文件中看不到3/9/202323木马病毒原理和特征分析专家讲座第23页进程隐藏Windows9x中任务管理器是不会显示服务类进程，结果就被病毒钻了空子，病毒将本身注册为“服务进程”，能够躲避用户监视。Windows/xp/等操作系统上已经无效了，直接使用系统自带任务管理器便能发觉和快速终止进程运行。3/9/202324木马病毒原理和特征分析专家讲座第24页经过DLL实现进程隐藏Windows系统另一个“可执行文件”----DLL，DLL文件没有程序逻辑，是由多个功效函数组成，它并不能独立运行，普通都是由进程加载并调用。运行DLL文件最简单方法是利用Rundll32.exe，Rundll/Rundll32是Windows自带动态链接库工具，能够用来在命令行下执行动态链接库中某个函数，Rundll32使用方法以下：

Rundll32DllFileNameFuncName

比如我们编写了一个MyDll.dll，这个动态链接库中定义了一个MyFunc函数，那么，我们经过Rundll32.exeMyDll.dllMyFunc就能够执行MyFunc函数功效。

假设我们在MyFunc函数中实现了病毒功效，那么我们不就能够经过Rundll32来运行这个病毒了么？在系统管理员看来，进程列表中增加是Rundll32.exe而并不是病毒文件，这么也算是病毒一个简易坑骗和自我保护方法3/9/202325木马病毒原理和特征分析专家讲座第25页特洛伊DLL特洛伊DLL工作原理是使用木马DLL替换惯用DLL文件，经过函数转发器将正常调用转发给原DLL，截获并处理特定消息。比如，我们知道WINDOWSSocket1.x函数都是存放在wsock32.dll中，那么我们自己写一个wsock32.dll文件，替换掉原先wsock32.dll（将原先DLL文件重命名为wsockold.dll）我们wsock32.dll只做两件事，一是假如碰到不认识调用，就直接转发给wsockold.dll（使用函数转发器forward）；二是碰到特殊请求（事先约定）就解码并处理。这么理论上只要木马编写者经过SOCKET远程输入一定暗号，就能够控制wsock32.dll（木马DLL）做任何操作3/9/202326木马病毒原理和特征分析专家讲座第26页动态嵌入技术DLL木马最高境界是动态嵌入技术，动态嵌入技术指是将自己代码嵌入正在运行进程中技术。理论上来说，在Windows中每个进程都有自己私有内存空间，别进程是不允许对这个私有空间进行操作，不过实际上，我们依然能够利用种种方法进入并操作进程私有内存存在各种动态嵌入技术中：窗口Hook、挂接API、远程线程3/9/202327木马病毒原理和特征分析专家讲座第27页远程线程技术远程线程技术指是经过在另一个进程中创建远程线程方法进入那个进程内存地址空间。在进程中，能够经过CreateThread函数创建线程，被创建新线程与根本程（就是进程开启时被同时自动建立那个线程）共享地址空间以及其它资源经过CreateRemoteThread也一样能够在另一个进程内创建新线程，被创建远程线程一样能够共享远程进程地址空间，所以，实际上，我们经过一个远程线程，进入了远程进程内存地址空间，也就拥有了那个远程进程相当权限。这种病毒难以处理。3/9/202328木马病毒原理和特征分析专家讲座第28页动态嵌入实现动态嵌入实现步骤①经过OpenProcess函数打开试图嵌入进程因为需要写入远程进程内存地址空间，所以必须申请足够权限，包含远程创建线程、远程VM操作、远程VM写权限②为LoadLibraryW函数线程开启DLL木马准备参数LoadLibraryW函数是在kernel32.dll中定义一个功效函数，用于加载DLL文件，它只有一个参数，就是DLL文件绝对路径名(也就是木马DLL文件全路径文件名)。因为木马DLL是在远程进程内调用，所以还需要将这个文件名复制到远程地址空间③计算LoadLibraryW入口地址，开启远程线程LoadLibraryW，经过远程线程调用木马DLL能够用远程线程技术开启木马DLL，也能够事先将一段代码复制到远程进程内存空间，然后经过远程线程起动这段代码3/9/202329木马病毒原理和特征分析专家讲座第29页文件隐藏早期，把病毒文件属性设为隐藏，修改文件不显示隐藏文件。高级阶段经过HOOK文件读取函数，自动隐藏病毒文件。公开主流检测隐藏文件主要有两种方法：第一个是文件系统层检测，属于这一类有Icesword，darkspy，gmer等。第二种便是磁盘级别低级检测（DiskLow-LevelScanning），属于这一类ark也很多，经典代表为rootkitunhooker，filereg（is插件），rootkitrevealer，blacklight等。3/9/202330木马病毒原理和特征分析专家讲座第30页加壳木马再狡猾，可是一旦被杀毒软件定义了特征码，在运行前就被拦截了。要躲过杀毒软件追杀，很多木马就被加了壳，相当于给木马穿了件衣服，这么杀毒软件就认不出来了，但有部分杀毒软件会尝试对惯用壳进行脱壳，然后再查杀。