如何防止特洛伊木马病毒病毒

花折亦无情
577 阅读8分钟

携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第26天,点击查看活动详情

木马

什么是特洛伊木马病毒

特洛伊木马程序是欺骗性程序,看似执行一种功能,但实际上执行另一种恶意功能。它们可能被伪装成自由软件,视频或音乐,或看似合法的广告。

特洛伊木马可以充当攻击者的独立工具,也可以作为其他恶意活动的平台。例如,攻击者使用特洛伊木马下载程序将未来的有效负载传送到受害者的设备。特洛伊木马 Rootkit 可用于在用户设备或企业网络上建立永久存在。

特洛伊木马感染方法

以下是特洛伊木马程序感染企业网络中计算机的常见方式:

  • 用户是网络钓鱼或其他类型的社交工程的目标,打开受感染的电子邮件附件或单击指向恶意网站的链接
  • 用户访问恶意网站并体验伪装成有用软件的偷渡式下载,或被提示下载编解码器以播放视频或音频流
  • 用户访问受恶意代码感染的合法网站(例如,恶意广告或跨站点脚本)
  • 用户下载的程序的发布者未知或组织安全策略未经授权
  • 攻击者通过利用软件漏洞或通过未经授权的访问来安装特洛伊木马

Daeserf Trojan

由网络间谍组织REDBALDKNIGHT创建的“Daserf”木马通常通过使用电子邮件中附加的诱饵文档进行安装。

特洛伊木马的类型

在野外看到的第一个特洛伊木马是1975年发布的ANIMAL。从那时起,出现了数百万个特洛伊木马变体,这些变体可以分为许多类型。以下是一些最常见的类型。

下载程序特洛伊木马

下载程序特洛伊木马会下载并部署其他恶意代码,例如 rootkit、勒索软件或键盘记录程序。许多类型的勒索软件通过“dropper”分发自己,这是一种下载器特洛伊木马,安装在用户的计算机上并部署其他恶意软件组件。

滴管通常是多阶段木马攻击的第一阶段,随后是安装另一种类型的特洛伊木马,为攻击者提供在内部系统中的持续立足点。例如,滴管可用于将后门特洛伊木马注入敏感服务器。

后门木马

后门特洛伊木马会打开一条秘密通信隧道,允许本地恶意软件部署与攻击者的命令和控制中心进行通信。它可能允许黑客控制设备,监视或窃取数据以及部署其他软件。

间谍软件

间谍软件是观察用户活动的软件,收集敏感数据,如帐户凭据或银行详细信息。他们将此数据发送回攻击者。间谍软件通常伪装成有用的软件,因此通常将其视为一种特洛伊木马。

Rootkit 特洛伊木马

Rootkit 特洛伊木马程序获取对计算机的根级别或管理访问权限,并与操作系统一起引导,甚至在操作系统之前引导。这使得它们很难检测和删除。

DDoS攻击木马(僵尸网络)

DDoS特洛伊木马将受害者的设备变成僵尸,参与更大的僵尸网络。攻击者的目标是在设备所有者不知情的情况下收集尽可能多的计算机并将其用于恶意目的 - 通常作为分布式拒绝服务(DoS)攻击的一部分,用虚假流量淹没服务器。

特洛伊木马恶意软件示例

以下是一些传播最快和最危险的特洛伊木马系列。

宙斯

Zeus/Zbot是一个在客户端/服务器模型中运行的恶意软件软件包,部署的实例调用Zeus命令与控制(C&C)中心。据估计,它已感染了美国超过360万台计算机,包括NASA,美国银行和美国运输部拥有的机器。

Zeus感染Windows计算机,并将机密数据从受害者的计算机发送到Zeus服务器。它在窃取凭据,银行详细信息和其他财务信息并将其传输给攻击者方面特别有效。

Zeus系统的弱点是单个C&C服务器,这是执法机构的主要目标。宙斯的更高版本添加了域生成算法(GDA),如果Zeus服务器不可用,Zbots可以连接到备用域名列表。

宙斯有许多变体,包括:

