當我們接到某個項目的時候，它已經是被入侵了。甚至已經被脫庫，或殘留後門等持續攻擊洗庫。

　　後滲透攻擊者的本質是什麼？

阻止防禦者信息蒐集，銷毀行程記錄，隱藏存留文件。

　　防禦者的本質是什麼？

尋找遺留信息，發現攻擊軌跡與樣本殘留並且阻斷再次攻擊。

那麼這裡攻擊者就要引入「持續攻擊」，防禦者就要引入「溯源取證與清理遺留」，攻擊與持續攻擊的分水嶺是就是後滲透持續攻擊，而表現形式其中之一就是後門。

　　後門的種類：

本地後門：如系統後門，這裡指的是裝機後自帶的某功能或者自帶軟體後門

本地拓展後門：如iis 6的isapi，iis7的模塊後門

第三方後門：如apache，serv-u，第三方軟體後門

第三方擴展後門：如php擴展後門，apache擴展後門，第三方擴展後門

人為化後門：一般指被動後門，由人為引起觸發導致激活，或者傳播

後門的隱蔽性排行：本地後門>本地拓展後門>第三方後門>第三方擴展後門，這裡排除人為化後門，一個優秀的人為化後門會造成的損失不可估計，比如勒索病毒的某些非聯網的獨立機器，也有被勒索中毒。在比如某微博的蠕蟲等。

整體概括分類為：主動後門，被動後門。傳播型後門。

後門的幾點特性：隱蔽，穩定。持久

一個優秀的後門，一定是具備幾點特徵的，無文件，無埠，無進程，無服務，無語言碼，並且是量身目標制定且一般不具備通用性。

攻擊者與防禦者的本質對抗是什麼？

增加對方在對抗中的時間成本，人力成本。

這裡要引用百度對APT的解釋：

APT是指高級持續性威脅。利用先進的攻擊手段對特定目標進行長期持續性網路攻擊的攻擊形式，APT攻擊的原理相對於其他攻擊形式更為高級和先進，其高級性主要體現在APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集。

那麼關於後門與上面的解釋類似：

後門是指高級持續性後滲透許可權長期把控，利用先進的後滲透手段對特定目標進行長期持續性維持許可權的後攻擊形式，高級持續滲透後門的原理相對於其他後門形式更為高級和先進，其高級性主要體現在持續滲透後門在發動持續性許可權維持之前需要對攻擊對象的業務流程和目標系統進行精確的收集並量身制定目標後門。

第一季從攻擊者角度來對抗：

項目中一定會接觸到溯源，而溯源最重要的環節之一就是樣本取證與分析。既然是樣本取證，也就是主要找殘留文件。可能是腳本，dll，so，exe等。其次是查找相關流量異常，埠，進程。異常日誌。

做為攻擊者的對抗，無開放埠，無殘留文件，無進程，無服務。在防禦者處理完攻擊事件後的一定時間內，再次激活。

這裡要解釋一下rootkit，它的英文翻譯是一種特殊類型的惡意軟體

百度百科是這樣解釋的：Rootkit是一種特殊的惡意軟體，它的功能是在安裝目標上隱藏自身及指定的文件、進程和網路鏈接等信息，比較多見到的是Rootkit一般都和木馬、後門等其他惡意程序結合使用。Rootkit通過載入特殊的驅動，修改系統內核，進而達到隱藏信息的目的。

在後門的進化中，rootkit也發生了變化，最大的改變是它的系統層次結構發生了變化。

後門的生成大體分4類：

1.有目標源碼

2.無目標源碼

3.無目標源碼，有目標api

4.無目標源碼，無api，得到相關漏洞等待觸發

結合後門生成分類來舉例細說幾個demo。

1.有目標源碼

目前大量伺服器上有第三方軟體。這裡以notepad++為例。

Notepad++是Windows操作系統下的一套文本編輯器，有完整的中文化介面及支持多國語言編寫的功能，並且免費開源。

開源項目地址：https://github.com/notepad-plus-plus/notepad-plus-plus

關於編譯：https://micropoor.blogspot.hk/2017/12/1notepad.html

Demo環境：windows 7 x64，notepad++(x64)

Demo IDE：vs2017

在源碼中，我們修改每次打開以php結尾的文件，先觸發後門，在打開文件。其他文件跳過觸發後門。

跳過觸發後門

跳過觸發後門

文件被正常打開。

文件被正常打開。

文件被正常打開。

優點：在對抗反病毒，反後門軟體中有絕對優勢，可本地多次調試，穩定性強壯。跨平臺能力非常強壯，並且可以對後門選擇方式任意，如主動後門，被動後門，人為化後門等。

缺點：針對性較強，需要深入瞭解目標伺服器安裝或使用軟體。需要語言不確定的語言基礎。在封閉系統，如Windows下多出現於第三方開源。

2.無目標源碼

參考內部分享第九課

優點：在對抗反病毒，反後門軟體中有一定優勢，穩定性良好，跨平臺能力一般，並且適用於大多數可操作文件，同樣可以選擇對後門選擇方式任意，如主動後門，被動後門，人為化後門等。

缺點：穩定性不突出，在修改已生成的二進位文件，容易被反病毒，反後門軟體查殺。

3.無目標源碼，有目標api

目前大多數的Ms_server，內置iis，從windows2000開始，而目前國內市場使用03sp2，08r2為主。在win下又以iis為主，在iis中目前主要分為iis5.x，iis6.x，大於等於iis7.x。iis7以後有了很大的變化，尤其引入模塊化體系結構。iis6.x最明顯的是內置IUSR來進行身份驗證，IIS7中，每個身份驗證機制都被隔離到自己的模塊中，或安裝或卸載。

同樣，目前國內市場另一種常見組合XAMP（WIN+Apche+mysql+php，與Linux+Apche+mysql+php)，php5.x與php7.x有了很大的變化，PHP7將基於最初由Zend開發的PHPNG來改進其框架。並且加入新功能，如新運算符，標記，對十六進位的更友好支持等。

Demo環境：windows 7x86 php5.6.32

Demo IDE：vs2017

php默認有查看載入擴展，命令為php-m，有著部分的默認擴展，而在擴展中，又可以對自己不顯示在擴展列表中

php默認擴展列表

php.ini配置

php默認擴展列表

php默認擴展列表

在訪問demo.php，post帶有觸發後門特徵，來執行攻擊者的任意php代碼。在demo中，僅僅是做到了，無明顯的以php後綴為結尾的後門，那麼結合第一條，有目標源碼為前提，來寫入其他默認自帶擴展中，來達到更隱蔽的作用。

優點：在對抗反病毒，反後門軟體中有絕對優勢，可本地多次調試，穩定性非常強壯。跨平臺能力非常強壯，且可以對後門選擇方式任意，如主動後門，被動後門，人為化後門等。

缺點：在編譯後門的時候，需要查閱大量API，一個平臺到多個平臺的相關API。調試頭弄，失眠，喫不下去飯。領導不理解，冷暖自知。

第二季從防禦者角度來對抗。

後者的話：

目前國內市場的全流量日誌分析，由於受制於存儲條件等因素，大部分為全流量，流量部分分析。那麼在高級持久性後門中，如何建立一個偽流量非實用數據來逃逸日誌分析，這應該是一個優秀高級持續後門應該思考的問題。

推薦閱讀：

相關文章