第五十七課:高級持續(xù)滲透-第一季關(guān)于后門
專注APT攻擊與防御
https://micropoor.blogspot.com/
當(dāng)我們接到某個項目的時候,它已經(jīng)是被入侵了,。甚至已經(jīng)被脫庫,或殘留后門等持續(xù)攻擊洗庫,。
后滲透攻擊者的本質(zhì)是什么?
阻止防御者信息搜集,銷毀行程記錄,隱藏存留文件。
防御者的本質(zhì)是什么?
尋找遺留信息,發(fā)現(xiàn)攻擊軌跡與樣本殘留并且阻斷再次攻擊,。那么這里攻擊者就要引入“持續(xù)攻擊”,防御者就要引入“溯源取證與清理遺留”,攻擊與持續(xù)攻擊的分水嶺是就是后滲透持續(xù)攻擊,而表現(xiàn)形式其中之一就是后門,。
后門的種類:
本地后門:如系統(tǒng)后門,這里指的是裝機后自帶的某功能或者自帶軟件后門
本地拓展后門:如iis 6的isapi,iis7的 模塊后門
第三方后門:如apache,serv-u,第三方軟件后門
第三方擴展后門:如php擴展后門,apache擴展后門,
第三方擴展后門人為化后門:一般指被動后門,由人為引起觸發(fā)導(dǎo)致激活,或者傳播
后門的隱蔽性排行:本地后門>本地拓展后門>第三方后門>第三方擴展后門,這里排除人為化后門,一個優(yōu)秀的人為化后門會造成的損失不可估計,比如勒索病毒的某些非聯(lián)網(wǎng)的獨立機器,也有被勒索中毒。在比如某微博的蠕蟲等,。
整體概括分類為:主動后門,被動后門,。傳播型后門。
后門的幾點特性:隱蔽,穩(wěn)定,,持久,。
一個優(yōu)秀的后門,一定是具備幾點特征的,無文件,無端口,無進程,無服務(wù),無語言碼,并且是量身目標(biāo)制定且一般不具備通用性。
攻擊者與防御者的本質(zhì)對抗是什么?
增加對方在對抗中的時間成本,人力成本,。
這里要引用百度對APT的解釋:
APT是指高級持續(xù)性威脅,。 利用先進的攻擊手段對特定目標(biāo)進行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式,APT攻擊的原理相對于其他攻擊形式更為高級和先進,其高級性主要體現(xiàn)在APT在發(fā)動攻擊之前需要對攻擊對象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進行精確的收集。
那么關(guān)于高級持續(xù)滲透后門與上面的解釋類似:
高級持續(xù)滲透后門是指高級持續(xù)性后滲透權(quán)限長期把控,利用先進的后滲透手段對特定目標(biāo)進行長期持續(xù)性維持權(quán)限的后攻擊形式,高級持續(xù)滲透后門的原理相對于其他后門形式更為高級和先進,其高級性主要體現(xiàn)在持續(xù)滲透后門在發(fā)動持續(xù)性權(quán)限維持之前需要對攻擊對象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進行精確的收集并量身制定目標(biāo)后門,。
第一季從攻擊者角度來對抗:
項目中一定會接觸到溯源,而溯源最重要的環(huán)節(jié)之一就是樣本取證與分析,。既然是樣本取證,也就是主要找殘留文件。可能是腳本,dll,so,exe等,。其次是查找相關(guān)流量異常,端口,進程,。異常日志。
做為攻擊者的對抗,無開放端口,無殘留文件,無進程,無服務(wù),。在防御者處理完攻擊事件后的一定時間內(nèi),再次激活,。
這里要解釋一下rootkit,它的英文翻譯是一種特殊類型的惡意軟件
百度百科是這樣解釋的:Rootkit是一種特殊的惡意軟件,它的功能是在安裝目標(biāo)上隱藏自身及指定的文件、進程和網(wǎng)絡(luò)鏈接等信息,比較多見到的是Rootkit一般都和木馬,、后門等其他惡意程序結(jié)合使用,。Rootkit通過加載特殊的驅(qū)動,修改系統(tǒng)內(nèi)核,進而達(dá)到隱藏信息的目的。
在后門的進化中,rootkit也發(fā)生了變化,最大的改變是它的系統(tǒng)層次結(jié)構(gòu)發(fā)生了變化,。
后門的生成大體分4類:
1.有目標(biāo)源碼
2.無目標(biāo)源碼
3.無目標(biāo)源碼,有目標(biāo)api
