特洛伊木马隐蔽性研究

特洛伊木马隐蔽性研究 Resear ch on Tr ojan Hor se Concealing Meng Lei Abstr act: Based on the principle of Trojan horse,the paper analyzes several kinds of Trojan horse concealing,and briefly di- scusses their advantages and disadvantages. Keywor d: Trojan Horse Concealing Port Rebound Overflow Planting 特洛伊木马(英文叫T″rojanhorse″，以下简称木马)，是 了 ICMP 的回显请求和回显应答报文。一般的 ICMP 木马会 一种基于远程控制的黑客工具，基本过程是控制端向服务 监听 ICMP 报文，当出现特殊的报文时 (比如特殊大小的 包、特殊的报文结构等)会打开T CP 端口等待控制端的连 端发送命令，然后服务端运行这些命令，因而具有非授权性 接。这种木马在没有激活时是不可见的，一旦连接上了控制 和隐蔽性的特点。非授权性是指一旦控制端与服务器端连 端就和普通木马一样，本地可以看到状态为 Established 的 接后，控制端将享有服务端的大部分操作权限，如修改、添 链接(如果端口的最大连接数设为1 ，在远程使用 Connect 加、删除文件，修改注册表，控制鼠标和键盘等，而这些权力 进行端口扫描还是没有办法发现的)。一个真正意义 并不是服务端赋予的，是通过木马程序窃取的。隐蔽性是指 上的 ICMP 木马会严格地使用I CMP 协议来进行数据和控 木马的设计者为了防止木马被发现，会采用多种手段来隐 制命令的传递(数据放在I CMP 的报文中)，在整个过程中 藏木马，这样服务端即使发现感染了木马，由于不能确定木 是不可见的。 马的具体位置，因此没有办法删掉。本文重点研究了木马的 这两种方法都是被动式的，通过察看进程，或者察看注 隐蔽性。 册表 RUN 下面运行的程序，即可发现。因为在系统中增加 了木马文件，所以一般杀毒软件也可以发现。 1.2 进程隐藏 基本的隐藏方式1 在 win9x 时代，注册为系统进程就可以从任务栏中消 1.1 端口隐藏 失，就实现了隐藏。可是在W indow2000 流行的今天，在 木马能够实现远程控制，需要服务端执行客户端命令。 Administrator 下面(Ctrl+Alt+Del)可以看到所有正在运行的 这些都是通过端口进行的，可以说端口是木马的生命之源， 进程，从而发现木马的进程，也就意味着可以删除它。 没有端口木马是无法和外界进行通讯的，更无法进行远程 进程隐藏是指把木马写入驱动和内核的级别，通过拦 控制了。通过察看端口的方法(比如N ETSTAT，一些端口扫 截系统调用的服务，用替代系统功能(改写驱动程序或动 描软件)，可以发现端口的打开情况，进而发现木马。采用″ 态链接库)或者说是嵌入式的方法，来达到隐蔽的目的，从 寄生″和″潜伏″的方法可以解决这个问题。 而逃过系统对木马的监测。例如:如果系统运行 windows. (1)寄生是找一个已经打开的端口，寄生其上，平时只 exe，同时运行了木马和w indows.exe，而木马嵌入在 win- 是监听，遇到特殊的指令就可以激活木马。由于木马是寄生 dows.exe 中，能看到，但没法删除，因为w indows.exe 是系统 在已有的系统服务上的，因此在扫描或查看系统端口的时 进程，不允许删除。这样就相当于隐藏了木马进程。相关的 候是没有任何异常的，如冰河S、UBSEVEN 等。这一点和反 软件如 ROOTKIT。 弹式木马有很大的相似之处。 虽然所有的操作都在 DLL 中完成会更加隐蔽，但是这 (2)潜伏是指使用 TCP/IP 协议族中的 ICMP 协议而非 大大增加了程序编写的难度。这样的木马大多数只是使用 TCP/UDP 来进行通讯，从而瞒过N etstat 和端口扫描软件。 DLL 进行监听，一旦发现控制端的连接请求就激活自身，运 ICMP 是 IP 协议的附属协议。它是由内核或进程直接处理 而不需要通过端口。最常见的 ICMP 协议就是 Ping，它利用 * 孟蕾 江苏广播电视大学教务处(南京 210036)，研究方向:计算机网络安全 修改稿收到日期:2007- 04- 30 的防火墙拦截，使服务端程序不能收到连接，软非常安全的应用程序，制造一个溢出 BUG 也很容易，如一 工作。同样，局域网内通过代理上网的电脑，因 个收包的代码调用:recv(sock，buf，xxxx,flag)，只需要简单 的调整 XXX 的值就使其存在了一个溢出的漏洞。这种木马 用代理服务器的 IP 地址，而本机没有独立的互 可以认为是综合了″寄生″和″隐藏进程″的优势。 址(只有局域网的 IP 地址)，所以也不能正常 采用这种方法要考虑几个问题:溢出点的定位、溢出覆 型的木马一般不能入侵装有防火墙和在局域网 端主机。 墙的特性进行分析发现:防火墙对盖后对变量的引用、扩展堆栈的修改等等。这种方法最大的 于连入的连 行非常严格的过滤，但是对于连缺点是技术难度太高，设计者需要对操作系统的漏洞和原 出的连接却疏 是，出现了与一般木马工作原理、内存分配甚至汇编语言等有较深入的研究和较全面的 理相反的反弹式 掌握。 木马，即:服务端(被控制端)主动连接客户端2 结 束 语 不是被动的等待客户端发送命令。为了隐蔽起端口和进程隐藏的方法是目前普遍采用的。该方法比 的监听端口一般开在8 0(提供 HTTP 服务的端 较成熟，很容易实现。进程隐藏的方法已经危害到了 Win- 即使用户使用端口扫描软件检查自己的端口，dows 操作系统的安全和稳定，微软的下一代操作系统将会 会以为是自己在浏览网页(防火墙也会这么认 使用 DLL 数字签名、校验技术等，预计木马D LL 的时代很 快会结束。反弹式和溢出植入型则比较少见。反弹式采用主 动连接，威力较大，而溢出植入型，基于溢出漏洞考虑，使得 服务端连接客户端呢,可以通过主页空间上的 服务器端的代码量很少，对系统的影响非常小，而且激活木 当客户端想与服务端建立连接时，登录到 FTP 服 马的客户端程序只存在内存之中，更难发现和清除。 个 WEB 服务器(一般事先定义好了)，把信息 面的一个文件，并打开端口监听，等待服务端的 端则定期的用 HTTP 协议读取这个文件的内容， 参 考 文 献 户端让自己开始连接时，就主动连接，如此就可[1] 商海波，等. 一种基于行为分析的反木马策略[J]. 上海: 作。 弹式木马威力极大，由于采用主动连接，计算机工程，2006，(9):151- 153. 因此一 它无能为力。如果稍有疏忽(比如通[2] 朱虹. 缓冲区溢出检测模型研究[J]. 北京:计算机工程 过改名等 与应用，2006，(10):166- 168. ，变成类似系统进程或者常用应用程序的名 [3] 罗红. 端口反弹型木马的通信技术研究(英文)[J]. 西 马可以轻易的绕过管理员的视线。网络神偷就 安:微电子学与计算机，2006，(2):193- 196.