Red de conocimiento informático - Conocimiento del nombre de dominio - Necesito una respuesta urgente

Necesito una respuesta urgente

¿Qué es un caballo de Troya?

El caballo de Troya (en adelante, caballo de Troya) se llama "Trojan House" en inglés y su nombre proviene del caballo de Troya de la mitología griega.

Es una herramienta de piratería basada en control remoto y tiene las características de ocultación y no autorización.

El llamado ocultamiento significa que para evitar que el troyano sea descubierto, los diseñadores del troyano utilizarán varios medios para ocultarlo, incluso si se descubre que el servidor está en peligro. infectado con el troyano, sólo puede sentirse decepcionado porque no se puede determinar su ubicación específica.

El llamado no autorizado significa que una vez que el terminal de control está conectado al servidor, el terminal de control tendrá la mayoría de los derechos operativos del servidor, incluida la modificación de archivos, la modificación del registro, el control del mouse y el teclado, etc. , y estos derechos no los otorga el servidor, sino que los roba el programa troyano.

Desde la perspectiva del desarrollo del caballo de Troya, se puede dividir básicamente en dos etapas.

Al principio, la red todavía estaba en la época de la plataforma UNIX y surgieron los caballos de Troya. En ese momento, las funciones de los programas troyanos eran relativamente simples. A menudo incrustaban un programa en archivos del sistema y utilizaban instrucciones de salto para realizar algunas funciones del troyano. Durante este período, la mayoría de los diseñadores y usuarios de troyanos eran personal técnico, que debía tener conocimientos considerables de redes y programación.

Luego, con la creciente popularidad de la plataforma WINDOWS, han aparecido algunos programas troyanos basados ​​en operaciones gráficas. La mejora de la interfaz de usuario permite a los usuarios operar caballos de Troya de manera competente sin tener demasiados conocimientos profesionales. Las intrusiones de caballos de Troya relativamente frecuentes también aparecen con frecuencia y, debido a que las funciones de los caballos de Troya se vuelven cada vez más perfectas durante este período, causan un daño mayor al servidor.

Así que, a medida que el caballo de Troya se ha desarrollado hasta el día de hoy, ha hecho todo lo que puede. Una vez controlada por un caballo de Troya, a su computadora no le quedan secretos.

En vista del enorme daño de los caballos de Troya, los presentaremos en detalle en tres partes: artículo original, defensa y contraataque e información. Espero que todos tengan un conocimiento sólido de los caballos de Troya como medio de ataque.

Texto original

Conocimientos básicos

Antes de presentar los principios del caballo de Troya, debemos explicar algunos conocimientos básicos del caballo de Troya de antemano, porque hay Hay muchas cosas que mencionar a continuación sobre estos contenidos.

Un sistema troyano completo consta de una parte de hardware, una parte de software y una parte de conexión específica.

(1) Parte de hardware: la entidad de hardware necesaria para establecer una conexión troyana. Terminal de control: La parte que controla remotamente el servidor. Servidor: La parte controlada remotamente por el terminal de control. Internet: Portador de red para control remoto y transmisión de datos desde el terminal de control al terminal de servicio.

(2) Parte de software: el programa de software necesario para realizar el control remoto. Programa de terminal de control: programa utilizado por el terminal de control para controlar remotamente el servidor. Caballo de Troya: programa que se infiltra en un servidor y obtiene acceso a sus operaciones. Programa de configuración de troyanos: un programa que establece números de puerto, condiciones de activación, nombres de troyanos, etc. Hazlo mejor oculto en el servidor.

(3) Parte específica de conexión: los elementos necesarios para establecer un canal troyano entre el servidor y el terminal de control a través de Internet. IP de control e IP del servidor: Las direcciones de red del control y del servidor también son los destinos para la transmisión de datos por parte de los caballos de Troya. Puerto de control, puerto del caballo de Troya: la entrada de datos del extremo de control y del extremo del servidor, a través de la cual los datos pueden llegar directamente al programa del extremo de control o al programa del caballo de Troya.

