基于網(wǎng)絡(luò)釣魚的密碼竊取技術(shù)研究開題報(bào)告一、課題名稱、來源、選題依據(jù)（一）課題名稱基于網(wǎng)絡(luò)釣魚的密碼竊取技術(shù)研究來源由導(dǎo)師擬定課題選題依據(jù)隨著信息技術(shù)的廣泛應(yīng)用和不斷發(fā)展，網(wǎng)絡(luò)己經(jīng)成為我們生活中不可缺少的一部分。而賬戶則是每一名網(wǎng)絡(luò)用戶的“身份證”。近年來，以獲取特定人群有價(jià)值信息為目標(biāo)的網(wǎng)絡(luò)竊密攻擊愈發(fā)頻繁。根據(jù)APWG最新發(fā)布的安全報(bào)告：2022年第三季度APWG共監(jiān)測(cè)到127萬次網(wǎng)絡(luò)釣魚攻擊，創(chuàng)下歷史新高。2022年8月發(fā)現(xiàn)了43萬個(gè)網(wǎng)絡(luò)釣魚站點(diǎn)，是APWG報(bào)告有史以來單月最高記錄。2020年第一季度APWG監(jiān)測(cè)到23萬次網(wǎng)絡(luò)釣魚攻擊，2022年第三季度這個(gè)數(shù)字增長了五倍多。2022年第三季度網(wǎng)絡(luò)釣魚攻擊暴增的部分原因是針對(duì)幾個(gè)特定目標(biāo)品牌的攻擊數(shù)量增加。這些目標(biāo)公司及其客戶遭受了來自持續(xù)網(wǎng)絡(luò)釣魚者的大量攻擊。可見網(wǎng)絡(luò)釣魚正快速發(fā)展，嚴(yán)重威脅到了日常用網(wǎng)安全，從中竊取上網(wǎng)用戶賬號(hào)密碼是網(wǎng)絡(luò)釣魚的首要目標(biāo)。而賬號(hào)密碼是每一位用戶的網(wǎng)上“身份證”、“銀行卡”，竊取了賬號(hào)密碼就能快速獲取用戶信息，完成重要資料或錢財(cái)?shù)霓D(zhuǎn)移，故近期釣魚木馬出現(xiàn)了新方式：將木馬植入用戶計(jì)算機(jī)后實(shí)現(xiàn)鍵盤監(jiān)聽，以獲取用戶的賬號(hào)密碼信息。此方法隱蔽性高，能長時(shí)間地危害用戶的網(wǎng)絡(luò)安全，危害性極大，是近期網(wǎng)絡(luò)釣魚木馬中的弄潮兒。而我國網(wǎng)民基數(shù)大，網(wǎng)絡(luò)安全知識(shí)普及程度低，網(wǎng)絡(luò)釣魚事件高發(fā)頻發(fā)，大多數(shù)網(wǎng)民都不知道自己什么時(shí)候被釣魚木馬入侵，為什么會(huì)被釣魚木馬入侵。同時(shí)網(wǎng)絡(luò)釣魚的隱蔽性高、成本低，往往是打掉一個(gè)釣魚網(wǎng)站就出現(xiàn)新的釣魚網(wǎng)站，想要防范網(wǎng)絡(luò)釣魚也十分困難，故本次畢業(yè)設(shè)計(jì)針對(duì)釣魚網(wǎng)站的鍵盤木馬植入以及駐留監(jiān)聽問題進(jìn)行研究，旨在了解網(wǎng)絡(luò)釣魚，總結(jié)出防范網(wǎng)絡(luò)釣魚的有效手段。二、國內(nèi)外研究現(xiàn)狀及發(fā)展趨勢(shì)在網(wǎng)絡(luò)安全領(lǐng)域中，關(guān)于網(wǎng)絡(luò)釣魚方向的研究，國內(nèi)外學(xué)者取得了不錯(cuò)的成果，整體可以劃分為:1網(wǎng)絡(luò)釣魚的安全現(xiàn)狀為了獲取用戶的個(gè)人信息，釣魚者往往利用多種手段進(jìn)行“釣魚”。