网络安全等级保护：识别特洛伊木马

特洛伊木马不像病毒攻击或DoS攻击那么普遍，但它们确实对系统构成真正的威胁。为了拥有安全的网络，必须采取措施保护网络免受特洛伊木马攻击。

网络钓鱼攻击通常用作其他攻击的一部分。无论是窃取密码还是让用户下载恶意软件，网络钓鱼都可以用来发起其他攻击。能够防御此类攻击至关重要。

除了部分中描述的防御方法之外，应该注意的是，防病毒防御也将有助于对抗特洛伊木马。这些都是恶意软件的示例。一般来说，无论恶意软件的类型如何，防御恶意软件都有类似的方法；后面将是有关特洛伊木马和网络钓鱼的一些细微差别。

识别特洛伊木马

在本部分，将首先了解过去发生的一些著名的特洛伊木马攻击。这将使您了解这些应用程序的实际工作原理。然后，将探索一些可以实施的方法和程序来减轻危险。

夜蜘蛛

从 2021 年开始，安全公司开始追踪Night Spider Zloader 木马。攻击的最初部分是一个下载器木马，它具有知名软件的合法哈希值。当用户认为他们正在下载这些众所周知的程序之一时，他们实际上是在安装下载器木马。然后，该木马使用 PowerShell 脚本下载 Night Spider 有效负载。

新冠病毒锁定

在 COVID-19 病毒大流行期间，CovidLock勒索软件通过特洛伊木马传播。它会锁定设备上的文件，然后要求赎金才能解锁文件。这也说明了本书前面讨论的一个概念——恶意软件通常跨越多个类别。该勒索软件是 Android 特有的。

shedun

Shedun 是一种特定类型的恶意软件，于2015 年首次发现，针对 Android 系统。该木马的攻击媒介是重新打包合法的 Android 应用程序，例如 Facebook 或 Candy Crush 游戏，但其中包含广告软件。其目标是将广告软件植入目标系统，然后用广告淹没用户。

FinFisher 

该产品很有趣，因为它是由一家私人公司开发的，但专门出售给执法机构。它可以通过多种方式传播，但与本章相关的是，它可以作为软件更新出现。然而，它最终在目标系统上安装的是间谍软件。这是为执法机构设计的，假设有有效的搜查令，可以在嫌疑人的计算机上使用。然而，整个 FinFisher 产品套件于 2011 年由维基解密发布，自那时以来已在许多计算机上被发现。

网络总线

NetBus 木马的效果与 Back Orifice 非常相似。NetBus 蠕虫尝试使用NetBus 特洛伊木马感染目标计算机。该工具是一种远程管理工具（通常称为 RAT），与 Back Orifice 非常相似。然而，NetBus 仅在端口 20034 上运行。它使远程用户能够完全控制受感染的计算机，就好像他坐在键盘前并拥有完全的管理权限一样。NetBus管理界面如下图所示。您可以看到入侵者可以在受感染的计算机上完成各种高级任务。

图网络总线管理屏幕

检查您的计算机是否感染 NetBus 是一件简单的事情。只需转到命令提示符并使用以下命令之一进行 telnet 即可。如果您收到回复，则您可能已被感染。Loopback命令的使用：

远程登录 127.0.0.1 12345

远程登录 127.0.0.1 12346

如果您被感染，则最好按照以下步骤通过注册表完成删除：

1.使用regedit.exe 找到键HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunServices。

2.删除密钥 666。

3.重新启动计算机。

4.删除Windows系统目录下的SKA.EXE文件。

Qakbot

Qakbot 是一种银行木马。它通过对网络共享或用户组账户进行暴力攻击在整个网络中传播。自 2007 年以来，这种现象时断时续，但在 2020 年，随着多项重大活动的开展，这种现象又卷土重来。2一旦进入目标计算机，Qakbot 将窃取财务信息和凭证，甚至可能提供键盘记录程序。它还被用来传播勒索软件。如下图展示了用于分发 Qakbot 的电子邮件示例。

