摆渡木马原理与防范策略.docx
《摆渡木马原理与防范策略.docx》由会员分享,可在线阅读,更多相关《摆渡木马原理与防范策略.docx(13页珍藏版)》请在冰豆网上搜索。
摆渡木马原理与防范策略
“摆渡”木马原理与防范策略
商晓燕1
1.解放军理工大学通信工程学院研究生1队江苏南京;210007
Principlesof"FerryTrojan"andPreventionStrategies
SHANGXiaoYan1
Team1ICE,PLAUST,Nanjing210007
Abstract:
Keywords:
摘要:
“摆渡”木马是一种利用可移动设备从与互联网物理隔离的内部网络中窃取文件资料的信息攻击的工具。
论文从“摆渡”木马的原理入手,分析了“摆渡”木马的工作流程、启动方式和运行方式,讨论了木马的隐蔽性与危害性,并提出了多种相应的防范策略,
关键字:
信息安全,“摆渡木马”,U盘病毒
1引言
随着信息技术的迅速发展和互联网的日益普及,给人们的生活带来了巨大的方便,在享受这些便利的同时,也面临着来至网络的各种安全威胁,如网络攻击、病毒、木马等。
在全球互联网的形势下,信息安全至关重要,一个国家信息系统的失控和崩溃将导致整个国家的经济瘫痪,进而会影响到国家安全[1]。
为此,政府机关、军队、银行、科研机构等重要部门和涉密单位出于信息安全的考虑,一般将单位自建的内部网络与互联网之间实施严格的物理隔离,而U盘一度成为内、外网离线交换文件数据的首选工具,而“摆渡”木马因此应运而生,是一种专门针对移动存储设备,从与互联网物理隔离的内部网络中窃取文件资料的信息攻击手段。
论文将主要介绍“摆渡”木马的工作原理及其防范策略。
2“摆渡”木马原理
“摆渡”木马是一种间谍人员定制的特殊木马,隐蔽性、针对性很强,一般只感染特定的计算机,普通杀毒软件和木马查杀工具难以及时发现,对国家重要部门和涉密单位的信息安全威胁巨大。
2.1木马工作流程
“摆渡”木马其感染机制与U盘病毒的传播机制完全一样,只是感染目标计算机后,它会尽量隐蔽自己的踪迹,不会出现普通U盘病毒感染后的症状,如更改盘符图标,破坏系统数据等,它唯一的动作就是利用关键字匹配等手段扫描系统中的文件数据,并将敏感文件悄悄写回U盘中,一旦这个U盘再插入到连接互联网的计算机上,就会将这些敏感文件自动发送到互联网上指定的计算机中或者邮箱中,而且以后在被感染的计算机上使用的U盘都会感染“摆渡”木马。
图2-1描述了木马的工作流程:
图2-1“摆渡”木马工作流程
在现实生活中,被河流隔断的两岸往往利用渡船进行摆渡实现相互交通,而“摆渡”木马就像内部网络和互联网的一条渡船,尽管没有连接互联网,但是秘密文件还是不断的通过中了木马的U盘向外传播。
如果木马利用内部网络感染所有局域网主机,后果将更加严重。
2.2木马启动与运行方式
木马启动方式
“摆渡”木马在本质上还是一种U盘病毒,其自启动方式还主要依赖于windows系统的的自动运行功能,当已感染木马的U盘被插入内部网络的计算机时时,由于自动播放功能的存在,木马文件自动运行,即实施了对被插入机器的感染并实施文件窃取。
这种特性是通过U盘根目录下的文件实现的,其中最隐蔽的文件如下所示:
[autorun]
Open=“U盘根目录下的木马文件的名称”
Shell\open=打开(&O)
Shell\open\Command=“U盘根目录下的木马文件的名称”
Shell\open\Default=l
Shell\aUtoplay\Default=2
Shell\autoplay=自动播放(&P)
Shell\autoplay\Command=“U盘根目录下的木马文件的名称”
Shell\explore=资源管理器(&X)
Shell\explore\Command=“U盘根目录下的木马文件的名称”
