木馬秘密解析之文件注入與反彈連接

一、進(jìn)程及DLL文件注入

進(jìn)程注入，就是指木馬將自己注入到某個(gè)正常的進(jìn)程當(dāng)中，然后，就可以以此正常進(jìn)程的子線程的方式運(yùn)行。此時(shí)，進(jìn)程名就不會(huì)在任務(wù)管理器中的進(jìn)程列表框中出現(xiàn)。這樣一來(lái)，用戶將不能通過(guò)任務(wù)管理器來(lái)發(fā)現(xiàn)它而且，殺毒軟件即使能夠發(fā)現(xiàn)它但要將它從正常的進(jìn)程當(dāng)中清除它也不會(huì)很容易的。

由于防火墻對(duì)于系統(tǒng)中正常的網(wǎng)絡(luò)相關(guān)進(jìn)程 (例如Services.exSvchost.ex等)默認(rèn)都是放行的，因此，木馬一般都是注入到這些系統(tǒng)進(jìn)程當(dāng)中，并以此來(lái)穿透防火墻。但是木馬順序只有在獲得了與這些系統(tǒng)進(jìn)程相同的系統(tǒng)權(quán)限，才干夠有可能注入勝利的不過(guò)，就目前來(lái)說(shuō)，已經(jīng)有許多木馬具有了這種功能來(lái)實(shí)現(xiàn)遠(yuǎn)程進(jìn)程注入。

至于DLL文件注入的目的一般都是用來(lái)躲過(guò)防火墻的攔截。主要是利用了防火墻在信任某個(gè)軟件后，會(huì)對(duì)它所加載的所有DLL文件也全部信任。因此，只要木馬將自己注入到這些DLL文件當(dāng)中，就可以躲過(guò)防火墻的監(jiān)控，然后就可以與攻擊者進(jìn)行網(wǎng)絡(luò)通信，或者下載其他木馬、鍵盤記錄順序和后門順序等等。Window系統(tǒng)中，DLL注入利用最多的就是IE瀏覽器。

對(duì)于DLL文件注入的木馬，可以通過(guò)驗(yàn)證系統(tǒng)文件的數(shù)字簽名，來(lái)發(fā)現(xiàn)系統(tǒng)的DLL文件是否已經(jīng)被修改過(guò)，這可以通過(guò)Window系統(tǒng)中的系統(tǒng)信息”中的數(shù)字簽名驗(yàn)證順序來(lái)完成。對(duì)于進(jìn)程注入，可以通過(guò)使用IceSword軟件來(lái)檢查進(jìn)行所加載的模塊，只要發(fā)現(xiàn)不是Window系統(tǒng)自身的就說(shuō)明已經(jīng)有木馬注入。然后，就可以通過(guò)IceSword來(lái)強(qiáng)行終止這個(gè)非法模塊，再在相應(yīng)位置完全刪除它現(xiàn)在還有一些殺毒軟件已經(jīng)可以查殺注入型的木馬，例如瑞星殺毒軟件。至于防火墻，現(xiàn)在開始有一種新的技術(shù)，就是當(dāng)防火墻檢測(cè)到某個(gè)應(yīng)用順序所加載的文件被修改后，就會(huì)對(duì)它網(wǎng)絡(luò)連接進(jìn)行阻止。只是現(xiàn)在這種技術(shù)還沒(méi)有加入到家用防火墻中來(lái)。

二、TCP/IP堆棧旁通

對(duì)于個(gè)人防火墻來(lái)說(shuō)，一般只會(huì)對(duì)由Window系統(tǒng)自身所產(chǎn)生的TCP/IP堆棧進(jìn)行過(guò)濾，而對(duì)其他方式所產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)堆棧卻不會(huì)進(jìn)行任何檢查就會(huì)放行。因此，木馬也就利用防火墻的這個(gè)漏洞，其運(yùn)行后，同時(shí)裝置某個(gè)網(wǎng)絡(luò)驅(qū)動(dòng)，然后通過(guò)它來(lái)與系統(tǒng)中的網(wǎng)絡(luò)接口卡進(jìn)行通信，這樣就能夠躲過(guò)防火墻的檢測(cè)。

