本文來自黑客社區: https://hack108.com
第四季是一個過渡季,過渡後門在對抗升級中由傳統後門,衍生成鎖定目標的制定後門。引用百度百科的「後門程序"的相關解釋:
https://baike.baidu.com/item/%E5%90%8E%E9%97%A8%E7%A8%8B%E5%BA%8F/108154 安全從業人員,其實至少一直在與傳統後門對抗,比如最常見的webshell免殺與webshell過waf。應急中的樣本取證查殺遠控殘留文件等。但是webshell,遠控僅僅又是「backdoor」的其中一種。 這裡按照上幾季的風格繼續引用幾個概念,只有概念清晰,才能瞭解如何對抗。
1:安全從業人員為什麼要了解後門?
防禦是以市場為核心的,而不是以項目為核心。需要對抗的可能是黑產從業者的流量劫持相關後門,或者是政治黑客的高持續滲透許可權把控後門等。 2:攻擊人員為什麼要了解後門? 隨著對抗傳統後門的產品越來越成熟,由特徵查殺,到行為查殺,到態勢感知。到大數據聯合特徵溯源鎖定,如何反追蹤,是一個非常值得思考的問題。 3:後門與項目的關聯是什麼? 某項目,被入侵,應急並加固解決,若干天后,再次被入侵依然篡改為某博彩。導致安全從業人員,客戶之間的問題。 4:後門與安全產品的關聯是什麼? 某客戶購買某安全產品套裝,在實戰中,一般由非重點關注伺服器迂迴滲透到核心伺服器來跨過安全產品監控,得到相關許可權後,後門起到越過安全產品。它會涉及對其他附屬安全產品的影響。如客戶質疑:為什麼我都買了你們的套裝,還被入侵。並且這還是第二次了。 思維跳出以上4條,來看下近一年的部分相關安全事件: