解析木馬攻擊與防禦發展簡史

2022-05-05 04:48:09 字數 3431 閱讀 1254

計算機世界中的特洛伊木馬的名字來自著名的特洛伊戰記。故事說的是在古希臘時代,希臘人和特洛伊人發生了戰爭,在圍困特洛伊城長達整整十年後仍不能攻陷。後來希臘人把一批勇士藏匿於巨大無比的木馬後退兵,當特洛伊人將木馬作為戰利品拖入城內時,高大的木馬正好卡在城門間,進退兩難,夜晚木馬內的勇士們爬出來,與城外的部隊裡應外合而攻下了特洛伊城。而計算機世界的特洛伊木馬(trojan)是指隱藏在正常程式中的一段具有特殊功能的惡意**,是具備破壞和刪除檔案、傳送密碼、記錄鍵盤和拒絕服務攻擊等特殊功能的後門程式。

世界上第乙個計算機木馬是出現在2023年的pc-write木馬。它偽裝成共享軟體pc-write的2.72版本(事實上, 編寫pc-write的quicksoft公司從未發行過2.72版本),一旦使用者信以為真執行該木馬程式,那麼他的下場就是硬碟被格式化。此時的第一代木馬還不具備傳染特徵。

2023年出現了aids木馬。由於當 時很少有人使用電子郵件,所以aids的作者就利用現實生活中的郵件進行散播:給其他人寄去一封封含有木馬程式軟盤的郵件。之所以叫這個名稱是因為軟盤中 包含有aids和hiv疾病的藥品,**,預防措施等相關資訊。軟盤中的木馬程式在執行後,雖然不會破壞資料,但是他將硬碟加密鎖死,然後提示受感染使用者 花錢消災。可以說第二代木馬已具備了傳播特徵(儘管通過傳統的郵遞方式)。

但隨著internet的普及,新一代的木馬出現了,它兼備偽裝和傳播兩種特徵並結合tcp/ip網路技術四處氾濫。木馬的主要目標也不再是進行檔案和系統的的破壞,而是帶有收集密碼,遠端控制等功能, 這段時期比較有名的有國外的bo2000(backorifice)和國內的冰河木馬。它們有如下共同特點:基於網路的客戶端/伺服器應用程式。具有蒐集資訊、 執行系統命令、重新設定機器、重新定向等功能。當木馬程式攻擊得手後,計算機就完全成為黑客控制的傀儡主機,黑客成了超級使用者,使用者的所有計算機操作不但沒有任何秘密而言,而且黑客可以遠端控制傀儡主機對別的主機發動攻擊,這時候被俘獲的傀儡主機成了黑客進行進一步攻擊的擋箭牌和跳板。

這時期的木馬比較顯著的特點是以單獨的程式形勢存在,帶來的問題是木馬的網路行為很容易被一些個人防火牆所阻斷,為了解決這個問題,乙個新的技術被廣泛應用,這就是程序注入技術。

程序注入技術是將**注入到另乙個程序,並以其上下文執行的一種技術,木馬經常注入自己到ie瀏覽器中,由於ie瀏覽器經常需要訪問網路,因此在防火牆彈出是否允許ie瀏覽器訪問網路時,使用者經常會點選允許,殊不知自己機器中的木馬已經偷偷地去連線網路了。

但對於防毒軟體來說,使用成熟的特徵碼防毒技術仍然可以通過和對病毒同樣的處理手段對此時的木馬進行查殺。但從04年開始,一切變得不一樣了。2023年,在黑客圈子內部,有人公開提出免殺技術,這種技術是針對防毒軟體的特徵碼直接修改木馬的二進位制**,由於當時還沒有強有力的工具出現,所以一般都使用winhex工具逐字節更改,需要相當的技術能力,這種手工方式只在少數黑客內部流傳。

2023年,著名的免殺工具ccl-乙個自動化的特徵碼定位工具被公布,這使得免殺技術在很短的時間內開始公開化,一批黑客站點有意或無意的宣傳使得越來越多的人開始討論免殺技術,各大防毒軟體面臨嚴重的信任危機,乙個懂一點基本的pe檔案知識與免殺工具的使用的初學者就可以輕易編輯乙個木馬,修改其特徵碼使其躲過防毒軟體的檢測,據統計,著名木馬灰鴿子曾在短短一年之內出現超過6萬個變種,絕大部分都源於免殺技術的普及。

同樣也是在這一年,一些防毒廠商提出「主動防禦」的概念,這門聽起來顯得很專業的技術是用來增強已經對木馬不再構成殺傷力的特徵碼識別技術,通過對病毒行為規律分析、歸納、總結,並結合反病毒專家判定病毒的經驗,提煉成病毒識別規則知識庫。模擬專家發現新病毒的機理,通過對各種程式動作的自動監視,自動分析程式動作之間的邏輯關係,綜合應用病毒識別規則知識,實現自動判定新病毒,達到主動防禦的目的。

