●馬 民，張麗艷，孫遠(yuǎn)輝

(1.武警學(xué)院 訓(xùn)練部，河北 廊坊 065000;2.特警學(xué)院 教學(xué)科研部，北京 102211)

在計算機(jī)威脅日趨復(fù)雜和犯罪攻擊手段不斷升級的今天，人們非常關(guān)注如何放心地使用網(wǎng)絡(luò)。據(jù)《微軟安全研究報告》，木馬一直是最常被微軟反惡意軟件桌面產(chǎn)品和服務(wù)檢測到的威脅之一，并且在2010年全世界威脅類別出現(xiàn)率最高，達(dá)到21%。因此，木馬威脅及其應(yīng)對策略的研究具有重要的現(xiàn)實意義。

1 木馬的主要威脅

木馬是特洛伊木馬(Trojan Horse)的簡稱，原指古希臘人藏在特洛伊木馬中被敵人自己運(yùn)進(jìn)城池從而占領(lǐng)敵人城池而得名。業(yè)界把這種偽裝成合法程序或附加在正常程序中的具有惡意行為的程序形象稱之為木馬。木馬具有隱匿性和多態(tài)性的特點(diǎn)，并使用內(nèi)核組件、加殼打包等多種技術(shù)防止被發(fā)現(xiàn)和刪除，具有相當(dāng)強(qiáng)的自我保護(hù)能力。

受木馬感染計算機(jī)的主要威脅有以下幾個方面:(1)身份竊取。受感染計算機(jī)上的產(chǎn)品密鑰、用戶憑證和密碼，包括鍵入、緩存(網(wǎng)頁cookie)和保存過的，甚至是網(wǎng)絡(luò)流量中的，都會泄露給遠(yuǎn)程的木馬攻擊者。(2)盜竊敏感信息。受感染計算機(jī)的硬盤和使用過的移動存儲介質(zhì)上的敏感信息，甚至包括自動桌面截圖、網(wǎng)絡(luò)視頻、攝像頭圖像、擊鍵行為以及網(wǎng)絡(luò)流量中的敏感信息，都會在計算機(jī)連接互聯(lián)網(wǎng)的第一時間被木馬快速發(fā)回給攻擊者。一些智能型木馬下載和植入程序，會通過下載器不斷升級針對特定用戶群的專用木馬，從而將受感染計算機(jī)的所有可能的敏感信息“一網(wǎng)打盡”。(3)發(fā)動網(wǎng)絡(luò)攻擊。木馬還常與蠕蟲病毒結(jié)合，使受感染的計算機(jī)形成僵尸網(wǎng)絡(luò)，按受控指令執(zhí)行網(wǎng)絡(luò)攻擊任務(wù)，如發(fā)動分布式拒絕服務(wù)攻擊和網(wǎng)絡(luò)釣魚攻擊。(4)發(fā)送垃圾郵件或分發(fā)惡意軟件。攻擊者收集受感染計算機(jī)中的郵件地址并據(jù)此發(fā)送大量包含惡意軟件鏈接或偷渡式網(wǎng)站鏈接的垃圾郵件，誘使更多的計算機(jī)感染從而達(dá)到快速傳播木馬的目的。

2 應(yīng)對木馬威脅的策略

從信息安全事件的分類來看，木馬威脅屬于有害程序事件。應(yīng)對策略總體上要按照信息安全保障體系的框架，立足于“積極防御，綜合防范”的原則，以“人、管理和技術(shù)”安全三要素為抓手，實現(xiàn)“事前積極防護(hù)、事中全面監(jiān)測、事后應(yīng)急處理”?？傮w上講，要按照等級保護(hù)或分級保護(hù)的規(guī)范建立完整的防護(hù)體系，管理上要制定清晰有效的政策、規(guī)范和措施，并形成長效機(jī)制;注重提高人員的安全意識，培養(yǎng)防范的主動性;技術(shù)層面按等級保護(hù)來做好信息資源規(guī)劃，劃分職能域和安全域，控制信息流，注重信息基礎(chǔ)設(shè)施的保護(hù)。

