不走寻常路的木马丨专栏
2018/10/13 8:00:00 中科院之声

     编者按:网络空间安全近年来日渐成为公众关注的焦点,中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏,以《安天威胁通缉令2016扑克牌》为线索,一张扑克牌对应一个网络病毒,讲述54个不同的网络病毒和网络安全故事,以及如何进行针对性防御的建议。

     一、开场快板

     小白:电脑安全我不愁,杀毒软件我都有,高墙厚瓦防盗门,门口再栓只大狼狗。

     大东:杀毒软件人人有,个人信息常泄露,翻墙不靠登天梯,全靠后门有黑手。

     二、病毒通缉令

    

     小白:这位大叔穿成潜水员的模样,准备点炮仗过年呢吧~

     大东:我们小白刚开学就想着放假了?

     小白:xixi,被发现了~~那大东东,这张牌讲的是啥呀?

     大东:这是 DarkKomet,是一种后门类木马程序。该家族样本监控用户行为,并为攻击者开启系统后门,导致用户的信息被窃取,并将窃取到的信息发送给攻击者。同时还可以下载其他恶意软件。

     小白:还挺“大公无私”,为其他同伴奉献后门呢~

     三、不走寻常路的木马

     小白:大东东,我今天看新闻说,外国黑客通过后门进入政府机构网站篡改了一些文件。什么是后门呢?

     大东:你说的是后门木马进行攻击吧。后门木马种类繁多,我今天就拿 DarkKomet 这个后门木马给你说说后门是啥情况。

     小白:东哥大讲堂,前排兜售瓜子花生小马扎~

     来自后门的你

     大东:咳咳,正经的。首先 DarkKomet 是一类后门木马程序的总称,主要功能主要是对用户行为进行监控,并为攻击者开启系统后门,窃取用户信息,并将窃取的信息发送给攻击者,同时还可以下载其他恶意软件。

    

    

    

     DarkKomet 类木马一览

     小白:大东东,这好像和木马攻击没啥区别啊!

     大东:后门是程序开发者为了完善自己设计的程序这一目的开设的特殊接口,可以理解成一个通道,便于自己对程序进行修改,一般都拥有最高权限。而木马是利用后门或已发现的漏洞非法入侵用户的计算机,从事侵害用户利益的活动。二者的目的还是有区别的。

    

     杀毒软件木马检查结果界面

     每天木马在后门盯着你们呢

     小白:那 DarkKomet 是怎么窃取用户信息呢?

     大东:DarkKomet 后门程序旨在使恶意用户远程控制受感染的计算机。在功能方面,后门程序类似于许多由软件开发人员设计和分发的管理系统。这些类型的恶意程序使得有可能在受感染的计算机上肆意妄为,比如发送和接收文件,启动文件或删除它们,显示消息,删除数据,重新启动计算机等。也有程序是为了联合一组受害者计算机,形成僵尸网络。这使得恶意用户可以集中控制一批受感染的计算机,然后将其用于犯罪目的。

     小白:这后门程序用途还不小啊!

     大东:由于后门是当初系统开发人员留下的,所以不少安全软件对后门的防护也不是很到位,造成的结果就是后门很容易成为木马攻击的突破口。而后门发起的木马攻击危害性和影响范围也更大,根据卡巴斯基实验室的报告显示,仅2014年7月24日至2015年7月27日的一年间,DarkKomet 的攻击范围遍布全球,其中,俄罗斯收到的攻击次数是最多的。

    

     2014年7月24日至2015年7月27日期间的袭击地理分布

    

     DarkKomet 攻击用户最多的国家Top10

     后门也是防盗门

     小白:细思极恐啊,东哥。这后门木马攻击有什么防范技巧吗?

    

     大东:想要防范 DarkKomet,那么首先要了解木马的传播方式,阻断后门木马的传播过程,把损失降到最低。

     小白:那它是怎么出现在个人计算机上的呢?

     大东:DarkKomet 主要来自免费网站的恶意驱动器下载脚本和通过垃圾邮件下载的附件。当你点击可疑弹出窗口或恶意链接,打开未知的电子邮件或下载包含病毒激活码的媒体文件的时候,很有可能感染 DarkKomet 后门木马。

     小白:如此说来,DarkKomet 后门木马也是从这几个方面着手防范?

     大东:孺子可教也。预防的办法也是从这几个方面着手,不要点击可疑的弹窗和链接,对于邮件中的文件要慎重打开。及时下载最新的软件,减少后门漏洞的机会。

     小白:这些方法看起来都微不足道嘛~

     大东:网络安全哪有微不足道的小事情,千里之堤毁于蚁穴,网络安全面前,千万不能掉以轻心。

     四、小白内心说

     小白:听你这么说,后门很无解啊!

     大东:倒不是无解。你想啊,系统开发都是大公司级别的,开发过程中的后门肯定不是那么容易找到的,可是如果找到了,那么影响就将是巨大的。所以对后门的维护和弥补,也只有大公司才能有这等实力。

     小白:那作为用户,我们也不能干等着吧?

     大东:现在每家软件生产商多少都会留有后门,这个不必太过于担心,我们消费者应该多关心这些木马,选择一款知名度高,用户量大,木马库丰富的厂商,这些对我们个人计算机的安全防护能有很大的帮助。

     小白:回去我就试试~检查一下我加电脑的后门~~

     大东:还要经常检查,防患于未然。

     小白:知道啦~~

     五、话说漫威

     大东:来,小白,我给你讲一个月光骑士的故事……

     小白:大东东睡前故事开讲啦~

     大东:月光骑士,本名马克?史贝特(Marc Spector),出生于美国芝加哥的一个犹太家庭。他的父亲为了逃离纳粹德国入侵,从捷克斯洛伐克逃难至美国的拉比。

     小白:逃过一劫!

     大东:成年之后,马克拒绝继承父亲衣钵,成为了一名重量级拳击手。他父亲在一场比赛中试图阻止他,不料却被马克揍了一拳。隔天马克便加入了美国海军陆战队,之后再也没见过父亲。

     小白:从此恩断义绝!

    

     月光骑士

     大东:两年之后,马克成为美国中央情报局的实地干员,之后又离开中央情报局,马克成为了一名雇佣兵。

     小白:雇佣兵!感觉要黑化了!

     大东:在他的雇佣兵生涯期间,他制作了一种后门类木马程序——DarkKomet。该木马样本监控用户行为,并为攻击者开启系统后门,导致用户的信息被窃取,并将窃取到的信息发送给攻击者。

     小白:诶,这个故事告诉我们要听爸爸的话……

     大东:哈哈,小白你还真可爱。

     小白:故事讲完,回家找爸爸去咯~~

     来源:中国科学院计算技术研究所

    

    http://weixin.100md.com
返回 中科院之声 返回首页 返回百拇医药