之所以说这个文件很隐蔽,是因为该U盘被插入计算机上后时,不仅双击会运行木马程序,即使通过右键点击打开也会运行木马程序,而且用右键点击自动播放或者资源管理器同样会运行木马程序,此时使用U盘最好通过“我的电脑”地址栏下拉菜单打开。
目前“摆渡”木马主要用的就是这种自启动方式。
木马运行方式
“摆渡”木马程序启动后,往往利用各种进程隐藏技术达到伪装的目的,搜索文件时通过降低进程的优先级让用户感觉不到木马程序执行对内存的影响;在连接互联网向外发送文件时,通过进程注入,利用IE浏览器或一些系统关键进程向外发送,达到绕过防火墙的目的,隐蔽性非常好[2]。
3“摆渡”木马防范策略
基本了解了“摆渡”木马的工作原理后,本节将给出几种防范策略。
3.1关闭自动播放功能
只要U盘中的木马程序没有自启动就不会执行,通过关闭系统自动播放功能可以达到这个目的,下面给出3中不同的方法。
(1)shift关闭法:
只需在插入移动硬盘时持续按住shift键,直到系统提示“设备可以使用”,然后打开U盘就能避免自动播放的执行,该方法简单、有效,适合临时的防范。
(2)组策略关闭法:
XPprofessional系统下,在“开始-运行”中输入打开组策略,依次展开“计算机配置-管理模块-系统”,找到“关闭自动播放”,单击右键点属性,选择“已启用”和“所有驱动器”,点确定即可,如图3-1所示。
在VISTA系统下,稍有不同,打开控制面板-自动播放CD或其他媒体,在“自动播放”窗口中不选中“为所有媒体和设备使用自动播放”的复选框。
在XPHomeEdit下,由于没有组策略管理,该方法无效。
(3)修改注册表关闭法:
在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer与HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,找到“NoDriveTypeAutoRun”和“ClassicShell”。
这两个键决定了是否执行U盘的AutoRun功能,依次分别赋值255、01即可。
图3-1组策略关闭自动播放
3.2修改权限策略
在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Mount-Points2,右键点MountPoints2选择权限,依次点击“安全中的用户和组”,在下面的权限中都改成拒绝,刷新一遍,此后即使U盘有木马也不会激活,双击U盘会正常进入U盘。
3.3免疫策略
在根目录下建立一个文件夹,名字就叫,并设定为只读属性,由于Windows规定在同一目录中,同名的文件和文件夹不能共存,这样就无法创建文件了,即使你双击盘符,也不会运行病毒。
3.4物理免疫策略
物理隔绝是最彻底防范策略,上网的计算机和办公的计算机严格分开。
如果可能用可擦写刻录机下载数据,不要用移动存储设备;如果一定要用,购买专门用于拷贝上网数据的专用U盘,必须带写保护,该U盘插到个人电脑上时候,写保护一定要处于不可写的状态,只有这样才能保证数据只有从上网机器——>个人机器的单向流通,能够在一定程度上预防泄密的发生。
同时,还要建立内部网络监控机制,严禁非注册U盘在网络中使用。
4总结与建议
论文阐述了“摆渡”木马的原理,分析了木马的工作流程、启动和运行方式,并提出了相应的预防策略。
这种木马隐蔽性强,普通杀毒软件和木马查杀工具难以及时发现,对国家重要部门和涉密单位的信息安全威胁巨大,各单位应该建立强大的安全防范措施,建立内部网络监控机制,减少U盘使用,预防“摆渡”木马等安全威胁,最大限度的防止泄密事件的发生。
参考文献:
[1]张世永.网络安全原理与应用[M].北京:
科学出版社,2003.
[2]孙淑华,马恒太,张楠,卿斯汉.内核级木马隐藏技术研究与实践[J]微电子学与计算机,
2004,(03).
