해커가 트로이 목마를 이용하여 컴퓨터를 침입하여 정보를 훔쳤습니까?

트로이마 (이하 트로이마) 영어 이름은' 트로이의 집' 으로 그리스 신화 속 트로이마에서 따온 것이다.

원격 제어에 기반한 해커 도구로서 은폐성과 비허가성의 특징을 가지고 있다.

은폐란 트로이의 디자이너가 트로이가 발견되지 않도록 여러 가지 방법으로 트로이를 숨겨서 서버가 트로이에 감염된 것을 발견하더라도' 말' 을 보고 탄식할 수밖에 없다. 정확한 위치를 확인할 수 없기 때문이다.

권한 없음이란 제어 터미널이 서버에 연결되면 제어 터미널은 파일 수정, 레지스트리 수정, 마우스 키보드 제어 등 대부분의 서버 운영 권한을 갖게 된다는 의미입니다. 이러한 권리는 서버에 의해 부여되는 것이 아니라 트로이마 프로그램에 의해 도난당했습니다.

트로이마의 발전으로 볼 때, 기본적으로 두 단계로 나눌 수 있다.

처음에 인터넷은 아직 유닉스 플랫폼 시대에 있었고, 트로이마가 생겨났다. 당시 트로이 목마 프로그램의 기능은 비교적 간단했다. 종종 시스템 파일에 프로그램을 내장하고 점프 명령을 이용하여 트로이 목마의 기능을 수행하곤 했다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이) 이 시기에 트로이마의 디자이너와 사용자들은 대부분 기술자였으며, 그들은 상당한 네트워크와 프로그래밍 지식을 갖추어야 했다.

그런 다음 WINDOWS 플랫폼이 보편화되면서 그래픽 조작 기반 트로이 목마 프로그램이 등장해 사용자 인터페이스가 개선되어 사용자가 전문 지식을 많이 알지 않고도 트로이 목마를 능숙하게 조작할 수 있게 되었습니다. 상대 트로이 목마 침입도 빈번했고, 그동안 트로이 목마의 기능이 완벽해지면서 서버에 대한 피해가 더욱 커졌다.

그래서, 트로이 목마는 오늘까지 발전했고, 그것이 할 수 있는 모든 것을 해냈다. 일단 트로이 말에 의해 통제되면, 너의 컴퓨터는 비밀이 없을 것이다.

트로이마의 막대한 피해를 감안할 때, 우리는 세 부분으로 나누어 트로이마를 상세히 소개할 것이다: 원문편, 방어반격편, 정보편. 트로이 목마를 공격 수단으로 철저히 이해하시기 바랍니다.

원문

기초지식

트로이마의 원리를 소개하기 전에, 우리는 트로이마의 기초를 미리 설명해야 한다. 그 내용은 다음과 같은 여러 곳에서 언급해야 하기 때문이다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이)

완전한 트로이 목마 시스템은 하드웨어 부분, 소프트웨어 부분 및 특정 연결 부분으로 구성됩니다.

(1) 하드웨어 섹션: 트로이 목마 연결을 설정하는 데 필요한 하드웨어 엔터티입니다. 제어 터미널: 원격 제어 서버 측. 서버: 제어 터미널 원격 제어 당사자. 인터넷: 제어 터미널에서 서비스 터미널까지 원격 제어 및 데이터 전송을 위한 네트워크 캐리어입니다.

(2) 소프트웨어 섹션: 원격 제어를 실현하는 데 필요한 소프트웨어 프로그램. 제어 터미널 프로그램: 제어 터미널이 원격으로 서버를 제어하는 프로그램입니다. 트로이 목마 프로그램: 서버에 잠입해 운영 권한을 얻는 프로그램. 트로이 구성기: 포트 번호, 트리거 조건, 트로이 이름 등을 설정하는 프로그램입니다. 서버에서 더 잘 숨길 수 있도록 합니다.

