一、傳播形式
木馬病毒傳播迅速,主要?dú)w因于其傳播方式的多樣性。內(nèi)核木馬及其他木馬病毒的傳播方式主要有以下幾種:
1、利用下載進(jìn)行傳播,在下載的過程中進(jìn)入程序,當(dāng)下載完畢打開文件就將病毒植入到電腦中。
2、利用系統(tǒng)漏洞進(jìn)行傳播,當(dāng)計(jì)算機(jī)存在漏洞,就成為木馬病毒攻擊的對(duì)象。
3、利用郵件進(jìn)行傳播,很多陌生郵件里面就摻雜了病毒種子,一旦郵件被打開,病毒就被激活。
4、利用遠(yuǎn)程連接進(jìn)行傳播。
5、利用網(wǎng)頁進(jìn)行傳播,在瀏覽網(wǎng)頁時(shí)會(huì)經(jīng)常出現(xiàn)很多跳出來的頁面,這種頁面就是病毒駐扎的地方。
6、利用蠕蟲病毒進(jìn)行傳播等。
二、危害
木馬病毒對(duì)用戶計(jì)算機(jī)造成的危害很嚴(yán)重,具體如下:
木馬病毒對(duì)計(jì)算機(jī)的直接破壞方式是改寫磁盤,對(duì)計(jì)算機(jī)數(shù)據(jù)庫進(jìn)行破壞,給用戶帶來不便。當(dāng)木馬破壞程序后,使得程序無法運(yùn)行,給計(jì)算機(jī)的整體運(yùn)行帶來嚴(yán)重的影響。
另外,一些木馬可以通過磁盤的引導(dǎo)區(qū)進(jìn)行,病毒具有強(qiáng)烈的復(fù)制功能,把用戶程序傳遞給外部鏈接者。還可以更改磁盤引導(dǎo)區(qū),造成數(shù)據(jù)形成通道破壞。病毒也通過大量復(fù)制搶占系統(tǒng)資源,對(duì)系統(tǒng)運(yùn)行環(huán)境進(jìn)行干擾,影響計(jì)算機(jī)系統(tǒng)運(yùn)行速度。
三、什么是內(nèi)核級(jí)木馬
內(nèi)核級(jí)木馬一個(gè)無進(jìn)程、無DLL、無啟動(dòng)項(xiàng)的、集多種Rootkit技術(shù)特征的獨(dú)立功能遠(yuǎn)程控制后門程序。其利用線程注射DLL到系統(tǒng)進(jìn)程,解除DLL映射并刪除自身文件和啟動(dòng)項(xiàng),關(guān)機(jī)時(shí)恢復(fù)。
它是內(nèi)核級(jí)的木馬程序,主要部分工作在Ring0,因此有很強(qiáng)的隱蔽性和殺傷力。
四、內(nèi)核級(jí)木馬如何產(chǎn)生
目前,傳統(tǒng)應(yīng)用層木馬由于當(dāng)下一些主動(dòng)防御軟件,殺毒的免費(fèi)使用,各類反病毒工具對(duì)其伎倆了如指掌,而木馬能帶來巨大危害的主要原因在其隱蔽性。
各類反病毒工具的快速發(fā)展就導(dǎo)致木馬謀取利益的成本大幅度提高,其帶來的利益以及威脅程度呈現(xiàn)逐年下降的趨勢。
由于傳統(tǒng)應(yīng)用層木馬的隱蔽性大幅度下降,黑客為了提升帶來的效益以及獲得被控主機(jī)更加持久的控制權(quán),因而提升木馬的隱藏技術(shù)就顯得更加迫在眉睫。
內(nèi)核級(jí)木馬的隱藏主要使用內(nèi)核Rootkit技術(shù),內(nèi)核Rootkit程序在使得遠(yuǎn)程黑客能夠更長期的享有目標(biāo)機(jī)器的底層系統(tǒng)控制權(quán)的同時(shí)在很大程度上不被殺毒軟件發(fā)現(xiàn),從而對(duì)被控主機(jī)造成更加嚴(yán)重的安全威脅。
此外內(nèi)核Rootkit不僅僅存在于windows系統(tǒng)中,同樣存在于linux等其他系統(tǒng)中。而對(duì)于信息安全工作者,找出防御內(nèi)核級(jí)木馬的最有效途徑自然是要深入了解內(nèi)核木馬的工作機(jī)制。
內(nèi)核Rootkit攻擊技術(shù),內(nèi)核Rootkit隱藏技術(shù),掌握其規(guī)律和特性,才能更好的找到應(yīng)對(duì)此類木馬的措施,以及對(duì)未來可能出現(xiàn)的安全隱患做好一些提前的防備。
五、內(nèi)核&傳統(tǒng)木馬隱藏技術(shù)對(duì)比
內(nèi)核級(jí)木馬隱藏主要有進(jìn)程隱藏,文件隱藏,自啟動(dòng)隱藏,通信隱藏等,主要與木馬的架構(gòu)有關(guān),那么對(duì)于一些主從型內(nèi)核級(jí)木馬,木馬涉及到的功能模塊越多自然對(duì)應(yīng)涉及的隱藏項(xiàng)也就越多,甚至有時(shí)候還要做注冊(cè)表隱藏,服務(wù)隱藏等。
3.1.進(jìn)程隱藏