基于数据二极管技术的摆渡木马防御研究
发表时间:
2011-4-29中国软件来源:
e-works
关键字:
电子文件安全摆渡木马数据二极管访问控制
信息化应用调查我要找茬在线投稿加入收藏发表评论好文推荐打印文本
电子文件具有易复制和易传播的特点,如何防止电子文件被恶意窃取和传播,是电子文件安全面临的突出难题。
本文针对借助移动存储介质入侵的摆渡木马进行阐述,提出防护摆渡木马的方法。
通过访问控制技术和数据二极管技术,实现数据流的单向传输,为电子文件的共享和交流建立安全屏障,从根本上解决摆渡木马恶意窃取、传播文件的问题,从而保证电子文件的安全。
引言
随着国家信息化建设的不断发展,电子文件作为信息的载体,已在日常工作中占据很大的比重。
电子文件交流和共享,如网络传输,已成为主要的信息交流方式,而电子文件的安全性,也成为当今安全领域面临的巨大挑战。
为保证电子文件的安全,防止网络传输过程中受到木马等病毒的感染以及因此造成的泄密,国家保密局颁布的BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》和公安部提出的《信息系统等级保护安全设计技术要求》都有对不同等级系统的防护提出了要求,对计算机与互联网实行物理隔离。
目前大多数的政府机关、军队的内外网络均采用物理隔离的方式保护信息的安全性。
但在物理隔离的同时,也形成了内外网络之间的信息孤岛,两网之间的信息交换,只能通过移动存储介质来实现。
目前,软盘、优盘、移动硬盘等移动存储介质的广泛应用,给工作带来极大便利的同时,也带来不容忽视的安全保密问题。
移动存储介质被植入“摆渡”功能木马病毒程序就是其中之一。
该“摆渡”木马病毒利用移动存储介质作为“渡船”,达到间接从内网中秘密窃取文件资料的目的,从而给内网的信息安全造成极大的威胁。
如何彻底解决摆渡木马的问题,是当前保密工作中目前的一个严重的问题。
针对该问题,本文提出了一种防御摆渡木马的思路和方法。
1摆渡木马问题
摆渡木马就是指存在于移动存储介质中的木马。
其传播、窃取信息的过程如图1所示:
1)当移动存储介质在未知安全性的外网计算机(已被植入摆渡型木马)使用时,木马自我复制到移动存储介质中;
2)当感染病毒的移动存储介质接入内网计算机后,木马自动运行并就植入到被接入的计算机中;
3)该木马搜索计算机内的涉密信息;
4)已植入内网计算机的木马,一旦发现有移动存储介质连接到当前计算机上,即感染此介质,同时将收集到的信息作为隐藏的秘密文件写入存储介质;
5)当隐藏秘密文件的移动存储介质连接到外网计算机时,潜伏在外网计算机中的木马读取存储介质中的隐藏文件,通过网络发送到窃密者,窃密者可远程下载信息。
图1摆渡木马窃取传播信息示意图
作为一种特殊的木马;摆渡木马的感染机制与优盘病毒的传播机制完全一样,只是感染目标计算机后,它会尽量隐蔽自己的踪迹,不会出现普通优盘病毒感染后的症状:
如更改盘符图标,破坏系统数据,在弹出菜单中添加选项等。
摆渡木马唯一的动作就是扫描系统中的文件数据,利用关键字匹配等手段将敏感文件悄悄写回移动存储介质中。
一旦这个移动存储介质再插入到连接互联网的计算机上,就会将这些敏感文件自动发送到互联网上指定的计算机中。
2当前的摆渡木马防御方法
摆渡木马是一种间谍人员定制的木马,隐蔽性、针对性很强,一般只感染特定的计算机,普通杀毒软件和木马查杀工具难以及时发现,这对国家重要部门和涉密单位的信息安全造成极大的威胁。
自2005年在网络中首次截获摆渡木马以来;很多单位的安全保密部门在做内部网络安全检测时,陆续发现了许多同类木马。
针对摆渡木马而造成的泄密,目前,主要防御方法有如下三种:
(1)移动存储介质只读控制;
(2)移动存储介质加密控制;(3)涉密数据加密控制。
(1)移动存储介质只读控制
移动存储介质只读控制是指限制移动存储介质只读,防止内容写入移动存储介质。
这种方式从表面上分析,可以阻止摆渡木马将内网计算机中的涉密信息写到移动存储介质中。
