特洛伊木馬屠城記:暗藏危機的木馬病毒



士兵潛藏在木馬之中,以便當木馬成功進入特洛伊城時,進行內外夾攻突擊,這便是著名的特洛伊木馬屠城記,而在多年後的今日,大家常常聽到「木馬程式」,其實便是以當年的特洛伊木馬屠城記而命名的。

木馬程式的概念

當今的木馬程式(Trojan Horse)都是通過將惡意程序藏在有用及正常的軟件當中,然後通過將軟件發送到目標系統,誘使目標執行檔案後,從而將隱藏在軟件之中的惡意程式一併執行,情況就有如當年士兵通過木馬進行掩護,待入城後從木馬之中跳出來進行攻擊的原理一樣,所以現今的木馬程式,其命名上其實正正能反映出病毒本身的行為。

入侵過程

一般的木馬程式大致上可分為客户端以及伺服器端,駭客主要會先把客户端的程式透過隱藏在正常檔案、軟件背後,從而向目標發送有關的軟件,最終希望能誘使目標執行該軟件而達致「中毒」的目的;而伺服器端則主要安裝在駭客一方的電腦之中,其作用就是能與客户端進行連接,以便進行各種的指令發送及對目標系統作更佳的操控。

由於木馬程式的體積十分細小,一般只有幾十 kb 而已,因此當這些程式植入了正常的軟件後,用户其實是很難發現的。現時在網絡上的一部份免費軟件,其本身便捆挷了這些木馬程式,當用户執行了這些軟件時,其實亦同時間執行了木馬程式。

除了通過附在軟件之中的形式進行傳播外,木馬程式亦可通過一些軟件上的漏洞,例如是最常見的瀏覽器漏洞,從而入侵目標用户電腦。為了安全起見,現時仍可用作進行入侵的漏洞我們不會提及,不過以往常見可用來進行木馬入侵的漏洞有:Script 上的一些錯誤編寫、ActiveX、ASP、CGI 等等。

另外,駭客亦可直接針對網頁伺服器進行入侵,當成功入侵了伺服器以後,便可直接於網頁之中植入相關的惡意程式並引導用户下載木馬及執行,從而達致攻撃的效果,例如以往便可通過 IIS 之中的一些漏洞進行。

木馬植入系統後的行為

當木馬成功植入目標系統並執行後,一般來說都會先將目標電腦的資料,例如是 IP、Port 狀態、系統資訊、密碼等資料傳送到駭客一端,以便於駭客完成入侵工作;而駭客則可通過木馬程式的伺服器端即時遙控遠端(受害人)的系統,從而進一步控制/更改目標系統的權限、一般設定、系統機碼以及當中的敏感資訊等。

由此可見,木馬其實簡單來說就是一個簡化版的 Remote Control 的工具,而透過木馬程式,駭客便可隨意的控制被入侵一方的電腦系統,繼而作進一步的工作;由於在一般情況下,木馬本身在編寫時都會刻意研究可行的隱藏性,所以即使是資安專家,要從系統之中找出一隻木馬其實亦非易事,因此各位企業主管必須隨時作好防禦措施,例如是安裝防毒軟件,這樣才可有效防止被木馬程式入侵而導致的種種危機。

鳴謝:Lapcom

 


 特洛伊木馬屠城記:暗藏危機的木馬病毒

 https://www.facebook.com/hkitblog