网路攻防战之木马入侵大揭秘-首页-TYRC.PDFVIP

網路攻防戰 之 木馬入侵大揭秘 講師 呂守箴 大綱 攻擊第一招：木馬產生 攻擊第三招：木馬傳送的 術 手法與利用的管道 為什麼會有木馬病毒？ ◦ 郵件社交工程的病毒傳輸方 ◦ 類型一：原生型木馬 式 ◦ 類型二：漏洞型木馬 ◦ 隨身裝置：智慧型手機與平 板電腦的病毒 ◦ 類型三：網頁木馬 攻擊第二招：避過防毒 防禦大絕招：防制手段 軟體的方式 ◦ 常見防毒與防間諜軟體的應 用 ◦ 木馬與病毒的偽裝術 攻擊第一招：木馬產生術 使用木馬的考量與優點： 木馬的特性 木馬具有的功能 木馬的隱藏 木馬的類別 ◦ 原生型木馬 ◦ 漏洞型木馬 ◦ 網頁型木馬 (註：此分類並不是防毒軟體公司針對木馬的分類 ) 木馬的類別 原生型木馬： 常見的附檔名：.exe 、.com 此種木馬本身就是一個完整的遠端控制型的木馬程 序，不需要依賴漏洞。例如：灰鴿子 依木馬的特點與操作方法，在中國大陸上，可分為 第一代~第五代木馬的類型。(對岸網路上的消息， 一般防毒軟體公司並沒有這樣的分類。) 中國大陸木馬的發展與分類 第一代木馬： 主要對付Unix系統，而Windows當時為數不多，代表作 ：BO、NetSpy等 第二代木馬： 建構了目前大多數駭客對木馬定義的功能，這時期開始 Windows型木馬改為主流，代表作： BO2000、Sub7、 冰河等 第三代木馬： 增加了穿透防火牆的功能(反向連結)等技術來逃避單機型 防火牆及IP分享器之功能。代表作：灰鴿子家族 第四代木馬： 再增加了執行緒隱藏技術DLL Injection並漸漸往 Rootkit 技術整合，使系統更加難以發現木馬的存在與 入侵的連接。代表作：戶外幽靈、GWBOY殭屍程式等 第五代木馬： 再增加可隨機替換掉一個狀態為停止的系統服 務 ，不會在Registry中新增任何的值，安裝後木馬的 檔名、與存放的目錄與路徑都是隨機的，會自動關閉 自己隨機選的port等需要時再隨機選一個傳輸。代表 作：暗黑天使等。 不管是哪種類別的木馬(網頁木馬、asp木馬等) ， 最終都是需要將exe檔的木馬傳至被害(駭) 的電腦中，只是利用不同的傳播類型增加防禦設備 攔截的困難度 。 感染後的行為可能： ◦ 直接使用該木馬exe做竊取 ◦ 使用DLL Injection技巧與正常程式綑綁的木馬做竊取 ◦ 使用Rootkit技巧與系統程式綑綁的木馬做竊取 原生型木馬的感染流程 駭客 P2P網站、論壇、程式的收集區 不知情的一 般使用者 原生型木馬 反向(反彈)連結木馬傳輸方式 攻擊網站並植入網頁後門 ，等不 被植入木馬 知情的民眾上網站時下載木馬 尋正常