2.1 事前積極防護(hù)

事前防護(hù)要做到:做好全網(wǎng)和終端兩級防護(hù)體系;使用標(biāo)準(zhǔn)用戶而非管理員用戶登錄并使用系統(tǒng);關(guān)閉系統(tǒng)不必要的服務(wù)或端口;保持操作系統(tǒng)的關(guān)鍵更新和病毒庫文件更新;使用高強(qiáng)度密碼并定期讓密碼過期;防止工程手段分發(fā)木馬，不打開垃圾郵件或不明郵件，不使用盜版軟件，特別是盜版操作系統(tǒng)，防止木馬從內(nèi)部侵入，養(yǎng)成良好上網(wǎng)習(xí)慣，不訪問不良信息網(wǎng)站;慎用P2P文件傳輸。

2.2 事中全面監(jiān)測

2.2.1 建立全網(wǎng)防御和審計報告策略

為做好全面防范，建立全網(wǎng)安全保障體系至關(guān)重要，安全保障體系建設(shè)要嚴(yán)格按照信息系統(tǒng)安全等級，針對物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等全方面進(jìn)行建設(shè)，對計算機(jī)進(jìn)行嚴(yán)密安全保護(hù)，防止內(nèi)部數(shù)據(jù)從網(wǎng)絡(luò)非法泄露，阻擋網(wǎng)絡(luò)外部向內(nèi)部的非法病毒攻擊危害。除了應(yīng)用相關(guān)的安全設(shè)備及軟件之外，還要強(qiáng)化物理安全及人員安全管理方面的措施。網(wǎng)絡(luò)邊界安全、嚴(yán)禁“一機(jī)兩用”和移動存儲介質(zhì)的交叉使用是加強(qiáng)防御的重點(diǎn)之一。

2.2.2 做好靜態(tài)分析和行為分析

有效監(jiān)測僵尸網(wǎng)絡(luò)一般分為靜態(tài)分析和行為分析兩類。僵尸網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 僵尸網(wǎng)絡(luò)的結(jié)構(gòu)圖

2.2.2.1 靜態(tài)分析

靜態(tài)分析方法針對已知的威脅列表檢查計算機(jī)特征，例如對URL、IP地址和可執(zhí)行二進(jìn)制文件進(jìn)行檢查，若條目列表是準(zhǔn)確并且是最新的，則每次檢查過程非?？觳⑶绎L(fēng)險較小。但在實際過程中，單一使用靜態(tài)分析方法并不是防范網(wǎng)絡(luò)免受僵尸網(wǎng)絡(luò)危害的有效方法，因為木馬開發(fā)者總是利用未被發(fā)現(xiàn)的威脅，使用多種技術(shù)來避免反病毒工具的檢測。

2.2.2.2 行為分析

通過監(jiān)測僵尸網(wǎng)絡(luò)控制服務(wù)器，發(fā)現(xiàn)僵尸網(wǎng)絡(luò)控制者向受控僵尸程序發(fā)出攻擊命令，對攻擊命令解析可以更為深入地掌握僵尸網(wǎng)絡(luò)主要的行為規(guī)律。依據(jù)大部分僵尸網(wǎng)絡(luò)實際執(zhí)行的攻擊命令情況，可以將其行為大致分為:下載與更新行為、分布式拒絕服務(wù)攻擊行為、擴(kuò)散攻擊行為、竊取信息行為、架設(shè)服務(wù)行為、僵尸程序登錄與控制等。其中下載與更新行為、分布式拒絕服務(wù)攻擊行為和擴(kuò)散攻擊行為是實際中最為常見的僵尸網(wǎng)絡(luò)行為。(1)下載與更新行為分析。僵尸網(wǎng)絡(luò)建立完成后，控制者會通過下載與更新命令對受控僵尸主機(jī)進(jìn)行僵尸程序自我更新、二次攻擊程序植入等操作，使其能夠?qū)┦鳈C(jī)進(jìn)行更為全面的控制。(2)分布式拒絕服務(wù)攻擊行為分析。當(dāng)僵尸網(wǎng)絡(luò)發(fā)展到一定規(guī)模后，就會被控制者所利用以達(dá)到攻擊的目的，包括分布式拒絕服務(wù)攻擊、竊取信息、發(fā)送垃圾郵件等，其中分布式拒絕服務(wù)攻擊是僵尸網(wǎng)絡(luò)最為常見的攻擊行為。(3)擴(kuò)散攻擊行為分析。擴(kuò)散攻擊是僵尸網(wǎng)絡(luò)通過掃描來發(fā)現(xiàn)并攻擊漏洞主機(jī)，植入僵尸程序使其成為受控的僵尸主機(jī)的攻擊行為，是僵尸網(wǎng)絡(luò)快速發(fā)展成規(guī)模的主要途徑。因此，擴(kuò)散攻擊是僵尸網(wǎng)絡(luò)生命周期中生長過程的關(guān)鍵行為，也是實際僵尸網(wǎng)絡(luò)中最為常見的攻擊行為。