图 Qakbot 电子邮件示例

Qakbot 实际上是一个恶意软件家族，具有一般相似之处；然而，较新的版本往往相当复杂。事实上，Qakbot 相当复杂。它将尝试识别是否处于虚拟环境中。它还可以将自身注入合法进程并修改其二进制代码。³这使其具有多态性。

Zeus 木马

该木马在 2014 年至 2016 年非常活跃，截至撰写本文时仍然被发现。它之所以引人注目，是因为它基于旧版 Zeus 木马的组件。其次，它很有趣，因为它建立了一个加密的点对点僵尸网络，允许犯罪者控制受感染的计算机。

ANOM

该特洛伊木马由执法机构合作创建，并于 2018 年至 2021 年使用。美国联邦调查局和澳大利亚联邦警察分发了该软件。这是一款Android 消息应用程序，被宣传为一款允许加密和删除消息的安全应用程序。然而，它实际上允许当局拦截。在此过程中，超过 800 名犯罪嫌疑人被捕，犯罪嫌疑人涉及毒品交易和人口贩运等。

Sharkbot

Sharkbot 实际上是一个专门针对Android 设备的银行木马家族。2021 年，该木马在Google Play 商店中传播，伪装成多个不同的应用程序。⁴直到 2022 年 11 月，Google Play 应用商店中才发现隐藏 Sharkbot 银行木马的新应用。

Linux 特洛伊木马

通常会发现非 Microsoft 操作系统的支持者吹捧其系统具有卓越的安全性。确实，许多 Microsoft 产品中的某些功能似乎更注重可用性而不是安全性。然而，一些安全专家认为，非微软操作系统明显更好的安全性很大程度上源于这样一个事实：它们在 PC 市场上的份额要小得多，因此对恶意软件创建者来说不是有吸引力的目标。随着这些操作系统变得越来越流行，我们将看到更多针对它们的攻击。事实上，已经出现了专门针对Linux的木马。

有许多可用于 Linux 的实用程序。大多数发行版都附带 Linux 发行版，但 Linux 用户通常从 Internet 下载这些发行版的更新。util-linux 文件就是此类下载文件之一，其中包含 Linux 系统的几个基本实用程序。1999 年 1 月 22 日至 1999 年 1 月 24 日期间，至少一台 FTP服务器上的文件 util-linux-2.9g.tar.gz 中被放置了一个特洛伊木马。该特洛伊木马可能已分发到镜像 FTP 站点。无法得知有多少镜像站点拥有该文件或有多少用户下载了该文件。这个特洛伊木马的年龄应该告诉您，对 Linux 系统的威胁并不是什么新鲜事。随着 Linux 的日益普及，您应该会看到更多。

这种特殊的特洛伊木马是一种经典的后门特洛伊木马。在特洛伊木马 util-linux 发行版中，程序 /bin/login 被更改。这些更改包括向特洛伊木马创建者发送电子邮件的代码，其中包含登录用户的主机名和登录信息。合法 util-linux 软件包的分发者使用新版本更新了其网站；但是，无法确定有多少系统安装了该木马版本或有多少系统因此受到损害。

末日之门

这是一个古老的例子，但却是一个经典的例子。该特洛伊木马也是一个后门管理工具。它使远程用户能够对受感染的系统进行大量控制。如果远程用户通过 Portal of Doom 控制了您的系统，则可以采取的操作包括但不限于：

·关闭系统

·打开文件或程序

·访问驱动器

·更改密码

·记录击键

·截图

Portal of Doom 与Back Orifice 和 NetBus 非常相似。它易于使用并具有图形用户界面，如图所示。

图doom 管理屏幕的门户

可以通过以下步骤手动删除该木马：

步骤1。删除位于 HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersionRunServices 的注册表中的String 项。

第2步。使用任务管理器关闭 ljsgz.exe 进程。如果无法关闭，请重新启动机器。现在您已经更改了注册表，ljsgz.exe程序将不会再次启动。

步骤 3.从 Windows 系统目录中删除文件 ljsgz.exe。

参考：

网络安全等级保护基本要求

等级保护技术基础培训教程

原文始发于微信公众号（河南等级保护测评）：网络安全等级保护：识别特洛伊木马