荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: Microsoft (Microsoft回来了~), 信区: Microsoft
标 题: 特洛伊木马完全解析(下)
发信站: 荔园晨风BBS站 (Mon Feb 23 22:52:36 2004), 站内信件
Back Orifice的许多特性给人以深刻的印象,例如键击事件记录、HTTP文件
浏览、注册表编辑、音频和视频捕获、密码窃取、TCP/IP端口重定向、消息发送、
远程重新启动、远程锁定、数据包加密、文件压缩,等等。Back Orifice带有一个
软件开发工具包(SDK),允许通过插件扩展其功能。
默认的bo_peep.dll插件允许攻击者远程控制机器的键盘和鼠标。就实际应用
方面而言,Back Orifice对错误的输入命令非常敏感,经验不足的新手可能会使它
频繁地崩溃,不过到了经验丰富的老手那里,它又会变得驯服而又强悍。
■ SubSeven
SubSeven可能比Back Orifice还要受欢迎,这个特洛伊木马一直处于各大反病
毒软件厂商的感染统计榜前列。SubSeven可以作为键记录器、包嗅探器使用,还具
有端口重定向、注册表修改、麦克风和摄像头记录的功能。图二显示了一部分
SubSeven的客户端命令和服务器配置选项。
SubSeven具有许多令受害者难堪的功能:攻击者可以远程交换鼠标按键,关闭
/打开Caps Lock、Num Lock和Scroll Lock,禁用Ctrl+Alt+Del组合键,注销用户
,打开和关闭CD-ROM驱动器,关闭和打开监视器,翻转屏幕显示,关闭和重新启动
计算机,等等。
SubSeven利用ICQ、IRC、email甚至CGI脚本和攻击发起人联系,它能够随机地
更改服务器端口,并向攻击者通知端口的变化。另外,SubSeven还提供了专用的代
码来窃取AOL Instant Messenger(AIM)、ICQ、RAS和屏幕保护程序的密码。
四、检测和清除特洛伊木马
如果一个企业网络曾经遭受病毒和Email蠕虫的肆虐,那么这个网络很可能也
是特洛伊木马的首选攻击目标。由于木马会被绑定程序和攻击者加密,因此对于常
规的反病毒软件来说,查找木马要比查找蠕虫和病毒困难得多。另一方面,特洛伊
木马造成的损害却可能远远高于普通的蠕虫和病毒。因此,检测和清除特洛伊木马
是系统管理员的首要任务。
要反击恶意代码,最佳的武器是最新的、成熟的病毒扫描工具。扫描工具能够
检测出大多数特洛伊木马,并尽可能地使清理过程自动化。许多管理员过分依赖某
些专门针对特洛伊木马的工具来检测和清除木马,但某些工具的效果令人怀疑,至
少不值得完全信任。不过,Agnitum的Tauscan确实称得上顶级的扫描软件,过去几
年的成功已经证明了它的效果。
特洛伊木马入侵的一个明显证据是受害机器上意外地打开了某个端口,特别地
,如果这个端口正好是特洛伊木马常用的端口,木马入侵的证据就更加肯定了。一
旦发现有木马入侵的证据,应当尽快切断该机器的网络连接,减少攻击者探测和进
一步攻击的机会。打开任务管理器,关闭所有连接到Internet的程序,例如Email
程序、IM程序等,从系统托盘上关闭所有正在运行的程序。注意暂时不要启动到安
全模式,启动到安全模式通常会阻止特洛伊木马装入内存,为检测木马带来困难。
大多数操作系统,当然包括Windows,都带有检测IP网络状态的Netstat工具,
它能够显示出本地机器上所有活动的监听端口(包括UDP和TCP)。打开一个命令行
窗口,执行“Netstat -a”命令就可以显示出本地机器上所有打开的IP端口,注意
一下是否存在意外打开的端口(当然,这要求对端口的概念和常用程序所用的端口
有一定的了解)。
图三显示了一次Netstat检测的例子,检测结果表明一个Back Orifice使用的
