壹個客戶端的PC出現了奇怪的癥狀,比如速度慢,光驅托盤進出不規則,前所未有的錯誤信息,屏幕圖像翻轉等等。我切斷了他的互聯網連接,然後按照處理惡意軟件的標準步驟進行檢查,終於找出了罪魁禍首:兩個遠程訪問木馬——壹個是臭名昭著的死牛邪教背孔,另壹個是不太常見的東西。在這個事件中,襲擊者似乎是壹個孩子。他就是想搞點惡作劇,讓別人不上網,或者交換點色情資料,沒什麽更危險的了。如果攻擊者有其他更危險的目標,那麽他可能已經從客戶的機器及其網絡中竊取了大量機密信息。
特洛伊馬比其他任何惡意代碼都更危險。確保安全的最好辦法就是熟悉特洛伊馬的種類和工作原理,掌握如何檢測和防範這些惡意代碼。
首先,我第壹次見到特洛伊馬
特洛伊馬是壹種惡意程序,它在主機上安靜地運行,使攻擊者有權在用戶不知情的情況下遠程訪問和控制系統。壹般來說,大多數木馬都是模仿壹些正規遠程控制軟件的功能,比如賽門鐵克的pcAnywhere,但是木馬也有壹些明顯的特點,比如它的安裝和運行都是在黑暗中完成的。攻擊者經常在壹些遊戲或小軟件中隱藏特洛伊馬,誘導粗心的用戶在自己的機器上運行。最常見的情況是,被忽悠的用戶要麽從不正規的網站下載並運行了帶有惡意代碼的軟件,要麽不小心點擊了帶有惡意代碼的郵件附件。
大多數木馬包括客戶端和服務器。攻擊者使用名為binder的工具將服務器部分綁定到合法軟件,誘使用戶運行合法軟件。壹旦用戶運行該軟件,特洛伊木馬的服務器部分就會在用戶不知情的情況下完成安裝過程。通常,特洛伊馬的服務器部分是可以定制的。攻擊者可以自定義的項目壹般包括:服務器的IP端口號、程序的啟動時間、如何打電話、如何隱身、是否加密。此外,攻擊者還可以設置登錄服務器的密碼,確定通信模式。
服務器可能會通過發送電子郵件通知攻擊者,宣布它目前已成功接管機器;或者它可以聯系隱藏的互聯網通信信道來廣播被占用機器的IP地址;此外,特洛伊木馬的服務器部分啟動後,可以通過預定義的端口直接與攻擊者機器上運行的客戶端程序進行通信。無論特洛伊馬的服務器如何與客戶端程序建立聯系,有壹點是不變的。攻擊者總是使用客戶端程序向服務器程序發送命令來控制用戶的機器。
特洛伊攻擊者可以隨意查看被入侵的機器,或者通過廣播發出命令,指示其控制下的所有木馬壹起行動,或者擴散到更大範圍,或者做出其他危險的事情。事實上,只要使用預定義的關鍵字,所有被入侵的機器都可以格式化其硬盤或攻擊另壹臺主機。攻擊者經常使用特洛伊馬入侵大量機器,然後對關鍵主機發起拒絕服務(DoS)攻擊。當受害者感知到網絡將被異常流量淹沒,並試圖找出攻擊者時,他只能追蹤到大量無知的DSL或電纜調制解調器用戶,他們也是受害者,而真正的攻擊者早已逃脫。
第二,極其危險的惡意程序
對於大多數惡意程序來說,只要刪除它們,即使危險已經過去,威脅也將不復存在,但特洛伊馬有些特殊。特洛伊木馬和病毒、蠕蟲等惡意程序壹樣,也會刪除或修改文件、格式化硬盤、上傳下載文件、騷擾用戶、驅逐其他惡意程序。例如,經常看到攻擊者占領被入侵的機器來保存遊戲或攻擊工具,用戶的磁盤空間幾乎全部被占用,但除此之外,特洛伊馬還有其獨有的特點——竊取內容和遠程控制——這使其成為最危險的惡意軟件。
