网络安全干货 之 特洛伊木马

当马的肚子在晚上打开时，为时已晚。希腊人最终成功地占领了长期被围困的特洛伊城，结束了特洛伊战争。几千年后，特洛伊木马的神话仍然存在，尽管今天具有不讨人喜欢的内涵。因为曾经代表着一个绝妙的技巧和一个精湛的工程壮举，现在被认为是一种恶意的数字害虫，其唯一目的是在不被注意的情况下对受害者的计算机造成严重破坏。它通过读取密码，记录键盘敲击或为进一步的恶意软件打开大门来实现这一目标，这些恶意软件甚至可以将整个计算机作为人质。这些操作可能包括：

• 删除数据
• 阻止数据
• 修改数据
• 复制数据
• 破坏计算机或计算机网络的性能 与计算机病毒和蠕虫不同，特洛伊木马无法自我复制。

特洛伊木马的类型

它们是最简单但可能最危险的特洛伊木马类型之一。这是因为它们可以作为网关将各种恶意软件加载到您的系统上，或者至少确保您的计算机容易受到攻击。后门通常用于设置僵尸网络。在您不知情的情况下，您的计算机将成为用于攻击的僵尸网络的一部分。此外，后门可以允许在设备上执行代码和命令或监视Web流量。

漏洞利用是包含利用计算机上应用程序内漏洞的数据或代码的程序。

Rootkit 旨在隐藏系统中的某些对象或活动。通常，它们的主要目的是防止检测到恶意程序，以延长程序在受感染计算机上运行的期限。

最着名的滴管特洛伊木马之一是Emotet恶意软件，它现在已经变得无害，但与后门特洛伊木马相比，它无法在PC本身上执行任何代码。相反，它带来了其他恶意软件，例如银行木马Trickbot和勒索软件Ryuk。因此，Droppers类似于下载器特洛伊木马，不同之处在于下载程序需要网络资源才能从网络中提取恶意软件。Dropper本身已经包含程序包中的其他恶意组件。这两种类型的特洛伊木马都可以由负责的程序员秘密远程更新，例如，病毒扫描程序无法使用新定义检测到它们。也可以通过这种方式添加新功能。

银行木马是最普遍的特洛伊木马之一。鉴于网上银行的接受度越来越高，以及一些用户的粗心大意，这也就不足为奇了

它们是攻击者快速获得资金的有前途的方法。他们的目标是获取对银行帐户的访问凭据。为此，他们使用网络钓鱼技术，例如将所谓的受害者发送到他们应该输入其访问凭据的操纵页面。因此，在使用网上银行时，您应确保使用安全的方法进行验证，例如仅使用相应银行的应用程序，并且切勿在Web界面上输入您的访问数据。

分布式拒绝服务 （DDoS） 攻击继续困扰着 Web。在这些攻击中，服务器或网络通常被僵尸网络用请求鱼雷击中。例如，在2020年6月中旬，亚马逊抵御了对其服务器创纪录的攻击。在三天多的时间里，亚马逊的网络服务以每秒2.3 TB的数据吞吐量为目标。必须有一个巨大的僵尸网络来实现这种计算能力。可以这么说，僵尸网络由僵尸计算机组成。从表面上看，它们运行正常，但它们也以攻击者的身份默默地运行。其原因是具有后门组件的特洛伊木马，该组件在计算机上不被注意地沉睡，并在必要时由其操作员激活。如果僵尸网络攻击或DDoS攻击成功，则网站甚至整个网络都无法访问。

假防病毒特洛伊木马特别阴险。他们没有提供保护，而是让每个设备都陷入了严重的麻烦。有了所谓的病毒发现，他们希望在毫无戒心的用户中引起恐慌，并说服他们通过支付费用来购买有效的保护。但是，用户只会遇到更多问题，而不是有用的病毒扫描程序，因为他们的支付数据被传达给特洛伊木马发起人以进一步滥用。因此，如果您在访问网站时突然在浏览器中收到病毒警告，则应忽略此警告，只信任您的系统病毒扫描程序。