但網(wǎng)絡(luò)釣魚不同于針對(duì)用戶計(jì)算機(jī)系統(tǒng)本身進(jìn)行破壞的計(jì)算機(jī)犯罪，更多的是利用利用盜竊與詐騙相結(jié)合的方式非法獲取用戶的個(gè)人信息。概括地說，網(wǎng)絡(luò)釣魚的方式有以下幾種:假冒網(wǎng)站式釣魚。這種方式指的是釣魚者事先制作好與真實(shí)網(wǎng)站十分相似的假冒網(wǎng)站，以此迷惑用戶按照網(wǎng)站的提示輸入個(gè)人身份信息或金融信息等重要的個(gè)人信息。這類釣魚網(wǎng)站是釣魚者利用技術(shù)手段，仿冒真實(shí)的網(wǎng)站地址以和頁面內(nèi)容，或者利用網(wǎng)站服務(wù)器出現(xiàn)的bug在站點(diǎn)的某些網(wǎng)頁中惡意植入錯(cuò)誤的代碼，以此來設(shè)立的，以獲取用戶的個(gè)人信息資料為目的的網(wǎng)站。這些極具迷惑性的假冒網(wǎng)站就像是“魚餌”，從而非法獲取用戶的信息資料，這也是“釣魚網(wǎng)站”名稱的得來。釣魚者為了能夠準(zhǔn)確的釣到更多的魚，也會(huì)將“魚餌”做的十分“美味”，因此釣魚者會(huì)將假冒網(wǎng)站制作成與真實(shí)網(wǎng)站相似度極高的網(wǎng)站，而也正是基于此給用戶造成了認(rèn)識(shí)上的錯(cuò)誤，從而泄露了自己的個(gè)人信息。郵件式釣魚。這類釣魚方式一般是指釣魚者“撒網(wǎng)式”的向不特定多數(shù)人發(fā)送大量的“兌獎(jiǎng)”、“兌積分”、“升級(jí)”等內(nèi)容的虛假短信或郵件，而這些短信中往往附帶了釣魚者提前設(shè)立的釣魚網(wǎng)站，收件人在收到信息后按照虛假信息的提示登錄網(wǎng)站，按照要求提交了自己個(gè)人信息。收件人按照相關(guān)的要求輸入了自己的信用卡信息等涉及個(gè)人身份驗(yàn)證的個(gè)人信息后，釣魚者便獲取了這些信息，進(jìn)而也就獲取了收件人信用卡的使用權(quán)，而后使用信用卡信息進(jìn)行消費(fèi)支付、轉(zhuǎn)移資金等的行為，造成了收件人財(cái)產(chǎn)的損失?；旌鲜结烎~。釣魚者通過虛假郵件、短信與植入木馬病毒或其他互聯(lián)網(wǎng)技術(shù)手段相結(jié)合的方式竊取用戶的身份信息，而后侵入并使用用戶的信用卡賬戶，實(shí)施侵害財(cái)產(chǎn)的行為。為了能夠更多的獲取用戶信息，釣魚者還會(huì)利用惡意的軟件進(jìn)行釣魚。釣魚者將惡意軟件或病毒嵌入真實(shí)網(wǎng)站或者虛假短信中進(jìn)行傳播，用戶在正常的使用互聯(lián)網(wǎng)的過程中卻極點(diǎn)擊虛假短信中攜帶的惡意的鏈接而后被植入惡意軟件或病毒。這些潛伏在用戶計(jì)算機(jī)的惡意程序?qū)τ?jì)算機(jī)功能沒有直接的破壞，不會(huì)影響用戶的使用，但其最重要的特點(diǎn)是具有記錄功能。而基于惡意程序的記錄功能，用戶在進(jìn)行電子商務(wù)交易或者使用相關(guān)軟件是所登錄的賬戶、密碼都被惡意軟件記錄下，以此獲取了用戶的個(gè)人信息。2木馬竊密技術(shù)的相關(guān)研究設(shè)計(jì)常用的網(wǎng)絡(luò)竊密技術(shù)包括攻擊計(jì)算機(jī)漏洞竊密、利用木馬技術(shù)竊密、利用嗅探技術(shù)竊密、利用數(shù)據(jù)恢復(fù)技術(shù)竊密等。