木馬威脅及應對策略研究

●馬 民，張麗艷，孫遠輝

(1.武警學院 訓練部，河北 廊坊 065000;2.特警學院 教學科研部，北京 102211)

在計算機威脅日趨復雜和犯罪攻擊手段不斷升級的今天，人們非常關注如何放心地使用網絡。據《微軟安全研究報告》，木馬一直是最常被微軟反惡意軟件桌面產品和服務檢測到的威脅之一，并且在2010年全世界威脅類別出現率最高，達到21%。因此，木馬威脅及其應對策略的研究具有重要的現實意義。

1 木馬的主要威脅

木馬是特洛伊木馬(Trojan Horse)的簡稱，原指古希臘人藏在特洛伊木馬中被敵人自己運進城池從而占領敵人城池而得名。業界把這種偽裝成合法程序或附加在正常程序中的具有惡意行為的程序形象稱之為木馬。木馬具有隱匿性和多態性的特點，并使用內核組件、加殼打包等多種技術防止被發現和刪除，具有相當強的自我保護能力。

受木馬感染計算機的主要威脅有以下幾個方面:(1)身份竊取。受感染計算機上的產品密鑰、用戶憑證和密碼，包括鍵入、緩存(網頁cookie)和保存過的，甚至是網絡流量中的，都會泄露給遠程的木馬攻擊者。(2)盜竊敏感信息。受感染計算機的硬盤和使用過的移動存儲介質上的敏感信息，甚至包括自動桌面截圖、網絡視頻、攝像頭圖像、擊鍵行為以及網絡流量中的敏感信息，都會在計算機連接互聯網的第一時間被木馬快速發回給攻擊者。一些智能型木馬下載和植入程序，會通過下載器不斷升級針對特定用戶群的專用木馬，從而將受感染計算機的所有可能的敏感信息“一網打盡”。(3)發動網絡攻擊。木馬還常與蠕蟲病毒結合，使受感染的計算機形成僵尸網絡，按受控指令執行網絡攻擊任務，如發動分布式拒絕服務攻擊和網絡釣魚攻擊。(4)發送垃圾郵件或分發惡意軟件。攻擊者收集受感染計算機中的郵件地址并據此發送大量包含惡意軟件鏈接或偷渡式網站鏈接的垃圾郵件，誘使更多的計算機感染從而達到快速傳播木馬的目的。

2 應對木馬威脅的策略

從信息安全事件的分類來看，木馬威脅屬于有害程序事件。應對策略總體上要按照信息安全保障體系的框架，立足于“積極防御，綜合防范”的原則，以“人、管理和技術”安全三要素為抓手，實現“事前積極防護、事中全面監測、事后應急處理”。總體上講，要按照等級保護或分級保護的規范建立完整的防護體系，管理上要制定清晰有效的政策、規范和措施，并形成長效機制;注重提高人員的安全意識，培養防范的主動性;技術層面按等級保護來做好信息資源規劃，劃分職能域和安全域，控制信息流，注重信息基礎設施的保護。

2.1 事前積極防護

事前防護要做到:做好全網和終端兩級防護體系;使用標準用戶而非管理員用戶登錄并使用系統;關閉系統不必要的服務或端口;保持操作系統的關鍵更新和病毒庫文件更新;使用高強度密碼并定期讓密碼過期;防止工程手段分發木馬，不打開垃圾郵件或不明郵件，不使用盜版軟件，特別是盜版操作系統，防止木馬從內部侵入，養成良好上網習慣，不訪問不良信息網站;慎用P2P文件傳輸。

2.2 事中全面監測

2.2.1 建立全網防御和審計報告策略

為做好全面防范，建立全網安全保障體系至關重要，安全保障體系建設要嚴格按照信息系統安全等級，針對物理安全、網絡安全、主機安全、應用安全和數據安全等全方面進行建設，對計算機進行嚴密安全保護，防止內部數據從網絡非法泄露，阻擋網絡外部向內部的非法病毒攻擊危害。除了應用相關的安全設備及軟件之外，還要強化物理安全及人員安全管理方面的措施。網絡邊界安全、嚴禁“一機兩用”和移動存儲介質的交叉使用是加強防御的重點之一。