实际上,移动存储介质的只读开关易被再次打开。
当只读开关被打开,移动存储介质的只读控制失去作用,从而给摆渡木马以可乘之机,再次从内网中窃取涉密信息。
(2)移动存储介质加密控制
移动存储介质加密控制是指文件在写入移动存储介质后,将被自动加密。
读取移动存储介质中的文件时,文件被自动解密,从而实现对涉密信息的保护。
摆渡木马将涉密信息写入移动存储介质的方式具有多样性,如通过文件系统写入和通过底层协议写入。
不同的写入方式,使得摆渡木马可能逃脱移动存储介质加密的屏障,直接将未加密的信息秘密写入移动存储介质中,从而造成内部数据的泄密。
本文为e-works原创投稿文章,未经e-works书面许可,任何人不得复制、转载、摘编等任何方式进行使用。
如已是e-works授权合作伙伴,应在授权范围内使用。
e-works内容合作伙伴申请热线tel:
/20/21。
(3)涉密数据加密控制
涉密数据加密控制,是指在内网计算机中,涉密信息即以加密状态存在。
当被植入摆渡木马的移动存储介质接入内网计算机中时,木马从内网计算机中收集到的数据均是加密的。
加密数据即使被摆渡木马通过移动存储介质传递到外网,窃取者也难以获取到真实内容。
涉密数据加密控制,从安全性考虑,其对摆渡木马具有较大程度上的防御。
加密的数据被传播到外网,在未知密钥的情况下破解加密数据,具有较大的难度。
但是,随着计算机硬件日新月异的发展,计算机的计算能力将得到飞速的提高。
在计算机快速发展前提下,加密数据被破解的风险将日渐增大,一旦加密数据被破解,则摆渡木马将陆续转移内网加密数据,并造成数据的泄密。
综上所述,移动存储介质只读控制、移动存储介质加密控制以及涉密数据加密控制,均无法彻底改变摆渡木马窃取涉密数据的局面。
本文通过数据二极管技术,结合访问控制技术,建立防御摆渡木马的方法,从根本上解决电子文件共享过程中的安全性问题,有效杜绝内部涉密数据被恶意窃取的问题。
3基于数据二极管的防御方法
基于数据二极管技术的防御,是在结合访问控制技术的基础上,建立的防御摆渡木马的方法。
本文将从访问控制和数据二极管两个方面,对防御方法进行阐述。
访问控制
传统的访问控制模型,可分为自主访问控制DAC(DiscretionaryAccessControl)和强制访问控制MAC(MandatoryAccessControl)[1]。
(1)自主访问控制DAC
自主访问控制DAC是在确认主体身份以及它们所属组的基础上对访问进行限制的一种方法。
自主访问的含义是指访问许可的主体能够向其他主体转让访问权。
在基于DAC的系统中,主体的拥有者负责设置访问权限。
而作为许多操作系统的副作用,一个或多个特权用户也可以改变主体的控制权限[1]。
自主访问控制的一个最大问题是主体的权限太大,造成敏感信息被有意或者无意地泄漏,也无法防止特洛伊木马的攻击。
(2)强制访问控制MAC
强制访问控制MAC是一种强加给访问主体(即系统强制主体服从访问控制策略)的一种访问方式,它利用上读/下写来保证数据的完整性,利用下读/上写来保证数据的保密性[1]。
强制访问控制的安全模型包括Bell-Lapadula安全模型和Biba安全模型,如图2所示。
依据Bell-Lapadula安全模型所制定的原则是利用不上读/不下写来保证数据的保密性。
即不允许低信任级别的用户读高敏感度的信息,也不允许高敏感度的信息写入低敏感度区域,禁止信息从高级别流向低级别。
强制访问控制通过这种梯度安全标签实现信息的单向流通。
依据Biba安全模型所制定的原则是利用不下读/不上写来保证数据的完整性。
在实际应用中,完整性保护主要是为了避免应用程序修改某些重要的系统程序或系统数据库。
图2Bell-Lapadula和Biba安全模型[1]
本文结合强制访问控制的Bell-Lapadula安全模型,以内网作为高级别主体,以移动存储介质作为低级别客体。
