第一季从攻击者角度来对抗

当我们接到某个项目的时候,它已经是被入侵了。甚至已经被脱库,或残留后门等持续攻击洗库。

后渗透攻击者的本质是什么?

阻止防御者信息搜集,销毁行程记录,隐藏存留文件,维持权限。

防御者的本质是什么?

寻找遗留信息,发现攻击轨迹与样本残留并且阻断再次攻击。

那么这里攻击者就要引入“持续攻击”,防御者就要引入“溯源取证与清理遗留”,攻击与持续攻击的分水岭是就是后渗透持续攻击,而表现形式其中之一就是后门。

后门的种类

本地后门:如系统后门,这里指的是装机后自带的某功能或者自带软件后门

本地拓展后门:如 iis 6 的 isapi,iis7 的模块后门

第三方后门:如 apache,serv-u,第三方软件后门

第三方扩展后门:如 php 扩展后门,apache 扩展后门,第三方扩展后门

人为化后门:一般指被动后门,由人为引起触发导致激活,或者传播

后门的隐蔽性排行

本地后门 > 本地拓展后门 > 第三方后门 > 第三方扩展后门

这里排除人为化后门,一个优秀的人为化后门会造成的损失不可估计,比如勒索病毒的某些非联网的独立机器,也有被勒索中毒。在比如某微博的蠕虫等。

整体概括分类为:

主动后门,被动后门,传播型后门。

后门的几点特性:

隐蔽,稳定,持久

一个优秀的后门,一定是具备几点特征的,无文件,无端口,无进程,无服务,无语言码,并且是量身目标制定且一般不具备通用性。

攻击者与防御者的本质对抗是什么?

增加对方在对抗中的时间成本,人力成本。

这里要引用百度对 APT 的解释:

APT 是指高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT 攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。

那么关于高级持续渗透后门与上面的解释类似:

高级持续渗透后门是指高级持续性后渗透权限长期把控,利用先进的后渗透手段对特定目标进行长期持续性维持权限的后攻击形式,高级持续渗透后门的原理相对于其他后门形式更为高级和先进,其高级性主要体现在持续渗透后门在发动持续性权限维持之前需要对攻击对象的业务流程和目标系统进行精确的收集并量身制定目标后门。

第一季从攻击者角度来对抗

项目中一定会接触到溯源,而溯源最重要的环节之一就是样本取证与分析。既然是样本取证,也就是主要找残留文件。可能是脚本,dll,so,exe 等。其次是查找相关流量异常,端口,进程。异常日志。

做为攻击者的对抗,无开放端口,无残留文件,无进程,无服务。在防御者处理完攻击事件后的一定时间内,再次激活。

这里要解释一下 rootkit,它的英文翻译是一种特殊类型的恶意软件

百度百科是这样解释的:

Rootkit 是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是 Rootkit 一般都和木马、后门等其他恶意程序结合使用。 Rootkit 通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。

在后门的进化中,rootkit 也发生了变化,最大的改变是它的系统层次结构发生了变化。

后门的生成大体分 4 类

1、有目标源码

2、无目标源码

3、无目标源码,有目标 api

4、无目标源码,无 api,得到相关漏洞等待触发

结合后门生成分类来举例细说几个 demo

1、有目标源码

目前大量服务器上有第三方软件。

这里以 notepad++ 为例。

Notepad++ 是 Windows 操作系统下的一套文本编辑器,有完整的中文化接口及支持多国语言编写的功能,并且免费开源。

开源项目地址:

https://github.com/notepad-plus-plus/notepad-plus-plus

关于编译:

https://micropoor.blogspot.hk/2017/12/1notepad.html

Demo 环境:windows 7 x64,notepad++(x64)

Demo IDE:vs2017

在源码中,我们修改每次打开以 php 结尾的文件,先触发后门,在打开文件。其他文件跳过触发后门。

文件被正常打开。

优点:

在对抗反病毒,反后门软件中有 绝对优势,可本地多次调试,稳定性 强壮

跨平台能力非常强壮,并且可以对后门选择方式任意,如主动后门,被动后门,人为化后门等。

缺点:

针对性较强,需要深入了解目标服务器安装或使用软件。需要语言不确定的语言基础。在封闭系统,如 Windows 下多出现于第三方开源。

2、无目标源码

参考内部分享第九课(需要加入 360 才有机会看到呦,赶紧加入我们吧)

优点:

在对抗反病毒,反后门软件中有 一定优势,稳定性 良好,跨平台能力一般,并且适用于大多数可操作文件,同样可以选择对后门选择方式任意,如主动后门,被动后门,人为化后门等。

缺点:

