记得历史上特洛伊木马的故事吗?希腊人围困特洛伊城长达九年的时间。然后在某一天早上,他们似乎是退却了。希腊人站在城墙上望去,看到的不是希腊军队,而是一件礼物——一匹巨大的木马。由于马是特洛伊人的圣物,所以他们费力地将木马拖入城内,没有发现隐藏在其中的希腊士兵。希腊人进入特洛伊城后,耐心地等待黄昏的来临,然后钻出马外。他们杀死了看守城门的士兵,并打开了城门。最后,特洛伊城陷落了,这正是一句著名谚语“当心希腊人的礼物”的由来。
这只是一个历史故事吗?并不完全是。除非你小心谨慎,否则木马仍有可能造成您的网络的崩溃。本月,一种名为“Brown Orifice HTTPD”(BOH)的新木马,以及另外几种名字恶心的木马——比如Back Orifice(BO)和Deep Throat——开始变得为世人所知。这种程序的危险性在于,一旦进入您的系统的“城墙”,它们就会绕过您的Firebox的检测——除非您在第一时间禁止它们的安装。我们将建立一个秘密连接(尤其是这种连接可以依附在另一种许可的协议上面)的能力称为tunneling(隧道化)。
木马:精心的伪装
与历史上的特洛伊木马相似,大多数木马软件都能对自己进行精心的伪装。一个臭名昭著的例子是NetBus(www.netbus.org),它是一个在Windows NT上使用的远程系统管理工具。是的,NetBus确实提供了远程管理功能,但它的早期版本为知道主机密码(master password)的任何人都额外提供了管理员权限(只需在密码和任何命令后面附加;1)。
Back Orifice(BO)起初只能在Windows 95/98系统上工作,现在也移植到了NT平台。BO隐藏了原本不该提供给普通用户的能力。一个聪明的黑客可以使用BO来弹出或关闭别人的CD-ROM托盘,或者打开麦克风,甚至打开一个摄像头,在远程进行收听和/或监视。BO允许黑客远程运行程序、上传/下载文件、和用户交谈以及关闭计算机。
您或许会问,谁这么笨,会在他自己的计算机上安装如此危险的东西呢?这其实并不怪用户。看见木马时,用户一般看不到它的本来面目。有许多途径都能够传播木马。例如,木马可能成为一个病毒的一部分,甚至成为另一个程序的一部分。一个名为BO Sniffer的程序声称能检查系统中的BO,然后告诉您系统中没有BO,但它实际上会安装并运行BO。一个游戏程序(Bopper)也能在您启动游戏的时候安装BO。
WatchGuard经常向LiveSecurity订户发送安全警告,提醒大家留意排名前十的、处于“野生形态”的病毒和木马。“野生形态”意味着病毒和木马软件不仅在实验室中发现,还在人们的办公和家用电脑中发现。木马所造成的风险是实际存在的,而非只是理论上的东西。正如这些报告所指出的,如果您运行安装了最新更新的病毒扫描软件,那么应该能检测到已知的病毒和木马版本。
最脆弱的地方:城市“大门”
Microsoft产品在木马面前尤其脆弱。Microsoft于过去两年发布了大量警报,它们涉及Internet Explorer、Outlook以及Outlook Express的多处安全漏洞。利用这些漏洞,远程攻击者能在受害者的系统上执行恶意程序。换言之,用户仅仅访问一下网页或者接收一下电子邮件,就可能在不知不觉间下载一个恶意程序,允许远程攻击者在用户的系统上执行指令。
针对Windows 9x和NT系统,存在着大量木马程序。每天都会出现新的木马。及时更新病毒扫描软件,有助于维持一个无木马的系统。除此之外,您还可以采取其他对策:
§使用netstat程序(NT和UNIX系统自带)来列出当前打开的端口地址;检查以前没有见过或者无法辨识的新服务。
§在Windows 9x、NT和2000系统上,大多数木马程序都会在安装时修改一个注册表项。在Run和RunService项中(具体位于注册表的Start\Run\type "regedit"\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion文件夹中),包含了每次电脑开机时会运行的一系列程序。有的程序是固定在此处列出的(其中一部分由Microsoft安装,另一部分由其他厂商安装,其中包括WatchGuard)。在这些注册表项中,请注意来路不明的新值。木马甚至可能利用RunOnce项,或者像system.ini这样的文件。
§Lsof是一个有用的工具,它能将一个开放的端口同一个服务关联起来(在Unix中,使用lsof -i tcp:port或者udp:port)。Lsof在许多UNIX系统上都是自带的;另外,只需低廉的费用,就可以获得在Windows NT和2000系统中使用的类似程序(或者免费获取,具体参见本文最后的“参考资源”)。