木馬是一種非常常見的網(wǎng)絡(luò)竊密技術(shù)，它能夠偽裝成合法程序或者隱藏在合法程序中，這些代碼能夠執(zhí)行惡意行為，如非法收集系統(tǒng)信息，也能夠?yàn)榉欠ㄔL問系統(tǒng)特權(quán)功能提供后門。因此木馬具有竊取數(shù)據(jù)、遠(yuǎn)程控制、遠(yuǎn)程文件管理及打開未授權(quán)的服務(wù)等功能，并在攻擊過程中具有隱蔽性、自啟動(dòng)性、自動(dòng)恢復(fù)性和易植入性等特性。隨著web技術(shù)的發(fā)展，網(wǎng)站掛馬也成為一個(gè)重要的網(wǎng)絡(luò)竊密的手段，另外，木馬的攻擊己經(jīng)出現(xiàn)向某些載體發(fā)展的趨勢(shì)，如針對(duì)PDF,Flash文檔、PSD模版等文件。目前出現(xiàn)的擺渡木馬是一種新型木馬，除了具有傳統(tǒng)木馬的相應(yīng)特征以外，還具備對(duì)互聯(lián)網(wǎng)物理隔離的內(nèi)部網(wǎng)絡(luò)文件資料進(jìn)行竊取的功能。除木馬外，包括后門、蠕蟲、病毒、僵尸網(wǎng)絡(luò)等也成為網(wǎng)絡(luò)竊密的重要手段。3.木馬的植入與駐留（1）基于特征碼的檢測(cè)方法基于特征碼的檢測(cè)方法是檢測(cè)惡意程序最為簡單和實(shí)用的方法，特征碼是一串或幾串用于唯一標(biāo)識(shí)一個(gè)木馬程序的二進(jìn)制信息。其通過對(duì)己知的竊密木馬進(jìn)行逆向分析，提取待檢測(cè)竊密木馬的特征并與特征庫進(jìn)行對(duì)比來判斷其是否為竊密木馬。David等人通過一種神經(jīng)網(wǎng)絡(luò)一深度信念網(wǎng)絡(luò)(DBN)生成特征碼，提出了一種基于深度學(xué)習(xí)的惡意軟件特征碼自動(dòng)生成和分類方法。Sathyanarayan等人通過提取惡意軟件的關(guān)鍵API序列來作為特征碼對(duì)惡意軟件進(jìn)行識(shí)別。Lavesson等人通過將用戶許可協(xié)議看作一個(gè)特征碼，并在實(shí)驗(yàn)過程中驗(yàn)證了多種算法的檢測(cè)效果較好。(2)基于主機(jī)行為分析的檢測(cè)方法Salehi等人通過API調(diào)用或者程序參數(shù)來識(shí)別惡意軟件。Javaheri等人通過提取程序運(yùn)行中的API調(diào)用結(jié)合機(jī)器學(xué)習(xí)算法對(duì)木馬程序進(jìn)行檢測(cè)。Ahmadi等人瑪寄程序API調(diào)用轉(zhuǎn)換為灰度圖，并用圖像識(shí)別技術(shù)來檢測(cè)惡意軟件。Mimura等人環(huán)口Nissim等人在受控環(huán)境下監(jiān)測(cè)木馬執(zhí)行時(shí)所調(diào)用的API序列及其庫文件，通過這些對(duì)受害主機(jī)的敏感操作來構(gòu)建模型并進(jìn)行訓(xùn)練和檢測(cè)。Rezaeirad等人通過在蜜罐環(huán)境下重構(gòu)攻擊者執(zhí)行木馬的種種惡意行為，來分析木馬操控者的攻擊行為、攻擊信息及木馬操控者與被操控者之間的交互方式等。