(3) 특정 연결 섹션: 인터넷을 통해 서버와 제어 터미널 사이에 트로이 목마 채널을 구축하는 데 필요한 요소. 제어측 IP 및 서버측 IP: 제어측과 서버측의 네트워크 주소이자 트로이마가 데이터를 전송하는 대상입니다. 제어 포트, 트로이 목마 포트: 제어 터미널과 서버의 데이터 입구를 제어하여 제어 터미널 프로그램이나 트로이 목마 프로그램에 직접 접근할 수 있습니다.

트로이 목마

트로이를 해커 도구로 이용한 사이버 침입은 대략 6 단계로 나눌 수 있다 (아래 그림 참조). 이 6 단계에 따라 트로이의 공격 원리를 설명하자.

1. 트로이 목마 구성

일반적으로 잘 설계된 트로이는 트로이 구성 프로그램을 가지고 있다. 구체적인 구성 내용을 보면 주로 다음 두 가지 기능을 구현합니다.

(1) 트로이 위장: 서버에서 가능한 한 트로이를 숨기기 위해 트로이 구성기는 아이콘 수정, 파일 바인딩, 포트 사용자 정의, 자폭 등 다양한 위장 방식을 사용합니다. 우리는' 전파목마' 섹션에서 자세히 소개할 것이다.

(2) 정보 피드백: 트로이 구성기는 정보 피드백을 설정하는 메일박스, IRC 번호, ICO 번호 등과 같은 정보 피드백 방법 또는 주소를 설정합니다. 자세한 내용은 "정보 피드백" 섹션에서 설명하겠습니다.

둘. 트로이 목마를 전파하다

(1) 전송 방법:

트로이 바이러스의 전파 경로는 크게 두 가지가 있다. 하나는 이메일, 제어 터미널을 통해 트로이 목마 프로그램을 첨부 파일로 보내는 것이고, 수신자는 첨부 파일 시스템을 켜면 트로이 바이러스에 감염된다. 다른 하나는 소프트웨어 다운로드입니다. 일부 비공식 사이트는 소프트웨어 다운로드를 제공한다는 이름으로 트로이 목마를 소프트웨어 설치 프로그램에 바인딩한다. 다운로드 후, 이 프로그램들은 실행되자마자 자동으로 목마를 설치한다.

(2) 위장 모드:

목마의 위험성을 감안해 많은 사람들이 목마에 대해 어느 정도 알고 있고, 목마의 전파에 어느 정도 억제작용을 하는데, 이는 목마 디자이너가 보기 싫은 것이다. 따라서 그들은 사용자의 경각심을 낮추고 사용자를 속이기 위해 트로이 목마를 위장하는 다양한 기능을 개발했다.

(1) 아이콘을 수정합니다

이메일의 첨부 파일에서 이 아이콘을 볼 때 텍스트 파일이라고 생각하십니까? 그러나 나는 그것이 트로이 목마 프로그램 일 수 있다고 말하고 싶다. 현재 트로이 목마 서버 프로그램의 아이콘을 HTML, TXT, ZIP 등 각종 파일의 아이콘으로 바꿀 수 있는 트로이 목마가 있다는 것은 상당히 혼란스럽지만, 현재 이 기능을 제공하는 목마는 흔치 않다. 이런 위장도 흠잡을 데 없는 것이 아니다. 하루 종일 조마조마할 필요가 없다.

(2) 번들 파일

이 위장 방법은 트로이 말을 설치 프로그램에 바인딩하는 것이다. 설치 프로그램이 실행되면 트로이 목마는 사용자가 모르는 사이에 시스템에 몰래 들어간다. 번들로 제공되는 파일의 경우 일반적으로 실행 파일 (예: EXE, COM 등) 입니다.

