木马的发展与分类
木马是一种后门程序,黑客可以利用其盗取用户的隐私信息,甚至远程控制用户的计算机。木马全称特洛伊木马,其名称源于古希腊神话中的《特洛伊木马记》。在公元前12世纪,希腊向特洛伊城宣战,交战了10年也没有取得胜利。最后,希腊军队佯装撤退,并在特洛伊城外留下很多巨大的木马。这些木马是空心的,里面藏了希腊最好的战士。在希腊人佯装撤走后,特洛伊人把这些木马作为战利品拉进了城。当晚,希腊战士从木马中出来并与城外的希腊军队里应外合攻下特洛伊城,这就是特洛伊木马名称的由来。因此,特洛伊木马一般会伪装成合法程序植入系统,进而对系统安全构成威胁。完整的木马程序一般由两部分组成,一是服务器被控制端程序,二是客户端控制端程序。黑客主要利用植入目标主机的客户端控制端程序来控制目标主机。
(1)木马技术的发展
从木马技术的发展来看,其基本上可分为4代。
第1代木马功能单一,只是实现简单的密码窃取与发送等,在隐藏和通信方面均无特别之处。
第2代木马在隐藏、自启动和操纵服务器等方面有了很大进步。国外具有代表性的第2代木马有BOZ000和Sub7。冰河可以说是国内木马的典型代表之一,它可以对注册表进行操作以实现自动运行,并能通过将程序设置为系统进程来进行伪装隐藏。
第3代木马在数据传递技术上有了根本性的进步,出现了ICMP等特殊报文类型传递数据的木马,增加了查杀的难度。这一代木马在进程隐藏方面也做了很大的改进,并采用了内核插入式的嵌入方式,利用远程插入线程技术嵌入DLL线程,实现木马程序的隐藏,达到了良好的隐藏效果。
第4代木马实现了与病毒紧密结合,利用操作系统漏洞,直接实现感染传播的目的,而不必像以前的木马那样需要欺骗用户主动激活。具有代表性的等4代木马有最近新出现的磁碟机和机器狗木马等。
(2)木马程序的分类
根据木马程序对计算机的具体动作方式,可以把现在的木马程序分为以下5类。
1)远程控制型
远程控制型木马是现今最广泛的特洛伊木马,这种木马具有远程监控的功能,使用简单,只要被控制主机联入网络并与控制端客户程序建立网络连接,就能使控制者任意访问被控制的计算机。这种木马在控制端的控制下可以在被控主机上做任何事情,如键盘记录、文件上传/下载、屏幕截取、远程执行等。
2)密码发送型
密码发送型木马的目的是找到所有的隐藏密码,并且在用户不知情的情况下把它们发送到指定的邮箱。在大多数情况下,这类木马程序不会在每次Windows系统重启时都自动加载,它们大多数使用25端口发送电子邮件。
3)键盘记录型
键盘记录型木马非常简单,它们只做一件事情,就是记录用户的键盘敲击,并且在LOG文件里进行完整的记录。这种木马程序会随着Windows系统的启动而自动加载,并能感知受害主机在线,且记录每一个用户事件,然后通过邮件或其他方式将用户事件发送给控制者。
4)毁坏型
大部分木马程序只是窃取信息,不做破坏性的事件,但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动删除受控主机上所有的.ini或.exe文件,甚至远程格式化受控主机硬盘,使受控主机上的所有信息都受到破坏。总而言之,该类木马的目标只有一个,就是尽可能地毁坏受感染系统,使其瘫痪。
5)FTP型
FTP型木马会打开被控主机系统的21号端口(FTP服务所使用的默认端口),使每个人都可以用一个FTP客户端程序无需密码就能连接到被控主机系统,进而进行最高权限的文件上传和下载,窃取受害系统中的机密文件。
根据木马的网络连接方向,可以将木马分为以下两类。
正向连接型:发起连接的方向为控制端到被控制端,这种技术被早期的木马广泛采用,其缺点是不能透过防火墙发起连接。
