| 出版日期:2005-06-27 总期号:1423 本年期号:46 |
|
 |
御“木马”于城外
“特洛伊木马”(Trojan Horse)简称“木马”,名称来源于希腊神话,是一种在用户毫无察觉的情况下进行远程控制的恶意程序,特点是隐蔽、自动安装和运行。 随着网络的普及,特别是网络游戏、网络支付、即时通讯的深入发展,木马程序的核心功能从远程控制转移到偷窃敏感信息赚钱上来。在互联网上,一个“好”的木马甚至被标价一千元人民币。有了经济利益的刺激,2004-2005短短两年,木马作者们通过对Windows操作系统和网络技术的深入研究,将很多高级的病毒技术和黑客技术运用到木马中去,使得木马技术有了长足的进步。木马变得更加灵活,更加隐蔽,严重威胁着网络安全。 如何抵御危险的木马入侵,我们的口号是:分析之、明辨之、抵御之。 反弹木马突破网络城池 防火墙把内网和Internet隔离,对于来自外网的连接往往会进行非常严格的过滤。另外,局域网内通过代理上网的电脑,因为是多台共用代理服务器的IP地址,而本机没有独立的互联网的IP地址,还有,防火墙的NAT(Network Address Translation,网络地址变换)功能等这些措施,都是抵御传统木马的有效手段。 为了突破防火墙和代理服务器的束缚,把触角深入到内网,出现了“反弹端口”型木马,例如网络神偷等。其工作原理如下:“反弹端口”型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过 FTP 主页空间告诉服务端:“我的IP是*,开始连接我吧!”,并进入监听状态。当服务端拿得这个IP后,就会开始连接客户端。为了更可靠起见,客户端的监听端口一般开在80,而且,把所有要传送的数据全部封装到 HTTP 协议里进行传送。 包过滤防火墙、状态检测防火墙和深度检测防火墙都无法阻止这种穿越方式。笔者认为,把这个问题交给软件防火墙去处理更合适。 个人防火墙最后防线 个人防火墙在保证网络安全方面发挥着重要作用。很多新病毒新木马,不能被杀毒软件发现,但是在进行网络访问的时候(例如试探网络、监听端口、访问远程网络、发送邮件)会被个人防火墙拦截,询问用户。 目前,一种更有效的方法被越来越多的木马了解和采用,即:把访问网络的功能模块注入到其他受信进程中,例如Microsoft Internet Explorer、Mozilla Firefox、Netscape Browser、Opera、MyIE等等。那类进程在防火墙看来访问网络是允许的。 目前,在Windows平台下,有三种实现方式被木马采用:注入模块;注入代码;以BHO(Browser Helper Objects)方式让系统加载病毒模块。 木马以上述三种方式之一注入后,往往开辟新的线程,进行网络访问。一般都是以http协议下载新的病毒,或者发送通知消息,或者把偷窃的信息泄漏出去。而防火墙都不会有反应。 问题的症结在于:个人防火墙是以进程全路径名称作为判断依据,而系统运行的单元是线程。病毒正是利用防火墙这个缺陷,在受信进程中新建线程,穿梭网络,来去自如。 就目前来说,个人防火墙的“进程+端口”的防卫模式已经落后于木马程序,迫切需要改进。是否可以把可信任的通讯模块细化到模块和线程?目前已经有基于模块检测的防火墙,但是基于线程的目前好像没有。 下面提出两种解决方法供参考(当然不一定由防火墙来实现):第一,实时模块级检查,实现网络访问和模块的对应关系,有网络访问时实现模块级确认;第二,主动防御,即进行进程保护,保护特定进程不被注入动态库和代码。 木马帝国之明日威胁 现在,木马再也不是“写Run项、拷贝自身到系统目录、监听端口”的小玩意儿,未来木马及其衍生出来的威胁在哪里呢? 其一,买“马”卖“马”商业化。用“马”的人在网上放“马”大肆偷窃,例如偷上网账号、网游账号和装备、网上银行账号、QQ币、正版游戏软件序列号等等,到网上出售脏物以牟利。写“马”的人通过网站,提供售前咨询、产品试用、网上交易、技术培训和永久升级服务。一个完整的生意链逐渐形成。 其二,技术手段赶超安全软件。专业的木马编写者,时刻关注和融合互联网上出现的新技巧和组件,时刻分析各种安全软件的招数并探寻破解方法。以国内某木马最为典型。它去年还只是一个简单的C/S类型的木马,现在发展为由一个EXE主程序、三个DLL和一个SYS驱动组成的复杂后门;引进MadCodeHook组件,综合运用穿墙术、隐身术;频繁变换加壳方法。很多反病毒软件不能查杀,防火墙也拦不住。 木马程序的发展,迫使网络安全产品的融合,迫使安全厂商和政府进行更深入的协作。网络安全遵循“木桶效应”,反病毒软件和防火墙之间互相结合是必然趋势。政府应该更积极地听取安全厂商的报告,打击新形式的网络犯罪,保障网络的安全。 |
||||||||||||||||||||||||