首先,特洛伊木馬有能力捕捉每壹個用戶的屏幕和每壹個按鍵事件,這意味著攻擊者可以輕松竊取用戶的密碼、目錄路徑、驅動器映射,甚至醫療記錄、銀行賬戶和信用卡以及個人通信信息。如果PC機有麥克風,特洛伊馬就能偷聽談話。如果PC有攝像頭,很多木馬就可以打開攝像頭,抓拍視頻內容——在惡意代碼的世界裏,沒有什麽比木馬更能威脅到用戶的隱私,妳在PC前說的和做的壹切都可能被記錄下來。
壹些木馬有壹個數據包嗅探器,可以捕獲和分析流經網卡的每壹個數據包。攻擊者可以利用木馬竊取的信息設置後門。即使木馬後來被清除,攻擊者仍然可以使用之前留下的後門闖入。
其次,如果未經授權的用戶有能力遠程控制主機,主機就成了強大的攻擊武器。遠程攻擊者不僅有能力隨意操縱PC自身的資源,還可以冒充合法的PC用戶,例如,冒充合法用戶發送郵件、修改文檔,當然,還可以利用被占用的機器攻擊其他機器。兩年前,壹個家庭用戶讓我幫他向交易機構證明,他沒有提交壹個看起來明顯虧損的股票交易。交易機構確實在交易中記錄了他PC的IP地址,我也在他的瀏覽器緩沖區中發現了有爭議交易的痕跡。此外,我還發現了SubSeven(即Backdoor_G)特洛伊馬的跡象。雖然沒有證據表明特洛伊馬與這次讓他損失慘重的股票交易有直接關系,但可以看出特洛伊馬在交易時是活躍的。
第三,特洛伊馬的類型
常見的木馬如Back Orifice、SubSeven等,都是多用途的攻擊工具包,功能全面,包括抓取屏幕、聲音、視頻內容等。這些木馬可以用作按鍵記錄器、遙控器、FTP服務器、HTTP服務器、Telnet服務器,還可以查找和竊取密碼。攻擊者可以配置特洛伊監聽的端口、運行模式以及特洛伊是否通過電子郵件、IRC或其他通信方式聯系攻擊者。壹些有害木馬還具有壹定的反檢測能力,可以通過各種方式隱藏自己,加密通信,甚至為其他攻擊者開發附加功能提供專業API。由於其功能全面,這些木馬往往很大,通常達到100 KB到300 KB。相對來說,把它們安裝在用戶的機器上而不引起任何人的註意是很難的。
對於功能單壹的特洛伊馬,攻擊者會盡量保持較小,壹般是10 KB到30 KB,這樣可以在不引起註意的情況下快速激活。這些木馬通常被用作關鍵記錄器。他們記錄受害用戶的每壹次擊鍵事件,並將其保存到壹個隱藏文件中,以便攻擊者下載該文件來分析用戶的操作。有些木馬具有FTP、Web或聊天服務器的功能。通常情況下,這些迷妳木馬只是用來竊取難以獲得的初始遠程控制能力,以確保初始入侵的安全性,從而在不太可能引起註意的適當時機上傳並安裝壹個大規模全功能特洛伊。
找到任何壹個互聯網搜索網站,搜索關鍵詞遠程訪問特洛伊,妳很快就會得到數百個木馬——種類之多,以至於大多數專門收集木馬的網站都要按字母順序排列,每個字母下有幾十個甚至100多個木馬。我們來看看最流行的兩種木馬:Back Orifice和SubSeven。
■後孔口
1998中,死牛邪教發展出了背口。這個節目很快在特洛伊馬場引起了轟動。它不僅有可編程的API,還有很多其他新功能,讓很多正規的遙控軟件相形見絀。Back Orifice 2000 (BO2K)是按照GNU GPL(通用公共許可證)發行的,希望能吸引壹批固定用戶,從而與pcAnywhere等老牌遠程控制軟件抗衡。
但其默認的隱蔽操作模式和明顯的進攻意圖,短時間內不太可能讓很多用戶接受。攻擊者可以使用BO2K的服務器配置工具來配置很多服務器參數,包括TCP或UDP、端口號、加密類型、秘密激活(在Windows 9x機器上運行得更好,但在Windows NT機器上運行得更差)、密碼、插件等等。
