|
一. 跟不上时代的安全教科书
新的学期开始了,某大学网络管理专业三年级的同学们显得特别兴奋,这个学期的课程安排里终于出现了“网络安全”课程,一直对安全技术甚至黑客攻防手段感兴趣的同学更是对这门课程充满了期待,可是在几天的课程下来以后,同学们的兴奋之火却被浇熄了不少:首先学校颁发的教材书籍里的示例系统是Windows NT 4.0和Windows 98的安全攻防和简单的木马检测,而同学们用的都是Windows XP,和NT的简陋界面怎么都联系不到一块;其次负责此课程的老师完全是属于依葫芦画瓢的教学模式,甚至某次一个同学提问如何检测查杀灰鸽子木马的时候,老师足足盯了该同学5分钟以后才冒出一句“用正版杀毒软件啊!”。
如此几次下来,同学们已经明白,他们接触到的所谓网络安全教育,已经是被这个社会淘汰了的东西,一段时间后,网络安全课创下了学生逃课最多、学生最不配合教师工作的记录,在面对辅导员在班会上的批评时,他们只能默默的在心里念叨:学这些被淘汰的东西,会在实际生活中真实有用的吗?我们连自己机器上的木马病毒都不知道怎么找出来,何况更深入的网络安全学习?
这是一个疯狂的网络时代,每隔一段时间就有大量新的漏洞被发掘出来,公开的、未公开的、地下流通的,最终都被别有用心的人制成入侵工具、新型后门、蠕虫、流氓软件等,在广大对计算机处于懵懂状态的用户看来,这么多术语他们并不去关心,他们所关心的是,自己正在用的防火墙产品有效吗?而大量事实却告诉我们,近年来反病毒产品的有效率正在逐步降低,在一部分用户眼里,如何配合第三方工具手工检测查杀木马正是他们迫切需要了解的,而这一切的基础,却又要涉及到各种基础概念的理解消化,以及,木马等恶意软件的发展过程……
二. 近代木马与恶意程序发展史
自BO、冰河诞生以来,国内的木马历史便正式展开了,下面我们以技术的发展突破作为界限,分别说说他们的历史和发展趋势。
混沌时代:单打独斗的后台运行程序
早期的特洛伊木马后门先驱可以追溯到1997年那个网络在国内还未大量普及的时代,在当时,初期阶段的特洛伊木马技术在国外早已热火朝天,而国内众多用户却还在用着拨号上网偶尔浏览新闻和下载文件,只有少数用户知道并研究外国传入的英文界面特洛伊木马程序BO、SubSeven等,木马技术始终属于少数人手里的“高科技”入侵工具,直到国产木马“冰河”的出现和随后的几个版本升级,才标志着国内用户迎来了网络木马的混沌时代。冰河在2000年停止更新时放出的最后一个版本更是让大家第一次体会到了远程控制他人计算机的心跳感觉,于是冰河在短时间内就掀起了一股热潮,一时之间国内许多计算机都对外开放了被冰河驻扎的标志——7626端口,并且大量的扫描报告也都指向7626端口,随后众多带有模仿性质和改良优化的其他后门也相应出事,这个时代的后门入侵是极其简单的,究其原因,是由于那时候网络防火墙的雏形仍在探索发展阶段,大部分网络用户都是处于毫无防备的状态下,而且那时候又有几个人明白所谓的“安全问题”是什么东西呢?于是许多人依靠这些木马入了门。
这一时期的木马在现在的时代眼光看来,都是及其简单的入门级产品了,但是由于当时的主流系统是安全性马马虎虎的Windows 9x系列,这些木马只需要简单的一些功能函数就实现了在任务管理器中的隐藏,而且由于当时并没有太多相对强大的第三方任务管理器,加上用户自身安全意识比现在相对更低,于是造就了一个木马招摇过市的时代。
