高级持续渗透-第一季关于后门（第五十七课）高持续渗透--Microporor.pdf

专注APT攻击与防御 https/// 当我们接到某个项目的时候 ，它已经是被入侵了。甚至已经被脱库 ，或残留后门 等持续攻击洗库。 后渗透攻击者的本质是什么 ？ 阻止防御者信息搜集 ，销毁行程记录 ，隐藏存留文件。 防御者的本质是什么 ？ 寻找遗留信息 ，发现攻击轨迹与样本残留并且阻断再次攻击。 那么这里攻击者就要引入 “持续攻击” ，防御者就要引入 “溯源取证与清理遗 留” ，攻击与持续攻击的分水岭是就是后渗透持续攻击 ，而表现形式其中之一就 是后门。 后门的种类 ： 本地后门 ：如系统后门 ，这里指的是装机后自带的某 功能或者自带软件后门 本地拓展后门 ：如iis 6的isapi ，iis7的 模块后门 第三方后门 ：如apache ，serv-u ，第三方软件后门 第三方扩展后门 ：如php扩展后门 ，apache扩展后 门 ，第三方扩展后门 人为化后门 ：一般指被动后门 ，由人为引起触发导致 激活 ，或者传播 后门的隐蔽性排行 ：本地后门本地拓展后门第三方后门第三方扩展后门 ，这 里排除人为化后门 ，一个优秀的人为化后门会造成的损失不可估计 ，比如勒索病 毒的某些非联网的独立机器 ，也有被勒索中毒。在比如某微博的蠕虫等。 整体概括分类为 ：主动后门 ，被动后门。传播型后门。 后门的几点特性 ：隐蔽 ，稳定。持久 一个优秀的后门 ，一定是具备几点特征的 ，无文件 ，无端口 ，无进程 ，无服务 ， 无语言码 ，并且是量身目标制定且一般不具备通用性。 攻击者与防御者的本质对抗是什么 ？ 增加对方在对抗中的时间成本 ，人力成本。 这里要引用百度对APT的解释 ： APT是指高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络 攻击的攻击形式 ，APT攻击的原理相对于其他攻击形式更为高级和先进 ，其高级 性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精 确的收集。 那么关于高级持续渗透后门与上面的解释类似 ： 高级持续渗透后门是指高级持续性后渗透权限长期把控 ，利用先进的后渗透手段 对特定目标进行长期持续性维持权限的后攻击形式 ，高级持续渗透后门的原理相 对于其他后门形式更为高级和先进 ，其高级性主要体现在持续渗透后门在发动持 续性权限维持之前需要对攻击对象的业务流程和目标系统进行精确的收集并量身 制定目标后门。 第一季从攻击者角度来对抗 ： 项目中一定会接触到溯源 ，而溯源最重要的环节之一就是样本取证与分析。既然 是样本取证 ，也就是主要找残留文件。可能是脚本 ，dll ，so ，exe等。其次是查 找相关流量异常 ，端口 ，进程。异常日志。 做为攻击者的对抗 ，无开放端口 ，无残留文件 ，无进程 ，无服务。在防御者处理 完攻击事件后的一定时间内 ，再次激活。 这里要解释一下rootkit ，它的英文翻译是一种特殊类型的恶意软件 百度百科是这样解释的 ：Rootkit是一种特殊的恶意软件 ，它的功能是在安装目标 上隐藏自身及指定的文件、进程和网络链接等信息 ，比较多见到的是Rootkit一般 都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动 ，修改系 统内核 ，进而达到隐藏信息的目的。 在后门的进化中 ，rootkit也发生了变化 ，最大的改变是它的系统层次结构发生了 变化。 后门的生成大体分4类 ： 1.有目标源码 2.无目标源码 3.无目标源码 ，有目标api 4.无目标源码 ，无api ，得到相关漏洞等待触发 结合后门生成分类来举例细说几个demo。 1.有目标源码 目前大量服务器上有第三方软件。这里以notepad++为例。 Notepad++是 Windows操作系统下的一套文本编辑器 ，有完整的中文化接口及 支持多国语言编写的功能 ，并且免费开源。 开源项目地址 ：https///notepad-plus-plus/notepad-plus-plus 关于编译 ：https//micropoor.blogspot.hk/2017/12/1notepad.html Demo 环境 ：windows 7 x64 ，notepad++(x64) Demo IDE ：vs2017 在源码中 ，我们修改每次打开以php