解析木马攻击案例

　　某网络包括涉密网、内部网(业务网)、外部网(公开网站等)三个部分。其中，政务内网、承载着财政、审计等功能。总的节点有数千台，院内网段有40 多个。而涉密网中存储着政务中的各种机要文件，如全省的核心经济数据、省重要干部信息、下发的涉密工作文件等。

　　出于安全的考虑，该政务网络中的涉密网与政务内、进行了物理隔离。两个网络的数据不能相互通信。而涉密网也与因特网隔离，保证了涉密数据不外泄。

　　然而在日常工作中，涉密网中的的某个职员想在因特网上进行数据查询，考虑到去政务中查询不太方便，该职员就在涉密网终端上通过连接政务网线的方式，访问了因特网。该职员在因特网上浏览网页时，访问了某个论坛，而这个论坛正好被黑客攻击了，网页上被挂了利用“网页木马生成器”打包进去的灰鸽子变种病毒。黑客利用“自动下载程序技术”，让该职员在未察觉的情况下被种植了木马。

　　“灰鸽子”是反弹型木马，能绕过天网等大多数防火墙的拦截，中木马后，一旦中毒的电脑连接到Internet，远程攻击者就可以完全控制中马后的电脑，可以轻易地复制、删除、上传、下载被控电脑上的文件。机密文件在该涉密网职员毫不知情的情况下被窃取，最终造成了重大泄密事件。

　　随着上网工程的不断开展，我国计算机及网络泄密案件也在逐年增加。据报道，在上年的一起网络间谍案调查中，有关部门从某部门的内部电脑网络发行了非法外联的情况，并在许多内部电脑中检测出了不少特制的木马程序，检测结果表明，所有入侵木马的连接都指向境外的特定间谍机构。专业部门进行检测时，测出的木马很多还正在下载、外传资料，专业人员当即采取措施，制止了进一步的危害。

　　非法外联的威胁

　　现在，一些安全性较高的内部网络(如部门、军事部门的网络)常常与外部网络(如Internet)实施物理隔离，以确保其网络的安全性。物理隔离确保了外部网络和内部网络之间不存在任何可能的物理链路，因此这种安全手段对付外部攻击是十分高效的。但是，假如这样的网络中有某个主机通过拨号或其他形式私自接入外部网络，这种物理隔离就会被破坏。黑客极可能通过该主机进入内部网络，进而通过嗅探、破解密码等方式对内部的关键信息或敏感数据进行收集，或以该主机为“跳板”对内部网络的其他主机进行攻击。

　　一直以来，安全防御理念局限在常规的网关级别( 防火墙等)、网络边界( 漏洞扫描、安全审计、防病毒、IDS) 等方面的防

御，重要的安全设施大致集中于机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。于是，来自网络内部的安全威胁成了多数网络管理人员真正需要面对的问题。

　　在实施物理隔离的工作中，工作量最大的部分来自客户端的安全管理部分，对网络的正常运转威胁最大的也同样是客户端安全管理。我们知道，内网的客户端构成了内网90%以上的组成，当之无愧地成为内网安全的重中之重。实践证明，单纯的物理隔离手段还不足以完全将内部网络与外部网络隔离开来，对内网客户端机器使用、管理还存在众多安全隐患，特别是非法外联的隐患。

　　“非法外联”主要表现为内网客户端机器内线交叉错接;内网客户端机器使用拨号、无线网卡、双网卡等方式接入;方便携带的笔记本电脑按入内部网络使用，事后又接入外部网络使用。这些人为故意或无意的疏忽，在内网与间开出了新的连接通道，外部的黑客攻击或者病毒就能够绕过内、之间的防护屏障，顺利侵入非法外联的计算机，盗窃内网的敏感信息和机密数据，甚至利用该机作为跳板，攻击、传染内网的重要服务器，导致整个内网工作瘫痪