進(jìn)程隱藏最初技術(shù)體系為最簡單的混淆字符隱藏,如系統(tǒng)進(jìn)程名為svchost.exe,木馬進(jìn)程名改為svch0st.exe隱藏,緊接著到注冊(cè)服務(wù)隱藏,dll注入隱藏。
現(xiàn)在內(nèi)核級(jí)木馬大部分通過進(jìn)程控制塊中的活動(dòng)進(jìn)程鏈表(ActiveProcessLinks)中摘除自身來達(dá)到隱藏,或通過從PspCidTable表中摘除自身等方法來達(dá)到隱藏目的。
3.2.文件隱藏
文件隱藏最初是通過存放于敏感目錄(系統(tǒng)目錄)并混淆文件名來實(shí)現(xiàn),后來有些人通過掛鉤應(yīng)用層上的FindFirstFile,FindNextFile等API來實(shí)現(xiàn)該目的,現(xiàn)在在內(nèi)核層隱藏文件方法一般會(huì)用FSDHook或FSD Inline Hook來實(shí)現(xiàn)。
3.3.自啟動(dòng)隱藏
自啟動(dòng)隱藏先后經(jīng)歷了添加注冊(cè)表Run值,修改系統(tǒng)啟動(dòng)文件,注冊(cè)為服務(wù),修改定時(shí)程序,感染系統(tǒng)文件技術(shù)來實(shí)現(xiàn),現(xiàn)在黑客開始關(guān)注于在硬盤固件,bIOS等地方做手腳來實(shí)現(xiàn)自啟動(dòng)隱藏。
3.4.通訊隱藏
對(duì)于通信隱藏來說,現(xiàn)在有些研究者已經(jīng)實(shí)現(xiàn)了NDIS小端口驅(qū)動(dòng)層的隱藏,不過主流的木馬仍然在TDI層面上通信或者在NDIS中間層上通信。
如何對(duì)付內(nèi)核級(jí)木馬?
一般的殺毒工具可以把病毒查殺掉,但是對(duì)于內(nèi)核級(jí)木馬病毒,能夠穿透還原技術(shù),一般的技術(shù)人員是無法解決的。作為網(wǎng)吧熱點(diǎn),針對(duì)這樣難以對(duì)付的病毒,小編分享到清除內(nèi)核級(jí)木馬病毒的方法。
1.首先是要安裝一個(gè)具備進(jìn)程管理功能的安全工具軟件,查看系統(tǒng)進(jìn)程,可有經(jīng)驗(yàn)的技術(shù)人員對(duì)可疑進(jìn)程是可以識(shí)別的,點(diǎn)擊其中的IE瀏覽器進(jìn)程,發(fā)現(xiàn)其中包括了一個(gè)可疑的木馬模塊hack.dll。
2.下一步可以看到多個(gè)被明顯標(biāo)識(shí)出的系統(tǒng)服務(wù),說明這些服務(wù)都不是系統(tǒng)自身的服務(wù)。比如像是一個(gè)取名為Hack的服務(wù)較為可疑,因?yàn)樗拿Q和木馬模塊的名稱相同。
3.找出工具軟件中與文件管理相關(guān)的標(biāo)簽,在模擬的資源管理器窗口中,按照可疑模塊的路徑指引,很快發(fā)現(xiàn)了那個(gè)可疑的木馬模塊文件hack.dll。
4.找到了病毒存在的根源,接下來就是病毒的查殺了:
a,在進(jìn)程管理選項(xiàng)中首先找到被明顯標(biāo)識(shí)的IE瀏覽器進(jìn)程,選中它后通過鼠標(biāo)右鍵中的“結(jié)束這個(gè)進(jìn)程”命令清除它;
b,接著點(diǎn)擊服務(wù)管理選項(xiàng),選擇名為Hack的服務(wù)后,點(diǎn)擊右鍵菜單中的“刪除選中的服務(wù)”命令來刪除;
c,再選擇程序中的文件管理選項(xiàng),對(duì)木馬文件進(jìn)行最后的清除操作;
d,在系統(tǒng)的system32目錄找到hack.dll和hack.exe文件后,點(diǎn)擊右鍵菜單中的“直接刪除文件”命令,完成對(duì)木馬的最后一擊;
e,然后重新啟動(dòng)系統(tǒng)再進(jìn)行查看,確認(rèn)木馬是否被清除干凈。
聲明:我們尊重原創(chuàng)者版權(quán),除確實(shí)無法確認(rèn)作者外,均會(huì)注明作者和來源。轉(zhuǎn)載文章僅供個(gè)人學(xué)習(xí)研究,同時(shí)向原創(chuàng)作者表示感謝,若涉及版權(quán)問題,請(qǐng)及時(shí)聯(lián)系小編刪除!
Hi,我是超級(jí)盾
更多干貨,可移步到,微信公眾號(hào):超級(jí)盾訂閱號(hào)!精彩與您不見不散!
超級(jí)盾:從現(xiàn)在開始,我的每一句話都是認(rèn)真的。
如果,你被攻擊了,別打110、119、120,來這里看著就行。
截至到目前,超級(jí)盾成功抵御史上最大2.47T黑客DDoS攻擊,超級(jí)盾具有無限防御DDoS、100%防CC的優(yōu)勢。
