经济学第二章-黑客攻击技术-恶意代码-2课件

2.3木马技术概述特洛伊木马(Trojan)是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击DoS等特殊功能的后门程序。它与控制主机之间建立起连接，使得控制者能够通过网络控制受害系统，通信遵照TCP/IP协议最大的特征在于隐秘性，偷偷混入对方的主机里面，但是却没有被对方发现，系统表现也正常像一个潜入敌方的间谍，2023/11/2712007年金山病毒报告监测显示，木马攻击占当前网络病毒的70%以上，已经成为当前网络危害最严重的网络病毒，网络上各种种马技术加剧了木马的流行和发展，由于木马控制了被植入者的计算机，它几乎可以在被植入主机上为所欲为，破坏程度非常巨大国家互联网应急中心(CNCERT)在2008年上半年抽样监测，境内外控制者利用木马控制端对主机进行控制的事件中，木马控制端IP地址总数为280068个，被控制端IP地址总数为1485868个2023/11/2722023/11/2732023/11/274木马发展历史第一代木马出现在网络发展的早期，以窃取网络密码为主要任务，这种木马通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马。第二代木马在技术上有了很大的进步，它使用标准的CS/架构，提供远程文件管理、屏幕监视等功能，在在隐藏、自启动和操纵服务器等技术上也有很大的发展。2023/11/275第三代木马在功能上与第二代木马没有太大差异，隐蔽开放端口，如使用ICMP通信协议进行通信，使用TCP端口反弹技术让服务器端主动连接客户端。第四代木马在进程隐藏方面做了大改动，让木马服务器运行时没有进程，网络操作插入到系统进程或者应用进程中完成。典型如采用利用远程插入线程技术嵌入DLL线程，另外如rootkit技术第五代木马实现了与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的，而不必象以前的木马那样需要欺骗用户主动激活。2023/11/2762.3.2木马的实现原理与攻击技术木马欺骗技术：木马欺骗用户安装、欺骗用户运行以及隐藏自己防治被发现关键技术冒充为图像文件

合并程序欺骗插入其它文件内部伪装成应用程序扩展组件

利用WinRar制作成自释放文件在Word文档中加入木马文件2023/11/277攻击步骤一个木马程序要通过网络入侵并控制被植入的电脑，需要采用以下四个环节：首先是向目标主机植入木马，也就是当前流行的“种马”技术，通过网络将木马程序植入到被控制的电脑启动和隐藏木马服务器端（目标主机）和客户端建立连接，通知植入者，并被进行远程控制电脑，2023/11/278植入技术木马植入技术可以大概分为主动植入与被动植入两类。主动植入，就是攻击者利用网络攻击技术通过网络将木马程序植入到远程目标主机上，这个行为过程完全由攻击者主动掌握。被动植入，是指攻击者预先设置某种环境，然后被动等待目标系统用户的某种可能的操作，只有这种操作执行，木马程序才有可能植入目标系统。2023/11/279主动植入技术利用系统自身漏洞植入利用第三方软件漏洞植入利用通信软件发送伪装的木马文件植入利用电子邮件发送植入木马2023/11/2710被动植入软件下载利用共享文件利用Autorun文件传播网页浏览传播：这种方法利用Script/ActiveX控件、/JavaApplet等技术编写出一个HTML网页，当我们浏览该页面时，会在后台将木马程序下载到计算机缓存中2023/11/2711木马的自动加载技术修改系统文件修改系统注册表修改文件打开关联修改任务计划修改组策略命令：gpedit.msc修改启动文件夹替换系统自动运行的文件替换系统DLL作为服务启动2023/11/2712木马隐藏技术木马植入目标系统后，为了提高自身的生存能力，木马会采用各种手段伪装隐藏以使被感染的系统表现正常，避免被发现，尽可能延长生存期。对于隐藏技术，主要分为两类：主机保存隐藏和通信过程隐藏。2023/11/2713主机隐藏主机隐藏主要是指在主机系统上表现为正常的进程，使被植入者无法感觉到木马的存在，甚至即使发现进程，利用欺骗等技术，也不敢删除。一种采用欺骗的方式伪装成其他文件是伪装成系统文件2023/11/2714进程隐藏进程隐藏则存在以下技术，对于那些单独存在的木马进程，可以注册为一个服务，这样在任务管理器中就无法看到。另外隐藏就是不以单独的进程出现，有以下技术动态链接库注入技术HookingAPI技术2023/11/2715通信隐藏通信隐藏复用正常服务端口采用其他不需要开放端口的协议进行通信利用“反弹端口”技术采用嗅探技术2023/11/2716远程控制如何得到被种马的主机地址端口扫描邮件发送UDP通知利用qq、msn等通信软件2023/11/2717木马的破坏方式

窃取密码

远程访问控制DoS攻击

代理攻击

程序杀手2023/11/2718冰河木马冰河木马包括两个可运行程序，服务器端程序G-server.exe和客户端程序G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:\Windows\System目录下生成Kernel32.exe和Sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，Sysexplr.exe和TXT文件关联。即使删除了Kernel32.exe，但只要打开TXT文件，Sysexplr.exe就会被激活，它将再次生成Kernel32.exe，2023/11/2719客户端对被植入主机的控制客户端对被植入主机的控制主要包括以下方面：自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。