(3) 오류 표시

트로이 목마에 대해 어느 정도 알고 있는 사람들은 파일을 열어도 아무런 반응이 없다면 트로이 프로그램일 가능성이 높으며, 목마 디자이너도 이 결함을 인식하고 있기 때문에 일부 목마는 오류 표시라는 기능을 제공한다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이) 서버 사용자가 Muma 프로그램을 열면 다음 그림과 같은 오류 프롬프트 상자가 나타납니다 (물론 거짓). 잘못된 내용은 자유롭게 정의할 수 있으며, 대부분' 파일 손상, 열 수 없다!' 이러한 정보, 서버 사용자가 진짜라고 믿었을 때 트로이 목마는 이미 조용히 시스템을 침범했다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이)

(4) 맞춤형 포트

많은 오래된 트로이 항구는 고정되어 있어서 트로이가 감염되었는지 아닌지를 판단하는 데 편리함을 가져다 주었다. 특정 포트만 확인하면 트로이가 감염된 것을 알 수 있다. 따라서 현재 많은 새 트로이 목마는 맞춤형 포트 기능을 추가하고, 컨트롤 엔드 사용자는 1024-65535 사이의 모든 포트를 트로이 포트 (일반적으로 1024 이하 포트 선택 안 함) 로 선택할 수 있다

(5) 자기 파괴

이 기능은 트로이 말의 결함을 보완하기 위한 것이다. 서버 사용자가 트로이 목마가 포함된 파일을 열면 트로이 목마가 자신을 WINDOWS 의 시스템 폴더 (C:\WINDOWS 또는 C:\WINDOWS\SYSTEM 디렉토리) 로 복제한다는 것을 잘 알고 있습니다. 일반적으로 시스템 폴더에 있는 트로이 목마 파일의 원본은 트로이 목마 파일과 크기가 같습니다 (파일을 묶은 트로이 목마 제외). 따라서 트로이 목마에 맞은 친구는 최근 받은 편지와 다운로드한 소프트웨어에서 트로이 목마 원본을 찾기만 하면 됩니다. 그런 다음 트로이 목마 원본의 크기에 따라 시스템 폴더에 가서 크기가 같은 파일을 찾으면 됩니다. 트로이의 자폭 기능은 트로이 목마가 설치되면 원래의 트로이 파일이 자동으로 파괴되기 때문에 서버 사용자가 트로이의 출처를 찾기가 어렵고, 트로이를 죽이는 도구를 이용하지 않고도 트로이를 삭제하기가 어렵다는 것을 의미한다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이, 트로이)

(6) 트로이 개명

시스템 폴더에 설치된 트로이 목마 파일 이름은 일반적으로 고정되어 있으므로, 트로이 목마를 조사하는 문장 몇 개에 따라 시스템 폴더에서 특정 파일을 찾기만 하면 자신이 어떤 트로이 목마를 가지고 있는지 확인할 수 있다. 따라서 현재 많은 트로이 목마는 통제측의 사용자가 자유롭게 설치한 트로이 파일 이름을 사용자 정의할 수 있도록 허용하고 있어 감염된 트로이의 유형을 결정하기가 어렵다.

세 번째 단계: 트로이 목마 실행

서버 사용자가 트로이를 실행하거나 트로이를 바인딩하는 프로그램을 실행하면 트로이가 자동으로 설치됩니다. 먼저 자신을 WINDOWS 의 시스템 폴더 (C:\WINDOWS 또는 C:\WINDOWS\SYSTEM 디렉토리) 에 복제한 다음 레지스트리, 부트 그룹, 비부트 그룹에 트로이의 트리거 조건을 설정하여 트로이 설치를 완료합니다. 설치 후 트로이 마를 시작할 수 있습니다. 구체적인 절차는 아래 그림과 같습니다.

(1) 트로이 목마는 트리거 조건에 의해 활성화됩니다

트리거 조건은 트로이 목마를 시작하는 조건이며 일반적으로 다음 8 개 장소에서 발생합니다.

1. 레지스트리: HKEY _ local _ machine \ software \ Microsoft \ windows \ currentversion \ 에서 열기

2.win. ini:c:\ Windows 디렉토리에 텍스트로 열리는 구성 파일 win.ini 가 있습니다. [windows] 필드에는 시작 명령인 load= 및 run= 이 있습니다. 일반적으로 비어 있습니다. 만약 시동기가 있다면, 그것은 트로이 말일 것이다. 3.system.ini: C: \ 구성 파일 시스템이 있습니다. 텍스트로 열리는 ini 파일입니다. [386Enh], [mic] 및 [drivers32] 에는 트로이 목마의 시작 명령을 찾을 수 있는 명령줄이 있습니다.

