木馬程式檢測程序與技巧Step By Step - 資安人

木馬程式的演進，間接促使防毒軟體、掃木馬軟體核心引擎的升級，當新的木馬程式採用更高深的技術，大玩捉迷藏遊戲，相對的，偵測軟體功能和木馬檢測技巧就 ... 歡迎登入資安人 若您還不是會員，請點選下方加入會員 忘記密碼 加入資安人會員 登入 新聞 觀點 專題 解決方案 活動 訂閱電子報 資安人粉絲團 聯絡我們 關於我們 合作詢問 隱私權政策 香港商法蘭克福展覽有限公司台灣傳媒分公司 110台北市信義區市民大道六段288號8F 886-2-8729-1099 新聞 觀點 專題 解決方案 活動 訂閱電子報 登入 觀點 您現在位置:首頁 > 觀點 木馬程式檢測程序與技巧StepByStep 2005/02/03 文／路克 木馬程式都有一個伺服端與用戶端，一般而言在受害者機器上的，稱為伺服端(Server)；遠端進行操控的稱為用戶端(Client)。

木馬程式具有隱蔽、自動啟動、欺騙、自我恢復、破壞、傳輸資料的行為特徵，以下針對木馬程式的各種屬性作探討，以研擬相關對策，收知己知彼之效。

木馬的種類依照木馬程式目的來分類：其最終的目的就是蒐集情資、等待時機執行破壞任務、當作跳板進行滲透。

其手段包含匿蹤、佔領、遠端遙控、截聽封包、記錄鍵盤輸入資料、破壞、傳遞情資、提供封包轉送達到跳板功能…等。

絕大部分的木馬程式所具備的功能與目的，不僅具備單一功能、單一目的，而是具備混合功能(hybrid)與多目標導向。

依照木馬的植入技術來分類：一般常見的有執行檔(ExecutableFile)、透過動態連結檔注射(DLLInjection)、動態網頁伺服程式木馬(ASP、PHPTrojan)、透過瀏覽器漏洞入侵的網頁木馬(一般稱為BMPTrojan或GIFTrojan)以及透過電子郵件入侵的郵件附件木馬。

木馬的藏身處木馬程式主要藏身於系統目錄、易忽略之目錄，例如：Windows的系統目錄"winnt\system"、"winnt\system32"，以及其下的子目錄。

木馬的藏身處，主要考慮不容易被發現的隱蔽性，放在不常用的目錄中，以類似於系統程式名稱的方式掩人耳目，像是regedit跟regedlt或reged1t，這三個檔案名稱，不仔細看不容易發現有異。

目的就是為了達到匿蹤的效果，以延長其任務運作時間。

木馬的啟動方式在Windows2000中的註冊表(Registry)中，有幾組機碼可以使木馬程式於開機時啟動，或者經由其他事件的發生，連帶啟動木馬程式，以達到長駐於系統之中的目的。

包括：啟動區、連帶啟動區…等，皆為常見啟動木馬的參數存放處，整理於表1。

藏匿於系統啟動選單之中，以Windows2000為例：在“C:\DocumentsandSettings\Administrator\「開始」功能表\程式集\啟動”及“C:\DocumentsandSettings\AllUsers\「開始」功能表\程式集\啟動”兩處均可能成為木馬藏匿的地點。

藏匿於此，於開機過程中便會自動啟動木馬程式。

(使用者名稱為Administrator或其他名稱。

) 藏匿於一般程式中，透過用戶自網際網路下載至內部網路執行，該程式遭到置換或感染，當程式一執行便將木馬啟動，而產生兩個不同的程序，一個是原本應用程式的程序，另一個則是木馬程序，例如：網路上常常可見flash製作的動畫檔案，當編譯為執行檔案時，便可將木馬藏於其中。

木馬檢測程序說明1.接獲資訊安全通報，展開清查，並提升監控層級。

若發現可疑程式，應仔細確認並通報。

2.以現有之防毒軟體、木馬偵測程式可偵測出該木馬程式，可使用現成工具軟體隔離並移除，完成之後應向上呈報，反應至CERT等專責單位，以收區域聯防之效。

3.無法以現有之防毒軟體、木馬偵測程式偵測出該惡意程式，或者是新版的病毒碼未釋出，但是已經在安全通報中詳述該程式之特徵與處置方法。

應依既定之處理方式完成隔離、清除、記錄相關作業，並向上呈報。

4.發現未知之可疑程式，尤其是大規模的感染情況，應先向上呈報。

若已經具備木馬檢測經驗與能力，可依處理程序針對本機、網路通訊、稽核檔案(本機、防火牆等)，進行檢測與清除。

清除步驟與檢核表請參考表2。

檢測過程的畫面與相關資料檔案，應蒐整封裝，以利專業單位進行分析；若未具備相關處置能力與經驗，應該立即尋求協助，並監控網路通訊行為與保存現場，待專業人員進行處置。

5.若該事件擴大為大規模之案件，則應組成專案小組進行調查處置，以避免案件危害持續擴大。

木馬檢測作業步驟與注意事項1.一般而言，檢測木馬程式的步驟，包含本機檢測、網路通訊的檢測與記錄以及稽核檔案的過濾分析，綜合以上三大步驟才可以完整地過濾出可疑之程序(Process)和可疑的主機。

