在甲流肆虐的今天,笔者想谈谈这一事件对于木马检测防范的启示。
木马和流感病毒之间的类比
自03年SARS以来,类似这种具备广泛传染性的病毒事件屡见不鲜,从禽流感再到现在的甲型H1N1,可谓“一波未平,一波又起”。
笔者于2003年写过一篇“从SARS看网络安全预警与应急保障体系”,主要谈的是面对类似SARS这种突发的网络安全事件中检测、预警、应急体系的粗浅思路,而时隔6年,网络安全的总体形势在发生变化,目前的主要威胁方式从入侵攻击、网络蠕虫转向主要通过网页挂马等方式传播木马,构建地下挂马产业链,窃取机密文件、隐私信息、各种帐号从而谋取暴利,并组建僵尸网络,发动群体攻击,严重威胁着互联网的生存和发展。在甲流肆虐的今天,笔者想谈谈这一事件对于木马检测防范的启示。
一、木马和流感病毒之间的类比
根据卫生专家的定义,甲型H1N1流感病毒属于病毒家族中正黏液病毒科,可以分为l5个H亚型。 流感病毒的一大特性就是多变性。如果人流感病毒和禽、猪流感病毒经过抗原转换形成新的人类流感病毒毒株,就可以在人与人之间传播。人群对这种新的病毒毒株没有免疫力。本次北美发现的A/H1N1病毒就具有来自猪、禽类和人类的基因片段,因此防范这种病毒还是有比较大的挑战性。
木马一词源自于古希腊著名的特洛伊战争。现代计算机中对于木马的定义是:木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。
根据木马程序对计算机的具体控制动作方式,可以把现存的木马程序分为以下的几类:
1.远程访问型木马
远程访问型木马是现在最广泛的特洛伊木马。这种木马可以使远程控制者在本地机器上做任意的事情,比如键盘记录、上传和下载功能、发射一个“截取屏幕”等等。这种类型的木马有著名的BO(Back Office)、国产的冰河等。
2.密码发送型木马
密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。
3.键盘记录型木马
键盘记录型木马只做一种事情,就是记录受害者的键盘敲击,并且在LOG文件里做完整的记录。这种木马程序随着Windows的启动而启动,记录每一个用户事件,然后通过邮件或其他方式发送给控制者。
4.毁坏型木马
大部分木马程序只窃取信息,不做破坏性的事件,但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动地删除受控制者计算机上所有的.dll或.ini或.exe文件,甚至远程格式化受害者硬盘。毁坏型木马的危害很大,一旦计算机被感染而没有即时删除,系统中的信息会在顷刻间灰飞烟灭。
5.开启后门型木马
如:FTP型木马就是打开被控制计算机的21端口 (FTP所使用的默认端口), 使每一个人都可以用一个FTP 客户端程序来不用密码连接到受控制端计算机,并且可以进行最高权限的上传和下载,窃取受害者的机密文件。
6.下载型木马
下载型木马是近年来出现一种新型木马,本身不对电脑做破环,但该木马一旦执行,会在瞬间下载上百个木马,就象蝗灾来袭时那样铺天盖地。这些木马以“集群作战”的方式,从各个途径彻底破坏用户电脑安防体系。木马下载器具有很强的驱动级自我保护能力,可以让杀毒软件的普通查杀模式全都失效,并且传播途径非常广泛,目前主要方式是通过网页挂马的方式来进行。
结合H1N1的流感病毒和木马的特点,我们可以清楚看到它们的相同点和不同点。
相同点:
l 木马和流感病毒都是独立存在的个体。
l 对于植入对象有明确的危害性。
l 被植入对象都能够表现出一定症状。
不同点:
l 流感病毒具备自繁殖性和自动感染,因此危害比较大,而木马本身不具备繁殖性和自动感染的功能,只能依赖木马作者或获取源代码的人进行变种,并通过网页挂马、社会工程或结合蠕虫等方式扩大传播面。
l 流感病毒源自于自然界,形成机理比较复杂,涉及到医学、病毒学、基因学等多个层面,目前还需要进一步研究。而木马完全源自人为,形成模式有规律可循。
网友评论