摘 要 隨著互聯(lián)網(wǎng)在人們生活中的日益緊密,網(wǎng)絡(luò)安全問題也更加嚴(yán)峻。文章首先闡述了目前網(wǎng)絡(luò)與信息系統(tǒng)存在的各種安全威脅,并對(duì)其進(jìn)行了一定程度上的分析,然后說(shuō)明了針對(duì)各類威脅的基本防范方式,最后介紹了網(wǎng)絡(luò)信息安全威脅的新形勢(shì)。
關(guān)鍵詞 網(wǎng)絡(luò)安全;木馬威脅;木馬防范
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-7597(2014)16-0092-02
信息技術(shù)高速發(fā)展的今天,互聯(lián)網(wǎng)給我們提供了隨時(shí)隨地、隨心所欲、應(yīng)有盡有的高速便捷的服務(wù)和信息,同時(shí)由于系統(tǒng)和應(yīng)用程序的漏洞也給一些不法分子帶來(lái)了可乘之機(jī),他們利用普通網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)安全知識(shí)的缺乏,制作帶有木馬的網(wǎng)頁(yè)、網(wǎng)站和應(yīng)用程序,竊取用戶的個(gè)人隱私、用戶名以及密碼等信息資料;誘騙、威脅用戶的網(wǎng)友,甚至直接盜取用戶的賬號(hào)、卡號(hào)以及網(wǎng)絡(luò)虛擬財(cái)產(chǎn)或銀行卡的資金,給用戶造成損失和
麻煩。
1 木馬的產(chǎn)生與種類
由于虛擬網(wǎng)絡(luò)資產(chǎn)和現(xiàn)實(shí)資產(chǎn)同樣對(duì)經(jīng)濟(jì)價(jià)值,不法分子利用系統(tǒng)瀏覽器或應(yīng)用軟件的安全漏洞進(jìn)行滲透,在用戶不知情或無(wú)意中植入木馬。攻擊者將木馬綁定到用戶使用的程序中,用戶在運(yùn)行程序時(shí),木馬隨之運(yùn)行,同事打開電腦的權(quán)限,使木馬可以隨意竊取用戶的文件和信息,從而獲得經(jīng)濟(jì)利益。主要分類如下。
1)遠(yuǎn)程控制類。這種木馬實(shí)質(zhì)上是一種經(jīng)過偽裝的欺騙性程序,它通過將自身偽裝吸引用戶下載執(zhí)行,潛入服務(wù)端內(nèi)部,獲取其操作權(quán)限,并在服務(wù)端打開或合并一個(gè)端口以保持連接,從而對(duì)被感染計(jì)算機(jī)進(jìn)行遠(yuǎn)程控制。
2)密碼發(fā)送類。密碼發(fā)送型木馬是為了盜取被感染計(jì)算機(jī)上的密碼而制作的,木馬程序一旦被運(yùn)行,就會(huì)自動(dòng)查找Cache、內(nèi)存、臨時(shí)文件夾以及各種密碼文件,木馬在用戶我不知情的狀態(tài)下利用各種遠(yuǎn)程傳送的方式把密碼發(fā)送出去。從而獲取密碼,這種木馬大多使用SMTP的25號(hào)端口發(fā)送電子郵件。
3)鍵盤記錄類。該木馬記錄用戶的鍵盤操作并且將密碼保存起來(lái),該類木馬程序在系統(tǒng)啟動(dòng)時(shí)就啟動(dòng)。記錄用戶操作鍵盤的按鍵過程。在這個(gè)過程中將可能得到用戶的用戶名和密碼等信息,甚至是銀行卡賬號(hào)和銀行卡密碼,然后通過郵件或其他方式發(fā)送出去。