4.無目標(biāo)源碼,無api,得到相關(guān)漏洞等待觸發(fā)
結(jié)合后門生成分類來舉例細(xì)說幾個demo,。
1.有目標(biāo)源碼
目前大量服務(wù)器上有第三方軟件。這里以notepad++為例,。
Notepad++是 Windows操作系統(tǒng)下的一套文本編輯器,有完整的中文化接口及支持多國語言編寫的功能,并且免費開源,。
開源項目地址:https://github.com/notepad-plus-plus/notepad-plus-plus
關(guān)于編譯:https://micropoor.blogspot.hk/2017/12/1notepad.html
Demo 環(huán)境:windows 7 x64,notepad++(x64)
Demo IDE:vs2017
在源碼中,我們修改每次打開以php結(jié)尾的文件,先觸發(fā)后門,在打開文件。其他文件跳過觸發(fā)后門,。
文件被正常打開,。
優(yōu)點:在對抗反病毒,反后門軟件中有絕對優(yōu)勢,可本地多次調(diào)試,穩(wěn)定性強壯??缙脚_能力非常強壯,并且可以對后門選擇方式任意,如主動后門,被動后
門,人為化后門等,。
缺點:針對性較強,需要深入了解目標(biāo)服務(wù)器安裝或使用軟件。需要語言不確定的語言基礎(chǔ),。在封閉系統(tǒng),如Windows下多出現(xiàn)于第三方開源,。
2.無目標(biāo)源碼
參考內(nèi)部分享第九課
優(yōu)點:在對抗反病毒,反后門軟件中有一定優(yōu)勢,穩(wěn)定性良好,跨平臺能力一般,并且適用于大多數(shù)可操作文件,同樣可以選擇對后門選擇方式任意,如主動
后門,被動后門,人為化后門等。
缺點:穩(wěn)定性不突出,在修改已生成的二進制文件,容易被反病毒,反后門軟件查殺,。
3.無目標(biāo)源碼,有目標(biāo)api
目前大多數(shù)的Ms_server,內(nèi)置iis,從windows2000開始,而目前國內(nèi)市場使用03sp2,08r2為主,。在win下又以iis為主,在iis中目前主要分為iis5.x ,
iis6.x,大于等于iis7.x。iis7以后有了很大的變化,尤其引入模塊化體系結(jié)構(gòu),。
iis6.x 最明顯的是內(nèi)置IUSR來進行身份驗證,IIS7中,每個身份驗證機制都被隔離到自己的模塊中,或安裝或卸載,。
同樣,目前國內(nèi)市場另一種常見組合XAMP(WIN+Apche+mysql+php,與Linux+Apche+mysql+php),php5.x 與php7.x有了很大的變化,PHP7將基于
最初由Zend開發(fā)的PHPNG來改進其框架,。并且加入新功能,如新運算符,標(biāo)記,對十六進制的更友好支持等,。
Demo 環(huán)境:windows 7x86 php5.6.32
Demo IDE:vs2017
php默認(rèn)有查看加載擴展,命令為php -m,有著部分的默認(rèn)擴展, 而在擴展中,又可以對自己不顯示在擴展列表中
php.ini 配置
以Demo.php為例,demo.php代碼如下:
在訪問demo.php,post帶有觸發(fā)后門特征,來執(zhí)行攻擊者的任意php代碼。在demo中,僅僅是做到了,無明顯的以php后綴為結(jié)尾的后門,那么結(jié)合第一條,有目標(biāo)源碼為前提,來寫入其他默認(rèn)自帶擴展中,來達(dá)到更隱蔽的作用,。
優(yōu)點:在對抗反病毒,反后門軟件中有絕對優(yōu)勢,可本地多次調(diào)試,穩(wěn)定性非常強壯,。跨平臺能力非常強壯,且可以對后門選擇方式任意,如主動后門,被動后門,人為化后門等,。
缺點:在編譯后門的時候,需要查閱大量API,一個平臺到多個平臺的相關(guān)API,。調(diào)試頭痛,失眠,吃不下去飯。領(lǐng)導(dǎo)不理解,冷暖自知。
第二季從防御者角度來對抗,。
后者的話:
目前國內(nèi)市場的全流量日志分析,由于受制于存儲條件等因素,大部分為全流量,流量部分分析,。那么在高級持久性后門中,如何建立一個偽流量非實用數(shù)據(jù)來逃逸日志分析,這應(yīng)該是一個優(yōu)秀高級持續(xù)后門應(yīng)該思考的問題。
Micropoor
?