从技术上看,这时期的木马后门普遍都是运行于用户层(Ring3)上的隐藏了窗体并将自己在Windows9x中注册为“服务程序”(RegisterAsService)的后台网络应用程序,而且大部分并不存在自我保护功能,就连冰河的自我保护也是更改了一些常用文件如文本文件等类型的打开方式以实现的;这一时代的木马启动项也非常简单易找,就现在的木马发展程度来说,它们充其量只能作为初学者的木马查杀防范入门练习教材罢了,首先这些木马的标准运行环境是毫无安全防御可言的Windows 9x系统,到了NT架构系统上甚至会直接报错退出运行了,只有少数木马对NT架构系统做了一点额外设置以便绕过Win9x专有的系统函数来确保运行顺利,但是这样的后果就是它们直接在NT系统自带的任务管理器中暴露并简单终结掉了;其次,用户只需要找到它的进程并终结,然后简单的清理一下启动项残留数据就完成了木马的查杀——大部分此类型的木马的全部家当就是一个能够自我复制到系统目录并设置自启动项的可执行程序而已,只要这个程序消失,就等于把整个木马扫地出门了。然而,由于这一时期的用户群体几乎没有安全意识和相应反病毒产品领域的空白,这一批木马技术先驱却为后面的木马发展打下了不可忽视的基础。
对于第一代木马的查杀十分简单,使用现在的任意一个任务管理器甚至Windows 2000/XP自带的任务管理器就能发现其进程,通过与注册表启动项Run、RunServices的对比判断即可找出,然后直接终结其进程,删除对应文件和启动项信息,并检查EXE和TXT等文件的关联方式是否被“后门恢复程序”更改即可。
探索时代:被网络防火墙信任的内部间谍
好景不长,随着越来越多用户对信息安全有了隐隐约约的需求和安全厂商适时推出了用于屏蔽过滤外部异常访问扫描的网络防火墙产品以后,许多用户即使对计算机处于朦胧状态,也会给自己安装一个网络防火墙产品——虽然用户可能根本连它的用处是什么都不知道;其次,网吧作为一种大众普遍上网场所也开始流行起来,初涉木马的试探者们很快发现他们无法成功对网吧里的电脑进行连接控制了,但是在网吧里使用木马连接Internet上的受感染机器却又不存在这个问题,这是为什么?因为网吧的内部网络环境是一个局域网,它使用私有IP地址进行通讯,对外部网络的访问出口是通过代理服务器(Proxy)或路由器NAT(网络地址转换,Network Address Translation)方式实现的,这两种方法都会屏蔽掉内部网络,所有内部网络中的计算机对于公共网络来说都是不可见的,也就是说,无论用户在网吧内部什么机器上种植了木马,那么只要他离开了网吧到外面的公共网络中意图对这个木马进行连接控制,他就会发现无论如何努力都做不到了,这是由于网吧对外提供的只是一个由网络接口设备负责通讯和地址转换的公共网络IP,用户在公共网络中执行的访问操作都只会被视为对这个网络接口设备的访问,而这个网络接口设备上是不可能存在用户刚才在网吧内部机器中设置的木马的,而且由于连接条件匹配不充分,它也不会把这个连接请求转交给内部网络中任何一台计算机,所以网吧内部网络里植入的木马根本就收不到来自外部的连接控制请求,自然也就无法工作了。
这个现象直接导致了基于C/S(客户端/服务端)模式的传统木马在遇到网吧或者类似的局域网环境时无功而返,同时一部分安装了网络防火墙的用户也由于防火墙默认屏蔽了外部网络访问的大部分端口而幸免于难,在相当一段时间内造成了传统木马一蹶不振的局面,然而好景不长,在经过一段时间的沉寂后,一种新型的木马连接概念被提出来了,虽然其原理也是基于C/S模式的网络连接,但是在连接时却将态度转了180度:这次的入侵,发出第一个连接请求的不再是远程控制者使用的客户端,而是受害者的木马服务器端。第一个使用此概念的木马名为“网络神偷”,被设计用来从局域网内往外盗取文件数据。
这个概念被业界称为“端口反弹”,它的实现思路是将以往的C/S模式来了个逆转:客户端开启一个本地端口来监听远方连接请求,而服务端却是通过一些方法获得客户端IP以后主动来连接它,最终实现远程控制。这个思路一下子就把网络防火墙打个措手不及,因为早期的防火墙开发者并未考虑过通过本机主动发起的连接也会出现这种意料之外的情况,而对于网吧等局域网环境,它们更只是会把这一行为视作用户发出的一次正常网络请求,于是,这个来自心灵地狱的连接请求最终和入侵者碰了头,连接成功后发生的事情就和传统木马所要做的所有事情一模一样了。
[1] [2] [3] 下一页 |
