特洛伊木馬概念與特性

特洛伊木馬（Trojan Horse,簡稱木馬），它是具有偽裝能力、隱蔽執行非法功能的惡意程序，而受害用戶表面上看到的是合法功能的執行。

目前特洛伊木馬已成為黑客常用的攻擊方法。它通過偽裝成合法程序或文件，植入系統，對網路系統安全構成嚴重威脅。

同計算機病毒、網路蠕蟲相比較，特洛伊木馬不具有自我傳播能力，而是通過其他的傳播機制來實現。受到特洛伊木馬侵害的計算機，攻擊者可不同程度地遠程控制受害計算機，例如訪問受害計算機、在受害計算機上執行命令或利用受害計算機進行 DDoS 攻擊。

特洛伊木馬分類

根據特洛伊木馬的管理方式，可以將特洛伊木馬分為

• 本地特洛伊木馬:木馬只運行在本地的單台主機，木馬沒有遠程通信功能
• 網路特洛伊木馬:是指具有網路通信連接及服務功能的一類木馬，簡稱網路木馬

網路特洛伊木馬由兩部分組成

遠程木馬控制管理:監測木馬代理的活動，遠程配置管理代理，收集木馬代理竊取的信息

木馬代理:植入目標系統中，伺機獲取目標系統的信息或控制目標系統的運行，類似網路管理代理

特洛伊木馬運行機制

木馬攻擊過程主要分為五個部分

1. 尋找攻擊目標。攻擊者通過互聯網或其他方式搜索潛在的攻擊目標。
2. 收集目標系統的信息。獲取目標系統的信息主要包括操作系統類型、網路結構、應用軟體、用戶習慣等。
3. 將木馬植入目標系統。攻擊者根據所搜集到的信息，分析目標系統的脆弱性，制定植入木馬策略。木馬植入的途徑有很多，如通過網頁點擊、執行電子郵件附件等。
4. 木馬隱藏。為實現攻擊意圖，木馬設法隱蔽其行為，包括目標系統本地活動隱藏和遠程通信隱藏。
5. 攻擊意圖實現，即激活木馬，實施攻擊。木馬植入系統后，待觸發條件滿足后，就進行攻擊破壞活動，如竊取口令、遠程訪問、刪除文件等。

特洛伊木馬植入技術

特洛伊木馬的植入方法可以分為兩大類

• 被動植入:指通過人工干預方式才能將木馬程序安裝到目標系統中，植入過程必須依賴於受害用戶的手工操作
• 主動植入:指主動攻擊方法，將木馬程序通過程序自動安裝到目標系統中，植入過程無須受害用戶的操作

被動植入主要通過社會工程方法將木馬程序偽裝成合法的程序，以達到降低受害用戶警覺性、誘騙用戶的目的，常用的方法如下：

• 文件捆綁法。將木馬捆綁到一些常用的應用軟體包中，當用戶安裝該軟體包時，木馬就在用戶毫無察覺的情況下，被植入系統中。
• 郵件附件。木馬設計者將木馬程序偽裝成郵件附件，然後發送給目標用戶，若用戶執行郵件附件就將木馬植入該系統中。
• Web 網頁。木馬程序隱藏在 html 文件中，當受害用戶點擊該網頁時，就將木馬植入目標系統中。

採用被動植入的網路木馬的典型實例就是通過電子郵件附件執行來實現木馬植入，如My.DOOM 的木馬程序植入。而主動植入則是研究攻擊目標系統的脆弱性，然後利用其漏洞，通過程序來自動完成木馬的植入。典型的方法是利用目標系統的程序系統漏洞植入木馬，如「紅色代碼」利用 IIS Server 上 Indexing Service 的緩衝區溢出漏洞完成木馬植入。

特洛伊木馬隱藏技術

1. 本地活動行為隱藏技術

現在的操作系統具有支持 LKM(Loadable Kernel Modules)的功能,通過 LKM 可增加系統功能，而且不需要重新編譯內核，就可以動態地載入，如 Linux、Solaris 和 FreeBSD 都支持LKM。木馬設計者利用操作系統的 LKM 功能，通過替換或調整系統調用來實現木馬程序的隱藏，常見的技術方法如下：

• 文件隱藏。如在 Linux 中，通過改變 sys_getdents（）的系統調用功能可實現相應的文件、路徑隱藏。
• 進程隱藏。木馬程序事先替換或攔截顯示進程信息的系統調用，避免管理員通過ps 等相關進程查看命令發現木馬進程，從而實現木馬的本地隱藏。
• 通信連接隱藏。網路操作系統一般提供本地通信連接信息查看命令，如 netstat。為避免網路管理員發現木馬的通信活動，木馬設計者將設法替換或攔截與通信連接信息查看相關的系統調用，使得管理員無法真正獲取受害主機的網路木馬通信連接信息。

2. 遠程通信過程隱藏技術

特洛伊木馬除了在遠程目標端實現隱藏外，還必須實現遠程通信過程的隱藏，包括通信內容和通信方式的隱藏，只有這樣才能增強特洛伊木馬的生存能力。木馬用到的遠程通信隱藏的關鍵技術方法如下：

• 通信內容加密技術，這是傳統的方法，是將木馬通信的內容進行加密處理，使得網路安全管理員無法識別通信內容，從而增強木馬的通信保密性。
• 通信埠復用技術，指共享復用系統網路埠來實現遠程通信，這樣既可以欺騙防火牆，又可以少開新埠。埠復用是在保證埠默認服務正常工作的條件下進行復用，具有很強的隱蔽性。
• 網路隱蔽通道，指利用通信協議或網路信息交換的方法來構建不同於正常的通信方式。特洛伊木馬的設計者將利用這些隱蔽通道繞過網路安全訪問控制機制秘密地傳輸信息。由於網路通信的複雜性，特洛伊木馬可以用隱蔽通道技術掩蓋通信內容和通信狀態。

特洛伊木馬存活技術

特洛伊木馬的存活能力取決於網路木馬逃避安全監測的能力，一些網路木馬侵入目標系統時採用反監測技術，甚至中斷反網路木馬程序運行。例如，「廣外女生」是一個國產的特洛伊木馬，可以讓「金山毒霸」和「天網防火牆」失效。一些高級木馬常具有埠反向連接功能，例如「Boinet」「網路神偷」「灰鴿子」等木馬。埠反向連接技術是指由木馬代理在目標系統主動連接外部網的遠程木馬控制端以逃避防火牆的限制。

學習參考資料：

信息安全工程師教程（第二版）

建群網培信息安全工程師系列視頻教程

信息安全工程師5天修鍊