段曉云通過研究惡意軟件的運(yùn)行原理，提出通過監(jiān)測(cè)軟件在windows系統(tǒng)中的API調(diào)用行為，結(jié)合文本分類和數(shù)據(jù)挖掘技術(shù)來檢測(cè)惡意軟件。(3)基于網(wǎng)絡(luò)行為分析的檢測(cè)方法Jiang等使用數(shù)據(jù)包數(shù)量、上行數(shù)據(jù)包大小、下行數(shù)據(jù)包大小等七個(gè)特征，并采用隨機(jī)森林算法構(gòu)建模型對(duì)木馬類惡意流量進(jìn)行檢測(cè)。王偉等人提出了一種以原始流量數(shù)據(jù)為圖像的使用卷積神經(jīng)網(wǎng)絡(luò)應(yīng)用于惡意軟件流量分類的方法，該方法以原始流量數(shù)據(jù)作為分類模型的輸入，從而減少了人工設(shè)計(jì)特征步驟。Wazid等人提出了一種針對(duì)新型鍵盤記錄軟件攻擊檢測(cè)和防御的框架，旨在檢測(cè)到鍵盤記錄軟件后，根據(jù)鍵盤記錄軟件會(huì)定期將收集的日志文件通過電子郵件發(fā)送到指定的電子郵件地址，通過分析該日志文件進(jìn)行預(yù)防。但文中并未給出框架的實(shí)現(xiàn)細(xì)節(jié)，且只針對(duì)一個(gè)鍵盤記錄軟件進(jìn)行實(shí)驗(yàn)，實(shí)驗(yàn)樣本數(shù)量較少。Pallaprolu等人通過使用集成學(xué)習(xí)對(duì)各個(gè)分類器的檢測(cè)結(jié)果進(jìn)行投票，以此獲取較高的檢測(cè)率。LI等人通過提取上下行字節(jié)比等特征并結(jié)合K-means聚類算法構(gòu)建了木馬檢測(cè)模型。Zhang等人通過分別提取木馬各個(gè)通信階段的特征結(jié)合集成學(xué)習(xí)方法來進(jìn)行木馬流量識(shí)別。課題在理論與實(shí)踐上的意義了解網(wǎng)絡(luò)釣魚的手段以及優(yōu)缺點(diǎn)是維護(hù)網(wǎng)絡(luò)安全的必要前題，只有研究網(wǎng)絡(luò)釣魚方法，分析其優(yōu)缺點(diǎn)，在攻擊一方的角度嘗試提高木馬植入的成功率，隱蔽性以及駐留的方式才能為了防御網(wǎng)絡(luò)釣魚提供思路，從而對(duì)癥下藥，為預(yù)防被網(wǎng)絡(luò)釣魚提供基礎(chǔ)。四、課題需要解決的關(guān)鍵理論問題和實(shí)際問題（一）釣魚網(wǎng)站的制作（二）釣魚木馬的植入方式現(xiàn)總結(jié)網(wǎng)絡(luò)釣魚木馬的手段擬定兩種木馬植入方式：1.網(wǎng)頁二級(jí)鏈接跳轉(zhuǎn)完成木馬植入2.網(wǎng)站發(fā)送郵件給目標(biāo)郵箱完成（三）監(jiān)聽木馬的駐留實(shí)現(xiàn)監(jiān)聽木馬不被目標(biāo)計(jì)算機(jī)發(fā)現(xiàn)實(shí)現(xiàn)駐留，為長時(shí)間獲取目標(biāo)用戶信息提供支持（四）監(jiān)聽程序的設(shè)計(jì)與實(shí)現(xiàn)本課題優(yōu)先鍵盤木馬監(jiān)聽程序，注入目標(biāo)計(jì)算機(jī)后，能實(shí)時(shí)通過目標(biāo)用戶敲擊鍵盤的行為分析其輸入信息，并發(fā)送到我方黑客計(jì)算機(jī)上。