Back Orifice的很多功能讓人印象深刻,比如擊鍵記錄、HTTP文件瀏覽、註冊表編輯、音視頻抓取、密碼竊取、TCP/IP端口重定向、消息發送、遠程重啟、遠程鎖定、數據包加密、文件壓縮等等。Back Orifice自帶軟件開發包(SDK),允許通過插件擴展其功能。
默認的bo_peep.dll插件允許攻擊者遠程控制機器的鍵盤和鼠標。就實際應用而言,背孔對錯誤的輸入命令非常敏感。沒有經驗的新手可能會導致它頻繁死機,但是遇到有經驗的老手就會變得馴服而強大。
■ SubSeven
SubSeven可能比Back Orifice更受歡迎,這款特洛伊壹直處於各大殺毒軟件廠商感染統計的前列。SubSeven可以作為壹個關鍵記錄器和數據包嗅探器,還具有端口重定向,註冊表修改,麥克風和攝像頭記錄的功能。圖2顯示了壹些SubSeven客戶機命令和服務器配置選項。
SubSeven有許多讓受害者尷尬的功能:攻擊者可以遠程交換鼠標按鈕、關閉/打開Caps Lock、Num Lock和Scroll Lock、禁用Ctrl+Alt+Del、註銷用戶、打開和關閉光驅、關閉和打開顯示器、翻轉屏幕顯示、關閉和重啟計算機等等。
SubSeven使用ICQ、IRC、電子郵件甚至CGI腳本來聯系攻擊發起者。它可以隨機更改服務器端口,並將端口更改通知給攻擊者。此外,SubSeven還提供了專門的代碼來竊取AOL即時通訊(AIM)、ICQ、RAS和屏保的密碼。
四、特洛伊馬匹的檢測和清除
如果壹個企業網絡遭到病毒和電子郵件蠕蟲的破壞,那麽這個網絡很可能是特洛伊木馬的第壹個目標。由於木馬是通過綁定程序和攻擊者進行加密的,常規殺毒軟件發現木馬的難度要比蠕蟲和病毒大得多。另壹方面,特洛伊馬造成的損害可能遠遠高於普通蠕蟲和病毒造成的損害。因此,檢測和清除特洛伊木馬是系統管理員的首要任務。
對抗惡意代碼最好的武器就是最新成熟的病毒掃描工具。掃描工具可以檢測大多數特洛伊馬,並盡可能自動化清洗過程。許多管理員過於依賴壹些特殊的工具來檢測和清除特洛伊馬,但有些工具的效果是值得懷疑的,至少不值得完全信任。不過Agnitum的Tauscan確實是壹款頂級的掃描軟件,過去幾年的成功已經證明了它的有效性。
特洛伊入侵的壹個明顯證據是受害者機器上的壹個端口被意外打開。特別是,如果這個港口恰好是特洛伊馬的壹個普通港口,特洛伊入侵的證據就更加確定了。壹旦發現特洛伊入侵的證據,應盡快切斷機器的網絡連接,以減少攻擊者察覺並進壹步攻擊的機會。打開任務管理器,關閉所有連接到互聯網的程序,如電子郵件程序和即時消息程序,並從系統托盤關閉所有正在運行的程序。註意暫時不要啟動到安全模式。啟動到安全模式通常會阻止特洛伊木馬加載到內存中,這使得它很難檢測到木馬。
當然包括Windows在內的大多數操作系統都有壹個Netstat工具來檢測IP網絡狀態,可以顯示本地機器上所有活動的監聽端口(包括UDP和TCP)。打開壹個命令行窗口,執行“Netstat -a”命令,顯示本地機器上所有打開的IP端口,註意是否有意外打開的端口(當然這需要對端口的概念和常用程序使用的端口有壹定的了解)。
