Chapter 7 木马与后门
7.1 木马基本概念
通过欺骗或诱骗的方式安装,并在用户的计算机中隐藏以实现控制用户计算机的目的。
属于具有远程控制、信息窃取、破坏等功能的恶意代码
特点:欺骗性、隐藏性、非授权性、交互性
7.2 木马分类
- 远程控制型木马:能够进行远程控制的木马,攻击者与被控制端有双向交互。例:灰鸽子、广外女生
- 信息获取型木马:进行信息窃取的木马,被控制端到攻击者的单向交互。
- 破坏型木马:进行数据破坏、资源消耗(包括挖矿)的木马,有攻击者到被控制者的单向交互或无交互。
7.3 木马植入方式
- 网页挂马植入:即黑客在入侵某些网站后将自己的木马嵌入到其网站的页面上,使用户点开页面后自动下载木马。
- 电子邮件植入:将木马程序以附件形式在邮件中传播。有时将电子邮件与网页挂马相结合,使得不选中附件也能传播木马。
- 文档捆绑植入:使用office和pdf文档的漏洞等进行植入。
- 伪装欺骗植入:通过修改命名、后缀、图标等欺骗电脑用户点击后植入。
- 捆绑植入:如exe捆绑、文档嵌入、多媒体文件、电子书植入等。木马捆绑是把一个有界面的正常程序,和一个后门程序捆绑在一起从而制作一个木马。
- 其他:社会工程学。
7.4 木马的通信方式
- 传输通道构建信息:黑客获取数据等的交互需要黑客提供自己机器的IP地址、端口、第三方网址等信息才能进行
- 建立通道连接的方式有:正向连接和反向连接。
- 正向连接:黑客端主动连接被控制端以获取目标机器的信息。
- 优点:攻击者无需外部IP地址、木马样本不会泄露自身的IP地址
- 缺点:可能会被防火墙阻挡、被攻击者必须提供外部IP地址(否则被攻击者若在局域网中,则IP地址可能不固定,难以形成长期连接)、定位被攻击者相对困难(被攻击者的IP地址和上线时间不确定)
- 反向连接:
- 方案1:被控制端直接连接黑客控制端
- 优点:较容易通过防火墙、攻击目标可以实现上线即控制、可控制局域网中的目标
- 缺点:会暴露控制服务器信息、攻击者需要具备外部IP地址
- 方案2:被控制端与控制端之间由肉鸡连接,间接通信
- 优点:可以绕过防火墙、攻击目标可以实现上线即控制、不易被发现(因为是代理,因此不会暴露攻击者自己的信息)
- 缺点:肉鸡从哪来,需要保障肉鸡的稳定性
- 方案1:被控制端直接连接黑客控制端
- 正向连接:黑客端主动连接被控制端以获取目标机器的信息。
- 使用的通信协议
- TCP协议:传输稳定,但容易被发现,有正向和反向两种形式
- HTTP协议伪装:如果黑客能够截取目标机器的数据包,就可以对HTTP协议包做出一定的修改,这种攻击的成功率很大,但前提是必须能够让黑客的机器充当目标机器的代理服务器。
- UDP协议:负载较小,但传输不稳定,有正向和反向两种形式
- ICMP + TCP/UDP:由于ICMP报文一般由内核处理,因此一般不会被防火墙处理,可以在ICMP报文上做手脚。
- BITS(Background Intelligent Transfer Service):一个后门,适用于Windows2000/XP/2003,在进程管理器中不可见,平时没有端口,提供正向和反向连接两种方式
- TCP协议:传输稳定,但容易被发现,有正向和反向两种形式
7.5 远控木马
- 结构:木马配置程序、控制端程序(客户端)、被控制端程序(服务器)
- 功能:文件、进程、服务、注册表管理,监控摄像头、语音、键盘、桌面,开shell等
7.6 木马防御思路
- 静态文件特征检测
- 网络流量特征检测
- 系统行为特征检测
- 功能行为特征检测
- 攻击意图检测等