不走尋常路的木馬

最新 10-13

編者按：網路空間安全近年來日漸成為公眾關注的焦點，中科院之聲特意邀請業內專家「大東」開設「大東話安全」專欄，以《安天威脅通緝令2016撲克牌》為線索，一張撲克牌對應一個網路病毒，講述54個不同的網路病毒和網路安全故事，以及如何進行針對性防禦的建議。

一、開場快板

小白：電腦安全我不愁，殺毒軟體我都有，高牆厚瓦防盜門，門口再栓只大狼狗。

大東：殺毒軟體人人有，個人信息常泄露，翻牆不靠登天梯，全靠後門有黑手。

二、病毒通緝令

小白：這位大叔穿成潛水員的模樣，準備點炮仗過年呢吧~

大東：我們小白剛開學就想著放假了？

小白：xixi，被發現了~~那大東東，這張牌講的是啥呀？

大東：這是 DarkKomet，是一種後門類木馬程序。該家族樣本監控用戶行為，並為攻擊者開啟系統後門，導致用戶的信息被竊取，並將竊取到的信息發送給攻擊者。同時還可以下載其他惡意軟體。

小白：還挺「大公無私」，為其他同伴奉獻後門呢~

三、不走尋常路的木馬

小白：大東東，我今天看新聞說，外國黑客通過後門進入政府機構網站篡改了一些文件。什麼是後門呢？

大東：你說的是後門木馬進行攻擊吧。後門木馬種類繁多，我今天就拿 DarkKomet 這個後門木馬給你說說後門是啥情況。

小白：東哥大講堂，前排兜售瓜子花生小馬扎~

來自後門的你

大東：咳咳，正經的。首先 DarkKomet 是一類後門木馬程序的總稱，主要功能主要是對用戶行為進行監控，並為攻擊者開啟系統後門，竊取用戶信息，並將竊取的信息發送給攻擊者，同時還可以下載其他惡意軟體。

DarkKomet 類木馬一覽

小白：大東東，這好像和木馬攻擊沒啥區別啊！

大東：後門是程序開發者為了完善自己設計的程序這一目的開設的特殊介面，可以理解成一個通道，便於自己對程序進行修改，一般都擁有最高許可權。而木馬是利用後門或已發現的漏洞非法入侵用戶的計算機，從事侵害用戶利益的活動。二者的目的還是有區別的。

殺毒軟體木馬檢查結果界面

每天木馬在後門盯著你們呢

小白：那 DarkKomet 是怎麼竊取用戶信息呢？

大東：DarkKomet 後門程序旨在使惡意用戶遠程控制受感染的計算機。在功能方面，後門程序類似於許多由軟體開發人員設計和分發的管理系統。這些類型的惡意程序使得有可能在受感染的計算機上肆意妄為，比如發送和接收文件，啟動文件或刪除它們，顯示消息，刪除數據，重新啟動計算機等。也有程序是為了聯合一組受害者計算機，形成殭屍網路。這使得惡意用戶可以集中控制一批受感染的計算機，然後將其用於犯罪目的。

小白：這後門程序用途還不小啊！

大東：由於後門是當初系統開發人員留下的，所以不少安全軟體對後門的防護也不是很到位，造成的結果就是後門很容易成為木馬攻擊的突破口。而後門發起的木馬攻擊危害性和影響範圍也更大，根據卡巴斯基實驗室的報告顯示，僅2014年7月24日至2015年7月27日的一年間，DarkKomet 的攻擊範圍遍布全球，其中，俄羅斯收到的攻擊次數是最多的。