[新手必读]揭秘反弹式木马

LBHIDDEN[0]LBHIDDEN[这个贴子最后由dieerflying在 2005/07/23 11:58am 第 1 次编辑]

揭秘反弹式木马
! C+ H4 c& ~. X& q$ k
摘自太平洋电脑网
和现实生活中的情形往往有惊人的相似，网络安全也是“完善→漏洞→再完善”这样一个过程，螺旋式地向上发展。木马与防火墙的对话，也有着这样的过程。
　　特洛伊木马这样一种黑客技术，一出现，就引起了人们的关注。除了从不同的角度防范木马行为的发生，在防火墙技术上的发展，也有效地遏止了木马的泛滥。
　　但是有些用户还是发现，即使将自己的防火墙设置为禁止外来主动连接，防范了理论上的木马，也无法排除信息泄露的可能。网络利用率常常居高不下，不正常的连接还是会频繁出现。
　　那么，我们现在就不得不关注木马技术的新发展——反弹式木马。 ( g. ~0 i6 }: {
　　一、什么是反弹式木马
　　我们都知道，所谓的“特洛伊木马”，就是一种基于“客户机/服务器”模式的远程控制程序，它让用户的机器运行服务器端的程序，这个服务器端的程序会在用户的计算机上打开监听的端口。这就给黑客入侵用户计算机打开了一扇进出的门，然后黑客就可以利用木马的客户端入侵用户的计算机系统。7 a" K7 |9 V' B: V
　　随着防火墙技术的提高和发展，基于IP包过滤规则来拦截木马程序可以很有效地防止外部连接，因此黑客在无法取得连接的情况下，也无所作为。2 @! H' p; b* K% s: G# i% Q
　　然而，“道高一尺，魔高一丈”这个安全领域里的“规律”无时不在起作用。聪明的木马程序员又发明了所谓的“反弹式木马”——它利用防火墙对内部发起的连接请求无条件信任的特点，假冒是系统的合法网络请求来取得对外的端口，再通过某些方式连接到木马的客户端，从而窃取用户计算机的资料同时遥控计算机本身。
　　二、反弹式木马的原理" a4 w: T0 g3 d# L" [
　　常见的普通木马，是驻留在用户计算机里的一段服务程序，而攻击者控制的则是相应的客户端程序。服务程序通过特定的端口，打开用户计算机的连接资源。一旦攻击者所掌握的客户端程序发出请求，木马便和他连接起来，将用户的信息窃取出去。这类木马的一般工作模式如图1所示。
# i9 N) B; w7 ^3 Z! |* ~9 c

可见，此类木马的最大弱点，在于攻击者必须和用户主机建立连接，木马才能起作用。所以在对外部连接审查严格的防火墙下，这样的木马很难工作起来。
　　而反弹式木马，在工作原理上就于常见的木马不一样。图2是反弹式木马的一般工作原理。
　　由于反弹式木马使用的是系统信任的端口，系统会认为木马是普通应用程序，而不对其连接进行检查。防火墙在处理内部发出的连接时，也就信任了反弹木马。
　　“网络神偷”是目前最常见的一种反弹式木马，它的工作原理也就是这样的。这充分说明了另一条至理名言：堡垒总是从内部被突破的。

　　图2 反弹式木马骗取防火墙信任
　　三、如何防范反弹式木马
　　那么，如何防范这类反弹式木马呢？/ H+ k' w( }( k' x
　　1、我们推荐大家使用个人防火墙，其采用独特的“内墙”方式——应用程序访问网络规则，专门对付存在于用户计算机内部的各种不法程序对网络的应用。从而可以有效的防御像“反弹式木马”那样的骗取系统合法认证的非法程序。当用户计算机内部的应用程序访问网络的时候，必须经过防火墙的内墙的审核。合法的应用程序被审核通过；而非法的应用程序将会被防火墙个人版的“内墙”所拦截。
　　2、再就是老生常谈了，千万不要随便运行陌生的程序；收到邮件一定要先查看附件，再运行；不要隐藏文件后缀，发现是“.EXE”一定要小心。这些都是对付木马程序应该注意的地方，在此就不赘述了。

收藏分享评分

[glow=500,blue,2]一年秋风留过
就剩下零零落落那几朵黄花
————dieerflying[/glow]

回复引用

订阅 TOP

决不能失去你