行為分析是可以識別僵尸網(wǎng)絡(luò)的一個強(qiáng)大工具，它能夠揭示僵尸網(wǎng)絡(luò)的某些行為特征，但在處理時，需要一個合適的環(huán)境來觀察計算機(jī)的行為，不合適的環(huán)境以及有誤報的危險都會使這個方法變得困難，因為缺乏群體行為的刻畫，無法分析整個僵尸網(wǎng)絡(luò)的位置信息和攻擊能力。僵尸主機(jī)會試圖連接目標(biāo)計算機(jī)的每個端口序列，這種技術(shù)使得目標(biāo)很容易識別出攻擊者。現(xiàn)在大多數(shù)僵尸網(wǎng)絡(luò)使用已經(jīng)被攻擊的目標(biāo)進(jìn)行傳播，其只檢查少量的端口。

來自微軟和其他研究人員發(fā)現(xiàn)僵尸網(wǎng)絡(luò)的外部行為有以下特征:僵尸主機(jī)的活動可以通過與DDoS攻擊、垃圾郵件以及釣魚攻擊網(wǎng)絡(luò)活動時間的高度相關(guān)來檢測;僵尸主機(jī)與捕獲新目標(biāo)之間的通信間隔比正常的要短許多;僵尸主機(jī)有更高的網(wǎng)絡(luò)連接失敗率;通過IRC控制的僵尸主機(jī)常常表現(xiàn)出大量的IRC流量;僵尸主機(jī)通過本地安裝的簡單郵件傳輸協(xié)議，來發(fā)送大量垃圾郵件;一些僵尸網(wǎng)絡(luò)大量使用用戶數(shù)據(jù)報協(xié)議，很容易在互聯(lián)網(wǎng)通信中識別;HTTP僵尸主機(jī)通常使用Web服務(wù)器的IP地址而不是服務(wù)器的域名進(jìn)行通信，這在正常流量中很容易識別。

2.3 事后應(yīng)急處理

事后應(yīng)急處理措施為:確定感染的子網(wǎng)和計算機(jī)并隔離;檢測并識別木馬軟件;確定木馬軟件的注入、啟動和連接方式;將木馬特征納入網(wǎng)絡(luò)防御監(jiān)測系統(tǒng)中;清理木馬。

［1］微軟公司.微軟研究報告(第8～10卷)［R］.

［2］張臣，王軼駿，薛質(zhì).基于客戶端蜜罐的木馬隱蔽通信檢測［J］.信息安全與通信保密，2011，(2):49－51.

［3］周鈺.木馬技術(shù)攻防探析［J］.信息網(wǎng)絡(luò)安全，2011，(7):20 －22.

［4］關(guān)潮輝，薛琴.木馬的攻擊與防范技術(shù)研究［J］.信息網(wǎng)絡(luò)安全，2010，(12):20 －21.

［5］韓心慧，郭晉鵬，周勇林.僵尸網(wǎng)絡(luò)活動調(diào)查研究［J］.通信學(xué)報，2007，(12):167 －172.