隨后會(huì)結(jié)合其他監(jiān)聽木馬實(shí)驗(yàn)不同監(jiān)聽木馬的優(yōu)缺點(diǎn)以及多種木馬結(jié)合使用的性能提升程度。（五）防范網(wǎng)絡(luò)釣魚的方法研究針對(duì)前期成果有的放矢，對(duì)釣魚木馬的行為特征實(shí)施對(duì)癥下藥，提高網(wǎng)絡(luò)釣魚的預(yù)防成功率。五、開展研究應(yīng)具備的條件及已具備的條件，并估計(jì)在進(jìn)行研究工作中可能遇到的困難與問題和解決措施在Vmware虛擬機(jī)中安裝Windows7操作系統(tǒng)作為自主型竊密木馬竊密端的運(yùn)行環(huán)境，并在其中安裝了WPS,360瀏覽器等常用正常軟件，其中Ftp接收端與Email接收端分別處于內(nèi)網(wǎng)和外網(wǎng)。檢測(cè)自主型竊密木馬的主機(jī)硬件配置為Interi7-9750H處理器，8G內(nèi)存。而本次課題難處在于（一）進(jìn)攻層面自學(xué)JAVA語言完成釣魚網(wǎng)站的設(shè)計(jì)網(wǎng)站的制作主要是三大部分內(nèi)容：HTML、CSS、JavaScript。HTML可以定義網(wǎng)頁的內(nèi)容；CSS用于定義網(wǎng)頁的表現(xiàn)形式，JavaScript則可以定義網(wǎng)頁的動(dòng)態(tài)效果。有了三者的結(jié)合，才可以制作出動(dòng)態(tài)的網(wǎng)頁。由于學(xué)生缺乏相關(guān)專業(yè)知識(shí)，將通過觀看mooc課程《網(wǎng)站開發(fā)技術(shù)》，根據(jù)課程教學(xué)完成釣魚網(wǎng)站搭建。設(shè)計(jì)并完成釣魚木馬的編寫釣魚木馬的編寫難在找到合適的木馬病毒程序，且鍵盤木馬監(jiān)聽病毒需要自主完成編寫以及上傳DLL，為木馬病毒的植入做準(zhǔn)備。釣魚木馬的植入木馬的植入是本次研究的重點(diǎn)，實(shí)現(xiàn)多種方式將木馬從釣魚網(wǎng)站植入到目標(biāo)計(jì)算機(jī)中是開始后續(xù)研究的前提保證?，F(xiàn)階段擬定了兩種植入方式：一是將木馬病毒隱藏在認(rèn)證郵件中發(fā)送到用戶郵箱，當(dāng)用戶打開登錄認(rèn)證郵件后，木馬將隱秘地植入到目標(biāo)計(jì)算機(jī)中；二是將木馬病毒隱藏在網(wǎng)頁登錄跳轉(zhuǎn)鏈接中，盡可能減小木馬的體量，以便能以最快的速度完成強(qiáng)制下載，此方式的難點(diǎn)在于隱蔽性不高，容易提高用戶的警惕性。釣魚木馬的駐留木馬的植入只完成了入侵的第一步，木馬能夠長期駐留在計(jì)算機(jī)中才能發(fā)揮其監(jiān)聽能力，而木馬駐留的方式也有多種，實(shí)現(xiàn)木馬駐留有以下五種方式一是利用系統(tǒng)啟動(dòng)文件，主要是在以下進(jìn)程中：注冊(cè)表CurrentUser\SoftWare\Microsoft\Windows\CurrentVersion\下的所有run有關(guān)的子鍵注冊(cè)表LocalMachine\SoftWare\Microsoft\Windows\CurrentVersion\下的所有run有關(guān)的子鍵注冊(cè)表CurrentUser\SoftWare\Microsoft\WindowsNT\CurrentVersion\鍵名為load