正文描述:《“摆渡”木马原理与防范策略》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、“摆渡”木马原理与防范策略商晓燕11.解放军理工大学通信工程学院研究生1队江苏南京;210007Principlesof"FerryTrojan"andPreventionStrategiesSHANGXiaoYan11.PostgraduateTeam1ICE,PLAUST,Nanjing210007Abstract:Keywords:摘要:“摆渡”木马是一种利用可移动设备从与互联网物理隔离的内部网络中窃取文件资料的信息攻击的工具。论文从“摆渡”木马的原理入手,分析了“摆渡”木马的工作流程、启动方式和运行方
2、式,讨论了木马的隐蔽性与危害性,并提出了多种相应的防范策略,关键字:信息安全,“摆渡木马”,U盘病毒1引言随着信息技术的迅速发展和互联网的日益普及,给人们的生活带来了巨大的方便,在享受这些便利的同时,也面临着来至网络的各种安全威胁,如网络攻击、病毒、木马等。在全球互联网的形势下,信息安全至关重要,一个国家信息系统的失控和崩溃将导致整个国家的经济瘫痪,进而会影响到国家安全[1]。为此,政府机关、军队、银行、科研机构等重要部门和涉密单位出于信息安全的考虑,一般将单位自建的内部网络与互联网之间实施严格的物理隔离,而
3、U盘一度成为内、外网离线交换文件数据的首选工具,而“摆渡”木马因此应运而生,是一种专门针对移动存储设备,从与互联网物理隔离的内部网络中窃取文件资料的信息攻击手段。论文将主要介绍“摆渡”木马的工作原理及其防范策略。2“摆渡”木马原理“摆渡”木马是一种间谍人员定制的特殊木马,隐蔽性、针对性很强,一般只感染特定的计算机,普通杀毒软件和木马查杀工具难以及时发现,对国家重要部门和涉密单位的信息安全威胁巨大。1.1木马工作流程“摆渡”木马其感染机制与U盘病毒的传播机制完全一样,只是感染目标计算机后,它会尽量隐蔽自己的踪迹
4、,不会出现普通U盘病毒感染后的症状,如更改盘符图标,破坏系统数据等,它唯一的动作就是利用关键字匹配等手段扫描系统中的文件数据,并将敏感文件悄悄写回U盘中,一旦这个U盘再插入到连接互联网的计算机上,就会将这些敏感文件自动发送到互联网上指定的计算机中或者邮箱中,而且以后在被感染的计算机上使用的U盘都会感染“摆渡”木马。图2-1描述了木马的工作流程:图2-1“摆渡”木马工作流程在现实生活中,被河流隔断的两岸往往利用渡船进行摆渡实现相互交通,而“摆渡”木马就像内部网络和互联网的一条渡船,尽管没有连接互联网,但是秘密文
5、件还是不断的通过中了木马的U盘向外传播。如果木马利用内部网络感染所有局域网主机,后果将更加严重。1.2木马启动与运行方式2.2.1木马启动方式“摆渡”木马在本质上还是一种U盘病毒,其自启动方式还主要依赖于windows系统的的自动运行功能,当已感染木马的U盘被插入内部网络的计算机时时,由于自动播放功能的存在,木马文件自动运行,即实施了对被插入机器的感染并实施文件窃取。这种特性是通过U盘根目录下的Autorun.inf文件实现的,其中最隐蔽的Autorun.inf文件如下所示:[autorun]Open=“U盘
6、根目录下的木马文件的名称”Shellopen=打开(&O)ShellopenCommand=“U盘根目录下的木马文件的名称”ShellopenDefault=lShellaUtoplayDefault=2Shellautoplay=自动播放(&P)ShellautoplayCommand=“U盘根目录下的木马文件的名称”Shellexplore=资源管理器(&X)ShellexploreCommand=“U盘根目录下的木马文件的名称”之所以说这个Autorun.inf文件很隐蔽,是因
7、为该U盘被插入计算机上后时,不仅双击会运行木马程序,即使通过右键点击打开也会运行木马程序,而且用右键点击自动播放或者资源管理器同样会运行木马程序,此时使用U盘最好通过“我的电脑”地址栏下拉菜单打开。目前“摆渡”木马主要用的就是这种自启动方式。2.2.1木马运行方式“摆渡”木马程序启动后,往往利用各种进程隐藏技术达到伪装的目的,搜索文件时通过降低进程的优先级让用户感觉不到木马程序执行对内存的影响;在连接互联网向外发送文件时,通过进程注入,利用IE浏览器或一些系统关键进程向外发送,达到绕过防火墙的目的,隐蔽性非常
8、好[2]。1“摆渡”木马防范策略基本了解了“摆渡”木马的工作原理后,本节将给出几种防范策略。1.1关闭自动播放功能只要U盘中的木马程序没有自启动就不会执行,通过关闭系统自动播放功能可以达到这个目的,下面给出3中不同的方法。(1)shift关闭法:只需在插入移动硬盘时持续按住shift键,直到系统提示“设备可以使用”,然后打开U盘就能避免自动播放的执行,该方法简单、有效,适合临时的防范。(2)组策略关
显示全部收起
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。