顯示了壹個Netstat檢測的示例。測試結果顯示Back Orifice使用的壹個端口(即31337)已經被激活,特洛伊客戶端使用遠程機器上的1216端口(ROGERLAP)。除了已知木馬常用的端口,還要特別註意未知的FTP服務器(端口21)和Web服務器(端口80)。
但是,Netstat命令有壹個缺點。它可以顯示哪些IP端口已被激活,但不會顯示哪些程序或文件已激活這些端口。要找出哪個可執行文件創建了哪個網絡連接,必須使用端口枚舉工具。比如Winternals軟件的TCPView專業版就是壹款優秀的端口枚舉工具。陶斯坎不僅能識別特洛伊馬,還能建立程序和端口之間的聯系。此外,Windows XP的Netstat工具提供了壹個新的-o選項,它可以顯示正在使用該端口的程序或服務的進程標識符(PID)。有了PID,任務管理器可以很容易地根據PID找到相應的程序。
如果妳手頭沒有端口枚舉工具,又不能快速查出幕後肇事者的真實身份,請按照以下步驟操作:尋找自動啟動的陌生程序,包括註冊表,。ini文件、啟動文件夾等。然後重新啟動機器進入安全模式,如果可能的話,使用Netstat命令確認特洛伊馬沒有被加載到內存中。接下來,運行每個先前識別出的可疑程序,壹次壹個,並使用Netstat命令檢查新打開的端口。如果壹個程序初始化壹個互聯網連接,妳應該非常小心。徹底研究所有可疑程序,刪除所有不可信的軟件。
Netstat命令和端口枚舉工具非常適合檢測壹臺機器,但是如果要檢測整個網絡呢?大多數入侵檢測系統能夠捕獲日常通信中常見的特洛伊木馬包。FTP和HTTP數據有特殊的可識別數據結構,特洛伊馬數據包也是如此。只要IDS配置正確並經常更新,它甚至可以可靠地檢測Back Orifice和SubSeven之間的加密通信。參見http://www.snort.org的公共開源IDS工具。
動詞 (verb的縮寫)處理遺留問題
在特洛伊木馬被檢測並清除後,另壹個重要的問題出現了:遠程攻擊者是否竊取了壹些敏感信息?危害有多大?很難給出壹個確切的答案,但是妳可以通過下面的問題來確定危害程度。首先,特洛伊馬已經存在多久了?文件創建日期可能不完全可靠,但可以作為參考。使用Windows資源管理器檢查特洛伊馬的執行文件的創建日期和最近訪問日期,如果執行文件的創建日期很早,但最近訪問日期很接近,那麽攻擊者可能已經使用特洛伊馬相當長的時間了。
其次,攻擊者入侵機器後采取了哪些行動?攻擊者是否訪問機密數據庫、發送電子郵件、訪問其他遠程網絡或* * *訪問該目錄?攻擊者是否獲得了管理員權限?仔細檢查被黑的機器尋找線索,比如文件和程序的訪問日期是否在用戶的辦公時間之外?
在安全性要求較低的環境中,大多數用戶在移除特洛伊木馬後可以恢復正常工作,只要他們試圖防止遠程攻擊者在未來再次得逞。至於壹般的安全要求,最好修改所有的密碼和其他敏感信息(比如信用卡號)。
在安全性要求高的場合,任何未知的潛在風險都是不可容忍的。必要時應調整管理員或網絡安全負責人,對全網進行徹底檢測,修改所有密碼,然後進行後續風險分析。對於被入侵的機器,重新格式化,徹底安裝。
特洛伊馬造成的危害可能是驚人的,因為它具有遠程控制機器和抓取屏幕、按鍵、音視頻的能力,所以它的危害程度遠遠超過普通的病毒和蠕蟲。深刻理解特洛伊馬的運行原理,並在此基礎上采取正確的防禦措施。只有這樣,才能有效減少特洛伊馬帶來的危害。