第五十七課:高級(jí)持續(xù)滲透-第一季關(guān)于后門
專注APT攻擊與防御
https://micropoor.blogspot.com/
當(dāng)我們接到某個(gè)項(xiàng)目的時(shí)候,它已經(jīng)是被入侵了。甚至已經(jīng)被脫庫(kù),或殘留后門等持續(xù)攻擊洗庫(kù)。
后滲透攻擊者的本質(zhì)是什么?
阻止防御者信息搜集,銷毀行程記錄,隱藏存留文件。
防御者的本質(zhì)是什么?
尋找遺留信息,發(fā)現(xiàn)攻擊軌跡與樣本殘留并且阻斷再次攻擊。那么這里攻擊者就要引入“持續(xù)攻擊”,防御者就要引入“溯源取證與清理遺留”,攻擊與持續(xù)攻擊的分水嶺是就是后滲透持續(xù)攻擊,而表現(xiàn)形式其中之一就是后門。
后門的種類:
本地后門:如系統(tǒng)后門,這里指的是裝機(jī)后自帶的某功能或者自帶軟件后門
本地拓展后門:如iis 6的isapi,iis7的 模塊后門
第三方后門:如apache,serv-u,第三方軟件后門
第三方擴(kuò)展后門:如php擴(kuò)展后門,apache擴(kuò)展后門,
第三方擴(kuò)展后門人為化后門:一般指被動(dòng)后門,由人為引起觸發(fā)導(dǎo)致激活,或者傳播
后門的隱蔽性排行:本地后門>本地拓展后門>第三方后門>第三方擴(kuò)展后門,這里排除人為化后門,一個(gè)優(yōu)秀的人為化后門會(huì)造成的損失不可估計(jì),比如勒索病毒的某些非聯(lián)網(wǎng)的獨(dú)立機(jī)器,也有被勒索中毒。在比如某微博的蠕蟲等。
整體概括分類為:主動(dòng)后門,被動(dòng)后門。傳播型后門。
后門的幾點(diǎn)特性:隱蔽,穩(wěn)定,持久。
一個(gè)優(yōu)秀的后門,一定是具備幾點(diǎn)特征的,無(wú)文件,無(wú)端口,無(wú)進(jìn)程,無(wú)服務(wù),無(wú)語(yǔ)言碼,并且是量身目標(biāo)制定且一般不具備通用性。
攻擊者與防御者的本質(zhì)對(duì)抗是什么?
增加對(duì)方在對(duì)抗中的時(shí)間成本,人力成本。
這里要引用百度對(duì)APT的解釋:
APT是指高級(jí)持續(xù)性威脅。 利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式,APT攻擊的原理相對(duì)于其他攻擊形式更為高級(jí)和先進(jìn),其高級(jí)性主要體現(xiàn)在APT在發(fā)動(dòng)攻擊之前需要對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集。
那么關(guān)于高級(jí)持續(xù)滲透后門與上面的解釋類似:
高級(jí)持續(xù)滲透后門是指高級(jí)持續(xù)性后滲透權(quán)限長(zhǎng)期把控,利用先進(jìn)的后滲透手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性維持權(quán)限的后攻擊形式,高級(jí)持續(xù)滲透后門的原理相對(duì)于其他后門形式更為高級(jí)和先進(jìn),其高級(jí)性主要體現(xiàn)在持續(xù)滲透后門在發(fā)動(dòng)持續(xù)性權(quán)限維持之前需要對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集并量身制定目標(biāo)后門。
第一季從攻擊者角度來(lái)對(duì)抗:
項(xiàng)目中一定會(huì)接觸到溯源,而溯源最重要的環(huán)節(jié)之一就是樣本取證與分析。既然是樣本取證,也就是主要找殘留文件。可能是腳本,dll,so,exe等。其次是查找相關(guān)流量異常,端口,進(jìn)程。異常日志。
做為攻擊者的對(duì)抗,無(wú)開放端口,無(wú)殘留文件,無(wú)進(jìn)程,無(wú)服務(wù)。在防御者處理完攻擊事件后的一定時(shí)間內(nèi),再次激活。
這里要解釋一下rootkit,它的英文翻譯是一種特殊類型的惡意軟件
百度百科是這樣解釋的:Rootkit是一種特殊的惡意軟件,它的功能是在安裝目標(biāo)上隱藏自身及指定的文件、進(jìn)程和網(wǎng)絡(luò)鏈接等信息,比較多見到的是Rootkit一般都和木馬、后門等其他惡意程序結(jié)合使用。Rootkit通過(guò)加載特殊的驅(qū)動(dòng),修改系統(tǒng)內(nèi)核,進(jìn)而達(dá)到隱藏信息的目的。
在后門的進(jìn)化中,rootkit也發(fā)生了變化,最大的改變是它的系統(tǒng)層次結(jié)構(gòu)發(fā)生了變化。
后門的生成大體分4類:
1.有目標(biāo)源碼
2.無(wú)目標(biāo)源碼
3.無(wú)目標(biāo)源碼,有目標(biāo)api
4.無(wú)目標(biāo)源碼,無(wú)api,得到相關(guān)漏洞等待觸發(fā)
結(jié)合后門生成分類來(lái)舉例細(xì)說(shuō)幾個(gè)demo。
