黑客第二課;手把手教你玩滲透-後門講解
當我們接到某個項目的時候,它已經是被入侵了。甚至已經被脫庫,或殘留後門等持續攻擊洗庫。
後滲透攻擊者的本質是什麼?
阻止防禦者信息蒐集,銷毀行程記錄,隱藏存留文件。
防禦者的本質是什麼?
尋找遺留信息,發現攻擊軌跡與樣本殘留並且阻斷再次攻擊。
那麼這裡攻擊者就要引入「持續攻擊」,防禦者就要引入「溯源取證與清理遺留」,攻擊與持續攻擊的分水嶺是就是後滲透持續攻擊,而表現形式其中之一就是後門。
後門的種類:
本地後門:如系統後門,這裡指的是裝機後自帶的某功能或者自帶軟體後門
本地拓展後門:如iis 6的isapi,iis7的模塊後門
第三方後門:如apache,serv-u,第三方軟體後門
第三方擴展後門:如php擴展後門,apache擴展後門,第三方擴展後門
人為化後門:一般指被動後門,由人為引起觸發導致激活,或者傳播
後門的隱蔽性排行:本地後門>本地拓展後門>第三方後門>第三方擴展後門,這裡排除人為化後門,一個優秀的人為化後門會造成的損失不可估計,比如勒索病毒的某些非聯網的獨立機器,也有被勒索中毒。在比如某微博的蠕蟲等。
整體概括分類為:主動後門,被動後門。傳播型後門。
後門的幾點特性:隱蔽,穩定。持久
一個優秀的後門,一定是具備幾點特徵的,無文件,無埠,無進程,無服務,無語言碼,並且是量身目標制定且一般不具備通用性。
攻擊者與防禦者的本質對抗是什麼?
增加對方在對抗中的時間成本,人力成本。
這裡要引用百度對APT的解釋:
APT是指高級持續性威脅。利用先進的攻擊手段對特定目標進行長期持續性網路攻擊的攻擊形式,APT攻擊的原理相對於其他攻擊形式更為高級和先進,其高級性主要體現在APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集。
那麼關於後門與上面的解釋類似:
後門是指高級持續性後滲透許可權長期把控,利用先進的後滲透手段對特定目標進行長期持續性維持許可權的後攻擊形式,高級持續滲透後門的原理相對於其他後門形式更為高級和先進,其高級性主要體現在持續滲透後門在發動持續性許可權維持之前需要對攻擊對象的業務流程和目標系統進行精確的收集並量身制定目標後門。
第一季從攻擊者角度來對抗:
項目中一定會接觸到溯源,而溯源最重要的環節之一就是樣本取證與分析。既然是樣本取證,也就是主要找殘留文件。可能是腳本,dll,so,exe等。其次是查找相關流量異常,埠,進程。異常日誌。
做為攻擊者的對抗,無開放埠,無殘留文件,無進程,無服務。在防禦者處理完攻擊事件後的一定時間內,再次激活。
這裡要解釋一下rootkit,它的英文翻譯是一種特殊類型的惡意軟體
百度百科是這樣解釋的:Rootkit是一種特殊的惡意軟體,它的功能是在安裝目標上隱藏自身及指定的文件、進程和網路鏈接等信息,比較多見到的是Rootkit一般都和木馬、後門等其他惡意程序結合使用。Rootkit通過載入特殊的驅動,修改系統內核,進而達到隱藏信息的目的。
在後門的進化中,rootkit也發生了變化,最大的改變是它的系統層次結構發生了變化。
後門的生成大體分4類:
1.有目標源碼
2.無目標源碼
3.無目標源碼,有目標api
4.無目標源碼,無api,得到相關漏洞等待觸發
結合後門生成分類來舉例細說幾個demo。
1.有目標源碼
目前大量伺服器上有第三方軟體。這裡以notepad++為例。
Notepad++是Windows操作系統下的一套文本編輯器,有完整的中文化介面及支持多國語言編寫的功能,並且免費開源。
開源項目地址:https://github.com/notepad-plus-plus/notepad-plus-plus
關於編譯:https://micropoor.blogspot.hk/2017/12/1notepad.html
Demo環境:windows 7 x64,notepad++(x64)
Demo IDE:vs2017
在源碼中,我們修改每次打開以php結尾的文件,先觸發後門,在打開文件。其他文件跳過觸發後門。