4.Autoexec.bat 와 config.sys: CD 루트 아래에 있는 두 파일도 트로이 목마를 시작할 수 있습니다. 그러나 이 로드 방식은 일반적으로 제어측의 사용자가 서버에 연결을 설정한 다음 같은 이름의 파일을 서버에 업로드하여 두 파일을 덮어써야 합니다.

5.*.INI: 응용 프로그램의 시작 구성 파일입니다. 제어 터미널은 이러한 파일을 사용하여 프로그램의 특성을 시작하고 트로이 시작 명령과 이름이 같은 파일을 서버에 업로드하여 같은 이름의 파일을 덮어써서 트로이를 시작할 수 있습니다.

6. 레지스트리: 열기 HKEY _ 클래스 _ 루트 \ 파일 유형 \ 셸 \ 열기 \ 명령 키 값 보기. 예를 들어 국내 트로이' 빙하' 는 HKEY _ classes _ root \ txtfile \ shell \ open \ command 아래의 키 값을 수정하여' c: \ windows \ EXE% 1' 에서' c: \ windows \ system \ syxxplr.exe' 까지. 또한 TXT 파일뿐 아니라 HTML, EXE, ZIP 등의 시작 명령 키를 수정하여 트로이 목마를 시작할 수 있다는 점도 유의해야 합니다. 유일한 차이점은 파일 유형 기본 키의 차이입니다. TXT 는 TXTFile, ZIP 은 WINZIP 입니다. 찾아보세요.

7. 번들 파일: 이 트리거 조건을 달성하기 위해 컨트롤 측과 서버측은 먼저 트로이를 통해 연결을 설정한 다음 컨트롤 측의 사용자가 도구 소프트웨어를 사용하여 트로이 파일을 하나의 어플리케이션으로 묶은 다음 서버측에 업로드하여 원본 파일을 덮어씀으로써 트로이를 삭제해도 트로이와 번들로 제공되는 어플리케이션만 실행하면 트로이가 다시 설치됩니다.

8. 시작 메뉴: 시작-프로그램-시작 옵션 아래에 트로이마의 트리거 조건이 있을 수 있습니다.

(2) 트로이 말의 달리기 과정

트로이가 활성화되면 메모리에 들어가 미리 정의된 트로이 포트를 열어 제어 터미널과의 연결을 준비합니다. 이 시점에서 서버 사용자는 MS-DOS 모드에서 NETSTAT -AN 을 입력하여 포트 상태를 확인할 수 있습니다. 일반적으로 PC 는 오프라인일 때 포트를 열지 않습니다. 포트가 열려 있다면 트로이 목마에 감염되었는지 주의해야 한다. 다음은 컴퓨터가 트로이 목마에 감염된 후 NETSTAT 명령을 사용하여 포트를 확인하는 두 가지 예입니다.

여기서 1 은 서버와 제어 터미널 간의 연결이 설정될 때의 디스플레이 상태이며, 2 는 서버와 제어 터미널 간의 연결이 아직 설정되지 않았을 때의 디스플레이 상태입니다.

인터넷을 하는 동안 소프트웨어를 다운로드하고, 편지를 보내고, 온라인 채팅을 할 수 있는 포트를 열어야 합니다. 다음은 일반적으로 사용되는 몇 가지 포트입니다.

(1) 1- 1024 사이의 포트: 예약된 포트라고 하는 이러한 포트는 2 1 을 사용하는 FTP 와 같은 일부 외부 통신 프로그램 전용으로 사용됩니다 소수의 트로이 목마만이 예약된 포트를 트로이 포트로 사용합니다.

(2) 1025 이상 연속 포트: 인터넷 접속 시 브라우저가 여러 개의 연속 포트를 열어 문자와 사진을 로컬 하드 드라이브에 다운로드합니다. 이들 포트는 모두 1025 이상 연속 포트입니다.

(3) 포트 4000: OICQ 의 통신 포트입니다.

(4) 포트 6667: IRC 의 통신 포트입니다. 위의 포트 외에도 기본적으로 제외 할 수 있습니다. 다른 포트가 열려 있는 것을 발견하면, 특히 숫자가 큰 포트를 발견하면 목마에 감염되었는지 의심해야 한다. 물론 트로이 목마가 사용자 지정 포트 기능을 가지고 있다면 모든 포트는 트로이 포트일 수 있습니다.

넷. 정보 유출:

일반적으로 잘 설계된 목마는 모두 정보 피드백 메커니즘을 가지고 있다. 정보 피드백 메커니즘이란 트로이마가 성공적으로 설치된 후 서버에 대한 일부 하드웨어 및 소프트웨어 정보를 수집하여 e-메일, IRC 또는 ICO 를 통해 제어측 사용자에게 알리는 것을 말합니다. 다음 그림은 일반적인 정보 피드백 메일입니다.

이 메일에서 운영 체제, 시스템 카탈로그, 하드 디스크 파티션, 시스템 암호 등 서버에 대한 하드웨어 및 소프트웨어 정보를 알 수 있습니다. 이 정보 중 가장 중요한 것은 서버 IP 입니다. 제어 터미널은 이 매개변수를 통해서만 서버에 연결할 수 있기 때문입니다. 다음 섹션에서는 특정 연결 방법에 대해 설명합니다.

동사 (verb 의 약자) 는 연결을 설정합니다.

이 섹션에서는 트로이마 연결이 어떻게 설정되었는지 설명합니다. 트로이 목마 연결을 설정하려면 먼저 두 가지 조건을 충족해야 합니다. 하나는 트로이 목마 프로그램이 서버에 설치되어 있다는 것입니다. 둘째, 제어 터미널과 서버는 온라인 상태여야 합니다. 이를 바탕으로 제어 터미널은 트로이 포트를 통해 서버측과 연결할 수 있습니다. 설명하기 쉽도록, 우리는 삽화의 형식으로 설명했다.

위 그림에서 볼 수 있듯이 A 기계는 제어 터미널이고 B 기계는 서버입니다. A 기의 경우 B 기계에 연결하려면 B 기의 트로이 포트와 IP 주소를 알아야 합니다. 트로이 포트는 A 기계에 미리 설치되어 있고 알려진 항목이기 때문에 B 기계의 IP 주소를 얻는 방법이 가장 중요합니다. B 기계의 IP 주소를 얻는 방법에는 정보 피드백과 IP 스캔의 두 가지가 있습니다. 전형에 관해서는, 전절은 이미 소개한 바 있으니, 여기서는 군말을 하지 않을 것이다. 우리는 IP 스캔에 초점을 맞출 것이다. B 기계에는 트로이 목마 프로그램이 있고 트로이 포트 7626 은 열려 있기 때문에 이제 A 기계는 IP 주소 세그먼트의 포트 7626 오픈 호스트만 스캔하면 됩니다. 예를 들어 그림에서 B 기계의 IP 주소는 202. 102.47.56 입니다. 컴퓨터 A 가 IP 를 스캔하여 포트 7626 이 열려 있는 것을 발견하면 IP 가 목록에 추가됩니다. 이 시점에서 컴퓨터 A 는 트로이 제어 터미널 프로그램을 통해 컴퓨터 B 에 연결 신호를 보낼 수 있으며, 컴퓨터 B 의 트로이 프로그램은 신호를 받으면 즉시 응답합니다. 컴퓨터 A 가 응답 신호를 받으면 임의 포트 103 1 을 열어 컴퓨터 B 의 트로이 포트 7626 에 연결합니다. 이제 컴퓨터 b 가 트로이 포트 7626 에 연결됩니다. 흥미롭게도, 전체 IP 주소 세그먼트를 스캔하는 것은 분명히 시간이 많이 걸리고 힘든 일이다. 일반적으로 제어 터미널은 먼저 정보 피드백을 통해 서버의 IP 주소를 얻습니다. 전화 접속 인터넷의 IP 는 동적입니다. 즉, 사용자가 매번 인터넷을 할 때마다 IP 는 다르지만, 이 IP 는 일정 범위 내에서 변합니다. 컴퓨터 B 의 IP 는 그림과 같이 202.438+002.47.56 입니다. 그런 다음 컴퓨터 B 의 IP 범위는 202.102.000.000-202.102.255.255 이므로 제어 터미널은 이 IP 주소 세그먼트를 검색할 때마다 컴퓨터 B 를 찾을 수 있습니다.