稳定性 不突出 ,在修改已生成的二进制文件,容易被 反病毒反后门 软件 查杀

3.无目标源码,有目标 api

目前大多数的 Ms_server,内置 iis,从 windows2000 开始,而目前国内市场使用 03sp2,08r2 为主。在 win 下又以 iis 为主,在 iis 中目前主要分为 iis5.x ,iis6.x,大于等于 iis7.x。

iis7 以后有了很大的变化,尤其引入模块化体系结构。

iis6.x 最明显的是内置 IUSR 来进行身份验证,IIS7 中,每个身份验证机制都被隔离到自己的模块中,或安装或卸载。

同样,目前国内市场另一种常见组合 XAMP(WIN+Apche+mysql+php,与 Linux+Apche+mysql+php),php5.x 与 php7.x 有了很大的变化,PHP7 将基于最初由 Zend 开发的 PHPNG 来改进其框架。并且加入新功能,如新运算符,标记,对十六进制的更友好支持等。

Demo 环境:windows 7x86 php5.6.32

Demo IDE:vs2017

php 默认有查看加载扩展,命令为 php -m,有着部分的默认扩展, 而在扩展中,又可以对自己不显示在扩展列表中

php.ini 配置

以 Demo.php 为例,demo.php 代码如下:

在访问 demo.php,post 带有触发后门特征,来执行攻击者的任意 php 代码。

在 demo 中,仅仅是做到了,无明显的以 php 后缀为结尾的后门,那么结合第一条,有目标源码为前提,来写入其他默认自带扩展中,来达到更隐蔽的作用。

优点:

在对抗反病毒,反后门软件中有 绝对优势,可本地多次调试,稳定性 非常强壮。跨平台能力非常强壮,且可以对后门选择方式任意,如主动后门,被动后门,人为化后门等。

缺点:

在编译后门的时候,需要查阅大量API,一个平台到多个平台的相关API。调试头弄,失眠,吃不下去饭。领导不理解,冷暖自知。

第二季从防御者角度来对抗

后者的话

目前国内市场的全流量日志分析,由于受制于存储条件等因素,大部分为全流量,流量部分分析。那么在高级持久性后门中,如何建立一个伪流量非实用数据来逃逸日志分析,这应该是一个优秀高级持续后门应该思考的问题。

文章长期更新地址:

https://micropoor.blogspot.hk/

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2017-12-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏杨建荣的学习笔记

给自己写的程序挑毛病(r12笔记第68天)

前几那天写了一个Java程序模拟生产者消费者,当时写完还感觉不错,但是这几天再看的时候发现还是有很多的不足之处,给别人挑毛病不大好意思,尺度拿捏不好还容易...

36850
来自专栏FreeBuf

如何使用Airgeddon搭建基于软件的WIFI干扰器

Airgeddon是一款能够进行Wi-Fi干扰的多Bash网络审计工具,它可以允许你在未加入目标网络的情况下设置目标,并且断开目标网络中的所有设备。Airged...

368100
来自专栏walterlv - 吕毅的博客

在移动端打开 Google 的网页快照

2018-03-08 23:55

1K20
来自专栏FreeBuf

14亿邮箱泄露密码明文信息查询网站惊现网络

经查询统计,该14亿邮箱密码库涉及Gamil、Hotmail、Yahoo、Sina、qq、163、Sohu、Live、Aol等知名电邮厂商注册用户,另外,还涉及...

26400
来自专栏安智客

Google Keybox功能与TEE关系介绍

昨天介绍了Keystore功能,今天来普及一下Keybox。这个也与可信执行环境TEE有着密切的关系! Keybox就是Android的密钥箱功能,用于解密受D...

1K100
来自专栏数据和云

【Windows最近肿么了】32TB的Win10源码遭泄露?

黑客泄露微软 Win 10 大量源代码,数据超过 32 TB 据 TheRegister 报道,已经有多达 32TB 的微软 Windows 操作系统的内部核心...

35080
来自专栏向治洪

网络访问优化下载

利用有效网络访问优化下载 使用无线电波(wireless radio)进行数据传输可能是应用最耗电的操作之一。为了降低网络连接的电量消耗,清楚的理解连接模型(c...

19760
来自专栏黑白安全

metasploit渗透终极防御终极方法总结

睡不着就无聊玩玩metasploit攻击,哎让我大失所所望.整来整去是一个垃圾东东.可能对win还用点没有那么多安全防御手段.可是对于linux.bsd简直就是...

13030
来自专栏FreeBuf

俄罗斯黑客是如何滥用twitter作为Hammertoss C&C服务器的?

本文我们将复制一项技术,我们曾用它来追踪一个叫做Hammertoss的复杂俄罗斯恶意软件,该恶意软件的创造者滥用知名网站(比如twitter和github)来跃...

22650
来自专栏玉树芝兰

如何用Python做词云?

临渊羡鱼,不如退而结网。我们步步为营,从头开始帮助你用Python做出第一张词云图来。欢迎尝试哦!

58730

扫码关注云+社区

领取腾讯云代金券