在《資安人》第8期p.117至p.119的文章中已提及相關步驟與工具，本文在此僅稍作補充。

2.本機檢測的項目包含： 檢查可疑之程序，比對Windows系統之正常程序，找出產生該程序的檔案所在，檢查檔案名稱、大小及相關屬性。

建議使用ProcessExplorer，它可以檢測出掛載於正常程序下的子程序。

檔案名稱為原作業系統正常之應用程式，無法判定其是否為正常檔案，或是木馬偽裝。

可與正常檔案(同一作業系統且相同版本)進行檔案HASH值(MD5)比較。

?檢查機碼(Registry)之特定欄位，請參考上頁表1（常見遭木馬更動之註冊表清單）。

若在上述欄位找到相同之可疑程式，大概有九成的機率確定是異常的程序所為。

將上述可疑之程序另外複製保存，並抓下當時之畫面(Screenshot)，並將可疑的Registry輸出，封存以利後續處置。

3.通訊檢測︰ 列出對外開放之服務埠號，找出可疑程式所開放的通訊服務。

如：activeport、fport。

使用netstat–an10>comm.log指令，可將相關通訊連線的過程記錄於comm.log檔案中。

運用現成之連線監聽工具，記錄封包與流量，如：windump、ethereal、sniffer。

4.稽核檔檢測 針對可疑主機之IP位址，調出相關日期的防火牆、入侵偵測系統的稽核檔案(Log)，進行過濾與比對。

若本機安全性稽核已經開啟，亦可參考相關之系統、安全事件之稽核檔案。

分析稽核檔案，可以回溯遭植入木馬的日期，以及相關之資料流向，再者，亦可追朔來源主機位址及其他相關的受害主機位址。

5.封存項目 將上述之檢測資料與結果，利用壓縮的方式，加密封存，一併提交給專業驗測單位進行分析。

封存的項目應包含：可疑程式本身、相關資訊的快照(如：Process列表、檔案屬性及檔案目錄之畫面)、註冊機碼、通訊檢測記錄檔、相關之稽核檔案。

6.檢核表 本文針對以上檢測程序，彙整為木馬程式檢測檢核表(checklist)供參考使用。

請參考表2。

7.報告格式 木馬檢測報告的內容，除了作為總結整個木馬檢測任務之外，還包含行政上之程序說明、檢討處置過程與需要加強之處。

一般應該具備以下項目： 基本資料：單位、人員、聯絡方式。

案件概述：狀況描述、發現日期、報案日期、結案日期等重要資訊。

受檢測環境資料：作業系統、已安裝之應用程式、該主機提供之服務與用途、存放資料之機密等級、信賴網域及主機等相關資料。

案件及處置概述：處置步驟概述、參與人員，通報經過與通報時間。

可疑程式描述：路徑、檔案名稱、封存檔名稱與內容對照表，可將前述之檢核表作為附件。

損害估計與檢討：本事件所造成網路、檔案、擴散範圍及設備之損害估計，相關檢討與未來需求。

資安是無止境的輪迴圖2可說明處置木馬程式各階段的任務狀況與目標，以及參與人員之權責。

在未發佈安全通報之前，必須做好資安稽核與抽查、對於各設施的異常警示作分析處置，方可主動出擊，防範於未然。

發現木馬程式或是接到安全通報時，應在第一時間依程序實施檢測，完成監控與現場保存，以及尋求專業協助。

向上呈報是必要的程序，除了讓資安管制單位可以掌握災情，透過通報體系提醒各單位防範，亦可充份得到上級長官的支持，編成專案小組辦理。

完成檢測工作之後，最重要的還是進行損害評估、依災難復原計劃逐步恢復運作，並提出專案報告。

後續則針對弱點進行補強、更改防火牆及其他設施之組態與規則設定，以有效杜絕類似之資安事件再度重演。

木馬程式的演進，間接促使防毒軟體、掃木馬軟體核心引擎的升級，當新的木馬程式採用更高深的技術，大玩捉迷藏遊戲，相對的，偵測軟體功能和木馬檢測技巧就再度提升。

”Securityisanongoingprocess;it掇neverdone.”，資安是無止境的輪迴，沒有所謂的結束，天天都有新的挑戰。

表1木馬可能藏匿之註冊表清單1.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 2.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 3.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 4.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 5.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceSetup 6.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSetup 7.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices 8.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 9.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 10.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 11.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 12.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 13.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit 14.HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon 15.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders 16.HKEY_CLASSES_ROOT\txtfile\shell\open\command 17.HKEY_CLASSES_ROOT\Briefcase\shell\open\command 18.HKEY_LOCAL_MACHINE\Software\Microsoft\ActiveSetup\InstalledComponents\ 19.HKEY_CLASSES_ROOT\exefile\shell\open\command 20.HKEY_CLASSES_ROOT\???file\shell\open\command(???)表示可能為任何副檔名之名稱 木馬程式 最新活動 2022.04.23 【資安學院】iPAS-資訊安全初級工程師能力研習衝刺班 2022.04.23 【資安學院】4/23、4/30iPAS-「初級」資訊安全工程師-能力研習衝刺班 2022.07.23 【資安學院】iPAS-資訊安全中級工程師能力研習備戰班 看更多活動 大家都在看 F5:2022是台灣應用資安需求爆發年，WAAP相形重要 提升電商品牌忠誠度，５大重點避免受駭連鎖效應 IoVSecurity車聯網資安不亞於性能安全 Aruba預測五大網路技術趨勢，提零信任網路架構 Fortinet發布新世代防火牆FortiGate3000F 資安人科技網 文章推薦 Apple緊急發布2個零日漏洞補丁 PaloAltoNetworks:在台灣3大活躍勒索軟體集團，暗網解密頻繁 Spring4shell來襲！繼Log4Shell後又一Java生態系嚴重漏洞出現 香港商法蘭克福展覽有限公司台灣分公司 | 110台北市信義區市民大道六段288號8F | 886-2-8729-1099Copyright©2022MesseFrankfurt(HK)Limited,TaiwanBranch.Allrightreserved.