자동사 원격 제어:

트로이 목마 연결이 설정되면 제어 포트와 트로이 목마 포트 사이에 다음과 같은 채널이 나타납니다.

제어 터미널의 제어 터미널 프로그램은 이 채널을 통해 서버의 트로이 목마 프로그램과 연락하고 트로이 목마 프로그램을 통해 원격으로 서버를 제어할 수 있습니다. 다음은 제어 단말기가 누릴 수 있는 구체적인 통제권을 당신의 상상보다 훨씬 더 많이 소개하겠습니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 제어명언)

(1) 비밀번호 도용: 모든 일반 텍스트, * 또는 캐시에 캐시된 비밀번호를 트로이 목마에서 감지할 수 있습니다. 또한 많은 트로이 목마는 서버의 모든 키를 기록하는 키 기록 기능을 제공하므로 트로이 침입이 발생하면 비밀번호를 쉽게 훔칠 수 있습니다.

(2) 파일 작업: 제어 터미널은 원격 제어를 통해 서버의 파일을 삭제, 새로 만들기, 수정, 업로드, 다운로드, 실행, 소유권 변경 등의 작업을 수행할 수 있으며 기본적으로 WINDOWS 플랫폼의 모든 파일 작업 기능을 포함합니다.

(3) 레지스트리 수정: 제어부는 키, 하위 및 키 값 삭제, 생성 또는 수정을 포함하여 서버 레지스트리를 자유롭게 수정할 수 있습니다. 이 기능을 통해 제어 터미널은 서버의 플로피 및 옵티컬 드라이브 사용을 금지하고, 서버의 레지스트리를 잠그며, 트로이 말의 트리거 조건을 서버에 더욱 은밀하게 설정할 수 있습니다.

(4) 시스템 운영: 서버 운영 체제 재시작 또는 종료, 서버 네트워크 연결 해제, 서버 마우스 및 키보드 제어, 서버 데스크톱 작업 모니터링, 서버 진행 상황 확인 등이 여기에 포함됩니다. 제어 터미널은 언제든지 서버에 메시지를 보낼 수도 있습니다. 서버 바탕 화면이 갑자기 한 단락에서 튀어나온 것은 놀라운 일이 아닙니다.

이 세 가지의 차이는 지금 사실 점점 작아지고 있다.

웜은 이제 취약점이나 이메일을 통해 빠르게 전파되는 프로그램을 가리킨다. 대부분 빠른 전파를 목적으로 철저한 살상을 피한다. 웜은 실행 파일에 거의 감염되지 않습니다.

공격자가 당신의 시스템에 들어갈 때, 그것은 트로이 말을 놓거나 공격자가 당신을 속여 트로이 말을 운행하게 할 것이다. (존 F. 케네디, Northern Exposure (미국 TV 드라마), 전쟁명언) 트로이마는 공격자가 컴퓨터를 더 쉽게 조작할 수 있도록 돕는 데 사용된다. 그들은 보통 당신의 시스템에서 오랜 시간을 기다려야 하기 때문에 스스로 서류를 파기하는 경우는 거의 없다.

바이러스, 가장 큰 종류, 현재의 분류 추세에 따르면, 바이러스는 목마와 웜, 일반적으로 사용자에게 해로운 프로그램, 특히 자기전파를 하는 프로그램을 거의 포괄할 수 있다. 초기에 일반 바이러스는 파일을 감염시킬 수 있는 파일 바이러스를 가리킨다.