4)DOS命令攻擊類?,F(xiàn)在雖然DOS命令已經(jīng)很少有人使用,但對(duì)于木馬使用者來(lái)說(shuō)使用DOS命令攻擊是非常普遍的。在入侵了一臺(tái)計(jì)算機(jī)后,給該計(jì)算機(jī)種下DOS命令攻擊木馬程序,那么以后這臺(tái)機(jī)器就成為利用DOS命令再次入侵的最好手段。這類木馬程序的危害不僅是在被感染計(jì)算機(jī)上,而且在可以利用這臺(tái)被感染的計(jì)算機(jī)來(lái)攻擊與其聯(lián)網(wǎng)的其他機(jī)器,在與之聯(lián)網(wǎng)的局域網(wǎng)中的其他機(jī)器都可能作為入侵的機(jī)器,從而起到隱蔽的作用,同時(shí)對(duì)局域網(wǎng)中的其他計(jì)算機(jī)造成威脅,對(duì)網(wǎng)絡(luò)產(chǎn)生堵塞。
2 木馬的特點(diǎn)
1)隱蔽性。隱蔽性是木馬的必須有的首要特性。木馬需要隱藏在用戶的系統(tǒng)中,并盡可能不讓用戶發(fā)現(xiàn)。木馬能在用戶計(jì)算機(jī)啟動(dòng)時(shí)自動(dòng)加載運(yùn)行,而并不在“任務(wù)欄”產(chǎn)生圖標(biāo),并在任務(wù)管理器中以系統(tǒng)默認(rèn)服務(wù)的樣子偽裝,達(dá)到用戶難以發(fā)現(xiàn)的目的。
2)自我恢復(fù)性。自動(dòng)恢復(fù)的特性也是木馬程序一貫的做法,在木馬程序中一般都具有多重備份,并且相互恢復(fù)的功能,達(dá)到難以完全查殺的目的。
3)自動(dòng)運(yùn)行性。自動(dòng)運(yùn)行性是當(dāng)系統(tǒng)啟動(dòng)時(shí)即自動(dòng)運(yùn)行,所以必須潛伏在啟動(dòng)配置文件中,如win.ini、system.ini、winstart.bat以及啟動(dòng)組等文件中,在系統(tǒng)啟動(dòng)時(shí)隨即啟動(dòng),或者修改注冊(cè)表中的啟動(dòng)項(xiàng),并在啟動(dòng)項(xiàng)中加載木馬程序。
4)自動(dòng)打開端口。木馬潛入用戶計(jì)算機(jī)中的目的是為了獲取用戶的有用信息,并把獲取到的信息傳送給木馬的操控者,以便進(jìn)一步操控用戶的計(jì)算機(jī),得到更多信息,所以木馬在潛入計(jì)算機(jī)后會(huì)打開系統(tǒng)的端口。
3 木馬偽裝
為了欺騙用戶和殺毒軟件,木馬都使用偽裝技術(shù),從而到達(dá)不被殺毒軟件和用戶發(fā)現(xiàn)的目的。主要有下列幾種偽裝方式。
1)改變文件名,即修改主文件名或者擴(kuò)展名。比如偽裝成圖片文件命名為“美女圖片”、偽裝成人們關(guān)心和關(guān)注的文件名如“工資調(diào)整方案”、“養(yǎng)老調(diào)整計(jì)劃”等,引誘用戶運(yùn)行。入侵后往往將木馬文件名和進(jìn)程設(shè)為和系統(tǒng)相似的名稱,如:把系統(tǒng)進(jìn)程中的rundll32.exe 改為rundl132.exe,不注意看,幾乎不能分辨,非常隱蔽。
2)惡意捆綁。這種偽裝手段是把木馬程序強(qiáng)行捆綁到安裝程序中,當(dāng)安裝程序運(yùn)行時(shí),木馬就在用戶毫不知情的情況下進(jìn)入系統(tǒng),被捆綁的文件一般是可執(zhí)行文件(即EXE,COM一類的文件),所以下載軟件安裝包時(shí)盡量到官網(wǎng)或者大型的下載站下載,捆綁后的文件很有迷惑性,而且木馬一般在后臺(tái)運(yùn)行,用戶點(diǎn)擊后也不會(huì)出現(xiàn)異常,常常會(huì)在毫無(wú)察覺中被惡意強(qiáng)加到系統(tǒng)中。