2.2.2 做好靜態分析和行為分析

有效監測僵尸網絡一般分為靜態分析和行為分析兩類。僵尸網絡結構如圖1所示。

圖1 僵尸網絡的結構圖

2.2.2.1 靜態分析

靜態分析方法針對已知的威脅列表檢查計算機特征，例如對URL、IP地址和可執行二進制文件進行檢查，若條目列表是準確并且是最新的，則每次檢查過程非常快并且風險較小。但在實際過程中，單一使用靜態分析方法并不是防范網絡免受僵尸網絡危害的有效方法，因為木馬開發者總是利用未被發現的威脅，使用多種技術來避免反病毒工具的檢測。

2.2.2.2 行為分析

通過監測僵尸網絡控制服務器，發現僵尸網絡控制者向受控僵尸程序發出攻擊命令，對攻擊命令解析可以更為深入地掌握僵尸網絡主要的行為規律。依據大部分僵尸網絡實際執行的攻擊命令情況，可以將其行為大致分為:下載與更新行為、分布式拒絕服務攻擊行為、擴散攻擊行為、竊取信息行為、架設服務行為、僵尸程序登錄與控制等。其中下載與更新行為、分布式拒絕服務攻擊行為和擴散攻擊行為是實際中最為常見的僵尸網絡行為。(1)下載與更新行為分析。僵尸網絡建立完成后，控制者會通過下載與更新命令對受控僵尸主機進行僵尸程序自我更新、二次攻擊程序植入等操作，使其能夠對僵尸主機進行更為全面的控制。(2)分布式拒絕服務攻擊行為分析。當僵尸網絡發展到一定規模后，就會被控制者所利用以達到攻擊的目的，包括分布式拒絕服務攻擊、竊取信息、發送垃圾郵件等，其中分布式拒絕服務攻擊是僵尸網絡最為常見的攻擊行為。(3)擴散攻擊行為分析。擴散攻擊是僵尸網絡通過掃描來發現并攻擊漏洞主機，植入僵尸程序使其成為受控的僵尸主機的攻擊行為，是僵尸網絡快速發展成規模的主要途徑。因此，擴散攻擊是僵尸網絡生命周期中生長過程的關鍵行為，也是實際僵尸網絡中最為常見的攻擊行為。

行為分析是可以識別僵尸網絡的一個強大工具，它能夠揭示僵尸網絡的某些行為特征，但在處理時，需要一個合適的環境來觀察計算機的行為，不合適的環境以及有誤報的危險都會使這個方法變得困難，因為缺乏群體行為的刻畫，無法分析整個僵尸網絡的位置信息和攻擊能力。僵尸主機會試圖連接目標計算機的每個端口序列，這種技術使得目標很容易識別出攻擊者。現在大多數僵尸網絡使用已經被攻擊的目標進行傳播，其只檢查少量的端口。

來自微軟和其他研究人員發現僵尸網絡的外部行為有以下特征:僵尸主機的活動可以通過與DDoS攻擊、垃圾郵件以及釣魚攻擊網絡活動時間的高度相關來檢測;僵尸主機與捕獲新目標之間的通信間隔比正常的要短許多;僵尸主機有更高的網絡連接失敗率;通過IRC控制的僵尸主機常常表現出大量的IRC流量;僵尸主機通過本地安裝的簡單郵件傳輸協議，來發送大量垃圾郵件;一些僵尸網絡大量使用用戶數據報協議，很容易在互聯網通信中識別;HTTP僵尸主機通常使用Web服務器的IP地址而不是服務器的域名進行通信，這在正常流量中很容易識別。

2.3 事后應急處理

事后應急處理措施為:確定感染的子網和計算機并隔離;檢測并識別木馬軟件;確定木馬軟件的注入、啟動和連接方式;將木馬特征納入網絡防御監測系統中;清理木馬。

［1］微軟公司.微軟研究報告(第8～10卷)［R］.

［2］張臣，王軼駿，薛質.基于客戶端蜜罐的木馬隱蔽通信檢測［J］.信息安全與通信保密，2011，(2):49－51.

［3］周鈺.木馬技術攻防探析［J］.信息網絡安全，2011，(7):20 －22.

［4］關潮輝，薛琴.木馬的攻擊與防范技術研究［J］.信息網絡安全，2010，(12):20 －21.

［5］韓心慧，郭晉鵬，周勇林.僵尸網絡活動調查研究［J］.通信學報，2007，(12):167 －172.