特洛伊木马不像病毒攻击或DoS攻击那么普遍,但它们确实对系统构成真正的威胁。为了拥有安全的网络,必须采取措施保护网络免受特洛伊木马攻击。
网络钓鱼攻击通常用作其他攻击的一部分。无论是窃取密码还是让用户下载恶意软件,网络钓鱼都可以用来发起其他攻击。能够防御此类攻击至关重要。
除了部分中描述的防御方法之外,应该注意的是,防病毒防御也将有助于对抗特洛伊木马。这些都是恶意软件的示例。一般来说,无论恶意软件的类型如何,防御恶意软件都有类似的方法;后面将是有关特洛伊木马和网络钓鱼的一些细微差别。
识别特洛伊木马
在本部分,将首先了解过去发生的一些著名的特洛伊木马攻击。这将使您了解这些应用程序的实际工作原理。然后,将探索一些可以实施的方法和程序来减轻危险。
夜蜘蛛
从 2021 年开始,安全公司开始追踪Night Spider Zloader 木马。攻击的最初部分是一个下载器木马,它具有知名软件的合法哈希值。当用户认为他们正在下载这些众所周知的程序之一时,他们实际上是在安装下载器木马。然后,该木马使用 PowerShell 脚本下载 Night Spider 有效负载。
新冠病毒锁定
Shedun 是一种特定类型的恶意软件,于2015 年首次发现,针对 Android 系统。该木马的攻击媒介是重新打包合法的 Android 应用程序,例如 Facebook 或 Candy Crush 游戏,但其中包含广告软件。其目标是将广告软件植入目标系统,然后用广告淹没用户。
FinFisher
该产品很有趣,因为它是由一家私人公司开发的,但专门出售给执法机构。它可以通过多种方式传播,但与本章相关的是,它可以作为软件更新出现。然而,它最终在目标系统上安装的是间谍软件。这是为执法机构设计的,假设有有效的搜查令,可以在嫌疑人的计算机上使用。然而,整个 FinFisher 产品套件于 2011 年由维基解密发布,自那时以来已在许多计算机上被发现。
网络总线
图网络总线管理屏幕
检查您的计算机是否感染 NetBus 是一件简单的事情。只需转到命令提示符并使用以下命令之一进行 telnet 即可。如果您收到回复,则您可能已被感染。Loopback命令的使用:
远程登录 127.0.0.1 12345
远程登录 127.0.0.1 12346
如果您被感染,则最好按照以下步骤通过注册表完成删除:
1.使用regedit.exe 找到键HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunServices。
2.删除密钥 666。
3.重新启动计算机。
4.删除Windows系统目录下的SKA.EXE文件。
Qakbot
Qakbot 是一种银行木马。它通过对网络共享或用户组账户进行暴力攻击在整个网络中传播。自 2007 年以来,这种现象时断时续,但在 2020 年,随着多项重大活动的开展,这种现象又卷土重来。2一旦进入目标计算机,Qakbot 将窃取财务信息和凭证,甚至可能提供键盘记录程序。它还被用来传播勒索软件。如下图展示了用于分发 Qakbot 的电子邮件示例。
图 Qakbot 电子邮件示例
Qakbot 实际上是一个恶意软件家族,具有一般相似之处;然而,较新的版本往往相当复杂。事实上,Qakbot 相当复杂。它将尝试识别是否处于虚拟环境中。它还可以将自身注入合法进程并修改其二进制代码。3这使其具有多态性。
Zeus 木马
该木马在 2014 年至 2016 年非常活跃,截至撰写本文时仍然被发现。它之所以引人注目,是因为它基于旧版 Zeus 木马的组件。其次,它很有趣,因为它建立了一个加密的点对点僵尸网络,允许犯罪者控制受感染的计算机。
ANOM
该特洛伊木马由执法机构合作创建,并于 2018 年至 2021 年使用。美国联邦调查局和澳大利亚联邦警察分发了该软件。这是一款Android 消息应用程序,被宣传为一款允许加密和删除消息的安全应用程序。然而,它实际上允许当局拦截。在此过程中,超过 800 名犯罪嫌疑人被捕,犯罪嫌疑人涉及毒品交易和人口贩运等。
Sharkbot
Sharkbot 实际上是一个专门针对Android 设备的银行木马家族。2021 年,该木马在Google Play 商店中传播,伪装成多个不同的应用程序。4直到 2022 年 11 月,Google Play 应用商店中才发现隐藏 Sharkbot 银行木马的新应用。
Linux 特洛伊木马
通常会发现非 Microsoft 操作系统的支持者吹捧其系统具有卓越的安全性。确实,许多 Microsoft 产品中的某些功能似乎更注重可用性而不是安全性。然而,一些安全专家认为,非微软操作系统明显更好的安全性很大程度上源于这样一个事实:它们在 PC 市场上的份额要小得多,因此对恶意软件创建者来说不是有吸引力的目标。随着这些操作系统变得越来越流行,我们将看到更多针对它们的攻击。事实上,已经出现了专门针对Linux的木马。
有许多可用于 Linux 的实用程序。大多数发行版都附带 Linux 发行版,但 Linux 用户通常从 Internet 下载这些发行版的更新。util-linux 文件就是此类下载文件之一,其中包含 Linux 系统的几个基本实用程序。1999 年 1 月 22 日至 1999 年 1 月 24 日期间,至少一台 FTP服务器上的文件 util-linux-2.9g.tar.gz 中被放置了一个特洛伊木马。该特洛伊木马可能已分发到镜像 FTP 站点。无法得知有多少镜像站点拥有该文件或有多少用户下载了该文件。这个特洛伊木马的年龄应该告诉您,对 Linux 系统的威胁并不是什么新鲜事。随着 Linux 的日益普及,您应该会看到更多。
这种特殊的特洛伊木马是一种经典的后门特洛伊木马。在特洛伊木马 util-linux 发行版中,程序 /bin/login 被更改。这些更改包括向特洛伊木马创建者发送电子邮件的代码,其中包含登录用户的主机名和登录信息。合法 util-linux 软件包的分发者使用新版本更新了其网站;但是,无法确定有多少系统安装了该木马版本或有多少系统因此受到损害。
末日之门
这是一个古老的例子,但却是一个经典的例子。该特洛伊木马也是一个后门管理工具。它使远程用户能够对受感染的系统进行大量控制。如果远程用户通过 Portal of Doom 控制了您的系统,则可以采取的操作包括但不限于:
·关闭系统
·打开文件或程序
·访问驱动器
·更改密码
·记录击键
·截图
Portal of Doom 与Back Orifice 和 NetBus 非常相似。它易于使用并具有图形用户界面,如图所示。
图doom 管理屏幕的门户
可以通过以下步骤手动删除该木马:
步骤 3.从 Windows 系统目录中删除文件 ljsgz.exe。
参考:
原文始发于微信公众号(河南等级保护测评):网络安全等级保护:识别特洛伊木马
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论