Caballo de Troya

El uso de Trojan como herramienta de piratas informáticos para llevar a cabo una intrusión en la red se puede dividir aproximadamente en seis pasos (consulte la figura a continuación para obtener más detalles). Expongamos los principios del ataque de los troyanos basándonos en estos seis pasos.

1. Configurar el caballo de Troya

En general, un troyano bien diseñado tiene un programa de configuración de troyano. A juzgar por el contenido de configuración específico, implementa principalmente las dos funciones siguientes:

(1) Camuflaje de troyano: para ocultar el troyano lo mejor posible en el servidor, el programa de configuración de troyano utilizará varios métodos de camuflaje. Por ejemplo, modificar iconos, vincular archivos, personalizar puertos, autodestruirse, etc. Cubriremos esto en detalle en la sección "Propagación de troyanos".

(2) Comentarios de información: el programa de configuración del troyano establecerá el método o la dirección de los comentarios de información, como configurar la dirección de correo electrónico, el número de IRC, el número de ICO, etc. para los comentarios de información. Cubriremos los detalles en la sección "Comentarios".

Dos.

Difusión de troyanos

(1) Método de transmisión:

Hay dos formas principales de propagar virus troyanos: una es a través del correo electrónico y el terminal de control envía el programa troyano como un archivo adjunto. puede infectarse con virus troyanos simplemente abriendo el sistema de archivos adjuntos; otro son las descargas de software. Algunos sitios web informales vinculan troyanos a programas de instalación de software con el pretexto de proporcionar descargas de software. Después de la descarga, estos programas instalarán automáticamente el troyano tan pronto como se ejecuten.

(2) Modo de camuflaje:

En vista de la nocividad de los troyanos, muchas personas todavía tienen cierta comprensión de los troyanos, lo que tiene un cierto efecto inhibidor sobre la propagación de los troyanos. Esto es un troyano. El diseñador no quiere verlo. Por lo tanto, desarrollaron varias funciones para disfrazar los troyanos para reducir la vigilancia de los usuarios y engañarlos.

(1) Modificar el ícono

Cuando ves este ícono en un archivo adjunto de correo electrónico, ¿crees que es un archivo de texto? Pero te digo que podría ser un troyano. Ahora existen troyanos que pueden cambiar los íconos de los programas de servidor troyanos en íconos de varios archivos como HTML, TXT, ZIP, etc. Esto es bastante confuso, pero actualmente no hay muchos troyanos que proporcionen esta función, y este disfraz no es Impecable y no requiere modificación. El cielo se llena de miedo y sospecha.

(2) Archivo de paquete

Este método de disfraz consiste en vincular el caballo de Troya a un programa de instalación. Cuando se ejecuta el instalador, el troyano se cuela en el sistema sin que el usuario lo sepa. En cuanto a los archivos incluidos, generalmente son archivos ejecutables (es decir, EXE, COM y otros archivos).

(3) Visualización de errores

Cualquiera que tenga ciertos conocimientos sobre caballos de Troya sabe que si no hay respuesta al abrir un archivo, probablemente se trate de un programa troyano, y los diseñadores Los caballos de Troya también son conscientes de este defecto y algunos troyanos proporcionan una función llamada visualización de errores. Cuando el usuario del servidor abre el programa Muma, aparecerá un cuadro de mensaje de error como el que se muestra a continuación (por supuesto que es falso). El contenido del error se puede definir libremente y la mayoría de ellos se personalizarán con un mensaje como "¡El archivo está dañado y no se puede abrir!". Cuando el usuario del servidor cree que es cierto, el caballo de Troya ha invadido silenciosamente el sistema.

(4) Puertos personalizados

Muchos puertos troyanos antiguos están reparados, lo que facilita determinar si el troyano está infectado. Solo necesita verificar un puerto específico para saber con qué está infectado el troyano, por lo que ahora muchos troyanos nuevos han agregado la función de personalizar el puerto. Los usuarios en el lado de control pueden elegir cualquier puerto entre 1024-65535 como puerto del troyano (generalmente). no elija 1024 Los siguientes puertos) para determinar el estado de infección.

