更新时间:2024-10-12 GMT+08:00
分享

使用CFW防御特洛伊木马

本文介绍如何通过CFW防御特洛伊木马攻击。

应用场景

特洛伊木马是攻击者常用的网络攻击方式之一,通过植入木马程序以控制用户计算机,实现窃取用户信息、破坏用户计算机系统等目的,其极强的伪装性和潜伏性使其在计算机中不易被发现和查杀。

CFW提供了针对特洛伊木马的入侵防御规则,可以有效地帮您识别和抵御木马入侵。

什么是特洛伊木马

特洛伊木马(Trojan Horse)简称木马,是指寄宿在计算机中为实现非法意图的一种恶意软件程序。特洛伊木马通常伪装成正常的软件,通过诱导用户下载到用户计算机中,攻击者通过木马控制用户的计算机系统并实现窃取用户的个人信息、密码或其他敏感数据,或者破坏用户的计算机系统等目的。

木马与计算机病毒的区别在于木马不会自我复制,不具有传染性,也不会主动发起攻击。木马的主要特点如下:

  • 伪装性强:木马通常会伪装成一些看似正常的程序或文件,以此欺骗用户主动安装或打开它们。木马伪装方式很多,例如修改木马程序的图标为常用的文本、图片或HTML等文件图标,或将木马的名称修改为系统文件的名称等。
  • 潜伏性强:木马一旦被植入到目标计算机以后,能够长时间潜伏在用户计算机中不易被发现和查杀,等待攻击者的指令。木马藏匿于合法的程序中,运行时不会在“任务栏”中生成图标,不会在任务管理器中被轻易发现。
  • 危害性大:当木马被植入到目标计算机以后,攻击者可以通过对客户端的远程控制进行一系列能造成严重后果的非法行为,例如窃取用户隐私信息、控制系统的运行、破坏系统的数据等。

特洛伊木马的类型及其危害

常见的特洛伊木马类型及其危害,包括但不限于以下几种:

  • 远程控制型:远程控制是木马的基本功能,在用户不知情的情况下,攻击者通过下发命令实现对用户计算机的远程控制,并完成木马传播者下发的攻击指令,例如篡改文件和数据、下载恶意软件等。
  • 盗取密码型:这类木马以找到所有的隐藏密码为主,如各种社交账号的账户和密码,网络游戏中游戏账号和密码,并在受害者不知情的情况下将密码信息发送出去。
  • 记录键值型:这类木马可以记录用户每一次敲击键盘的操作,通过键盘操作记录,攻击者可以获取到用户的密码等有用信息。此类木马会随着操作系统的启动而自动加载,分为在线和离线两种,分别记录用户在在线和离线两种状态下敲击键盘的情况。记录键值型木马一般也有邮件发送功能,能通过邮件将记录的信息发送给控制者。

如何防御特洛伊木马

防御木马的关键在于预防,即在木马进入设备并造成实质性损失之前,拦截攻击。您除了需要提升网络安全意识外,还可以通过CFW的入侵防御规则抵御木马入侵。具体措施如下:

提升网络安全意识

  • 安装正版操作系统和应用程序,不在非正规网站下载应用程序。
  • 不打开或安装来历不明的邮件、软件等,一些看似正常的邮件和软件,实际可能包含恶意木马程序。
  • 不查看网站上的弹出式广告,这类广告经过精美的包装,是木马程序常用的载体之一。

CFW配置特洛伊木马入侵防御规则

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航栏中,选择攻击防御 > 入侵防御。单击“基础防御”中的“查看生效中的规则”,进入“基础防御规则”页面。
  6. 筛选出防护特洛伊木马的规则:在上方筛选框中,选择“攻击类型”“特洛伊木马”
  7. 批量开启防护:勾选对应规则,单击上方“拦截”

    拦截:防火墙对匹配当前防御规则的流量,记录至攻击事件日志中并进行拦截。

相关文档