第五十八課:高級持續(xù)滲透-第二季關于后門補充一
專注APT攻擊與防御
https://micropoor.blogspot.com/
這次繼續(xù)圍繞第一篇,第一季關于后門:
https://micropoor.blogspot.hk/2017/12/php.html 做整理與補充,。在深入一步細化demo notepad++。
后門是滲透測試的分水嶺,它分別體現(xiàn)了攻擊者對目標機器的熟知程度,環(huán)境,編程語言,了解對方客戶,以及安全公司的本質(zhì)概念,。這樣的后門才能更隱蔽,更長久,。
而對于防御者需要掌握后門的基本查殺,與高難度查殺,了解被入侵環(huán)境,目標機器。以及后門或者病毒可隱藏角落,或樣本取證,內(nèi)存取證,。.
所以說后門的安裝與反安裝是一場考試,一場實戰(zhàn)考試,。
這里要引用幾個概念,只有概念清晰,才能把后門加入概念化,使其更隱蔽。
1:攻擊方與防御方的本質(zhì)是什么?
增加對方的時間成本,人力成本,資源成本(不限制于服務器資源),金錢成本,。
2:安全公司的本質(zhì)是什么?
盈利,最小投入,最大產(chǎn)出,。
3:安全公司產(chǎn)品的本質(zhì)是什么?
能適應大部分客戶,適應市場化,并且適應大部分機器。(包括不限制于資源緊張,寬帶不足等問題的客戶)
4:安全人員的本質(zhì)是什么?
賺錢,養(yǎng)家,。買房,還房貸,。導致,快速解決客戶問題(無論暫時還是永久性解決),以免投訴。
5:對接客戶的本質(zhì)是什么?
對接客戶也是某公司內(nèi)安全工作的一員,與概念4相同。
清晰了以上5個概念,作為攻擊者,要首先考慮到對抗成本,什么樣的對抗成本,
能滿足概念1-5,。影響或阻礙對手方的核心利益,。把概念加入到后門,更隱蔽,更長久。
文章的標題既然為php安全新聞早八點,那么文章的本質(zhì)只做技術研究,
Demo本身不具備攻擊或者持續(xù)控制權限功能,。
Demo連載第二季:
Demo 環(huán)境:windows 7 x64,notepad++(x64)
Demo IDE:vs2017
在源碼中,我們依然修改每次打開以php結尾的文件,先觸發(fā)后門,在打開文件,。其他文件跳過觸發(fā)后門。但是這次代碼中加入了生成micropoor.txt功能,。并且使用php來加載運行它,是的,生成一個txt,。demo中,為了更好的演示,取消自動php加載運行該txt。而txt的內(nèi)容如圖所示,并且為了更好的了解,開啟文件監(jiān)控,。
使用notepad++(demo2).exe 打開以php結尾的demo.php,來觸發(fā)microdoor,。并且生成了micropoor.txt
而micropoor.txt內(nèi)容:
配合micropoor.txt的內(nèi)容,這次的Demo將會變得更有趣。那么這次demo 做到了,無服務,無進程,無端口,無自啟,。根據(jù)上面的5條概念,加入到了demo中,增加對手成本,。使其更隱蔽。
如果demo不是notepad++,而是mysql呢?用它的端口,它的進程,它的服務,它的一切,來重新編譯microdoor,。例如:重新編譯mysql.so,mysql.dll,替換目標主機,。無文件,無進程,無端口,無服務,無語言碼。因為一切附屬于它,。這應該是一個攻擊者值得思考的問題,。正如第一季所說:在后門的進化中,rootkit也發(fā)生了變化,最大的改變是它的系統(tǒng)層次結構發(fā)生了變化。
Micropoor
?