1.有目標(biāo)源碼
目前大量服務(wù)器上有第三方軟件。這里以notepad++為例。
Notepad++是 Windows操作系統(tǒng)下的一套文本編輯器,有完整的中文化接口及支持多國(guó)語(yǔ)言編寫的功能,并且免費(fèi)開源。
開源項(xiàng)目地址:https://github.com/notepad-plus-plus/notepad-plus-plus
關(guān)于編譯:https://micropoor.blogspot.hk/2017/12/1notepad.html
Demo 環(huán)境:windows 7 x64,notepad++(x64)
Demo IDE:vs2017
在源碼中,我們修改每次打開以php結(jié)尾的文件,先觸發(fā)后門,在打開文件。其他文件跳過(guò)觸發(fā)后門。
文件被正常打開。
優(yōu)點(diǎn):在對(duì)抗反病毒,反后門軟件中有絕對(duì)優(yōu)勢(shì),可本地多次調(diào)試,穩(wěn)定性強(qiáng)壯??缙脚_(tái)能力非常強(qiáng)壯,并且可以對(duì)后門選擇方式任意,如主動(dòng)后門,被動(dòng)后
門,人為化后門等。
缺點(diǎn):針對(duì)性較強(qiáng),需要深入了解目標(biāo)服務(wù)器安裝或使用軟件。需要語(yǔ)言不確定的語(yǔ)言基礎(chǔ)。在封閉系統(tǒng),如Windows下多出現(xiàn)于第三方開源。
2.無(wú)目標(biāo)源碼
參考內(nèi)部分享第九課
優(yōu)點(diǎn):在對(duì)抗反病毒,反后門軟件中有一定優(yōu)勢(shì),穩(wěn)定性良好,跨平臺(tái)能力一般,并且適用于大多數(shù)可操作文件,同樣可以選擇對(duì)后門選擇方式任意,如主動(dòng)
后門,被動(dòng)后門,人為化后門等。
缺點(diǎn):穩(wěn)定性不突出,在修改已生成的二進(jìn)制文件,容易被反病毒,反后門軟件查殺。
3.無(wú)目標(biāo)源碼,有目標(biāo)api
目前大多數(shù)的Ms_server,內(nèi)置iis,從windows2000開始,而目前國(guó)內(nèi)市場(chǎng)使用03sp2,08r2為主。在win下又以iis為主,在iis中目前主要分為iis5.x ,
iis6.x,大于等于iis7.x。iis7以后有了很大的變化,尤其引入模塊化體系結(jié)構(gòu)。
iis6.x 最明顯的是內(nèi)置IUSR來(lái)進(jìn)行身份驗(yàn)證,IIS7中,每個(gè)身份驗(yàn)證機(jī)制都被隔離到自己的模塊中,或安裝或卸載。
同樣,目前國(guó)內(nèi)市場(chǎng)另一種常見組合XAMP(WIN+Apche+mysql+php,與Linux+Apche+mysql+php),php5.x 與php7.x有了很大的變化,PHP7將基于
最初由Zend開發(fā)的PHPNG來(lái)改進(jìn)其框架。并且加入新功能,如新運(yùn)算符,標(biāo)記,對(duì)十六進(jìn)制的更友好支持等。
Demo 環(huán)境:windows 7x86 php5.6.32
Demo IDE:vs2017
php默認(rèn)有查看加載擴(kuò)展,命令為php -m,有著部分的默認(rèn)擴(kuò)展, 而在擴(kuò)展中,又可以對(duì)自己不顯示在擴(kuò)展列表中
php.ini 配置
以Demo.php為例,demo.php代碼如下:
在訪問(wèn)demo.php,post帶有觸發(fā)后門特征,來(lái)執(zhí)行攻擊者的任意php代碼。在demo中,僅僅是做到了,無(wú)明顯的以php后綴為結(jié)尾的后門,那么結(jié)合第一條,有目標(biāo)源碼為前提,來(lái)寫入其他默認(rèn)自帶擴(kuò)展中,來(lái)達(dá)到更隱蔽的作用。
優(yōu)點(diǎn):在對(duì)抗反病毒,反后門軟件中有絕對(duì)優(yōu)勢(shì),可本地多次調(diào)試,穩(wěn)定性非常強(qiáng)壯。跨平臺(tái)能力非常強(qiáng)壯,且可以對(duì)后門選擇方式任意,如主動(dòng)后門,被動(dòng)后門,人為化后門等。
缺點(diǎn):在編譯后門的時(shí)候,需要查閱大量API,一個(gè)平臺(tái)到多個(gè)平臺(tái)的相關(guān)API。調(diào)試頭痛,失眠,吃不下去飯。領(lǐng)導(dǎo)不理解,冷暖自知。
第二季從防御者角度來(lái)對(duì)抗。
后者的話:
目前國(guó)內(nèi)市場(chǎng)的全流量日志分析,由于受制于存儲(chǔ)條件等因素,大部分為全流量,流量部分分析。那么在高級(jí)持久性后門中,如何建立一個(gè)偽流量非實(shí)用數(shù)據(jù)來(lái)逃逸日志分析,這應(yīng)該是一個(gè)優(yōu)秀高級(jí)持續(xù)后門應(yīng)該思考的問(wèn)題。
Micropoor
?