(5)Autodestrucción

Esta función es para compensar un defecto del caballo de Troya. Sabemos que cuando un usuario del servidor abre un archivo que contiene un caballo de Troya, el caballo de Troya se copiará a sí mismo en la carpeta del sistema WINDOWS (en el directorio C:\WINDOWS o C:\WINDOWS\SYSTEM). En términos generales, el archivo troyano original en la carpeta del sistema tiene el mismo tamaño que el archivo troyano (excepto el archivo troyano incluido), por lo que los amigos que han sido atacados por troyanos solo necesitan verificar las cartas recibidas recientemente y el software descargado. caballo de Troya original y luego vaya a la carpeta del sistema para buscar un archivo del mismo tamaño según el tamaño del caballo de Troya original. La función de autodestrucción del troyano significa que después de instalar el troyano, el archivo troyano original se destruirá automáticamente. Por lo tanto, es difícil para los usuarios del servidor encontrar el origen del troyano y es difícil eliminarlo sin utilizar el troyano. herramientas para matar.

(6) Cambio de nombre del troyano

Los nombres de los archivos troyanos instalados en la carpeta del sistema generalmente son fijos, por lo que solo necesita buscar en la carpeta del sistema de acuerdo con algunos artículos sobre cómo eliminar troyanos. Con archivos específicos puede determinar qué troyanos le han atacado. Por lo tanto, muchos troyanos ahora permiten a los usuarios del control personalizar libremente el nombre del archivo troyano instalado, lo que dificulta determinar el tipo de troyano infectado.

Paso 3: ejecutar el troyano

Después de que el usuario del servidor ejecute el troyano o el programa que lo vincula, el troyano se instalará automáticamente.

Primero cópiese a la carpeta del sistema de WINDOWS (directorio C:\WINDOWS o C:\WINDOWS\SYSTEM) y luego configure las condiciones de activación del troyano en el registro, el grupo de inicio y el grupo que no es de inicio, completando así el troyano. Instalar. Después de la instalación, puede iniciar el troyano. El proceso específico se muestra en la siguiente figura:

(1) El caballo de Troya se activa mediante la condición de activación

La condición de activación se refiere a la condición que activa el caballo de Troya, que generalmente aparece en los siguientes ocho lugares:

1. Registro: abra los cinco valores de clave principal de Run y ​​RunServices en HKEY_local_machine\software\Microsoft\Windows\Current Version\ y busque los valores de clave. que puede usarse para iniciar el caballo de Troya.

2.win.ini:c:\ Hay un archivo de configuración win.ini en el directorio de Windows, que se puede abrir en modo texto. En el campo [Windows], hay comandos de inicio cargar = y ejecutar =, que generalmente están vacíos. Si hubiera un iniciador, podría ser un caballo de Troya. 3.system.ini: C:\tiene un sistema de archivos de configuración. ini, que se abre como texto. Hay líneas de comando en [386Enh], [mic] y [drivers32] donde se puede encontrar el comando de inicio del troyano.

4.Autoexec.bat y config. Estos dos archivos en el directorio raíz de la unidad sys:c también pueden iniciar troyanos. Sin embargo, este método de carga generalmente requiere que el usuario en el extremo de control establezca una conexión con el servidor y luego cargue el archivo con el mismo nombre en el servidor para sobrescribir los dos archivos.

5.*.INI: Archivo de configuración de inicio de la aplicación. El terminal de control utiliza la función de estos archivos para iniciar el programa y carga el archivo con el mismo nombre que el comando de inicio del troyano al servidor para sobrescribir el archivo con el mismo nombre e iniciar el troyano.

6. Registro: abra HKEY_Class_Root\FileType\Shell\Open\Command Primary Key para ver el valor de su clave. Por ejemplo, el troyano doméstico "Glacier" modifica el valor clave en HKEY_classes_root\txt file\shell\open\command y cambia "C:\WINDOWS\NOTEPAD.EXE %1" a "c:\Windows\system\ syxxxplr.exe". También cabe señalar que no sólo se pueden iniciar archivos TXT, sino también troyanos modificando los valores de las claves de comando de inicio de HTML, EXE, ZIP y otros archivos. La única diferencia es la clave principal "Tipo de archivo". TXT es TXTFile, ZIP es WINZIP, puedes intentar encontrarlo.