这种类型的程序从在线游戏玩家那里窃取用户帐户信息。

Trojan-IM程序窃取您的登录数据和密码，用于即时消息程序，如ICQ，MSN Messenger，AOL Instant Messenger，Yahoo Pager，Skype等。有人可能会说，这些信使现在几乎没有使用。但是，即使是新的信使服务也不能免受特洛伊木马的影响。Facebook Messenger，WhatsApp，Telegram或Signal也可能成为特洛伊木马的目标。就在2020年12月，一个Windows特洛伊木马通过电报频道被占领。还应保护即时消息免受危险的网络钓鱼攻击。2018年1月，安全研究人员发现了一个名为Skygofree的特洛伊木马。该恶意软件具有非常高级的功能，例如，即使用户已在其设备上停用该功能，也可以自行连接到Wi-Fi网络。Skygofree特洛伊木马还可以监视流行的信使服务WhatsApp。它读取消息，也可以窃取它们。

这种类型的特洛伊木马可以修改计算机上的数据，使您的计算机无法正常运行，或者您无法再使用特定数据。犯罪分子只会在您向他们支付他们要求的赎金后恢复您的计算机性能或取消阻止您的数据。

它们可能看起来像是另一个世纪的遗物，但它们仍然活跃并构成重大威胁。SMS特洛伊木马（例如Android恶意软件Faketoken）可以以不同的方式工作。例如，Faketoken将大量SMS消息发送到昂贵的国际号码，并在系统中伪装成标准的SMS应用程序。智能手机所有者必须为此支付费用。其他 SMS 特洛伊木马程序与昂贵的高级 SMS 服务建立连接。

Trojan-Spy程序可以监视您如何使用计算机

• 例如，通过跟踪您通过键盘输入的数据，截取屏幕截图或获取正在运行的应用程序列表。

这些程序可以从您的计算机收集电子邮件地址。

此外，还有其他类型的特洛伊木马：

• 特洛伊-弧形炸弹
• 特洛伊木马点击器
• 特洛伊木马通知程序
• 特洛伊木马代理
• 特洛伊木马-PSW

特洛伊木马对所有终端设备的威胁

特洛伊木马现在不仅针对Windows计算机，还针对Mac计算机和移动设备。因此，如果没有最新的反恶意软件保护，您永远不应该感到太安全或在互联网上。恶意软件通常通过受感染的附件，操纵的短信或虚假网站进入计算机。但是，也有一些特勤特洛伊木马可以远程安装在目标系统上，而无需用户注意到，并且目标没有任何交互。例如，以色列制造商NSO的Pegasus软件通过移动电话网络分发。Pegasus包括一个强大的拦截选项库。该设备可以完全读取，呼叫可以记录，或者电话可以用作窃听设备。在德国，警察当局也使用国家特洛伊木马来监视和跟踪犯罪分子。但是，该恶意软件在官方语言中称为源TKÜ软件，未经法院命令，不得用于监视。

网络犯罪分子希望使用特洛伊木马造成最大损害

如果国家使用监控软件来跟踪和惩罚刑事犯罪，那么网络犯罪分子的想法恰恰相反。在后一种情况下，这一切都是以牺牲受害者为代价的个人致富。在这样做的过程中，犯罪分子使用不同的程序，有时甚至是整个恶意软件链。他们是怎么做到的？一个例子可能是通过受感染的电子邮件附件在计算机上安装的后门未被注意到。此网关可确保进一步的恶意软件以秘密和静默的方式加载到PC上而不会被注意到。另一个例子是键盘记录器，用于记录密码或机密内容等击键，用于窃取财务数据的银行特洛伊木马，或加密整个计算机的勒索软件，仅在支付大量比特币后释放被劫持的数据。在这种情况下臭名昭著的是恶意软件Emotet，它定期巡视，并被描述为“最具破坏性的恶意软件”。严格来说，“特洛伊木马王”是一个机器人网络，它使用垃圾邮件和受感染的Word或Excel文档来查找其受害者。BSI设置了一个额外的页面，其中包含有关表情符号的信息。综上所述：

• Emotet被认为是最具破坏性和最危险的特洛伊木马之一。
• 目前尚不清楚谁是Emotet的幕后黑手。
• 表情神之歌造成的损失达到数百万。
• 公司是主要目标。如果Emotet从地址簿中读取存储的电子邮件地址并将其添加到其庞大的数据库中，则私人用户仍会受到影响。
• 为了遏制这种危险，除了拥有最新的软件之外，还应在Word和Excel中停用宏，并且不应从来自未知发件人的电子邮件中打开任何附件。

