特洛伊木马概念与特性

特洛伊木马（Trojan Horse,简称木马），它是具有伪装能力、隐蔽执行非法功能的恶意程序，而受害用户表面上看到的是合法功能的执行。

目前特洛伊木马已成为黑客常用的攻击方法。它通过伪装成合法程序或文件，植入系统，对网络系统安全构成严重威胁。

同计算机病毒、网络蠕虫相比较，特洛伊木马不具有自我传播能力，而是通过其他的传播机制来实现。受到特洛伊木马侵害的计算机，攻击者可不同程度地远程控制受害计算机，例如访问受害计算机、在受害计算机上执行命令或利用受害计算机进行 DDoS 攻击。

特洛伊木马分类

根据特洛伊木马的管理方式，可以将特洛伊木马分为

本地特洛伊木马:木马只运行在本地的单台主机，木马没有远程通信功能
网络特洛伊木马:是指具有网络通信连接及服务功能的一类木马，简称网络木马

网络特洛伊木马由两部分组成

远程木马控制管理:监测木马代理的活动，远程配置管理代理，收集木马代理窃取的信息

木马代理:植入目标系统中，伺机获取目标系统的信息或控制目标系统的运行，类似网络管理代理

特洛伊木马运行机制

木马攻击过程主要分为五个部分

寻找攻击目标。攻击者通过互联网或其他方式搜索潜在的攻击目标。
收集目标系统的信息。获取目标系统的信息主要包括操作系统类型、网络结构、应用软件、用户习惯等。
将木马植入目标系统。攻击者根据所搜集到的信息，分析目标系统的脆弱性，制定植入木马策略。木马植入的途径有很多，如通过网页点击、执行电子邮件附件等。
木马隐藏。为实现攻击意图，木马设法隐蔽其行为，包括目标系统本地活动隐藏和远程通信隐藏。
攻击意图实现，即激活木马，实施攻击。木马植入系统后，待触发条件满足后，就进行攻击破坏活动，如窃取口令、远程访问、删除文件等。

特洛伊木马植入技术

特洛伊木马的植入方法可以分为两大类

被动植入:指通过人工干预方式才能将木马程序安装到目标系统中，植入过程必须依赖于受害用户的手工操作
主动植入:指主动攻击方法，将木马程序通过程序自动安装到目标系统中，植入过程无须受害用户的操作

被动植入主要通过社会工程方法将木马程序伪装成合法的程序，以达到降低受害用户警觉性、诱骗用户的目的，常用的方法如下：

文件捆绑法。将木马捆绑到一些常用的应用软件包中，当用户安装该软件包时，木马就在用户毫无察觉的情况下，被植入系统中。
邮件附件。木马设计者将木马程序伪装成邮件附件，然后发送给目标用户，若用户执行邮件附件就将木马植入该系统中。
Web 网页。木马程序隐藏在 html 文件中，当受害用户点击该网页时，就将木马植入目标系统中。

采用被动植入的网络木马的典型实例就是通过电子邮件附件执行来实现木马植入，如My.DOOM 的木马程序植入。而主动植入则是研究攻击目标系统的脆弱性，然后利用其漏洞，通过程序来自动完成木马的植入。典型的方法是利用目标系统的程序系统漏洞植入木马，如“红色代码”利用 IIS Server 上 Indexing Service 的缓冲区溢出漏洞完成木马植入。

特洛伊木马隐藏技术

1. 本地活动行为隐藏技术

现在的操作系统具有支持 LKM(Loadable Kernel Modules)的功能,通过 LKM 可增加系统功能，而且不需要重新编译内核，就可以动态地加载，如 Linux、Solaris 和 FreeBSD 都支持LKM。木马设计者利用操作系统的 LKM 功能，通过替换或调整系统调用来实现木马程序的隐藏，常见的技术方法如下：

文件隐藏。如在 Linux 中，通过改变 sys_getdents（）的系统调用功能可实现相应的文件、路径隐藏。
进程隐藏。木马程序事先替换或拦截显示进程信息的系统调用，避免管理员通过ps 等相关进程查看命令发现木马进程，从而实现木马的本地隐藏。
通信连接隐藏。网络操作系统一般提供本地通信连接信息查看命令，如 netstat。为避免网络管理员发现木马的通信活动，木马设计者将设法替换或拦截与通信连接信息查看相关的系统调用，使得管理员无法真正获取受害主机的网络木马通信连接信息。

2. 远程通信过程隐藏技术

特洛伊木马除了在远程目标端实现隐藏外，还必须实现远程通信过程的隐藏，包括通信内容和通信方式的隐藏，只有这样才能增强特洛伊木马的生存能力。木马用到的远程通信隐藏的关键技术方法如下：

通信内容加密技术，这是传统的方法，是将木马通信的内容进行加密处理，使得网络安全管理员无法识别通信内容，从而增强木马的通信保密性。
通信端口复用技术，指共享复用系统网络端口来实现远程通信，这样既可以欺骗防火墙，又可以少开新端口。端口复用是在保证端口默认服务正常工作的条件下进行复用，具有很强的隐蔽性。
网络隐蔽通道，指利用通信协议或网络信息交换的方法来构建不同于正常的通信方式。特洛伊木马的设计者将利用这些隐蔽通道绕过网络安全访问控制机制秘密地传输信息。由于网络通信的复杂性，特洛伊木马可以用隐蔽通道技术掩盖通信内容和通信状态。

特洛伊木马存活技术

特洛伊木马的存活能力取决于网络木马逃避安全监测的能力，一些网络木马侵入目标系统时采用反监测技术，甚至中断反网络木马程序运行。例如，“广外女生”是一个国产的特洛伊木马，可以让“金山毒霸”和“天网防火墙”失效。一些高级木马常具有端口反向连接功能，例如“Boinet”“网络神偷”“灰鸽子”等木马。端口反向连接技术是指由木马代理在目标系统主动连接外部网的远程木马控制端以逃避防火墙的限制。

学习参考资料：

信息安全工程师教程（第二版）

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼

创业项目群，学习操作 18个小项目，添加微信：80709525 备注：小项目！

本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 sumchina520@foxmail.com 举报，一经查实，本站将立刻删除。
如若转载，请注明出处：https://www.11in.com/5150.html