木馬威脅及應對策略研究

●馬 民，張麗艷，孫遠輝

(1.武警學院 訓練部，河北 廊坊 065000;2.特警學院 教學科研部，北京 102211)

在計算機威脅日趨復雜和犯罪攻擊手段不斷升級的今天，人們非常關注如何放心地使用網(wǎng)絡。據(jù)《微軟安全研究報告》，木馬一直是最常被微軟反惡意軟件桌面產(chǎn)品和服務檢測到的威脅之一，并且在2010年全世界威脅類別出現(xiàn)率最高，達到21%。因此，木馬威脅及其應對策略的研究具有重要的現(xiàn)實意義。

1 木馬的主要威脅

木馬是特洛伊木馬(Trojan Horse)的簡稱，原指古希臘人藏在特洛伊木馬中被敵人自己運進城池從而占領敵人城池而得名。業(yè)界把這種偽裝成合法程序或附加在正常程序中的具有惡意行為的程序形象稱之為木馬。木馬具有隱匿性和多態(tài)性的特點，并使用內(nèi)核組件、加殼打包等多種技術防止被發(fā)現(xiàn)和刪除，具有相當強的自我保護能力。

受木馬感染計算機的主要威脅有以下幾個方面:(1)身份竊取。受感染計算機上的產(chǎn)品密鑰、用戶憑證和密碼，包括鍵入、緩存(網(wǎng)頁cookie)和保存過的，甚至是網(wǎng)絡流量中的，都會泄露給遠程的木馬攻擊者。(2)盜竊敏感信息。受感染計算機的硬盤和使用過的移動存儲介質(zhì)上的敏感信息，甚至包括自動桌面截圖、網(wǎng)絡視頻、攝像頭圖像、擊鍵行為以及網(wǎng)絡流量中的敏感信息，都會在計算機連接互聯(lián)網(wǎng)的第一時間被木馬快速發(fā)回給攻擊者。一些智能型木馬下載和植入程序，會通過下載器不斷升級針對特定用戶群的專用木馬，從而將受感染計算機的所有可能的敏感信息“一網(wǎng)打盡”。(3)發(fā)動網(wǎng)絡攻擊。木馬還常與蠕蟲病毒結合，使受感染的計算機形成僵尸網(wǎng)絡，按受控指令執(zhí)行網(wǎng)絡攻擊任務，如發(fā)動分布式拒絕服務攻擊和網(wǎng)絡釣魚攻擊。(4)發(fā)送垃圾郵件或分發(fā)惡意軟件。攻擊者收集受感染計算機中的郵件地址并據(jù)此發(fā)送大量包含惡意軟件鏈接或偷渡式網(wǎng)站鏈接的垃圾郵件，誘使更多的計算機感染從而達到快速傳播木馬的目的。

2 應對木馬威脅的策略

從信息安全事件的分類來看，木馬威脅屬于有害程序事件。應對策略總體上要按照信息安全保障體系的框架，立足于“積極防御，綜合防范”的原則，以“人、管理和技術”安全三要素為抓手，實現(xiàn)“事前積極防護、事中全面監(jiān)測、事后應急處理”?？傮w上講，要按照等級保護或分級保護的規(guī)范建立完整的防護體系，管理上要制定清晰有效的政策、規(guī)范和措施，并形成長效機制;注重提高人員的安全意識，培養(yǎng)防范的主動性;技術層面按等級保護來做好信息資源規(guī)劃，劃分職能域和安全域，控制信息流，注重信息基礎設施的保護。

2.1 事前積極防護

事前防護要做到:做好全網(wǎng)和終端兩級防護體系;使用標準用戶而非管理員用戶登錄并使用系統(tǒng);關閉系統(tǒng)不必要的服務或端口;保持操作系統(tǒng)的關鍵更新和病毒庫文件更新;使用高強度密碼并定期讓密碼過期;防止工程手段分發(fā)木馬，不打開垃圾郵件或不明郵件，不使用盜版軟件，特別是盜版操作系統(tǒng)，防止木馬從內(nèi)部侵入，養(yǎng)成良好上網(wǎng)習慣，不訪問不良信息網(wǎng)站;慎用P2P文件傳輸。

2.2 事中全面監(jiān)測

2.2.1 建立全網(wǎng)防御和審計報告策略

為做好全面防范，建立全網(wǎng)安全保障體系至關重要，安全保障體系建設要嚴格按照信息系統(tǒng)安全等級，針對物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全等全方面進行建設，對計算機進行嚴密安全保護，防止內(nèi)部數(shù)據(jù)從網(wǎng)絡非法泄露，阻擋網(wǎng)絡外部向內(nèi)部的非法病毒攻擊危害。除了應用相關的安全設備及軟件之外，還要強化物理安全及人員安全管理方面的措施。網(wǎng)絡邊界安全、嚴禁“一機兩用”和移動存儲介質(zhì)的交叉使用是加強防御的重點之一。