搭载到终端设备上

特洛伊木马程序不仅存在于电子邮件附件中。他们还可以“搭载”所谓的免费程序。因此，同样重要的是，不要使用可疑的来源进行软件下载，例如编解码器包或破解程序，即使您可能会节省几欧元。如果通过常规渠道购买，则特洛伊木马可能造成的损害通常会超过软件的价值。

顺便说一句，不应将特洛伊木马与病毒混淆。计算机病毒独立繁殖，而特洛伊木马只是一个开门器 ， 但具有潜在的破坏性后果。

因此，以下是有关如何保护自己和设备免受特洛伊木马的侵害的清单：

在打开电子邮件中的附件之前请三思而后行。检查发件人和文本，并考虑附件是否真的需要打开。

始终保持您的移动和固定系统处于最新状态。定期为操作系统和已安装的程序安装安全更新。不允许在 Word 和 Excel 中使用宏。

不要不假思索地点击链接。还有可能是路过式感染。这是访问虚假网站时未被注意的恶意软件安装，可确保恶意软件在后台下载到家庭系统上。

避免从不安全的来源下载程序。在移动设备上，避免安装 Google Play 商店或 Apple Store 中未提供的应用。始终显示所有文件扩展名。这将告诉您假设的图像 （ 通常具有 jpg 扩展名 ） 是否由具有 exe 扩展名的可执行文件支持。

作为额外的安全措施，请通过 移动应用程序和强密码（最好是密码管理器）使用双因素身份验证。

始终使用具有最新定义的病毒扫 描程序扫描系统。

定期备份数据。不仅在云服务上，而且在物理数据载体上，例如具有USB连接的移动SSD或HDD硬盘驱动器。

上网时要小心

这里提到的特洛伊木马是最著名的类型。它们的共同点是，它们只能在用户的帮助下进入终端设备。但是，如果您仔细上网冲浪，不要不假思索地打开电子邮件附件，并且只能从安全来源获取程序，则应该能够避免这些威胁。最新的操作系统和始终在线的病毒扫描程序将更好地保护您免受特洛伊木马的侵害。

计算机病毒和蠕虫是如何传播的？

病毒和蠕虫是恶意程序（又称恶意软件）的子类别。此子类别恶意软件中的任何程序也可以具有其他特洛伊木马功能。

病毒

病毒可以根据病毒用于感染计算机的方法进行分类

• 文件病毒
• 引导扇区病毒
• 宏病毒
• 脚本病毒
• 蠕虫

蠕虫经常利用操作系统 （OS） 或应用程序中的网络配置错误或安全漏洞 许多蠕虫使用多种方法跨网络传播，包括：

电子邮件：在作为电子邮件附件发送的文件内携带

互联网：通过受感染网站的链接;通常隐藏在网站的HTML中，因此在页面加载时会触发感染

下载和FTP服务器：最初可以在下载的文件或单个FTP文件中启动，但如果未检测到，可以传播到服务器，从而扩展到所有出站FTP传输

即时消息（IM）：通过移动和桌面消息传递应用程序传输，通常作为外部链接，包括本机SMS应用程序，WhatsApp，Facebook Messenger或任何其他类型的ICQ或IRC消息

P2P/文件共享：通过 P2P 文件共享网络以及任何其他共享驱动器或文件（如 U 盘或网络服务器）进行传播 网络：通常隐藏在网络数据包中;尽管它们可以通过共享访问网络上的任何设备，驱动器或文件来传播和自我传播

如何保护您的所有设备免受病毒和蠕虫的侵害

病毒、蠕虫和恶意软件最常利用安全漏洞和错误。因此，保持所有操作系统和应用程序更新和补丁的最新状态至关重要。不幸的是，保持最新的更新并保持警惕就足够了。有许多漏洞利用和媒介可以将病毒和蠕虫带入网络或计算机或移动设备。如今，全面的网络安全对于您的所有设备（台式机，笔记本电脑，平板电脑和智能手机）都是强制性的。为了有效，网络安全解决方案必须为您的所有活动提供实时保护，从电子邮件到互联网浏览，而不仅仅是定期的硬盘驱动器扫描。此外，当今最好的安全软件产品不是定期更新的静态一次性安装。高质量的网络安全产品作为服务提供，称为SaaS（软件即服务）。这意味着，除了实时监控设备外，软件本身还会实时更新有关现有和新出现的威胁的最新信息，如何防止它们以及如何修复其损坏。

参考资料

[0]参考文章:https://blog.csdn.net/qq_22182989/article/details/125477579