7. Agrupar archivo: para lograr esta condición de activación, el extremo de control y el servidor primero deben establecer una conexión a través de un troyano, y luego el usuario del extremo de control utiliza una herramienta de software para agrupar el archivo troyano. una aplicación y luego cargarla en El servidor sobrescribe el archivo original, de modo que incluso si se elimina el troyano, se reinstalará cada vez que se ejecute la aplicación incluida con el troyano.

8. Menú de inicio: puede haber condiciones de activación del caballo de Troya en la opción "Inicio-Programa-Inicio".

(2) El proceso de ejecución del caballo de Troya

Después de activar el troyano, ingresa a la memoria y abre el puerto troyano predefinido, preparándose para establecer una conexión con el terminal de control. . En este punto, el usuario del servidor puede escribir NETSTAT -AN en modo MS-DOS para verificar el estado del puerto. Generalmente, los puertos no se abren cuando una PC está desconectada. Si hay un puerto abierto, preste atención a si está infectado con troyanos. Los siguientes son dos ejemplos del uso del comando NETSTAT para verificar el puerto después de que la computadora está infectada con troyanos:

Donde ① es el estado de visualización cuando se establece la conexión entre el servidor y el terminal de control, ② es el estado entre el servidor y el terminal de control Muestra el estado cuando la conexión aún no se ha establecido.

En el proceso de navegación por Internet, debes abrir algunos puertos para descargar software, enviar cartas, chatear online, etc.

Los siguientes son algunos puertos de uso común:

(1) Puertos entre 1 y 1024: estos puertos se denominan puertos reservados y se usan especialmente para algunos programas de comunicación externos, como FTP que usa 21 y SMTP que usa 25. usando 110 POP3, etc. Sólo unos pocos troyanos utilizan puertos reservados como puertos troyanos.

(2) Puertos serie superiores a 1025: al navegar por Internet, el navegador abrirá varios puertos serie para descargar texto e imágenes al disco duro local. Todos estos puertos son puertos serie superiores a 1025.

(3) Puerto 4000: Este es el puerto de comunicación de OICQ.

(4) Puerto 6667: Este es el puerto de comunicación de IRC. A excepción de los puertos mencionados anteriormente, básicamente se pueden descartar. Si descubre que hay otros puertos abiertos, especialmente puertos con valores mayores, debe sospechar si está infectado con un troyano. Por supuesto, si el troyano tiene la función de personalizar puertos, cualquier puerto puede ser un puerto de troyano.

Cuatro. Fuga de información:

En términos generales, los troyanos bien diseñados tienen mecanismos de retroalimentación de información. El llamado mecanismo de retroalimentación de información significa que después de que el caballo de Troya se haya instalado exitosamente, recopilará cierta información de software y hardware del servidor y notificará al usuario final del control a través de CORREO ELECTRÓNICO, IRC o ICO. La siguiente imagen es un correo electrónico típico de comentarios de información.

A partir de este correo electrónico, podemos conocer cierta información de software y hardware del servidor, incluido el sistema operativo, el directorio del sistema, la partición del disco duro, la contraseña del sistema, etc. Entre esta información la más importante es la IP del servidor, pues sólo obteniendo este parámetro el terminal de control podrá establecer conexión con el servidor. Explicaremos el método de conexión específico en la siguiente sección.

Verbo (abreviatura de verbo) para establecer una conexión:

En esta sección explicaremos cómo se establece una conexión troyana. Para establecer una conexión con el caballo de Troya, primero se deben cumplir dos condiciones: primero, el programa del caballo de Troya se ha instalado en el servidor; segundo, el terminal de control y el servidor deben estar en línea; De esta forma, el terminal de control puede establecer una conexión con el servidor a través del puerto troyano. Para facilitar la explicación, lo ilustramos en forma de ilustraciones.