要想阻止這種方式的木馬攻擊，只要在防火墻中設(shè)置一條規(guī)則，禁止所有非標(biāo)準(zhǔn)Window系統(tǒng)所產(chǎn)生的TCP/IP堆棧通過(guò)?，F(xiàn)在一些個(gè)人防火墻的最新版本，都已經(jīng)具有了這些功能。因此，計(jì)算機(jī)網(wǎng)絡(luò)用戶最好不時(shí)升級(jí)自己的防火墻軟件，以此來(lái)防止這種木馬穿墻術(shù)。

三、反彈連接技術(shù)

現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)用戶，一般都是使用PPPOE拔號(hào)方式，或通過(guò)代理服務(wù)器及NA T方式連接互聯(lián)網(wǎng)的這就給攻擊者通過(guò)木馬的客戶端主動(dòng)連接其服務(wù)器器端的設(shè)置了一道不小的阻礙。因此，攻擊者為了消除這道阻礙，就編寫了一些具有反彈技術(shù)的木馬。

使用反彈技術(shù)，只要木馬監(jiān)測(cè)到系統(tǒng)已經(jīng)有一個(gè)活動(dòng)的網(wǎng)絡(luò)連接，其服務(wù)器端就會(huì)主動(dòng)地按攻擊者設(shè)置的方式連接攻擊者所在客戶端。而防火墻一般對(duì)系統(tǒng)內(nèi)部發(fā)出的網(wǎng)絡(luò)連接請(qǐng)求是不會(huì)攔截的因此，木馬就這樣輕而容易舉地穿過(guò)了系統(tǒng)防火墻的攔截。

但是僅僅使用反彈技術(shù)，木馬有時(shí)是過(guò)得了系統(tǒng)防火墻這關(guān)，而過(guò)不了硬件式網(wǎng)絡(luò)防火墻這關(guān)的因此，為了能穿透硬件式網(wǎng)絡(luò)防火墻，木馬又打上了隧道技術(shù)的主意。將要發(fā)送到內(nèi)容封裝到其他網(wǎng)絡(luò)防火墻允許通過(guò)的網(wǎng)絡(luò)協(xié)議當(dāng)中，例如HTTPDNS和SMTP等，然后就可以借助這些協(xié)議包將這些內(nèi)容發(fā)送到攻擊者指定的位置(例如一個(gè)Email地址)這些內(nèi)容當(dāng)中可能包括了用戶登錄系統(tǒng)的賬號(hào)、密碼、公網(wǎng)IP地址、打開了端口和運(yùn)行了服務(wù)等等。然后，攻擊都會(huì)以同樣的方式來(lái)連接木馬的服務(wù)器端了。

要防范反彈式木馬。第一就是使用具有應(yīng)用順序過(guò)濾功能的個(gè)人防火墻，一般對(duì)請(qǐng)求網(wǎng)絡(luò)連接的應(yīng)用順序都進(jìn)行攔截并提示用戶是否通過(guò)?，F(xiàn)在大部份最新版本的個(gè)人防火墻都已經(jīng)具有了這種功能。例如ZA瑞星等。第二就是使用具有免重組深度檢測(cè)技術(shù)的硬件式網(wǎng)絡(luò)防火墻，就有可能防范利用隧道方式進(jìn)行攻擊的木馬。

其實(shí)，每一種方法不論有多好，都有其弱點(diǎn)存在，現(xiàn)在所有的木馬，肯定不會(huì)只使用一種躲避方法。往往是幾種方法同時(shí)使用，例如，同時(shí)對(duì)使用加殼、加密和注入技術(shù)，這樣就能大大提高殺毒軟件和防火墻體測(cè)到難度。但不管怎么說(shuō)，木馬的編寫和保護(hù)技術(shù)在發(fā)展的同時(shí)，安全技術(shù)也在不時(shí)的發(fā)展，只要能找到存在弱點(diǎn)，防范和清除它也是可以做到的。