木馬病毒隱身術解密之檔案注入和反彈連接
木馬的編寫和保護技術在發展的同時,安全技術也在不斷的發展,只要能找到它們存在的弱點,防範和清除它們也是完全可以做到的。
一、進程及DLL檔案注入
進程注入,就是指木馬將自己注入到某個正常的進程當中,然後,它就可以以此正常進程的子執行緒的方式運行。此時,它的進程名就不會在工作管理員中的進程清單方塊中出現。這樣一來,用戶將不能通過工作管理員來發現它。而且,防毒軟體即使能夠發現它,但要將它從正常的進程當中清除它,也不會很容易的。
由於防火牆對於系統中正常的網路相關進程(例如Services.exe、Svchost.exe等)默認都是放行的,因此,木馬一般都是注入到這些系統進程當中,並以此來穿透防火牆。但是,木馬程式只有在獲得了與這些系統進程相同的系統許可權,才能夠有可能注入成功的。不過,就目前來說,已經有許多木馬具有了這種功能來實現遠端進程注入。
至於DLL檔案注入的目的,一般都是用來躲過防火牆的攔截。它主要是利用了防火牆在信任某個軟體後,會對它所載入的所有DLL檔案也全部信任。因此,只要木馬將自己注入到這些DLL檔案當中,就可以躲過防火牆的監控,然後就可以與攻擊者進行網路通信,或者下載其它木馬、鍵盤記錄程式和後門程式等等。在Windows系統中,DLL注入利用最多的,就是IE瀏覽器。
對於DLL檔案注入的木馬,可以通過驗證系統檔案的數位簽章,來發現系統的DLL檔案是否已經被修改過,這可以通過Windows系統中的“系統資訊”中的數位簽章驗證程式來完成。對於進程注入,可以通過使用IceSword軟體來查看進行所載入的模組,只要發現不是Windows系統本身的,就說明已經有木馬注入。然後,就可以通過IceSword來強行終止這個非法模組,再在相應位置完全刪除它。現在,還有一些防毒軟體已經可以查殺注入型的木馬,例如瑞星防毒軟體。至於防火牆,現在開始有一種新的技術,就是當防火牆檢測到某個應用程式所載入的檔案被修改後,就會對它的網路連接進行阻止。只是現在這種技術還沒有加入到家用防火牆中來。
二、TCP/IP堆疊旁通
對於一些個人防火牆來說,它們一般只會對由Windows系統本身所產生的TCP/IP堆疊進行過濾,而對其它方式所產生的網路資料堆疊卻不會進行任何檢查就會放行。因此,木馬也就利用防火牆的這個漏洞,在其運行後,同時安裝某個網路驅動,然後通過它來與系統中的網路介面卡進行通信,這樣就能夠躲過防火牆的檢測。
要想阻止這種方式的木馬攻擊,只要在防火牆中設置一條規則,禁止所有非標準Windows系統所產生的TCP/IP堆疊通過。現在一些個人防火牆的最新版本,都已經具有了這些功能。因此,電腦網路使用者最好不斷升級自己的防火牆軟體,以此來防止這種木馬穿牆術。
三、反彈連接技術
現在的電腦網路使用者,一般都是使用PPPOE拔號方式,或通過代理伺服器及NAT的方式連接互聯網的,這就給攻擊者通過木馬的用戶端主動連接其伺服器器端的設置了一道不小的阻礙。因此,攻擊者為了消除這道阻礙,就編寫了一些具有反彈技術的木馬。
使用反彈技術,只要木馬監測到系統已經有一個活動的網路連接,其伺服器端就會主動地按攻擊者設置的方式連接攻擊者所在的用戶端。而防火牆一般對系統內部發出的網路連接請求是不會攔截的,因此,木馬就這樣輕而容易舉地穿過了系統防火牆的攔截。
但是,僅僅使用反彈技術,木馬有時是過得了系統防火牆這關,而過不了硬體式網路防火牆這關的。因此,為了能穿透硬體式網路防火牆,木馬又打上了隧道技術的主意。它們將要發送到內容封裝到其它網路防火牆允許通過的網路通訊協定當中,例如HTTP、DNS和SMTP等,然後就可以借助這些協定包將這些內容發送到攻擊者指定的位置(例如一個Email位址)。這些內容當中可能包括了使用者登錄系統的帳號、密碼、公網IP位址、打開了的埠和運行了的服務等等。然後,攻擊都會以同樣的方式來連接木馬的伺服器端了。
要防範反彈式木馬。第一就是使用具有應用程式過濾功能的個人防火牆,它們一般對請求網路連接的應用程式都進行攔截並提示用戶是否通過。現在大部份最新版本的個人防火牆都已經具有了這種功能。例如ZA、瑞星等。第二就是使用具有免重組深度檢測技術的硬體式網路防火牆,就有可能防範利用隧道方式進行攻擊的木馬。
從本次介紹木馬病毒隱身穿牆術系列文章中可以發現,每一種方法不論有多好,都有其弱點存在,也就說明能夠有辦法防範和清除它們。但是,現在所有的木馬,肯定不會只使用一種躲避方法。它們往往是幾種方法同時使用,例如,同時對使用加殼、加密和注入技術,這樣就能大大提高防毒軟體和防火牆體測到它們的難度。但不管怎麼說,木馬的編寫和保護技術在發展的同時,安全技術也在不斷的發展,只要能找到它們存在的弱點,防範和清除它們也是完全可以做到的。其實,最終解決問題的關鍵還在於用戶本身,約束自己的網路操作行為,瞭解一定的安全防範技術,這樣就能大大減少木馬的侵擾。
(此篇文章為網路轉載,如有冒犯,請來信告知,當即刻移除!)
-
上層分類: 知識庫文章