木馬程式檢測程序與技巧Step By Step

木馬程式都有一個伺服端與用戶端，一般而言在受害者機器上的，稱為伺服端(Server)；遠端進行操控的稱為用戶端(Client)。木馬程式具有隱蔽、自動啟動、欺騙、自我恢復、破壞、傳輸資料的行為特徵，以下針對木馬程式的各種屬性作探討，以研擬相關對策，收知己知彼之效。
木馬的種類
依照木馬程式目的來分類：其最終的目的就是蒐集情資、等待時機執行破壞任務、當作跳板進行滲透。其手段包含匿蹤、佔領、遠端遙控、截聽封包、記錄鍵盤輸入資料、破壞、傳遞情資、提供封包轉送達到跳板功能…等。絕大部分的木馬程式所具備的功能與目的，不僅具備單一功能、單一目的，而是具備混合功能(hybrid) 與多目標導向。
依照木馬的植入技術來分類：一般常見的有執行檔(Executable File)、透過動態連結檔注射( DLL Injection)、動態網頁伺服程式木馬(ASP、PHP Trojan)、透過瀏覽器漏洞入侵的網頁木馬(一般稱為BMP Trojan或 GIF Trojan)以及透過電子郵件入侵的郵件附件木馬。

木馬的藏身處
木馬程式主要藏身於系統目錄、易忽略之目錄，例如：Windows 的系統目錄 "winnt\system"、"winnt\system32"，以及其下的子目錄。木馬的藏身處，主要考慮不容易被發現的隱蔽性，放在不常用的目錄中，以類似於系統程式名稱的方式掩人耳目，像是 regedit 跟 regedlt 或 reged1t，這三個檔案名稱，不仔細看不容易發現有異。目的就是為了達到匿蹤的效果，以延長其任務運作時間。

木馬的啟動方式
在Windows 2000中的註冊表(Registry)中，有幾組機碼可以使木馬程式於開機時啟動，或者經由其他事件的發生，連帶啟動木馬程式，以達到長駐於系統之中的目的。包括：啟動區、連帶啟動區…等，皆為常見啟動木馬的參數存放處，整理於表1。
藏匿於系統啟動選單之中，以Windows 2000 為例：在“C:\Documents and Settings\Administrator\「開始」功能表\程式集\啟動”及“C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動”兩處均可能成為木馬藏匿的地點。藏匿於此，於開機過程中便會自動啟動木馬程式。(使用者名稱為Administrator或其他名稱。)
藏匿於一般程式中，透過用戶自網際網路下載至內部網路執行，該程式遭到置換或感染，當程式一執行便將木馬啟動，而產生兩個不同的程序，一個是原本應用程式的程序，另一個則是木馬程序，例如：網路上常常可見 flash製作的動畫檔案，當編譯為執行檔案時，便可將木馬藏於其中。

木馬檢測程序說明
1. 接獲資訊安全通報，展開清查，並提升監控層級。若發現可疑程式，應仔細確認並通報。
2. 以現有之防毒軟體、木馬偵測程式可偵測出該木馬程式，可使用現成工具軟體隔離並移除，完成之後應向上呈報，反應至CERT等專責單位，以收區域聯防之效。
3. 無法以現有之防毒軟體、木馬偵測程式偵測出該惡意程式，或者是新版的病毒碼未釋出，但是已經在安全通報中詳述該程式之特徵與處置方法。應依既定之處理方式完成隔離、清除、記錄相關作業，並向上呈報。
4. 發現未知之可疑程式，尤其是大規模的感染情況，應先向上呈報。若已經具備木馬檢測經驗與能力，可依處理程序針對本機、網路通訊、稽核檔案(本機、防火牆等)，進行檢測與清除。清除步驟與檢核表請參考表2。檢測過程的畫面與相關資料檔案，應蒐整封裝，以利專業單位進行分析；若未具備相關處置能力與經驗，應該立即尋求協助，並監控網路通訊行為與保存現場，待專業人員進行處置。
5. 若該事件擴大為大規模之案件，則應組成專案小組進行調查處置，以避免案件危害持續擴大。