端口(即31337)已经被激活,木马客户程序使用的是远程机器(ROGERLAP)上的
1216端口。除了已知的木马常用端口之外,另外还要特别留意未知的FTP服务器(
端口21)和Web服务器(端口80)。
但是,Netstat命令有一个缺点,它能够显示出哪些IP端口已经激活,但却没有
显示出哪些程序或文件激活了这些端口。要找出哪个执行文件创建了哪个网络连接
,必须使用端口枚举工具,例如,Winternals Software的TCPView
Professional Edition就是一个优秀的端口枚举工具。Tauscan除了能够识别特洛
伊木马,也能够建立程序与端口的联系。另外,Windows XP的Netstat工具提供了
一个新的-o选项,能够显示出正在使用端口的程序或服务的进程标识符(PID),
有了PID,用任务管理器就可以方便地根据PID找到对应的程序。
如果手头没有端口枚举工具,无法快速找出幕后肇事者的真正身份,请按照下
列步骤操作:寻找自动启动的陌生程序,查找位置包括注册表、.ini文件、启动文
件夹等。然后将机器重新启动进入安全模式,可能的话,用Netstat命令确认一下
特洛伊木马尚未装入内存。接下来,分别运行各个前面找出的有疑问的程序,每次
运行一个,分别用Netstat命令检查新打开的端口。如果某个程序初始化了一个
Internet连接,那就要特别小心了。深入研究一下所有可疑的程序,删除所有不能
信任的软件。
Netstat命令和端口枚举工具非常适合于检测一台机器,但如果要检测的是整
个网络,又该怎么办?大多数入侵检测系统(Intrusion Detection System,IDS
)都具有在常规通信中捕获常见特洛伊木马数据包的能力。FTP和HTTP数据具有可
识别的特殊数据结构,特洛伊木马数据包也一样。只要正确配置和经常更新IDS,
它甚至能够可靠地检测出经过加密处理的Back Orifice和SubSeven通信。请参见
http://www.snort.org,了解常见的源代码开放IDS工具。
五、处理遗留问题
检测和清除了特洛伊木马之后,另一个重要的问题浮现了:远程攻击者是否已
经窃取了某些敏感信息?危害程度多大?要给出确切的答案很困难,但你可以通过
下列问题确定危害程度。首先,特洛伊木马存在多长时间了?文件创建日期不一定
值得完全信赖,但可资参考。利用Windows资源管理器查看特洛伊木马执行文件的
创建日期和最近访问日期,如果执行文件的创建日期很早,最近访问日期却很近,
那么攻击者利用该木马可能已经有相当长的时间了。
其次,攻击者在入侵机器之后有哪些行动?攻击者访问了机密数据库、发送
Email、访问其他远程网络或共享目录了吗?攻击者获取管理员权限了吗?仔细检
查被入侵的机器寻找线索,例如文件和程序的访问日期是否在用户的办公时间之外
?
在安全要求较低的环境中,大多数用户可以在清除特洛伊木马之后恢复正常工
作,只要日后努力防止远程攻击者再次得逞就可以了。至于安全性要求一般的场合
,最好能够修改一下所有的密码,以及其他比较敏感的信息(例如信用卡号码等)
。
在安全性要求较高的场合,任何未知的潜在风险都是不可忍受的,必要时应当
调整管理员或网络安全的负责人,彻底检测整个网络,修改所有密码,在此基础上
再执行后继风险分析。对于被入侵的机器,重新进行彻底的格式化和安装。
特洛伊木马造成的危害可能是非常惊人的,由于它具有远程控制机器以及捕获
屏幕、键击、音频、视频的能力,所以其危害程度要远远超过普通的病毒和蠕虫。
深入了解特洛伊木马的运行原理,在此基础上采取正确的防卫措施,只有这样才能
有效减少特洛伊木马带来的危害.
条件所限,图片没有:)
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 61.144.235.39]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店