最近のスキャンで見つかってマシンから削除されたいくつかのトロイの木馬(Java関連のようです)について、以前に質問を投稿しました。
しかし、私が知らないのは、これらのトロイの木馬が実際に実行されたかどうかです。
通常の実行可能ファイル(notepad.exeなど)をマシンにダウンロードする場合、プログラムをダブルクリックして実行する必要があります。
しかし、トロイの木馬の場合、トロイの木馬を実行させるトリガーメカニズムは何ですか?
トロイの木馬がトリガーされる2つの主な方法は次のとおりです。
「トロイの木馬コード」は別のプログラムに挿入され、ホストプログラムが実行されているタスクを実行します
トロイの木馬は、コンピュータ上の正当なファイルを置き換え、「偽の」プログラムが実行されたとき、または「偽の」プログラムが別のプログラムまたはプロセスによって呼び出されたときに、割り当てられたタスクを実行します。
トロイの木馬はシステム上で休止状態にある可能性があり、上記のような特定のイベントが発生した場合にのみトリガーされます。
クライアント/サーバートロイの木馬の場合、最初のクライアント(PCに感染した部分)は、通常、非表示のIRC要求を介して、サーバーコンポーネントと接続します。その場合、サーバーは通常、最初のクライアントを他のトロイの木馬コードに置き換え、その時点でPCをサーバーから完全に制御できます。
トロイの木馬は、感染したサーバー側アプレットを誤って実行することでPCに配信されたり、感染したバナー広告やその他の無害なWebコンポーネントを介してPCに「ドロップ」されたりする可能性があります。
通常、攻撃の成功は、軍事用語に触発された2つのコンポーネントに分類されます。ペイロードは、ターゲット上で実行されると悪意のある効果(非表示、ホストをゾンビに変えるなど)をトリガーし、ベクターはペイロードの実行を担当します。それで、あなたはどんな種類の攻撃ベクトルが存在するか尋ねていますか?
歴史的な意味で、トロイの木馬はエンドユーザーをベクトルとして依存しています。ネット接続が普及する前は、通常、便利なプログラムやクールなゲームだと思うものを直接実行するようにだまされていました。
ユーザーの助けを借りてコードを実行する方法は他にもあります。たとえば、pdf、jpeg、フラッシュレンダラーなどのコンテンツ表示ライブラリに脆弱性がいくつかありました。脆弱なプログラムがインストールされている場合は、有毒なコンテンツを表示しようとするだけです。ブラウザがアクセスしたページに.jpgを表示しようとすると、感染する可能性があります。悪意のある.jpgには、ディスプレイライブラリのバグにぶつかる無効なデータが含まれている可能性があり、最終的にコンテンツが実行される可能性があります。
この場合、悪意のあるプログラムをクリックしていなくても、脆弱なライブラリ(ここではブラウザ)を呼び出すプログラムによって無意識のうちに実行されています。
残念ながら、可能なベクトルの数を制限することはできません。システムが信頼できないソースからのコンテンツを自動的に処理するたびに、脆弱性が悪用されるリスクがあります。これに対して、最善の策は、セキュリティの更新に注意を払い、多層防御を実践することです(特権が制限された日常のプログラムの実行など)。
同じこと。通常、それはゲームまたはある種のきちんとしたツールのように見え、ユーザーにそれを実行するように促します。
通常、トロイの木馬は、画像上であっても、特定のファイルから挿入されます。この場合、トロイの木馬は、画像を表示するシステムの機能の欠陥を特に対象としています。