- 1、本文档共9页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
专注APT攻击与防御
https///
当我们接到某个项目的时候 ,它已经是被入侵了。甚至已经被脱库 ,或残留后门
等持续攻击洗库。
后渗透攻击者的本质是什么 ?
阻止防御者信息搜集 ,销毁行程记录 ,隐藏存留文件。
防御者的本质是什么 ?
寻找遗留信息 ,发现攻击轨迹与样本残留并且阻断再次攻击。
那么这里攻击者就要引入 “持续攻击” ,防御者就要引入 “溯源取证与清理遗
留” ,攻击与持续攻击的分水岭是就是后渗透持续攻击 ,而表现形式其中之一就
是后门。
后门的种类 :
本地后门 :如系统后门 ,这里指的是装机后自带的某
功能或者自带软件后门
本地拓展后门 :如iis 6的isapi ,iis7的 模块后门
第三方后门 :如apache ,serv-u ,第三方软件后门
第三方扩展后门 :如php扩展后门 ,apache扩展后
门 ,第三方扩展后门
人为化后门 :一般指被动后门 ,由人为引起触发导致
激活 ,或者传播
后门的隐蔽性排行 :本地后门本地拓展后门第三方后门第三方扩展后门 ,这
里排除人为化后门 ,一个优秀的人为化后门会造成的损失不可估计 ,比如勒索病
毒的某些非联网的独立机器 ,也有被勒索中毒。在比如某微博的蠕虫等。
整体概括分类为 :主动后门 ,被动后门。传播型后门。
后门的几点特性 :隐蔽 ,稳定。持久
一个优秀的后门 ,一定是具备几点特征的 ,无文件 ,无端口 ,无进程 ,无服务 ,
无语言码 ,并且是量身目标制定且一般不具备通用性。
攻击者与防御者的本质对抗是什么 ?
增加对方在对抗中的时间成本 ,人力成本。
这里要引用百度对APT的解释 :
APT是指高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络
攻击的攻击形式 ,APT攻击的原理相对于其他攻击形式更为高级和先进 ,其高级
性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精
确的收集。
那么关于高级持续渗透后门与上面的解释类似 :
高级持续渗透后门是指高级持续性后渗透权限长期把控 ,利用先进的后渗透手段
对特定目标进行长期持续性维持权限的后攻击形式 ,高级持续渗透后门的原理相
对于其他后门形式更为高级和先进 ,其高级性主要体现在持续渗透后门在发动持
续性权限维持之前需要对攻击对象的业务流程和目标系统进行精确的收集并量身
制定目标后门。
第一季从攻击者角度来对抗 :
项目中一定会接触到溯源 ,而溯源最重要的环节之一就是样本取证与分析。既然
是样本取证 ,也就是主要找残留文件。可能是脚本 ,dll ,so ,exe等。其次是查
找相关流量异常 ,端口 ,进程。异常日志。
做为攻击者的对抗 ,无开放端口 ,无残留文件 ,无进程 ,无服务。在防御者处理
完攻击事件后的一定时间内 ,再次激活。
这里要解释一下rootkit ,它的英文翻译是一种特殊类型的恶意软件
百度百科是这样解释的 :Rootkit是一种特殊的恶意软件 ,它的功能是在安装目标
上隐藏自身及指定的文件、进程和网络链接等信息 ,比较多见到的是Rootkit一般
都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动 ,修改系
统内核 ,进而达到隐藏信息的目的。
在后门的进化中 ,rootkit也发生了变化 ,最大的改变是它的系统层次结构发生了
变化。
后门的生成大体分4类 :
1.有目标源码
2.无目标源码
3.无目标源码 ,有目标api
4.无目标源码 ,无api ,得到相关漏洞等待触发
结合后门生成分类来举例细说几个demo。
1.有目标源码
目前大量服务器上有第三方软件。这里以notepad++为例。
Notepad++是 Windows操作系统下的一套文本编辑器 ,有完整的中文化接口及
支持多国语言编写的功能 ,并且免费开源。
开源项目地址 :https///notepad-plus-plus/notepad-plus-plus
关于编译 :https//micropoor.blogspot.hk/2017/12/1notepad.html
Demo 环境 :windows 7 x64 ,notepad++(x64)
Demo IDE :vs2017
在源码中 ,我们修改每次打开以php
您可能关注的文档
- payload分离免杀思路(第四十七课)高持续渗透--Microporor.pdf
- sql server 常用操作远程桌面语句(第七课)高持续渗透--Microporor.pdf
- vbs一句话下载payload(第三十七课)高持续渗透--Microporor.pdf
- 反攻的一次溯源--项目实战3(第六课)高持续渗透--Microporor.pdf
- 高级持续渗透-第二季关于后门补充一(第五十八课)高持续渗透--Microporor.pdf
- 高级持续渗透-第四季关于后门(第六十课)高持续渗透--Microporor.pdf
- 工具介绍-Sqlmap(第五课)高持续渗透--Microporor.pdf
- 工具介绍Veil-Evasion(第十一课)高持续渗透--Microporor.pdf
- 攻击FTP 服务(第四十二课)高持续渗透--Microporor.pdf
- 红蓝对抗渗透测试1(第十六课)高持续渗透--Microporor.pdf
- 专卖店促销员销售与成交技巧培训课件(34P).pptx
- 红色商务风新员工入职销售技巧知识培训课件(34P).pptx
- 专卖店商场销售员销售与成交技巧培训课件(34P).pptx
- 小区物业保安法律知识培训课件(28P).pptx
- 专卖店销售员轻松成交技巧培训(34P).pptx
- 轻松成交客户新员工入职通用销售技巧知识培训(34P).pptx
- 2024年初级《银行业法律法规与综合能力》考前必刷必练题库500题(含真题、必会题).docx
- 2024年“新安法知多少”知识竞赛题库及答案(最新版).docx
- 2024年30秒毕业生面试工作自我介绍.docx
- 2024年《医务人员礼仪培训》心得体会.docx
文档评论(0)