解密特洛伊

【發布時間：2015-03-09】

文/H3C攻防團隊

木馬程序技術的發展可以說非常迅速，至今木馬程序已經經曆了六代的改進，下一代木馬也呼之欲出。那麼木馬到底是什麼，它能幹什麼？讓我們一起揭開它的麵紗。

1 什麼是木馬

特洛伊木馬簡稱木馬（Trojan），這個名字來源於古希臘傳說。木馬是一種基於遠程控製的黑客工具，具有隱蔽性、自動運行性、非授權性和危害性等特點。木馬通常有兩個可執行程序：一個是服務端，即被控製端，另一個是客戶端，即控製端。如果你的電腦被安裝了服務端程序，會有一個或幾個端口被打開，黑客就可以使用控製端程序通過這些端口進入你的電腦。

基於惡意程序攻擊的目標IP統計表明，2013年一季度國內有1.46億網民至少曾遭遇一次木馬侵襲，此類風險人群占整體網民比例高達25.8%，由此可見時至今日木馬入侵的手法仍然經久不衰。

2 木馬的結構

一個完整的木馬係統由硬件部分、軟件部分和連接部分組成。

1. 硬件部分：建立木馬連接所必須的硬件實體。

控製端：對服務端進行遠程控製的一方。

服務端：被控製端遠程控製的一方。

Internet：控製端對服務端進行遠程控製，數據傳輸的網絡載體。

2. 軟件部分：實現遠程控製所必須的軟件程序。

控製端程序：控製端用以遠程控製服務端的程序。

木馬程序：潛入服務端內部，獲取其操作權限的程序。

木馬配置程序：設置木馬程序的端口號，觸發條件，木馬名稱等，使其在服務端藏得更隱蔽的程序。

3. 連接部分：通過Internet在服務端和控製端之間建立一條木馬通道所必須的元素。控製端IP，服務端IP：即控製端，服務端的網絡地址，也是木馬進行數據傳輸的目的地。

控製端端口，木馬端口：即控製端，服務端的數據入口，通過這個入口，數據可直達控製端程序或木馬程序。

3 木馬的分類

目前木馬主要分為以下幾種類型。

遠程控製型木馬

遠程控製木馬是最流行的木馬，其數量最多，危害最大，它可以讓攻擊者完全控製被感染的計算機。由於要達到遠程控製的目的，所以該種類的木馬往往集成了其他種類木馬的功能，使其在被感染的機器上為所欲為，可以任意訪問文件，得到用戶的敏感信息甚至包括信用卡，銀行賬號等至關重要的信息。

密碼發送型木馬

在高度信息化，網絡化的今天，密碼無疑是一個非常重要的信息。密碼發送型木馬正是專門為了盜取被感染計算機上的密碼而編寫的，木馬一旦被執行，就會自動搜索內存，緩存，臨時文件夾以及各種敏感密碼文件，一旦搜索到有用的密碼，木馬就會將他們發送到指定的郵箱。

鍵盤記錄型木馬

這種木馬非常簡單，它們所做的唯一事情就是記錄受害者的鍵盤敲擊，然後在日誌文件裏查找密碼。一般情況下，這種木馬隨著操作係統的啟動而啟動，它們有在線和離線的選項，分別記錄你在線和離線狀態下敲擊鍵盤時的按鍵情況，然後發送到指定郵箱。攻擊者從這些按鍵記錄中很容易就會得到你的各種賬戶，密碼等有用信息。

破壞型木馬

這種木馬唯一的功能就是刪除和破壞被感染計算機的文件係統，使其遭受係統崩潰或者重要數據丟失的巨大損失。這類木馬非常簡單易用，他們能自動刪除受影響計算機裏的dll、exe、ini等後綴的文件。

FTP型木馬

這是一種非常簡單和古老的木馬，它會打開計算機的21端口，等待FTP軟件進行連接並自由上傳和下載文件。部分FTP型木馬還帶有密碼驗證功能，隻有攻擊者本人才知道密碼，從而進人對方計算機。

DoS攻擊型木馬

隨著DDoS攻擊越來越廣泛的應用，被用作DoS攻擊的木馬也越來越流行。當你給入侵的計算機種上DoS攻擊木馬，那麼日後這台計算機就成為你進行DoS攻擊的小助手了。你控製的肉雞數量越多，你發動DoS攻擊取得成功的機率就越大。所以，這種木馬的危害不是體現在被感染計算機上，而是體現在攻擊者可以利用它來攻擊一台又一台計算機，給網絡造成很大的傷害和損失。

4 木馬的入侵途徑

一般來說，木馬的入侵過程可以分為六個步驟，即配置木馬、傳播木馬、運行木馬、信息泄露、建立連接、遠程控製。

圖1展示了網頁木馬入侵的整個過程。

圖1 網頁木馬入侵途徑

4.1 配置木馬

通常情況下，木馬都有配置程序，從具體的配置內容看，主要是為了實現下麵兩方麵功能：

木馬偽裝：木馬配置程序為了在服務端盡可能的隱藏木馬，會采用多種偽裝手段，如捆綁文檔，修改圖標，自我銷毀等。

信息反饋：木馬配置程序對信息反饋的方式或地址進行配置，如配置信息反饋的郵件地址等。

4.2 傳播木馬

木馬的傳播方式從總體上主要可以分為三種：

下載傳播：一些下載網站提供的下載軟件可能被攻擊者捆綁了木馬，用戶下載軟件時木馬也被下載到了本地；

郵件傳播：攻擊者將木馬以附件的形式附在郵件中發送出去，收信人隻要打開附件就會感染木馬。隨著技術的發展，目前已出現一種郵件內容木馬，也可以稱為郵件網頁木馬，其本質是在發送郵件是以HTML方式內嵌網頁木馬，這種木馬能化被動為主動，用戶一旦點擊閱讀此郵件就可能中招；

