第五十八課:高級(jí)持續(xù)滲透-第二季關(guān)于后門(mén)補(bǔ)充一
專注APT攻擊與防御
https://micropoor.blogspot.com/
這次繼續(xù)圍繞第一篇,第一季關(guān)于后門(mén):
https://micropoor.blogspot.hk/2017/12/php.html 做整理與補(bǔ)充。在深入一步細(xì)化demo notepad++。
后門(mén)是滲透測(cè)試的分水嶺,它分別體現(xiàn)了攻擊者對(duì)目標(biāo)機(jī)器的熟知程度,環(huán)境,編程語(yǔ)言,了解對(duì)方客戶,以及安全公司的本質(zhì)概念。這樣的后門(mén)才能更隱蔽,更長(zhǎng)久。
而對(duì)于防御者需要掌握后門(mén)的基本查殺,與高難度查殺,了解被入侵環(huán)境,目標(biāo)機(jī)器。以及后門(mén)或者病毒可隱藏角落,或樣本取證,內(nèi)存取證。.
所以說(shuō)后門(mén)的安裝與反安裝是一場(chǎng)考試,一場(chǎng)實(shí)戰(zhàn)考試。
這里要引用幾個(gè)概念,只有概念清晰,才能把后門(mén)加入概念化,使其更隱蔽。
1:攻擊方與防御方的本質(zhì)是什么?
增加對(duì)方的時(shí)間成本,人力成本,資源成本(不限制于服務(wù)器資源),金錢(qián)成本。
2:安全公司的本質(zhì)是什么?
盈利,最小投入,最大產(chǎn)出。
3:安全公司產(chǎn)品的本質(zhì)是什么?
能適應(yīng)大部分客戶,適應(yīng)市場(chǎng)化,并且適應(yīng)大部分機(jī)器。(包括不限制于資源緊張,寬帶不足等問(wèn)題的客戶)
4:安全人員的本質(zhì)是什么?
賺錢(qián),養(yǎng)家。買(mǎi)房,還房貸。導(dǎo)致,快速解決客戶問(wèn)題(無(wú)論暫時(shí)還是永久性解決),以免投訴。
5:對(duì)接客戶的本質(zhì)是什么?
對(duì)接客戶也是某公司內(nèi)安全工作的一員,與概念4相同。
清晰了以上5個(gè)概念,作為攻擊者,要首先考慮到對(duì)抗成本,什么樣的對(duì)抗成本,
能滿足概念1-5。影響或阻礙對(duì)手方的核心利益。把概念加入到后門(mén),更隱蔽,更長(zhǎng)久。
文章的標(biāo)題既然為php安全新聞早八點(diǎn),那么文章的本質(zhì)只做技術(shù)研究,
Demo本身不具備攻擊或者持續(xù)控制權(quán)限功能。
Demo連載第二季:
Demo 環(huán)境:windows 7 x64,notepad++(x64)
Demo IDE:vs2017
在源碼中,我們依然修改每次打開(kāi)以php結(jié)尾的文件,先觸發(fā)后門(mén),在打開(kāi)文件。其他文件跳過(guò)觸發(fā)后門(mén)。但是這次代碼中加入了生成micropoor.txt功能。并且使用php來(lái)加載運(yùn)行它,是的,生成一個(gè)txt。demo中,為了更好的演示,取消自動(dòng)php加載運(yùn)行該txt。而txt的內(nèi)容如圖所示,并且為了更好的了解,開(kāi)啟文件監(jiān)控。
使用notepad++(demo2).exe 打開(kāi)以php結(jié)尾的demo.php,來(lái)觸發(fā)microdoor。并且生成了micropoor.txt
而micropoor.txt內(nèi)容:
配合micropoor.txt的內(nèi)容,這次的Demo將會(huì)變得更有趣。那么這次demo 做到了,無(wú)服務(wù),無(wú)進(jìn)程,無(wú)端口,無(wú)自啟。根據(jù)上面的5條概念,加入到了demo中,增加對(duì)手成本。使其更隱蔽。
如果demo不是notepad++,而是mysql呢?用它的端口,它的進(jìn)程,它的服務(wù),它的一切,來(lái)重新編譯microdoor。例如:重新編譯mysql.so,mysql.dll,替換目標(biāo)主機(jī)。無(wú)文件,無(wú)進(jìn)程,無(wú)端口,無(wú)服務(wù),無(wú)語(yǔ)言碼。因?yàn)橐磺懈綄儆谒?/span>這應(yīng)該是一個(gè)攻擊者值得思考的問(wèn)題。正如第一季所說(shuō):在后門(mén)的進(jìn)化中,rootkit也發(fā)生了變化,最大的改變是它的系統(tǒng)層次結(jié)構(gòu)發(fā)生了變化。
Micropoor
?