反向连接型:发起连接的方向为被控制端到控制端,其出现主要是为了解决从内向外不能发起连接这一问题。其已经被较新的木马广泛采用。
根据木马使用的架构,木马可分为4类。
C/S架构:这种架构是普通的服务器、客户端的传统架构,一般将客户端作为控制端,服务器端作为被控制端。在编程实现的时候,如果采用反向连接的技术,那么客户端(也就是控制端)就要采用socket编程的服务器端的方法,而服务端(也就是被控制端)就要采用Socket编程的客户端的方法。
B/S架构:这种架构是普通的网页木马所采用的方式。通常在B/S架构下,服务器端被上传了网页木马,控制端可以使用浏览器来访问相应的网页,进而达到对服务器端进行控制的目的。
C/P/S架构:这里的P意为Proxy,也就是在这种架构中使用了代理。当然,为了实现正常的通信,代理也要由木马作者编程实现,进而才能实现一个转换通信。这种架构的出现,主要是为了适应一个内部网络对另外一个内部网络的控制。但是,这种架构的木马目前还没有被发现。
B/S/B架构:这种架构的出现,也是为了适应一个内部网络对另外一个内部网络的控制。当被控制端与控制端都打开浏览器浏览这个服务器上的网页时,一端就变成了控制端,而另一端就变成了被控制端。这种架构的木马已经在国外出现。
根据木马存在的形态的不同,可将木马分为以下几种:
传统EXE程序文件木马:这是最常见、最普通的木马,即在目标计算机中以.exe文件运行的木马。
传统DLL/VXD木马:此类木马自身无法运行,它们须利用系统启动或其他程序来运行,或使用Rundi132.exe来运行。
替换关联式DLL木马:这种木马本质上仍然是DLL木马,但它却会替换某个系统的DLL文件并将它改名。
嵌入式DLL木马:这种木马利用远程缓冲区溢出的入侵方式,从远程将木马代码写入目前正在运行的某个程序的内存中,然后利用更改意外处理的方式来运行木马代码。这种技术在操作上难度较高。
网页木马:即利用脚本等设计的木马。这种木马会利用IE等的漏洞嵌入目标主机,传播范围广。
溢出型木马:即将缓冲区溢出攻击和木马相结合的木马,其实现方式有很多特点和优势,属于一种较新的木马类型。
此外,根据隐藏方式,木马可以分为以下几类:本地文件隐藏、启动隐藏、进程隐藏、通信隐藏、内核模块隐藏和协同隐藏等。隐藏技术是木马的关键技术之一,直接决定木马的生存能力。木马与远程控制程序的主要不同点就在于它的隐蔽性,木马的隐蔽性是木马能否长期存活的关键。
(3)木马的功能
木马的功能可以概括为以下5种。
1)管理远程文件
对被控主机的系统资源进行管理,如复制文件、删除文件、查看文件、以及上传/下载文件等。
2)打开未授权的服务
为远程计算机安装常用的网络服务,令它为黑客或其他非法用户服务。例如,被木马设定为FTP文件服务器后的计算机,可以提供FTP文件传输服务、为客户端打开文件共享服务,这样,黑客就可以轻松获取用户硬盘上的信息。
3)监视远程屏幕
实时截取屏幕图像,可以将截取到的图像另存为图片文件;实时监视远程用户目前正在进行的操作。
4)控制远程计算机
通过命令或远程监视窗口直接控制远程计算机。例如,控制远程计算机执行程序、打开文件或向其他计算机发动攻击等。
5)窃取数据
以窃取数据为目的,本身不破坏计算机的文件和数据,不妨碍系统的正常工作。它以系统使用者很难察觉的方式向外传送数据,典型代表为键盘和鼠标操作记录型木马。
责编AJX
-
服务器
+关注
关注
12文章
9123浏览量
85324 -
网络安全
+关注
关注
10文章
3155浏览量
59701 -
木马
+关注
关注
0文章
47浏览量
13329 -
网络攻击
+关注
关注
0文章
331浏览量
23444
发布评论请先 登录
相关推荐
评论