3)出錯(cuò)顯示。用戶都知道,假如雙擊一個(gè)文件時(shí),文件并沒有被打開,這有可能就是一個(gè)木馬程序,為了到達(dá)不被發(fā)現(xiàn)的目的,木馬使用了出錯(cuò)顯示的功能。即當(dāng)用戶打開木馬程序時(shí),會(huì)彈出一個(gè)錯(cuò)誤提示框(這當(dāng)然是假的),如“內(nèi)存不足,無(wú)法打開”或“內(nèi)存無(wú)法寫入是否繼續(xù)”之類的信息,這時(shí)用戶一般都以為是所運(yùn)行的程序出了問題或系統(tǒng)問題,不會(huì)想到是木馬,而木馬卻悄悄侵入了系統(tǒng)。
4 木馬傳播
1)利用超鏈接傳播。在一些討論版、論壇和貼吧等信息發(fā)布平臺(tái)上,木馬操控者會(huì)故意發(fā)布人們感興趣的話題鏈接,誘騙用戶訪問不良網(wǎng)站甚至點(diǎn)擊、下載和運(yùn)行含有木馬的文件,使訪問者中木馬。
2)利用即時(shí)通信工具傳播。在QQ、微信、旺旺、飛信等即時(shí)通訊軟件的使用中,有些人加你為好友,并發(fā)送如“我的近照”文件中就有可能含有木馬,還有你加入的QQ群中有人在群共享中上傳大家感興趣的文件或發(fā)布感興趣的鏈接,如果不加以辨識(shí)盲目下載或點(diǎn)擊,同樣有中木馬危險(xiǎn)。endprint
3)利用電子郵件傳播。不法分子會(huì)群發(fā)電站郵件,而將木馬藏于電子郵件的附件中,收信人如果打開附件就會(huì)感染木馬。
4)利用下載網(wǎng)站傳播。在我們想要下載軟件的一些非正規(guī)的網(wǎng)站以提供免費(fèi)熱門軟件下載為名,誘導(dǎo)用戶下載并非用戶需要下載的文件,而是木馬文件,或?qū)⒛抉R捆綁在軟件中。當(dāng)用戶下載安裝使用這些軟件時(shí),木馬也隨之潛入系統(tǒng)。有的網(wǎng)站為了達(dá)到此目的,估計(jì)將網(wǎng)站的搜索關(guān)鍵字改為用戶感興趣的軟件相關(guān)的關(guān)鍵字,從而達(dá)到欺騙搜索引擎的目的,進(jìn)而欺騙用戶。
5)利用IE瀏覽傳播。也就是“網(wǎng)頁(yè)掛馬”。如果說(shuō)前幾種傳播途徑尚需受害者“主動(dòng)”地點(diǎn)擊木馬的話,“網(wǎng)頁(yè)掛馬”則會(huì)讓用戶在瀏覽網(wǎng)頁(yè)的同時(shí)“被動(dòng)”地植入了木馬,其原理是利用瀏覽器漏洞編寫帶有木馬的網(wǎng)頁(yè),或者攻破其他知名網(wǎng)站后,在其網(wǎng)頁(yè)上掛上木馬,當(dāng)用戶瀏覽以上網(wǎng)頁(yè)時(shí),瀏覽器會(huì)在后臺(tái)自動(dòng)下載木馬到計(jì)算機(jī)中并加以運(yùn)行。
6)利用系統(tǒng)漏洞傳播。黑客利用所了解的系統(tǒng)或軟件漏洞及其特性在網(wǎng)絡(luò)中主動(dòng)傳播木馬,來(lái)攻擊或控制整個(gè)電腦,從而竊取電腦中的重要資料和信息,甚至破壞系統(tǒng)。
7)利用盜版軟件傳播。一些用戶在網(wǎng)上下載的Ghost盜版操作系統(tǒng)或盜版安裝的操作系統(tǒng)中帶有木馬,使用這種系統(tǒng),安全性沒有任何保障。當(dāng)前一些盜版的應(yīng)用軟件打著免費(fèi)的旗號(hào),但多數(shù)也不“干凈”,有的附有廣告,誘導(dǎo)附帶木馬或病毒。
5 木馬防范的方法
檢查和清除木馬會(huì)使用到如下一些命令。
1)netstat命令。Netstat顯示活動(dòng)的TCP連接、計(jì)算機(jī)偵聽的端口、以太網(wǎng)統(tǒng)計(jì)信息、IP路由表、IPv4統(tǒng)計(jì)信息(對(duì)于IP、ICMP、TCP和UDP協(xié)議)以及IPv6統(tǒng)計(jì)信息(對(duì)于IPv6、ICMPv6、通過IPv6的TCP以及通過IPv6的UDP協(xié)議)。使用時(shí)如果不帶參數(shù),netstat顯示活動(dòng)的TCP連接,使用方法是在命令行下輸入netstat-an后回車即可。