虽然Microsoft软件的bug平均一周就会被发现一个,但大多数bug都无法利用来执行代码(通常,只能利用这些bug读取文件或者使软件崩溃)。无论如何,您最好每次在Microsoft出公告的时候安装最新的Microsoft更新,或者避免使用Microsoft软件来访问Web或者读取电子邮件。不过,即使其他厂商的产品,目前也暴露出了许多脆弱性。
Netscape、Java和UNIX的脆弱性
2000年8月的第一周,一位名叫Dan Brumleve的黑客发布了一个示范性的利用漏洞的软件,名字叫做Brown Orifice(BOH)。它是一个会影响Netscape Communicator 4.04~4.74的Java小程序。您可能在不知不觉中下载一个版本的BOH并运行它,或者在访问别人的网页时,不小心运行下载到您的系统上的一个木马程序。
一旦加载BOH,它就会像一个Web服务器那样工作,允许远程Web浏览器显示您的系统上的任何文件。但是,WatchGuard Fireboxes将它变成一个本地网络问题,因为Firebox禁止从外到内的、到任意服务器的连接。换言之,BOH漏洞只能向Firebox内部的其他网络用户开放您的系统。如果您信任“城门后面”的人,这个问题就不是太大。
但是,BOH同时提供了源代码,任何人都可以轻松地下载Java小程序并修改它。通过配置BOH,可以打开从受害者的系统回到攻击的一个连接。此时的危险在于,您的Firebox通常没有配置成禁止系统建立从内向外的连接。即使您的Firebox配置非常严格,修改过的BOH也能使用HTTP来连接攻击者的系统,这是大多数Firebox配置所允许的。攻击者的系统不会像一个真正的Web服务器那样运行。相反,它是采取隧道化(tunneling)技术,作为伪装成Web服务器的一个工具来使用,能通过远程控制来操纵修改过的BOH。
只要您的浏览器启用了Java功能,那么安全风险总是存在的。对安全问题非常在意的用户一般会在Netscape Navigator中禁用Java(选择Edit/Preferences/Advanced/unset Enable Java)。所以,对于这部分人来说,这个问题并为严重。除非确实有必要(例如,您访问的网站要求使用Java,或者您使用的一个软件要求Java支持,比如WatchGuard远程身份验证),否则就应该禁用Java功能。即使需要启用Java功能,也最好是在需要完成一个特定的任务时启用Java功能,在完成任务后再将其禁用。
Unix系统也可能感染木马,虽然这种情况较为少见。UNIX使用一个不同的系统在每次重新启动时启动服务。在配置文件/etc/inetd.conf中,包含了要启动的部分服务。其他程序是通过脚本来启动的(/etc/rc*,或者/etc/rc.d目录中的其他脚本)。当黑客成功入侵一个UNIX系统后,通常要修改这些脚本或者inetd.conf,所以你应该注意这些文件,使用像tripwire(www.tripwire.com)这样的工具来检测对它们的更改。
总结:全面考虑
木马和隧道为网络保护带来了严峻的挑战。除了尽量将攻击者阻挡在外,还必须在他们成功入侵后检测到他们的存在。能够防患于未然总是最好的,所以您应该:
§及时更新病毒扫描软件
§及时更新Microsoft软件(如有必要,每周都进行更新)
§不要执行电子邮件的附件
通常,应该时刻警惕系统和网络中的异常行为——当心带礼物的希腊人。
参考资源:
UNIX系统下的Lsof源码(以及一些预编译的版本):
http://freshmeat.net/projects/lsof
NT下的Lsof相似产品:
Administrator's Pak 4.0可以列出哪些进程容纳着开放的端口:
由Arne Vidstrom/ntsecurity.nu提供的另一款lsof for NT(免费): http://ntsecurity.nu/toolbox/inzider/
部分Windows木马程序使用的端口地址列表(您可以使用netstat来检查)
http://anti-trojan.virtualave.net/page61.html
作者简介:
Rik Farrow 独立顾问,CSI委员会中倍受尊重的一位技术顾问,曾撰写《UNIX 安全系统》一书。从1982开始对Unix系统的进行研究,从1987起从事有关网络安全的教育工作。