通過這種技術,在木馬訪問網路,注入程序等行為發生時防毒軟體會及時通告給使用者,雖然還不完善,但至少還是可以對未知的木馬做出一定的預警。

道高一尺,魔高一丈,為了抵禦主動防禦技術,木馬的開發者們又把目光轉向了一門新的技術-「rootkit」技術,這種技術最早應用於unix系統,也被稱為「系統級後門」,就是在作業系統中通過嵌入**或模組的方式掌握系統控制權,方便以後隨時登陸進系統。木馬主要通過rootkit技術來隱藏自己,使防毒軟體無法察覺木馬的存在或者乾脆從系統級上禁用防毒軟體的某些功能,這樣一來,木馬和防毒軟體的爭奪主要就集中在系統控制權的爭奪上了,誰能拿到系統控制權就可以反制另一方,從2023年開始,雙方的爭奪開始進入白熱化,新的突破點和防護點不斷被研究出來,但總體上說,防毒軟體處於被動狀態,畢竟作業系統涉及的方方面面太廣了,只要無法進行系統級的全面防護,那麼一旦單點被突破就前功盡棄。

未知木馬樣本的收集對於防毒軟體來說也是個新的挑戰,現代高階木馬可以做到讓使用者毫無差覺,沒有程序,啟動後沒有檔案,這樣就很難收集樣本的方式來進行分析,而在沒有樣本的條件下進行木馬分析簡直是太難了。

例如2023年7月,乙個新的不可檢測 的rootkit - rustock.c發布,但在接近一年後,dr.web(乙個俄羅斯反病毒公司)的研 究人員才對外宣稱他們已經發現了rustock.c的樣本並確認在當時的系統保護手段下這個木馬是不可檢測的,毫無疑問,rootkit在這個對抗中明顯佔據上風。

當時間來到2008,兩個新的進展給了我們擺脫這種尷尬局面的希望,第乙個是晶元廠商推出的晶元安全和虛擬化技術,這使得安全軟體有希望得到系統的徹底控制權,隨著技術的發展,基於這種技術的安全軟體有望在不遠的未來出現,另一方面,基於虛擬化晶元技術的rootkit也將揭開神秘的面紗,兩者的對抗仍將繼續。

另乙個有變革性意義的技術是安全廠商推出的雲安全技術,這項技術將從過去由使用者受到攻擊之後再防毒到現在的側重於防毒,實現乙個根本意義上的轉變。

當前已經出現的雲安全實現原理大概可以分為兩種:一種是由趨勢科技提出的「secure cloud」,以web信譽服務(wrs) 、郵件信譽服務(ers)和檔案信譽服務(frs)為基礎架構的雲客戶端安全架構,把病毒特徵碼檔案儲存到網際網路雲資料庫中,令其在端點處保持最低數量用 於驗證。其核心在於兩點:(1)對複合式攻擊的攔截。通過對疑似病毒元件各部分外延屬性進行檢查,判斷威脅程度;(2)瘦客戶端。大量的病毒特徵碼儲存在 雲資料庫中。簡言之,趨勢科技雲安全技術基於其擁有龐大的伺服器群和並行處理能力,構架了乙個龐大的黑白名單伺服器群,用於客戶端查詢,在web威脅到達 終端使用者或公司網路之前即對其予以攔截。

國內安全廠商瑞星也提出了雲安全的概念,與趨勢科技伺服器群「雲」不同,瑞星的「雲」則建立在廣大的網際網路使用者上。通過在使用者客戶端安裝軟體監控網路中軟體行 為的異常,將發現的疑似木馬、惡意程式最新資訊推送到瑞星的伺服器進行自動分析和處理,然後再把病毒和木馬的解決方案分發到每乙個客戶端。

以上兩種雲安全概念採用的是兩種完全不同的模式。趨勢科技強調的是阻止外來威脅,基礎是龐大的伺服器群;瑞星強調的則是對使用者計算機上業已存在的未知威脅 進行感知,基礎是必須擁有大量的客戶端使用者。這兩種模式都有一定的缺陷,趨勢科技忽略了對本機威脅的收集,而瑞星的雲安全則只能被動防守,不能在未知威脅進入到電腦前進行攔截。但另一方面,無論哪種雲安全概念,都可以縮短防毒軟體的響應時間,從整個網際網路的層面上最大程度地確保客戶系統的安全。

對於木馬而言,雲安全縮短了樣本的發現時間和響應時間,同時架構了乙個基於整個網際網路的安全體系,對於未知木馬的防護開闢了新的思路,具體效果如何,還要我們拭目以待。

**:

php木馬攻擊防禦之道

1 防止跳出web目錄 首先修改httpd.conf,假如您只允許您的php指令碼程式在web目錄裡操作,還能夠修改httpd.conf文件限制php的操作路徑。比如您的web目錄是 usr local apache htdocs,那麼在httpd.conf裡加上這麼幾行 php admin val...

有效防禦PHP木馬攻擊的技巧

有效防禦php木馬攻擊的技巧 1 防止跳出web目錄 首先修改httpd.conf,如果你只允許你的php指令碼程式在web目錄裡操作,還可以修改httpd.conf檔案限制php的操作路徑。比如你的web目錄是 usr local apache htdocs,那麼在httpd.conf裡加上這麼幾...

有效防禦PHP木馬攻擊的技巧

1 防止跳出web目錄 首先修改httpd.conf,如果你只允許你的php指令碼程式在web目錄裡操作,還可以修改httpd.conf檔案限制php的操作路徑。比如你的web目錄是 usr local apache htdocs,那麼在httpd.conf裡加上這麼幾行 php admin val...