除了被动隐藏外，最近还发觉了能够主动和杀毒软件对着干壳，木马在加了这种壳之后，一旦运行，则外壳先得到程序控制权，由其经过各种伎俩对系统中安装杀毒软件进行破坏，最终在确认安全(杀毒软件保护已被瓦解)后由壳释放包裹在自己"体内"木马体并执行之。3/9/202331木马病毒原理和特征分析专家讲座第31页通信隐藏通信隐藏是指利用授权通信伎俩和载体进行在系统安全策略允许之外非授权通信活动。通信隐藏主要包含通信内容、流量、信道和端口隐藏。木马惯用通信隐藏方法是对传输内容加密,这能够采取常见/自定义加密、解密算法实现，但这只能隐藏通信内容,无法隐藏通信信道。采取网络隐蔽通道技术不但能够成功地隐藏通信信道，还能够隐藏通信内容。3/9/202332木马病毒原理和特征分析专家讲座第32页网络隐蔽通道TCP/IP协议族中,有许多信息冗余可用于建立网络隐蔽通道。木马能够利用这些网络隐蔽通道突破网络安全机制，比较常见有:ICMP畸形报文传递、HTTP隧道技术,自定义TCP/UDP报文等。采取网络隐蔽通道技术，假如选取普通安全策略都允许端口通信,如80端口，则可轻易穿透防火墙和避过入侵检测系统等安全机制检测,从而含有很强隐蔽性。3/9/202333木马病毒原理和特征分析专家讲座第33页使用TCP协议隐蔽通信--反向连接技术为了克服服务端在某一端口上侦听易被发觉这一缺点，现在服务端不再侦听端口，而是去连接客户端在侦听某一端口。这么用普通portscanner或者fport就发觉不了服务端了。而为了更加好麻痹宿主机，客户端侦听端口普通是21，80,23这种任何人都要访问端口。即使在安装了防火墙机器上，服务端去连接客户端还是要引发防火墙报警，不过一个粗心用户很可能会忽略“应用程序xxxxx试图访问xxx.xxx.xxx.xxx经过端口80”这么警告。客户端侦听，服务端连接。这就是所谓反向连接技术了。3/9/202334木马病毒原理和特征分析专家讲座第34页使用TCP协议隐蔽通信--反向连接技术这种反向连接技术要处理一个问题是，服务端怎样找到客户端。因为普通客户端都是拨号上网，没有一个固定IP，所以客户端IP不可能硬编码在服务端程序中。http访问获取地址方式。控制端将本机ip地址更新到存放于ftp空间文件中，被控端采取http方式访问该文件，从而获取控制端ip地址。经过域名获取地址方式。攻击者需要申请一个动态域名，并经过域名解析服务客户端软件如PeanutHull等把域名与控制端主机绑定，再将此域名预先设置在控制端中，则被控端就能够经过访问此域名上线了。所以还有一个方法是使用RAWsocket来收听ECHOREPLY类型ICMP包，在ICMP数据包数据去就包含了客户端IP。对于普通用户来说，因为要上网浏览，这么ICMP包是极少过滤掉。3/9/202335木马病毒原理和特征分析专家讲座第35页使用UDP协议通信服务端侦听，客户端连接；客户端侦听，服务端连接。方法和安全性与使用TCP协议差不多。需要注意是UDP不是一个可靠协议，所以，必须在UDP协议基础上设计一个自己可靠报文传递协议。3/9/202336木马病毒原理和特征分析专家讲座第36页用ICMP来通信既然客户端能够经过发一个ICMP(ECHOREPLY)来告诉服务端它IP，那为何不把全部服务端和客户端通讯都建立在ICMP基础上呢?服务端向客户端发ICMP(ECHOREQUEST)，客户端向服务端发ICMP(ECHOREPLY)，然后能够在ICMP基础上建立一个自己可靠数据报通讯协议。假如不怕麻烦话，还能够建立一个TCPoverICMP。因为普通用户这两类ICMP包都是设为无警告放行，这种方法隐秘性还是很强。3/9/202337木马病毒原理和特征分析专家讲座第37页利用ICMP协议建立秘密通道ICMP回显请求(type=0)和回显应答(type=8)报文规范约定ICMP报文中标识符和序列号字段由发送端任意选择，所以在ICMP包中标识符、序列号和选项数据等部分都可用来秘密携带信息因为防火墙、入侵检测系统等网络设备通常只检验ICMP报文首部，所以使用ICMP建立秘密通道时往往直接把数据放到选项数据中这类秘密信道能够实现直接客户端和服务端通信，含有准实时特点3/9/202338木马病毒原理和特征分析专家讲座第38页基于嗅探原理通信服务器端是一个sniffer和发包器，它将捕捉指定特征数据包。客户端是一个发包器和嗅探器，用来发送指定特征数据包并包含定义命令以及接收服务器端数据。当服务器端捕捉到该指定特征数据包时，变成激活状态，经过分析该数据包，取得客户端发送命令和客户端IP地址，然后实现对应命令，并将执行后结果发送回客户端，客户端嗅探部分则接收对应数据。全部数据发送都是经过原始套接字进行。3/9/202339木马病毒原理和特征分析专家讲座第39页木马通信特征当被控端被植入目标主机或开机自动运行后，将每隔一定时间检验一下网络环境是否能够与控制端建立连接，假如符合连接条件，则向控制端发起连接并上线，而控制端则将上线主机显示出来，以供攻击者选择对应主机进行操作。同时对上线主机创建一个线程，负责处理与被控端交互信息