Como se muestra en la imagen de arriba, la máquina A es el terminal de control y la máquina B es el servidor. Para que la máquina A establezca una conexión con la máquina B, es necesario conocer el puerto troyano y la dirección IP de la máquina B. Debido a que el puerto troyano lo configura la máquina A de antemano y es un elemento conocido, lo más importante es cómo Para obtener la dirección IP de la máquina B, hay dos formas principales de obtener la dirección IP de la máquina B: retroalimentación de información y escaneo de IP. En cuanto al primero, se introdujo en la sección anterior, por lo que no entraré en detalles aquí. Nos centraremos en el escaneo de IP. Debido a que la máquina B tiene un programa troyano, su puerto troyano 7626 está abierto, por lo que ahora la máquina A solo necesita escanear los hosts con el puerto 7626 abierto en el segmento de dirección IP. Por ejemplo, la dirección IP de la máquina B en la imagen es 202.102.47.56. Cuando la computadora A escanea la IP y descubre que su puerto 7626 está abierto, la IP se agregará a la lista. En este momento, la computadora A puede enviar una señal de conexión a la computadora B a través del programa de terminal de control troyano. El programa troyano en la computadora B responderá inmediatamente después de recibir la señal. Cuando la computadora A recibe la señal de respuesta, abrirá un puerto aleatorio 1031 para establecer una conexión con el puerto troyano 7626 de la computadora B. En este punto, la computadora B se conectará con el puerto troyano 7626. Vale la pena mencionar que escanear todo el rango de direcciones IP obviamente requiere mucho tiempo y es laborioso. En términos generales, el terminal de control primero obtiene la dirección IP del servidor a través de retroalimentación de información. Porque la IP para el acceso telefónico a Internet es dinámica, es decir, la IP que utilizan los usuarios para acceder a Internet es diferente cada vez, pero esta IP cambia dentro de un cierto rango. Como se muestra en la figura, la IP de la computadora B es 202.438+002.47.56. Entonces el rango de IP de la computadora B es 202.102.000.000-202.102.255, por lo que el terminal de control puede encontrar la computadora B cada vez que busca este segmento de dirección IP.

Verbo intransitivo control remoto:

Después de establecer la conexión troyana, aparecerá un canal entre el puerto de control y el puerto troyano como se muestra a continuación.

El programa del terminal de control en el terminal de control puede contactar al programa troyano en el servidor a través de este canal y controlar remotamente el servidor a través del programa troyano. A continuación se presentan los derechos de control específicos que puede disfrutar el terminal de control, que son mucho mayores de lo que imagina.

(1) Robo de contraseñas: los troyanos pueden detectar todo el texto sin formato* o las contraseñas almacenadas en caché. Además, muchos troyanos también proporcionan una función de grabación de pulsaciones de teclas, que registrará cada pulsación de tecla en el servidor, de modo que una vez que un troyano invade, la contraseña puede ser robada fácilmente.

(2) Operación de archivos: el terminal de control puede eliminar, crear, modificar, cargar, descargar, ejecutar, cambiar propiedad y otras operaciones en archivos en el servidor a través de control remoto, cubriendo básicamente todas las operaciones en WINDOWS. Funciones de operación de archivos de la plataforma.

(3) Modificar el registro: el extremo de control puede modificar el registro del servidor a voluntad, incluida la eliminación, creación o modificación de claves primarias, subclaves y valores de clave. A través de esta función, el terminal de control puede prohibir el uso de la unidad de disquete y de la unidad de CD-ROM en el servidor, bloquear el registro en el servidor y configurar las condiciones de activación del caballo de Troya en el servidor para que estén más ocultas.

(4) Operación del sistema: este contenido incluye reiniciar o apagar el sistema operativo del servidor, desconectar la red del servidor, controlar el mouse y el teclado del servidor, monitorear las operaciones del escritorio del servidor, verificar el progreso del servidor, etc. El terminal de control puede incluso enviar mensajes al servidor en cualquier momento. Imagínese cuando de repente aparece un párrafo en el escritorio del servidor, no es sorprendente.