计算机安全攻防之开辟后门.ppt

第七讲开辟后门 王大勇wangdayong 2 主要内容 攻击过程开辟后门 3 主要内容 攻击过程开辟后门 4 连续攻击过程 寻找攻击目标 攻击主机并获取控制权 在已攻击成功的主机中安装攻击程序 利用已攻击成功的主机继续进行扫描和攻击 攻击者在主控端给客户端攻击程序发布攻击命令 5 主要内容 攻击过程开辟后门 6 开辟后门 文件系统后门攻击者需要在服务器上储存文件与数据 并不被管理员发现 攻击者经常利用的是 exploit脚本工具 后门集 sniffer日志 email的备份 源代码等 有时为了防止管理员发现这些文件 需要修补ls du fsck 隐匿特定的目录和文件 还有一种方法是 以专有的格式在硬盘上割出一部分 且表示为坏的扇区 攻击者应用特别的工具访问这些隐藏的文件 7 主要内容 Rhosts 后门在联网的UNIX机器中 像rsh和rlogin这样的服务是基于Rhosts文件里的主机名提供的认证服务 用户改变设置不需口令就能进入系统 攻击者只要向可以访问的某用户的rhosts文件中输入 就可以允许任何人从任何地方无须口令进入这个帐号 这些帐号也成了攻击者再次入侵的后门 许多攻击者更喜欢使用rsh 因为它通常缺少日志能力许多管理员经常检查 所以攻击者实际上设置来自网上的另一个帐号的主机名和用户名 从而不易被发现 8 开辟后门 密码破解后门这是攻击者使用的最古老的方法 它不仅可以获得对UNIX机器的访问权限 而且可以通过破解密码制造后门 在破解具有弱口令的帐号以后即使管理员关闭了攻击者的当前帐号 这些新的帐号仍然可能是重新入侵的后门 多数情况下 攻击者寻找具有弱口令的未使用帐号 然后将口令改得难一些 当管理员寻找弱口令帐号时 不会发现这些口令已被修改的帐号 9 开辟后门 Login后门在UNIX里 login程序通常用来对telnet用户进行口令验证 攻击者获取login c的源代码并修改 使它在比较输入口令与存储口令时先检查后门口令 如果攻击者敲入后门口令 它将忽视管理员设置的口令使攻击者通过认证 这将允许攻击者进入任何帐号 甚至root帐号 管理员注意到这种后门后 便用strings命令搜索login程序寻找文本信息 多数情况下会使后门口令原形毕露 10 开辟后门 Telnet后门当用户telnet到系统 监听端口的Inetd服务接受连接 并传递给in telnetd 由它运行login 一些攻击者知道管理员会检查login是否被修改 于是修改in telnetd 在in telnet内部有一些对用户信息的检查 比如用户使用了何种终端 典型设置是Xterm或VT100 攻击者可以做这样的后门 当终端设置为 letmein 时产生一个不要任何验证的shell 攻击者已对某些服务作了后门 对来自特定源端口的连接产生一个shell 11 开辟后门 库后门几乎所有的UNIX系统都使用共享库 共享库用于相同函数的重用从而减少代码长度 一些攻击者在crypt c这类函数里做后门 像login c这样的程序调用crypt 当使用后门口令是产生一个shell 因此 即使管理员用MD5检查login程序 仍然能产生一个后门函数 管理员有一种方法可以找到后门 就是静态编连MD5校验程序然后运行 12 开辟后门 校验和时间戳后门早期 许多攻击者用自己的trojan程序替代二进制文件 系统管理员校验及程序辨别二进制文件是否被改变 后来 攻击者开发了使torjan文件和原文件时间戳同步的新技术 它是这样实现的 先将系统时钟拨回到原文件时间 然后调整trojan文件的时间为系统时间 一旦二进制trojan文件与原文件精确同步 就可以把系统设回当前时间 sum程序基于CRC校验 很容易骗过 攻击者可以将trojan的校验和调整为原文件的校验和 13 开辟后门 服务后门几乎所有的网络服务都曾被攻击者做过后门 finger rsh rlogin FTP 甚至inetd等的后门版本随处可见 有的只是连接到某个TCP端口的shell 通过后门口令就能获取访问权限 这些程序有时用uucp这样不常用的服务 或者加入到inetd conf作为一个新的服务 14 开辟后门 Cronjob后门UNIX上的cronjob可以按时间表调度特定程序的运行 