一种新型三无隐形后门构建与安全警示.docVIP

一种新型“三无”隐形后门的构建与安全警示 　　摘要：文章提出一种新型的无文件、无进程、无线程的“三无”隐形后门的构建思路，并就注册表中的安全更新记录进行了欺骗攻击进行验证，分析了新型隐形后门的安全危害；通过对一些安全软件产品的跟踪分析，对这种隐蔽性极强的新型后门提出了安全警示。 　　关键词：后门；木马；隐形；宿主；注册表；隐私安全 　　中图分类号：TP309 文献标识码：A 文章编号：1009-3044（2013）26-5830-03 　　木马后门通常都必需以实体形式存在：或者植入独立的程序，或者感染既有的本地文件，或者以脚本代码等形式存在。如果说，有一种后门存在以下“三无”特性：无文件（包括独立的后门文件或被感染的本地文件）、无进程（系统运行时不以进程形式存在，且不必采取隐藏进程等对抗技术）、无线程（不创建线程、不向任何进程嵌入模块），则这种后门对于传统的安全概念而言，似乎是不可能存在的，通常没有人能够接受不以二进制代码而存在的这种隐形后门。但随着对一些安全软件的行为跟踪和对操作系统运行机制的深入分析，该文已经证实可以构建一种存在上述“三无”特性的隐形后门。 　　既然能够构建存在上述特性的隐形后门，则由于没有具体的文件目标、无法提取后门的特征代码、无法监控到后门的运行进程和线程，对于当前的流行安全检测技术与安全工具而言，这种后门被检测到的可能性几乎为零。 　　由于这种隐形后门确实存在，而流行的安全检测技术无法检测出来，则这种后门的安全威胁将极其严重，不但对个体的计算机用户带来严重的安全威胁，甚至可危及整个计算机社会的安全。 　　1 “三无”隐形后门的构建原理 　　1.1 隐形后门的宿主选择 　　既然这种后门以无文件、无进程、无线程为特征，那么它必然应当有一个宿主用于寄生。这个宿主不应当是任何第三方的某个文件，而只能是操作系统本身。 　　典型的Windows桌面操作系统其构成并非只有通常意义上的各种“文件”，而是还有系统的中央数据库即“注册表”，而注册表恰恰可作为隐形后门的理想宿主。 　　介绍至此，请一定不要以为隐形后门将采取类似MBR病毒那样，将后门的二进制代码嵌入到注册表中，如果是这种隐形方式，则本质上仍然是“感染”，只不过感染的不是一般的文件，而是系统数据库（即注册表）文件而已。这里提及的“三无”隐形后门虽然可寄生于注册表，但却是不会向注册表数据库中直接植入木马后门的执行代码。 　　1.2 隐形后门的产生根源：Windows Update 　　众所周知，Windows Update（即Windows自动更新功能）是Windows操作系统的一种极其重要的安全特性，通过Windows Update，系统能够第一时间将存在安全漏洞的系统文件升级为最新的消除了已知安全漏洞的文件版本。理论上，对操作系统进行安全升级能够有效修复已知的安全缺陷，但通过对Windows Update机制的恶意利用，可以通过人为干预自动升级的校验机制，让操作系统“误认为”某个安全补丁已经更新过（事实上并没有更新对应的系统文件），则这种自动更新机制即可转变成危险的隐形后门。 　　以典型的Windows 7操作系统为例，Windows自动更新会在注册表的以下键项中记录各种补丁的升级信息[1]： 　　HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Component Based Servicing 　　不同版本的操作系统及不同第三方工具的记录方式可以存在不同。 　　1.3 Windows Update原理及其漏洞分析 　　Windows安全更新通常有三种方式： 　　1）通过操作系统自带的Update功能进行自动更新。 　　2）使用第三方工具（如多种所谓的安全工具附带的系统打补丁功能）进行更新。 　　3）使用集成的补丁升级包进行更新。 　　无论何种方式，虽然在算法和具体实现方法上有所不同，但基本思路是一致的： 　　检测官方或第三方补丁提供者网站的最新补丁、读取当前操作系统的升级记录、比对最新补丁与升级记录，从而得出需要升级的补丁列表；按升级列表对存在漏洞的系统文件用最新版本进行替换后，改写升级记录以反映最后一次的补丁更新信息，然后等待下一轮更新时再重复循环上述操作。其原理流程示意图如下（图1）： 　　现在，假如省略（或部分省略）上述加粗边框的流程节点，即打补丁过程中，并不真的将存在漏洞的旧版本文件替换成已经修复漏洞的新版本，但却在升级记录信息中照样记录为该补丁已经升级，其结果如何？ 　　此时情况已经非常明显，系统的“三无”隐形后门已经顺利构建成功： 　　1）存在漏洞的系统文件在打补丁后仍然存在，与漏洞对应的攻击对该系统仍然有效；