根据模型原则,只允许移动存储介质中的信息传输到内网中,禁止信息从内网流向移动存储介质,从而保证内网的涉密信息无法传输到移动存储介质中。
即使已被植入摆渡木马的移动存储介质,再次将木马植入内网计算机,也无法将内网中的数据传输到移动存储介质中。
以不上读/不下写作为防御摆渡木马的访问控制模型,通过数据二极管技术实现摆渡木马的防御。
数据二极管技术将在下文中阐述。
数据二极管技术
二极管,是指只向一个方向传送电流的电子元件,具有单向导电性。
而数据二极管,则只允许数据单向传输。
其中,与单向传输相关的技术包括数据泵技术和数据二极管技术。
数据泵技术(DataPump)[2]只控制数据单向传输,但协议仍然是双向的。
该技术的协议传输可能被恶意使用以传输数据,难以保证数据单向传输。
数据二极管技术(DataDiode)[3-5]则同时控制数据和协议均单向传输,即信息流的单向技术。
数据二极管技术基于单纤光纤的高性能、无反馈纯单向传输卡,使得数据和协议只可单向传输,从而避免因反向传输导致的数据泄露的漏洞。
数据二极管技术的数据传输,如图3所示。
1)移动存储介质与外网计算机间的数据传输是双向的,既可以从外网计算机拷贝数据到移动存储介质,移动存储介质中的数据也可流入外网计算机。
需要由外网共享到内网的电子文件等信息,可放置到移动存储介质中。
2)该移动存储介质置于内网中,通过基于数据二极管技术的数据单向控制装置,连接到内网计算机中。
3)内网计算机可获取移动存储介质中存储的共享信息,如共享的电子文件,并可将此、文件复制或者剪切到本地。
4)内网计算机成功获取共享信息的同时,受到数据单向传输的制约,禁止将数据写入移动存储介质。
即使移动存储介质中感染摆渡木马,木马也无法将内网计算机的信息转储到移动存储介质中,从而避免内网涉密信息泄密的问题。
电子文件具有易复制和易传播的特点,如何防止电子文件被恶意窃取和传播,是电子文件安全面临的突出难题。
本文针对借助移动存储介质入侵的摆渡木马进行阐述,提出防护摆渡木马的方法。
通过访问控制技术和数据二极管技术,实现数据流的单向传输,为电子文件的共享和交流建立安全屏障,从根本上解决摆渡木马恶意窃取、传播文件的问题,从而保证电子文件的安全。
图3数据二极管技术控制数据流向示意图
综上所述,通过数据二极管技术,可保证数据单向传输的特性,即保证数据只从低级别的载体(如移动存储介质)传输到高级别的内网计算机中,禁止从高级别的内网计算机流入低级别的载体。
4结语
本文结合访问控制技术,提出基于数据二极管技术的防御摆渡木马的方法。
通过数据二极管技术,使得低级别的外部共享的信息可通过移动存储介质安全的流入内网,同时禁止高级别的内网的涉密信息通过移动存储介质流入外部,杜绝电子文件等涉密信息的交流共享时的泄密问题,对电子文件安全性研究具有重大的推动作用和现实意义。
同时,数据二极管技术在数据容错方面,仍需要进一步的探索,以满足日益增长的电子文件交流共享的要求,进一步推动电子文件安全的发展。
参考文献
[1]Snyder.FormalModelsofCapability-basedProtectionSystems[J].IEEETransactionsonComputers,1981,30(3):
172-181.
[2]Myong,Ira.ADataPumpforCommunication[M].NRLMemoReport–Citeseer,1995:
1-26.
[3]OwlComputingTechnologiesInc, [4]TenixDatagateInc, [5]Douglas.Tom.Securedataexportandauditingusingdatadiodes[J].AssociationBerkeley,CA,USA,2006:
4.
作者简介:
王文宇,中软通用产品事业部项目经理,PMP。
主要研究方向为网络安全、信息安全。
刘玉红,中软通用事业部研发工程师。
升级会员 