2.2.2 做好靜態(tài)分析和行為分析

有效監(jiān)測僵尸網(wǎng)絡一般分為靜態(tài)分析和行為分析兩類。僵尸網(wǎng)絡結構如圖1所示。

圖1 僵尸網(wǎng)絡的結構圖

2.2.2.1 靜態(tài)分析

靜態(tài)分析方法針對已知的威脅列表檢查計算機特征，例如對URL、IP地址和可執(zhí)行二進制文件進行檢查，若條目列表是準確并且是最新的，則每次檢查過程非?？觳⑶绎L險較小。但在實際過程中，單一使用靜態(tài)分析方法并不是防范網(wǎng)絡免受僵尸網(wǎng)絡危害的有效方法，因為木馬開發(fā)者總是利用未被發(fā)現(xiàn)的威脅，使用多種技術來避免反病毒工具的檢測。

2.2.2.2 行為分析

通過監(jiān)測僵尸網(wǎng)絡控制服務器，發(fā)現(xiàn)僵尸網(wǎng)絡控制者向受控僵尸程序發(fā)出攻擊命令，對攻擊命令解析可以更為深入地掌握僵尸網(wǎng)絡主要的行為規(guī)律。依據(jù)大部分僵尸網(wǎng)絡實際執(zhí)行的攻擊命令情況，可以將其行為大致分為:下載與更新行為、分布式拒絕服務攻擊行為、擴散攻擊行為、竊取信息行為、架設服務行為、僵尸程序登錄與控制等。其中下載與更新行為、分布式拒絕服務攻擊行為和擴散攻擊行為是實際中最為常見的僵尸網(wǎng)絡行為。(1)下載與更新行為分析。僵尸網(wǎng)絡建立完成后，控制者會通過下載與更新命令對受控僵尸主機進行僵尸程序自我更新、二次攻擊程序植入等操作，使其能夠?qū)┦鳈C進行更為全面的控制。(2)分布式拒絕服務攻擊行為分析。當僵尸網(wǎng)絡發(fā)展到一定規(guī)模后，就會被控制者所利用以達到攻擊的目的，包括分布式拒絕服務攻擊、竊取信息、發(fā)送垃圾郵件等，其中分布式拒絕服務攻擊是僵尸網(wǎng)絡最為常見的攻擊行為。(3)擴散攻擊行為分析。擴散攻擊是僵尸網(wǎng)絡通過掃描來發(fā)現(xiàn)并攻擊漏洞主機，植入僵尸程序使其成為受控的僵尸主機的攻擊行為，是僵尸網(wǎng)絡快速發(fā)展成規(guī)模的主要途徑。因此，擴散攻擊是僵尸網(wǎng)絡生命周期中生長過程的關鍵行為，也是實際僵尸網(wǎng)絡中最為常見的攻擊行為。

行為分析是可以識別僵尸網(wǎng)絡的一個強大工具，它能夠揭示僵尸網(wǎng)絡的某些行為特征，但在處理時，需要一個合適的環(huán)境來觀察計算機的行為，不合適的環(huán)境以及有誤報的危險都會使這個方法變得困難，因為缺乏群體行為的刻畫，無法分析整個僵尸網(wǎng)絡的位置信息和攻擊能力。僵尸主機會試圖連接目標計算機的每個端口序列，這種技術使得目標很容易識別出攻擊者?，F(xiàn)在大多數(shù)僵尸網(wǎng)絡使用已經(jīng)被攻擊的目標進行傳播，其只檢查少量的端口。

來自微軟和其他研究人員發(fā)現(xiàn)僵尸網(wǎng)絡的外部行為有以下特征:僵尸主機的活動可以通過與DDoS攻擊、垃圾郵件以及釣魚攻擊網(wǎng)絡活動時間的高度相關來檢測;僵尸主機與捕獲新目標之間的通信間隔比正常的要短許多;僵尸主機有更高的網(wǎng)絡連接失敗率;通過IRC控制的僵尸主機常常表現(xiàn)出大量的IRC流量;僵尸主機通過本地安裝的簡單郵件傳輸協(xié)議，來發(fā)送大量垃圾郵件;一些僵尸網(wǎng)絡大量使用用戶數(shù)據(jù)報協(xié)議，很容易在互聯(lián)網(wǎng)通信中識別;HTTP僵尸主機通常使用Web服務器的IP地址而不是服務器的域名進行通信，這在正常流量中很容易識別。

2.3 事后應急處理

事后應急處理措施為:確定感染的子網(wǎng)和計算機并隔離;檢測并識別木馬軟件;確定木馬軟件的注入、啟動和連接方式;將木馬特征納入網(wǎng)絡防御監(jiān)測系統(tǒng)中;清理木馬。

［1］微軟公司.微軟研究報告(第8～10卷)［R］.

［2］張臣，王軼駿，薛質(zhì).基于客戶端蜜罐的木馬隱蔽通信檢測［J］.信息安全與通信保密，2011，(2):49－51.

［3］周鈺.木馬技術攻防探析［J］.信息網(wǎng)絡安全，2011，(7):20 －22.

［4］關潮輝，薛琴.木馬的攻擊與防范技術研究［J］.信息網(wǎng)絡安全，2010，(12):20 －21.

［5］韓心慧，郭晉鵬，周勇林.僵尸網(wǎng)絡活動調(diào)查研究［J］.通信學報，2007，(12):167 －172.