2)Fport。fport為一款實(shí)用小程序,可以看到本機(jī)所有已經(jīng)打開的端口及對(duì)應(yīng)的應(yīng)用程序及運(yùn)行程序所在的目錄位置(未打開的端口不會(huì)顯示)。Fport是查看系統(tǒng)進(jìn)程與端口關(guān)聯(lián)的命令,并可以顯示進(jìn)程PID、名稱和路徑。該軟件可以用于快速識(shí)別未知的開放端口和與之關(guān)聯(lián)的應(yīng)用程序。和使用“netstat-an”命令產(chǎn)生的效果類似,不同的是netstat是系統(tǒng)自帶的命令,而Fport不是系統(tǒng)命令,使用時(shí)需要先下載Fport并解壓到某個(gè)目錄下,然后在命令行運(yùn)行fport,即可。
3)殺進(jìn)程。ntsd是系統(tǒng)自帶的進(jìn)程調(diào)試工具,在system32目錄下。NTSD的功能非常的強(qiáng)大,用法也比較復(fù)雜,但如果只用來(lái)結(jié)束一些進(jìn)程,就比較簡(jiǎn)單。命令格式:ntsd -c q -p pid(利用進(jìn)程PID結(jié)束進(jìn)程)或ntsd -c q -pn ***.exe(***.exe 為進(jìn)程名,exe不能?。?。
通過netstat和Fport發(fā)現(xiàn)可疑的程序、進(jìn)程或服務(wù)后,可以使用殺進(jìn)程、關(guān)閉服務(wù)或刪除注冊(cè)表中的鍵值,達(dá)到清除木馬或不讓木馬運(yùn)行的目的。也可以通過安裝殺毒軟件或防火墻,對(duì)木馬進(jìn)行查殺。如360安全衛(wèi)士中查殺木馬。
總之木馬在計(jì)算機(jī)網(wǎng)絡(luò)使用的早期就出現(xiàn)了,當(dāng)時(shí)的木馬是像病毒一樣嵌入在可執(zhí)行文件中,伴隨應(yīng)用程序運(yùn)行而運(yùn)行,而后隨著信息技術(shù)的發(fā)展也不斷提高和更新。由于木馬的偽裝性和隱蔽性,一般用戶很難發(fā)現(xiàn),由于其自動(dòng)運(yùn)行和自我恢復(fù)的特點(diǎn)又很難查殺,又因?yàn)楝F(xiàn)在的木馬都能利用網(wǎng)絡(luò),所以傳播速度快,影響面也廣,加之現(xiàn)在電子商務(wù)、網(wǎng)上銀行以及網(wǎng)絡(luò)游戲的盛行,更容易被木馬盜取用戶的賬號(hào)、卡號(hào)和密碼,導(dǎo)致經(jīng)濟(jì)和網(wǎng)絡(luò)虛擬財(cái)產(chǎn)的損失,作為普通用戶,不僅需要了解木馬防范的安全知識(shí),更需要定期更新殺毒軟件、防火墻,即時(shí)更新系統(tǒng)漏洞,不給木馬有機(jī)可乘,以免給自己帶來(lái)?yè)p失,防患于未然。
參考文獻(xiàn)
[1]孔令華,宋致虎.木馬隱藏技術(shù)分析[J].電腦知識(shí)與技術(shù),2010(12).
[2]謝健民.淺談病毒和木馬防范[J].金田,2013(5):308.
[3]喻琦,俞鶴偉.木馬病毒智能檢測(cè)方法研究[J].軟件導(dǎo)刊,2010(09).
作者簡(jiǎn)介
劉俊杰(1976-),男,江蘇南京人,工程師,工程碩士,研究方向:計(jì)算機(jī)應(yīng)用。endprint