攻击者可以加入后门shell程序使它在1AM到2AM之间运行 那么每晚有一个小时可以获得访问权限 攻击者可以查看cronjob中经常运行的合法程序 同时置入后门 根用户的crontab文件放在 var spool root中 其格式如下 1 2 3 4 5 6 00 3 usr bin updatedb以上内容设置 usr bin updatedb程序于每个星期三0 0运行 15 开辟后门 内核后门内核是UNIX等各种操作系统工作的核心 内核中嵌入后门程序最难被管理员发现 boot块后门在PC世界里 通过杀毒软件检查引导区的完整性发现病毒 在UNIX中 多数管理员没有检查引导区的软件 所以攻击者常常将后门程序留在引导区 16 开辟后门 隐匿进程后门攻击者希望隐匿他们运行的程序 通常是口令破解程序和监听程序 sniffer 较常用的方法是 编写程序时修改自己的argv 使它看起来像其他进程名 将sniffer程序改名为in syslog在执行 因此当管理员用 ps 检查运行进程时 出现的是标准服务名 修改库函数使 ps 不能显示所有的进程 将一个后门或程序嵌入中断驱动程序使它不会在进程表中显示 17 开辟后门 网络通信后门攻击者不仅希望隐匿他们留在系统里的痕迹 而且也希望要隐匿他们的网络通信 有许多网络后门程序允许攻击者建立某个端口号 并不用通过普通服务就能实现访问 因为这是通过非标准网络端口进行的 管理员可能忽视攻击者的踪迹 这种后门通常使用TCP UDP和ICMP 但也有可能是其他类型的报文 18 开辟后门 TCPshell后门攻击者可能在放火墙没有阻塞的高位TCP端口建立这些TCPshell后门 许多情况下 他们用口令进行保护以免管理员连接上后立即看到是shell访问 管理员可以用netstat命令查看当前的连接状态 哪些端口在侦听 以及目前的连接状态等 通常这些后门可以让攻击者躲过TCPwrapper检查 这些后门可以放在SMTP端口 因为许多防火墙允许E mail通过 19 开辟后门 UDPshell后门管理员经常注意TCP连接并观察其异常情况 而UDPshell后门没有这样的连接 所以Netstat不能显示攻击者的访问痕迹 许多放火墙设置成允许类似DNS的UDP报文的通行 通常攻击者将UDPshell放置在这个端口 通过它穿越防火墙 20 开辟后门 ICMPshell后门ping是通过发送和接受ICMP包检测机器活动状态的通用方法之一 许多防火墙允许外界ping它内部的机器 攻击者可以将数据放进ping的ICMP包 在ping通过的机器间形成一个Shell通道 管理员也许会注意到ping包风暴 但除非他查看包内数据 否则攻击者痕迹不会暴露 21 手工克隆帐号后门 把管理员权限复制给一个普通帐号例如将系统内建guest帐号变换成管理员权限帐号可以使用权限提升工具PSU exe来实现 修改注册表SAMPSU可以捕获system系统进程 并以该权限修改SAM 22 制造Unicode漏洞后门 替换目标服务器IIS服务文件 制造unicode漏洞在IISWeb文档根目录中放入cmd exe 并将其隐藏 23 制造 idq漏洞后门 将idq dll放入目标IIS服务器Scripts目录中 并将其隐藏在本地使用ispc与目标服务器建立连接 ispc目标IP scripts idq dll如果连接成功 就会在本地得到 C winnt system32 远程服务器的Shell 24 Winshell后门 Windows平台上精巧的telnet服务器 主程序5k左右 可以完全独立运行而不依赖任何系统动态链接库支持定制端口 密码保护 多用户登陆 NT服务方式 远程文件下载 信息自定义及独特的反DDOS功能 25 Wollf木马后门 一款经典的木马程序 功能强大 几乎就是一个小型的操作系统拥有自己的专用命令 扩展了Telnet服务 集成文件传输服务 FTP服务 键盘记录 Sniffer 端口转发等功能 还可以实现反向连接可以随系统启动 或作为普通程序启动 26 SQL后门 即使入侵者掌握了目标服务器的SQL服务SA口令 通常也不能从外部直接连接访问目标服务器 因为防火墙上一般会过滤掉对1433端口的访问请求使用工具SqlRootKi