后门攻击

什么是后门

后门程序是一种恶意软件类型,它会阻止正常的身份验证过程访问系统。因此,远程访问被授予应用程序内的资源,例如数据库和文件服务器,从而使犯罪者能够远程发布系统命令并更新恶意软件。

后门安装是通过利用Web应用程序中易受攻击的组件来实现的。一旦安装,检测是困难的,因为文件往往被高度混淆。

Webserver后门用于许多恶意活动,其中包括:

  • 数据盗窃
  • 网站瑕疵
  • 服务器劫持
  • 启动分布式拒绝服务(DDoS)攻击
  • 感染网站访问者(水坑攻击)
  • 高级持续威胁(APT)攻击

后门木马安装

最流行的后门安装方法涉及远程文件包含(RFI),这是一种利用应用程序中的漏洞进行动态引用外部脚本的攻击媒介。在RFI方案中,引用函数被诱骗从远程主机下载后门木马。

具有命令执行能力的后门仪表板示例。

实施者通常使用扫描仪识别目标,这些扫描仪可以找到网站上有未打补丁或过时的组件,从而实现文件注入。一个成功的扫描器会滥用漏洞在底层服务器上安装后门。安装完成后,即使启用补丁的漏洞已被修补,也可以随时访问。

后门特洛伊木马注入通常以两步过程完成,以绕过安全规则,防止上传大于特定大小的文件。第一阶段涉及安装一个dropper--一个小文件,其唯一功能是从远程位置检索更大的文件。它启动第二阶段 - 在服务器上下载并安装后门脚本。

后门壳去除的挑战

一旦安装,后门是非常难以清除的。传统上,检测涉及使用软件扫描程序在服务器文件系统中搜索已知的恶意软件签名。然而,这个过程很容易出错。后门外壳文件几乎总是通过使用别名和更重要的代码混淆(有时甚至是多层加密)来屏蔽。

由于许多应用程序构建在使用第三方插件的外部框架上,所以检测更加复杂; 这些有时会带有漏洞或内置后门。依赖启发式和基于签名的规则的扫描器可能无法检测到此类框架中隐藏的代码。

即使检测到后门,典型的缓解方法(甚至系统重新安装)也不可能将其从应用程序中移除。对于在可重写存储器中持续存在的后门来说尤其如此。

用INCAPSULA减轻后门外壳攻击

在Imperva Incapsula,我们使用多种方法来防止后门安装,以及检测和隔离现有的后门外壳。

一方面,Incapsula Web应用程序防火墙(WAF)使用默认和用户定义的安全规则的组合来防止RFI攻击危害您的应用程序。WAF作为网络边缘的安全代理进行部署,确保恶意请求在与应用进行交互之前被阻止。因此,您的网站在您使用我们服务的那一刻起就已经得到保护。

如果您的网络服务器在入职前已经受到威胁,那么Incapsula 后门保护解决方案可以让您检测并移除文件系统中的shell。

该解决方案采用新颖的方法拦截连接请求到恶意shell--这是扫描服务器以获得后门文件的最佳选择。与容易隐藏的后门文件不同,连接请求不能被混淆以隐藏其恶意的意图。

通过追溯这种通信尝试,Incapsula服务可以识别任何后门外壳,即使其源代码被加密以避免扫描仪 。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

CVE-2016-10277在MOTO X手机上的漏洞利用实践

CVE-2016-10277是存在于摩托罗拉系列手机的bootloader高危漏洞,可以通过内核命令注入劫持手机的启动流程,加载攻击者控制的initramfs,...

31670
来自专栏PHP在线

php + mysql 分布式事务

事务(Transaction)是访问并可能更新数据库中各种数据项的一个程序执行单元; 事务应该具有4个属性:原子性、一致性、隔离性、持续性; 原子性(atomi...

52860
来自专栏程序猿

安装 VMware workstation

VMware Workstation 是 VMware 公司推出的一款桌面虚拟计算软件,具有 Windows、Linux 版本。VMware Worksta...

847120
来自专栏FreeBuf

基于ThinkPHP的2个CMS后台GetShell利用

0x00 前言 ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,由于其简单易用,很多cms都基于该框架改写。然而 Thinkphp在缓存使...

50590
来自专栏黑白安全

DNS欺骗

域名服务器(DNS)欺骗(又称DNS缓存中毒)是一种攻击,其中使用更改后的DNS记录将在线流量重定向到类似其预期目的地的欺诈网站。

34220
来自专栏FreeBuf

PoisonCake(毒蛋糕):内置于手机ROM的恶意代码模块

AVL移动安全团队近日联合LBE发现一款内置于手机ROM的恶意代码模块。由于该恶意代码作者将此恶意模块运行释放的模块称为“Cake”,所以我们将其命名为“Poi...

27380
来自专栏伪君子的梦呓

安装和激活 VMware workstation

21640
来自专栏jeremy的技术点滴

云服务器上ssh服务安全加固

96360
来自专栏西枫里博客

删除QQ内置浏览器,不再为误点烦恼。

事情得从好久之前说起,自从上次火绒说QQ推广管家和浏览器有流氓行为。就对QQ内置的浏览器耿耿于怀。今天boke112群主说不喜欢分享的链接被QQ内置浏览器打开。...

28410
来自专栏Youngxj

评论框调用一言

17070

扫码关注云+社区

领取腾讯云代金券