@苏苏
2年前 提问
1个回答

什么是摆渡木马

安全小白成长记
2年前

摆渡木马是一种利用可移动设备从与互联网物理隔离的内部网络中窃取文件资料的信息攻击的工具。摆渡木马是一种攻击人员定制的特殊木马,其隐蔽性和针对性很强,一般只感染特定的计算机,普通杀毒软件和木马查杀工具难以及时将其发现和查杀,对我国重要部门和涉密单位的信息安全造成巨大威胁。这类木马的传播机制和U盘病毒的传播机制完全一样,只是感染目标主机后会先想办法隐藏自己,等待时机合适后在进行收集数据。

针对摆渡木马的防护系统有以下功能:

  • 木马样本收集功能:针对涉密信息系统,防护系统定制了几类原型特种木马,如摆渡类木马、存储灰鸽子等典型木马原型程序、收集和存储新型的特种木马、存储木马的特征代码和动作行为序列。

  • 危险动作识别功能:针对涉密信息系统的使用习惯,定义系统环境、进程行为、系统服务、驱动程序等综合性的标准安全策略;对于范围策略的行为和操作,视其潜在危险性,防护系统给予操作提示和处理方案。

  • 可疑木马鉴定功能:针对违反标准化安全策略的可疑程序,进行重点追踪和定位,并结合可疑木马鉴定策略,进行扫描和追踪。

  • 特征代码分类功能:针对已出现的特征代码,按照释放文件类型、木马隐藏方式、执行攻击方式以及系统对其进行的查杀策略进行多维分类,为木马查杀提供决策支持。

  • 特征自动收录功能:系统提供特征增量注入功能,对于新增的静态特征和动态行为特性提供接口,进行自动录入;对于确定的未知类木马,在查收之后,系统会自动收集其特征信息,添加到特征库内。

  • 中央决策支持功能:对防护系统的配置、操作界面、安装卸载、升级维护、帮助支持等进行综合管理。