记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。

获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。

限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。

远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四种不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能。

注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

发送信息：以四种常用图标向被控端发送简短信息。

点对点通讯：以聊天室形式同被控端进行在线交谈。2023/11/27202.3.4木马的防御扫描端口木马服务器端可能会在系统中监听某个端口，因此，通过查看系统上开启了那些端口能有效地发现远程控制木马的踪迹。检查运行进程很多木马在运行期间都会在系统中生成进程。因此，检查进程是一种非常有效的发现木马踪迹方法。工具：procexp.exe2023/11/2721木马的防御-2检查ini文件、注册表和服务等自启动项让木马程序自动启动，是其攻击的必备条件。Windows能够让程序自启动的地方很多，如果要手工一一查看，不仅麻烦而且可能会漏掉许多启动项。而自启动项管理软件Autoruns是这一方面的专业工具监视网络通讯对于一些特殊的木马程序(如通过ICMP协议通信)，被控端不需要打开任何监听端口，也无需反向连接，更不会有什么已经建立的固定连接，木马的通信监控可以通过防火墙来监控，2023/11/2722几款免费的木马专杀工具冰刃(Icesword)是专业查杀木马工具中较好的工具之一特点强力删除文件删除注册表项终止任意的进程查看进程通信情况查看消息钩子线程创建和线程终止监视2023/11/2723冰刃2023/11/2724几款免费的木马专杀工具Windows清理助手。Windows清理助手（ARSwp）发布于2006年10月，运行于Windows2000以上平台，是一款用户拥有完全控制权的Windows清理工具。恶意软件清理助手Atool软件。它是木马专杀厂商提供的一款免费的、向高级用户群体设计的专业系统安全检测及辅助处置工具，其界面类似于冰刃。Windows恶意软件删除工具(mrt.exe)。是Microsoft所提供的的一个免费的，删除恶意软件使用工具，并由Microsoft定期公布其更新版本

2023/11/27252.4网络钓鱼网络钓鱼是通过发送声称来自于银行或其它知名机构的欺骗性垃圾邮件，或者伪装成其Web站点，意图引诱收信人或网站浏览者给出敏感信息（如用户名、口令、帐号ID、ATMPIN码或信用卡详细信息）的一种攻击方式。网络钓鱼(Phishing)一词，是“Fishing”和“Phone”的综合体。2023/11/2726网络钓鱼的攻击方法建立假冒网上银行、网上证券的网站，骗取用户帐号密码实施盗窃如假冒中国银行

假：，真中国工商银行假，真中国农业银行假真

2023/11/2727网络钓鱼的攻击方法-2发送电子邮件，以虚假信息引诱用户中圈套攻击者以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。利用虚假的电子商务网站建立虚假电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，2023/11/27282023/11/27292023/11/2730利用知名软件如QQ、MSN等欺骗用户，最多中奖信息如：

///2023/11/2731网络钓鱼的防御对于被假冒的网站需要加大制作网站的难度，使欺骗者难以模仿。改变网站域名，使之变成既容易记住，又不容易被仿造得域名地址。2023/11/2732用户端，可以采用以下措施尽量不通过链接打开网页，而是直接输入域名访问网络对于需要输入帐号和密码的网站再三确认，可以使用多个搜索引擎搜索该网站的域名给网络浏览器程序安装补丁，使其补丁保持在最新状态利用已有的防病毒软件，实时防御钓鱼网站(建立仿冒网站库)2023/11/27335.5浏览器劫持浏览器劫持是网页浏览器（IE等）被恶意程序修改的一种行为，恶意软件通过浏览器插件（IE常为DLL文件）、浏览器辅助对象(BrowserHelpObjectsBHO）、WinsockLSP等形式对用户的浏览器进行篡改，通过操纵浏览器的行为，可以使用户浏览器转移到特定网站，取得商业利益，或者在用户计算机端收集敏感信息，危及用户隐私安全2023/11/2734实现方法浏览器辅助对象实现浏览器劫持。BHO是微软推出浏览器对第三方程序开放交互接口的业界标准，通过简单的代码就可以进入浏览器领域的“交互接口”。利用HOOK钩子IE钩子程序载入进程后，能够获得所有的IE浏览器的内容，一旦发现某个符合要求的消息，钩子的处理代码就先拦截系统发送给IE的消息根据不同消息内容作出修改后再发给IE2023/11/2735利用Winsock2SPI包过滤技术(ServiceProviderInterface，SPI）Winsock2SPI是一个接口，它可以拦截所有基于Sock通信的网络数据2023/11/2736浏览器劫持的防御方法直接使用IE浏览器的管理加载项，禁用恶意的加载项。使用专用工具卸载恶意插件，如安全卫士360、超级兔子等。专用工具查看是否有恶意的SPI，如冰刃IceSword.exe。2023/11/2737流氓软件流氓软件是介于病毒和正规软件之间的软件。“流氓软件”介于两者之间，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来危害。其特点是：它具有一定的实用价值，一般是为方便用户使用计算机工作、娱乐而开发，面向社会公众公开发布的软件，并且一般