漏洞傳播：通過漏洞傳播的大部分都是網頁木馬，其實質就是利用漏洞向用戶傳播木馬下載器。

在圖1的示例2-1步驟中，攻擊者在有漏洞的第三方網站網頁中插入惡意代碼或者建立惡意網站，當用戶訪問該惡意網頁後木馬被下載到本地。

4.3 運行木馬

服務端用戶運行木馬或捆綁木馬的程序後，木馬就會自動進行安裝。木馬首先將自身複製到係統文件夾中，然後設置好觸發條件，這樣就完成了安裝。安裝後就可以啟動木馬了，這就是示例中的第3步。

4.4 信息泄露

一般的木馬都有一個信息反饋機製。所謂信息反饋機製是指木馬成功安裝後會收集一些服務端的軟硬件信息，並通過郵件等方式告知控製端用戶，如第4步所示。這裏的軟硬件信息主要包括服務端IP，係統密碼，操作係統，係統目錄，硬盤分區等。在這些信息中，最重要的是服務端IP，因為隻有得到這個參數，控製端才能與服務端建立連接。

4.5 建立連接

一個木馬連接的建立首先必須滿足兩個條件：一是服務端已安裝了木馬程序；二是控製端，服務端都要在線。在此基礎上控製端可以通過木馬端口與服務端建立連接，如第5步所示。

4.6 遠程控製

木馬連接建立後，控製端端口和木馬端口之間將會出現一條通道，控製端可通過這條通道與服務端上的木馬程序進行通信，並通過木馬程序對服務端進行遠程控製。攻擊者可以竊取用戶密碼，破壞文件，修改注冊表，以及進行一些係統操作，這就是第6步。

5 木馬的隱形位置

木馬程序具有很強的隱蔽性，它可以在不知不覺中控製和監視受影響計算機。那麼木馬到底都有哪些隱藏手法呢，研究發現目前主流的方法有以下幾種。

1. 集成到程序中：木馬為了不被輕易的刪除，常常集成到程序裏。用戶激活木馬程序後，木馬文件和某一應用程序捆綁在一起，然後生成新的文件並覆蓋原文件，這樣即使木馬被刪除了，隻要運行捆綁了木馬的應用程序，木馬又會被重新安裝。

2. 隱藏在配置文件中：大多數用戶對操作係統的配置文件不熟悉，攻擊者利用這一點將木馬隱藏在配置文件中，如windows係統的win.ini文件，System.ini文件和Winstart.bat文件。

3. 內置到注冊表中：注冊表是Windows係統的核心數據庫，其中存放著各種參數，直接控製著Windows的啟動、硬件和驅動程序的加載以及一些Windows應用的運行。由於注冊表比較複雜，對於普通用戶來說較難發現隱藏在裏麵的木馬。

4.插入到網頁中：隱藏在網頁中的木馬又叫網頁木馬，網頁木馬就是表麵上表麵上偽裝成普通的網頁或者將惡意的代碼插入到正常網頁中，當用戶訪問時木馬就會利用用戶計算機係統或者瀏覽器的漏洞自動將木馬下載到本地。

5. 偽裝在普通文件中：把可執行文件偽裝成圖片或文本，在程序中把圖標改成操作係統的默認圖片圖標，再把文件名改為*.gif.exe。當用戶計算機設置為“隱藏已知文件類型的擴展名”時，隻能顯示“*.gif”這部分，而不會顯示真正的擴展名“.exe”。

6.包含在視頻中：從網絡中下載並觀看視頻是計算機用戶的一個普遍行為，攻擊者可以通過提供特製的惡意視頻進行攻擊，其實現就是讓視頻播放時自動彈出瀏覽器窗口，並訪問含有木馬的惡意網頁。

6 木馬的防禦

木馬的防禦主要可以從三個層麵進行，即服務端的防禦、用戶端的防禦和安全設備的防禦。

6.1 服務端的防禦

木馬主要是借助第三方進行傳播，這裏的第三方主要包括含有漏洞的網站，提供上傳下載的站點，郵件服務器等。如果上述服務提供方高度重視網絡安全，及時修補各種漏洞無疑能夠減少木馬的傳播。

6.2 用戶端的防禦

木馬的入侵雖然隱蔽性非常高，但隻要我們養成良好的上網習慣，也能從一定程度上減少中招的概率。

1.不要隨意點擊陌生人發送的鏈接，圖片，程序，尤其是後綴為exe的可執行文件。

2.不要隨意瀏覽一些小網站，不從不正規站點下載文件，軟件或者視頻。

3.不要下載運行來曆不明的郵件附件。將木馬放置在郵件附件中這一傳播方式相信大家都有所耳聞，借助郵件內容進行傳播的木馬更是防不勝防，所以建議大家不輕易下載運行陌生郵件的附件，甚至在使用安全防護較差的廠商提供的郵件服務時不點擊閱讀來曆不明的郵件。

4.安裝殺毒軟件並經常查殺木馬。

5.及時安裝瀏覽器和其他常見軟件的新版本和補丁。一些木馬是借助漏洞進行傳播的，及時修複漏洞可以有效防禦此種木馬。

6.3 安全設備的防禦

近年來，新的木馬一直以井噴式的速度出現。據統計，2013年二季度國內新增木馬高達5.27億個，2013年前三季度金融木馬數量增長了三倍。麵對如此多的木馬，對網絡安全要求較高的用戶可以部署專業的第三方安全設備。目前H3C公司發布的SecPath IPS係列產品采用多種先進技術，能對網絡中主流木入侵中傳播階段、信息泄露階段、建立連接階段和遠程控製階段分別進行識別防護。