的字符型數(shù)據(jù)注冊(cè)表LocalMachine\SoftWare\Microsoft\WindowsNT\CurrentVersion\鍵名為load的字符型數(shù)據(jù)二是關(guān)聯(lián)類型文件是、使木馬運(yùn)行著名的木馬冰河就是這樣啟動(dòng)的，它關(guān)聯(lián)的是exe類型的文件，方法如下;注冊(cè)表ClassRoot下的.exe文件打開方式為exefile，我們就找到exefile子鍵，然后exefile該鍵下有一個(gè)shell子鍵，在shell子鍵下有open子鍵，在open下有command子鍵，command里有default鍵,value為"%1"%*我們把它改變?yōu)槟抉R路徑"%1"%*就完成了。三是文件捆綁的方式使木馬運(yùn)行捆綁和關(guān)聯(lián)文件不同，關(guān)聯(lián)是修改注冊(cè)表，但捆綁類似于病毒的“感染”，就是把木馬的進(jìn)程感染到其他的執(zhí)行文件上，業(yè)內(nèi)著名木馬“網(wǎng)絡(luò)公牛-Netbull”就是利用這種方法進(jìn)行啟動(dòng)。四是進(jìn)程保護(hù)進(jìn)程保護(hù)就是兩個(gè)木馬監(jiān)聽程序相互監(jiān)視，一旦發(fā)現(xiàn)另一個(gè)關(guān)閉立即重啟該木馬。五是利用啟動(dòng)文件夾開始菜單的啟動(dòng)文件夾內(nèi)的文件在系統(tǒng)啟動(dòng)后會(huì)隨系統(tǒng)啟動(dòng)，假如將一個(gè)exe文件或exe文件的快捷方式復(fù)制到啟動(dòng)文件夾內(nèi)，太明顯，但設(shè)置隱藏屬性后不會(huì)被系統(tǒng)啟動(dòng)。有一個(gè)辦法，將啟動(dòng)文件夾改名為啟動(dòng)a,并將該文件隱藏，然后再新建一個(gè)啟動(dòng)文件夾，將原啟動(dòng)文件夾內(nèi)的所有內(nèi)容復(fù)制到新建的啟動(dòng)文件夾，這樣就可以了。另外可在local_machine\software\microsoft\windows\currentversion下建立RunServices子鍵來實(shí)現(xiàn)自啟動(dòng)，和run不同，run是系統(tǒng)啟動(dòng)后加載,runservices是系統(tǒng)登錄時(shí)就啟動(dòng)在系統(tǒng)根目錄下放置Explorer.exe文件，在Explorer.exe文件中去啟動(dòng)正常的Explorer.exe文件，可以在C盤和D盤下都放上。以上五種方式在研究以后選擇三種進(jìn)行設(shè)計(jì)。采用多種木馬混合入侵的方式提高成功率以及監(jiān)聽效果此過程開始進(jìn)入理論研究階段，首先研究單一入侵方式的效果，分析其優(yōu)缺點(diǎn)，隨后采取多線程結(jié)合的方式提高入侵成功率。防御層面提高對(duì)網(wǎng)絡(luò)釣魚木馬植入的攔截能力此防御手段主要針對(duì)木馬病毒植入階段，在完成木馬植入原理的研究后針對(duì)木馬植入的多種方式進(jìn)行攔截阻斷。2.提高對(duì)鍵盤監(jiān)聽木馬的檢測(cè)能力此防御手段針對(duì)監(jiān)聽木馬植入到計(jì)算機(jī)后檢測(cè)木馬的方式，根據(jù)釣魚木