本文來自黑客社區: hack108.com

第四季是一個過渡季,過渡後門在對抗升級中由傳統後門,衍生成鎖定目標的制定後門。引用百度百科的「後門程序"的相關解釋: baike.baidu.com/item/%E 安全從業人員,其實至少一直在與傳統後門對抗,比如最常見的webshell免殺與webshell過waf。應急中的樣本取證查殺遠控殘留文件等。但是webshell,遠控僅僅又是「backdoor」的其中一種。 這裡按照上幾季的風格繼續引用幾個概念,只有概念清晰,才能瞭解如何對抗。

1:安全從業人員為什麼要了解後門?

防禦是以市場為核心的,而不是以項目為核心。需要對抗的可能是黑產從業者的流量劫持相關後門,或者是政治黑客的高持續滲透許可權把控後門等。 2:攻擊人員為什麼要了解後門? 隨著對抗傳統後門的產品越來越成熟,由特徵查殺,到行為查殺,到態勢感知。到大數據聯合特徵溯源鎖定,如何反追蹤,是一個非常值得思考的問題。 3:後門與項目的關聯是什麼? 某項目,被入侵,應急並加固解決,若干天后,再次被入侵依然篡改為某博彩。導致安全從業人員,客戶之間的問題。 4:後門與安全產品的關聯是什麼? 某客戶購買某安全產品套裝,在實戰中,一般由非重點關注伺服器迂迴滲透到核心伺服器來跨過安全產品監控,得到相關許可權後,後門起到越過安全產品。它會涉及對其他附屬安全產品的影響。如客戶質疑:為什麼我都買了你們的套裝,還被入侵。並且這還是第二次了。 思維跳出以上4條,來看下近一年的部分相關安全事件:

相關安全事件

相關安全事件

相關安全事件

相關安全事件

思維跳出以上4條安全事件,這裡再一次引入百度百科的APT的主要特性: ——潛伏性:這些新型的攻擊和威脅可能在用戶環境中存在一年以上或更久,他們不斷收集各種信息,直到收集到重要情報。而這些發動APT攻擊的黑客目的往往不是為了在短時間內獲利,而是把「被控主機」當成跳板,持續搜索,直到能徹底掌握所針對的目標人、事、物,所以這種APT攻擊模式,實質上是一種「惡意商業間諜威脅」。 ——持續性:由於APT攻擊具有持續性甚至長達數年的特徵,這讓企業的管理人員無從察覺。在此期間,這種「持續性」體現在攻擊者不斷嘗試的各種攻擊手段,以及滲透到網路內部後長期蟄伏。 ——鎖定特定目標:針對特定政府或企業,長期進行有計劃性、組織性的竊取情報行為,針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充客戶的來信,取得在計算機植入惡意軟體的第一個機會。 ——安裝遠程控制工具:攻擊者建立一個類似殭屍網路Botnet的遠程控制架構,攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)審查。將過濾後的敏感機密數據,利用加密的方式外傳。 一次針對特定對象,長期、有計劃性滲透的本質是什麼? 竊取數據下載到本地,或者以此次滲透來達到變現目的。 引用如圖:

竊取數據下載到本地

竊取數據下載到本地

一次具有針對性的滲透,絕對不單單是以滲透DMZ區為主,重要資料一般在內網伺服器區(包括但不限制於資料庫伺服器,文件伺服器,OA伺服器),與內網辦公區(包括但不限制於個人機,開發機,財務區)等。而往往這樣的高級持續滲透,不能是一氣呵成,需要一定時間內,來滲透到資料所在區域。而這裡其中一個重要的環節就是對後門的要求,在滲透期間內(包括但不限制於一週到月甚至到年)以保持後續滲透。 傳統型的後門不在滿足攻擊者的需求,而傳統型的木馬後門,大致可分為六代: 第一代,是最原始的木馬程序。主要是簡單的密碼竊取,通過電子郵件發送信息等,具備了木馬最基本的功能。 第二代,在技術上有了很大的進步,冰河是中國木馬的典型代表之一。 第三代,主要改進在數據傳遞技術方面,出現了ICMP等類型的木馬,利用畸形報文傳遞數據,增加了殺毒軟體查殺識別的難度。

第四代,在進程隱藏方面有了很大改動,採用了內核插入式的嵌入方式,利用遠程插入線程技術,嵌入DLL線程。或者掛接PSAPI,實現木馬程序的隱藏,甚至在Windows NT/2000下,都達到了良好的隱藏效果。灰鴿子和蜜蜂大盜是比較出名的DLL木馬。

第五代,驅動級木馬。驅動級木馬多數都使用了大量的Rootkit技術來達到在深度隱藏的效果,並深入到內核空間的,感染後針對殺毒軟體和網路防火牆進行攻擊,可將系統SSDT初始化,導致殺毒防火牆失去效應。有的驅動級木馬可駐留BIOS,並且很難查殺。 第六代,隨著身份認證UsbKey和殺毒軟體主動防禦的興起,黏蟲技術類型和特殊反顯技術類型木馬逐漸開始系統化。前者主要以盜取和篡改用戶敏感信息為主,後者以動態口令和硬證書攻擊為主。PassCopy和暗黑蜘蛛俠是這類木馬的代表。 以遠控舉例,遠控最開始生成的RAT功能一體化(包括但不限制於文件傳輸,命令執行等),後衍生成生成RAT支持插件式來達到最終目的。這樣分離了獨立特徵,獨立行為等。每一個功能有著自己的獨立行為,獨立特徵。 以上的幾代包括以上遠控共同點,以獨立服務或者獨立進程,獨立埠等來到達目的。難以對抗目前的反病毒反後門程序。那麼傳統型後門許可權維持就不能滿足目前的需求。 以第二季的demo舉例,它無自己的進程,埠,服務,而是藉助notepad++(非dll劫持)來生成php內存shell(這個過程相當於插件生成),並且無自啟,當伺服器重啟後,繼續等待管理員使用notepad++,它屬於一個AB鏈後門,由A-notepad生成B-shell,以B-shell去完成其他工作。如果繼續改進Demo,改造ABC鏈後門,A負責生成,B負責清理痕跡,C負責工作呢?這是一個攻擊者應該思考的問題。 而後門的主要工作有2點,1越過安全產品。2維持持續滲透許可權。 文章的結尾,這不是一個notepad++的後門介紹,它是一個demo,一個類後門,一個具有源碼可控類的後門。
推薦閱讀:
相關文章