木馬檢測作業步驟與注意事項
1. 一般而言，檢測木馬程式的步驟，包含本機檢測、網路通訊的檢測與記錄以及稽核檔案的過濾分析，綜合以上三大步驟才可以完整地過濾出可疑之程序(Process)和可疑的主機。在《資安人》第8期p.117至p.119的文章中已提及相關步驟與工具，本文在此僅稍作補充。
2. 本機檢測的項目包含：
檢查可疑之程序，比對Windows系統之正常程序，找出產生該程序的檔案所在，檢查檔案名稱、大小及相關屬性。建議使用Process Explorer，它可以檢測出掛載於正常程序下的子程序。
檔案名稱為原作業系統正常之應用程式，無法判定其是否為正常檔案，或是木馬偽裝。可與正常檔案(同一作業系統且相同版本)進行檔案HASH值(MD5)比較。 ?檢查機碼(Registry)之特定欄位，請參考上頁表1（常見遭木馬更動之註冊表清單）。若在上述欄位找到相同之可疑程式，大概有九成的機率確定是異常的程序所為。
將上述可疑之程序另外複製保存，並抓下當時之畫面(Screenshot)，並將可疑的Registry輸出，封存以利後續處置。
3. 通訊檢測︰
列出對外開放之服務埠號，找出可疑程式所開放的通訊服務。如：activeport、fport。
使用 netstat –an 10 > comm.log 指令，可將相關通訊連線的過程記錄於 comm.log 檔案中。
運用現成之連線監聽工具，記錄封包與流量，如：windump、ethereal、sniffer。
4. 稽核檔檢測
針對可疑主機之IP位址，調出相關日期的防火牆、入侵偵測系統的稽核檔案(Log)，進行過濾與比對。
若本機安全性稽核已經開啟，亦可參考相關之系統、安全事件之稽核檔案。
分析稽核檔案，可以回溯遭植入木馬的日期，以及相關之資料流向，再者，亦可追朔來源主機位址及其他相關的受害主機位址。
5. 封存項目
將上述之檢測資料與結果，利用壓縮的方式，加密封存，一併提交給專業驗測單位進行分析。
封存的項目應包含：可疑程式本身、相關資訊的快照(如：Process 列表、檔案屬性及檔案目錄之畫面)、註冊機碼、通訊檢測記錄檔、相關之稽核檔案。
6. 檢核表
本文針對以上檢測程序，彙整為木馬程式檢測檢核表(checklist)供參考使用。請參考表2。
7. 報告格式
木馬檢測報告的內容，除了作為總結整個木馬檢測任務之外，還包含行政上之程序說明、檢討處置過程與需要加強之處。一般應該具備以下項目：
基本資料：單位、人員、聯絡方式。
案件概述：狀況描述、發現日期、報案日期、結案日期等重要資訊。
受檢測環境資料：作業系統、已安裝之應用程式、該主機提供之服務與用途、存放資料之機密等級、信賴網域及主機等相關資料。
案件及處置概述：處置步驟概述、參與人員，通報經過與通報時間。
可疑程式描述：路徑、檔案名稱、封存檔名稱與內容對照表，可將前述之檢核表作為附件。
損害估計與檢討：本事件所造成網路、檔案、擴散範圍及設備之損害估計，相關檢討與未來需求。

資安是無止境的輪迴
圖2可說明處置木馬程式各階段的任務狀況與目標，以及參與人員之權責。在未發佈安全通報之前，必須做好資安稽核與抽查、對於各設施的異常警示作分析處置，方可主動出擊，防範於未然。發現木馬程式或是接到安全通報時，應在第一時間依程序實施檢測，完成監控與現場保存，以及尋求專業協助。向上呈報是必要的程序，除了讓資安管制單位可以掌握災情，透過通報體系提醒各單位防範，亦可充份得到上級長官的支持，編成專案小組辦理。完成檢測工作之後，最重要的還是進行損害評估、依災難復原計劃逐步恢復運作，並提出專案報告。後續則針對弱點進行補強、更改防火牆及其他設施之組態與規則設定，以有效杜絕類似之資安事件再度重演。
木馬程式的演進，間接促使防毒軟體、掃木馬軟體核心引擎的升級，當新的木馬程式採用更高深的技術，大玩捉迷藏遊戲，相對的，偵測軟體功能和木馬檢測技巧就再度提升。”Security is an ongoing process; it掇 never done.”， 資安是無止境的輪迴，沒有所謂的結束，天天都有新的挑戰。

表1 木馬可能藏匿之註冊表清單
1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
2.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
4.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
5.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceSetup
6.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSetup
7.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
8.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
9.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
10.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
11.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
12.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
13.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
14.HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon
15. HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders
16. HKEY_CLASSES_ROOT\txtfile\shell\open\command
17. HKEY_CLASSES_ROOT\Briefcase\shell\open\command
18. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
19. HKEY_CLASSES_ROOT\exefile\shell\open\command
20. HKEY_CLASSES_ROOT\???file \shell\open\command (???)表示可能為任何副檔名之名稱