  • Zeus Gameover ——宙斯僵尸网络的点对点版本,没有集中式C&C。
  • SpyEye - 旨在从在线银行账户中窃取资金。
  • Ice IX - 金融恶意软件,可以在金融交易期间控制浏览器中的内容,并从表单中提取凭据和私人数据。
  • Citadel - Zeus的开源变体,已被网络犯罪分子社区研究和改进,并由Atmos取代。
  • Carberp - 俄罗斯传播最广泛的金融恶意软件之一。可以利用操作系统漏洞获取对目标系统的 root 访问权限。
  • 夏洛克 - 使用域生成算法 (DGA),用于从大量恶意服务器接收命令。

爱你

ILOVEYOU(通常称为“ILOVEYOU病毒”)是2000年发布的一种木马,用于世界上最具破坏性的网络攻击,造成87亿美元的全球损失。

该木马作为网络钓鱼电子邮件分发,文本为“请检查来自我的附加情书”,带有名为“ILOVEYOU”的附件,似乎是文本文件。好奇打开附件的收件人被感染,特洛伊木马会覆盖计算机上的文件,然后将自己发送到他们的整个联系人列表。这种简单但有效的传播方法导致病毒传播到数百万台计算机。

Cryptolocker

Cryptolocker是勒索软件的一种常见形式。它使用受感染的电子邮件附件进行自我分发;常见邮件包含受感染的受密码保护的 ZIP 文件,邮件中包含该密码。当用户使用密码打开 ZIP 并单击附加的 PDF 时,特洛伊木马将被激活。它在本地驱动器和映射的网络驱动器上搜索要加密的文件,并使用 1024 位或 2048 位密钥的非对称加密来加密文件。然后,攻击者要求赎金以释放文件。

Stuxnet

Stuxnet是一种专门的Windows木马,旨在攻击工业控制系统(ICS)。据称,它被用来攻击伊朗的核设施。该病毒导致操作员监视器照常营业,同时改变了伊朗离心机的速度,导致它们旋转太长,太快,并破坏了设备。

如何检测组织中的特洛伊木马程序

特洛伊木马是组织系统的主要威胁,也是高级持续性威胁 (APT) 中常用的工具。安全团队可以使用以下技术和方法来检测和阻止特洛伊木马:

端点保护平台

现代端点保护系统包括设备传统防病毒、可阻止零日和未知特洛伊木马的下一代防病毒 (NGAV)以及可识别用户设备上异常活动的行为分析。这种保护措施的组合对大多数特洛伊木马程序都是有效的。

Web 应用程序防火墙 (WAF)

WAF 部署在网络边缘,能够通过阻止从可疑来源下载特洛伊木马有效负载来防止特洛伊木马感染。此外,它可以检测并阻止任何异常或可疑的网络通信。当 WAF 将木马“打电话回家”到他们的 C&C 中心时,它们可以阻止特洛伊木马,使它们无效,并可以帮助识别受影响的系统。

威胁追踪

威胁搜寻是由熟练的安全分析师主动搜索企业网络上的威胁的做法。分析师使用安全信息和事件管理 (SIEM) 系统从数百个 IT 系统和安全工具收集数据,并使用高级搜索和数据分析技术来发现本地环境中存在的特洛伊木马和其他威胁的痕迹。

对用户投诉进行分类

通常,用户对计算机运行缓慢或用户界面行为异常的简单抱怨可能表示特洛伊木马。使用行为分析和来自其他安全工具的数据对 IT 支持请求进行分类,有助于识别隐藏的特洛伊木马。

以下是用户可能报告的特洛伊木马的常见症状:

  • 弹出窗口出现,由用户的浏览器或操作系统启动
  • 磁盘空间消失,无法解释的永久磁盘错误
  • 系统性能差,机器突然减速,原因不明
  • 鼠标或键盘可自行操作
  • 计算机关闭或重新启动,无需用户操作
  • 更改为桌面映像或配置
  • 更改为浏览器主页或起始页
  • 搜索重定向到未知域
  • 系统防火墙或防病毒软件关闭,无需用户干预
  • 用户不活动时的异常网络活动
  • 用户未添加的新程序、收藏夹或书签
avatar
文章
阅读
粉丝