- 1、本文档共4页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
专注APT攻击与防御
https///
第四季是一个过渡季 ,过渡后门在对抗升级中由传统后门 ,衍生成锁定目标的制定后门。引用百度
百科的 “后门程序的相关解释 :
https///item/%E5%90%8E%E9%97%A8%E7%A8%8B%E5%BA%8F/108154
安全从业人员 ,其实至少一直在与传统后门对抗 ,比如最常见的webshell免杀与webshell过waf。
应急中的样本取证查杀远控残留文件等。但是webshell ,远控仅仅又是 “backdoor”的其中一
种。
这里按照上几季的风格继续引用几个概念 ,只有概念清晰 ,才能了解如何对抗。
1 :安全从业人员为什么要了解后门?
防御是以市场为核心的 ,而不是以项目为核心。需要对抗的可能是黑产从业者的流量劫持相关
后门 ,或者是政治黑客的高持续渗透权限把控后门等。
2 :攻击人员为什么要了解后门?
随着对抗传统后门的产品越来越成熟 ,由特征查杀 ,到行为查杀 ,到态势感知。到大数据联合
特征溯源锁定 ,如何反追踪 ,是一个非常值得思考的问题。
3 :后门与项目的关联是什么 ?
某项目,被入侵 ,应急并加固解决 ,若干天后 ,再次被入侵依然篡改为某博彩。导致安全从业
人员 ,客户之间的问题。
4 :后门与安全产品的关联是什么 ?
某客户购买某安全产品套装 ,在实战中 ,一般由非重点关注服务器迂回渗透到核心服务器来跨
过安全产品监控 ,得到相关权限后 ,后门起到越过安全产品。它会涉及对其他附属安全产品的影
响。如客户质疑 :为什么我都买了你们的套装 ,还被入侵。并且这还是第二次了。
思维跳出以上4条 ,来看下进一年的部分相关安全事件 :
思维跳出以上4条安全事件 ,这里再一次引入百度百科的APT的主要特性 :
——潜伏性 :这些新型的攻击和威胁可能在用户环境中存在一年以上或更久 ,他们不断收集各
种信息 ,直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在短时间内获利 ,而
是把 “被控主机”当成跳板 ,持续搜索 ,直到能彻底掌握所针对的目标人、事、物 ,所以这种APT
攻击模式, 实质上是一种 “恶意商业间谍威胁”。
——持续性 :由于APT攻击具有持续性甚至长达数年的特征 ,这让企业的管理人员无从察觉。
在此期间 ,这种 “持续性”体现在攻击者不断尝试的各种攻击手段 ,以及渗透到网络内部后长期蛰
伏。
——锁定特定目标 :针对特定政府或企业 ,长期进行有计划性、组织性的窃取情报行为,针对被
锁定对象寄送几可乱真的社交工程恶意邮件 ,如冒充客户的来信,取得在计算机植入恶意软件的第一
个机会。
——安装远程控制工具 :攻击者建立一个类似僵尸网络Botnet的远程控制架构 ,攻击者会定期
传送有潜在价值文件的副本给命令和控制服务器(CC Server)审查。将过滤后的敏感机密数据 ,利
用加密的方式外传。
一次针对特定对象 ,长期、有计划性渗透的本质是什么 ?
窃取数据下载到本地 ,或者以此次渗透来达到变现目的。
引用如图 :
一次具有针对性的渗透 ,绝对不单单是以渗透DMZ区为主 ,重要资料一般在内网服务器区 (包
括但不限制于数据库服务器 ,文件服务器 ,OA服务器 ),与内网办公区 (包括但不限制于个人机 ,
开发机 ,财务区)等。而往往这样的高级持续渗透 ,不能是一气呵成 ,需要一定时间内 ,来渗透到
资料所在区域。而这里其中一个重要的环节就是对后门的要求 ,在渗透期间内 (包括但不限制于一
周到月甚至到年 )以保持后续渗透。
传统型的后门不在满足攻击者的需求 ,而传统型的木马后门 ,大致可分为六代 :
第一代 ,是最原始的木马程序。主要是简单的密码窃取 ,通过电子邮件发送信息等 ,具备了木
马最基本的功能。
第二代 ,在技术上有了很大的进步 ,冰河是中国木马的典型代表之一。
第三代 ,主要改进在数据传递技术方面 ,出现了ICMP等类型的木马 ,利用畸形报文传递数据 ,
增加了杀毒软件查杀识别的难度。
第四代 , 在进程隐藏方面有了很大改动 ,采用了内核插入式的嵌入方式 ,利用远程插入线程技
术 ,嵌入DLL线程。或者挂接PSAPI ,实现木马程序的隐藏 ,甚至在Windows NT/2000下 ,都达到
了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DL
您可能关注的文档
- payload分离免杀思路(第四十七课)高持续渗透--Microporor.pdf
- sql server 常用操作远程桌面语句(第七课)高持续渗透--Microporor.pdf
- vbs一句话下载payload(第三十七课)高持续渗透--Microporor.pdf
- 反攻的一次溯源--项目实战3(第六课)高持续渗透--Microporor.pdf
- 高级持续渗透-第二季关于后门补充一(第五十八课)高持续渗透--Microporor.pdf
- 高级持续渗透-第一季关于后门(第五十七课)高持续渗透--Microporor.pdf
- 工具介绍-Sqlmap(第五课)高持续渗透--Microporor.pdf
- 工具介绍Veil-Evasion(第十一课)高持续渗透--Microporor.pdf
- 攻击FTP 服务(第四十二课)高持续渗透--Microporor.pdf
- 红蓝对抗渗透测试1(第十六课)高持续渗透--Microporor.pdf
文档评论(0)