后门程序(backdoor).ppt

1、后门技术(Backdoor),outline,什么是后门 Unix/Linux简单后门 NetCat BO2K rootkit,什么是后门(backdoor),后门程序(backdoor)：是指那些绕过系统安全认证系统（正常登录途径）而获取对计算机系统或程序的秘密访问权的程序。后门通常是通过安装后门软件或是修改已有的系统程序（木马程序） 来实现的。 后门与木马程序有明显地区别，后门为入侵者提供了一个系统秘密访问通道，木马是伪装的恶意程序，主要实现控制功能。现在的木马程序经常包含一个后门程序。,Unix/Linux简单后门,passwd文件后门:修改passwd文件,增加一个新帐号或是修改已有的

2、不用帐号。 rhosts文件后门:修改rhosts文件,增加一个IP地址。 复制shell后门:将shell复制到其他目录: cp /bin/sh /tmp/.mysh chmod u+x /tmp/.mysh Login后门:将系统原有的login程序替换为木马化的login程序,后门口令被添加到login程序中,当用户输入口令与后门口令一致时,直接进入系统,不会留下访问记录.使用strings命令搜索login程序可以发现后门口令。而黑客一般使用加密或者其他更好的隐藏口令方式使的strings命令失效。,Telnet后门,黑客修改系统原有的telnet程序，使得黑客连接telnet服务时，

3、被木马化的telnet程序（in.telnetd）直接产生一个不需要任何身份验证的shell。 比如根据用户使用的终端类型， 典型的终端设置是Xterm或者VT100，而黑客建立这样的后门, 当用户的连接终端类型设置为“letmein”时，直接产生一个shell，不需要在调用login程序来验证用户身份。,NetCat,NetCat大小仅60k左右，但功能强大，故有“网络瑞士军刀”的美誉。 最初的版本是1995年由Hobbit所撰写，主要在Unix平台执行，1997年，Weld Pond撰写了NT版本。 NetCat可用来管理系统和侦查网络的错误，但强大的功能就有如双面刃，在有心人士的利用下，

4、成了黑客入侵服务器的利器，可以作为一个后门程序。 网上有两种版本的NetCat 一个是stake公司的netcat (也就是最初的版本) 一个是GNU的netcat (它的功能更多，不过GNU的没有windows平台的版本),Netcat,Netcat(简称为nc) 的原理很简单,就是从网络的一端读入数据,然后输出到网络的另一端。它可以使用tcp和udp协议。 Nc的主要功能： 连接到远程主机上的某个端口(conneting) 监听本地主机上的某个端口(listening) 扫描远程主机(scaning) 远程主机绑定shell(binding) 文件传输(transfering),NetCa

5、t基本参数,-p port 本地port -r 任意指定本地及远程port -s ip-address 锁定本地网络资源地址 -u UDP模式 -v 详细输出，用两个-v可得到更详细的内容。-v参数多出现几次，则显示的讯息会更多一些 -w seconds 用以指定建立连接时的等待时间，-w如果多次出现，则后面的值将取代前面的设置。 -z 将I/O关掉(用于扫描时),NetCat基本参数,基本使用 连接网络远程主机 nc -options hostname ports ports . 参数 -h 帮助讯息 -i seconds 可以用来设置发送一行标准输入讯息的间隔，以减少发送速度 -l 监听模

6、式 -n 指定数字的IP地址，不能用hostname -o logfile 可以将连接上往来传输的讯息以16进制的形式记录到logfile中。其中，每行的第一个字符为”，分别表示接收的讯息或发送的讯息。,NetCat应用实例,简单服务器(监听模式) nc -l -p /这里-l参数表明nc处于监听模式,-p指定port 例子: nc -l -p 1234 假设这台主机ip为 从客户端输入，nc 1234，然后你从任一端输入的讯息就会显示在另一端了 telnet服务器模式(绑定命令) Nc的-e选项,用来指定在连接后执行的程序 在windows平台上

7、可以指定-e cmd.exe，linux则指定-e bash，或者是你自己编写的程序,通常是做为后门. 例子 server: nc -l -p 1234 -e cmd.exe client: nc 1234 就可以远程登陆server了,NetCat应用实例,扫描Port nc -z -w 2 -v -v port,port,port-port -z 指定zero-I/O 模式，它让netcat禁止任何来自其要扫描系统的I/O -w 指定超时时间，单位为秒 -v 详细模式 例: nc -z -w 2 -v -v 20-30,80,100-112,443 netcat的扫

8、描速度比较慢且信息不够丰富、不够隐蔽。 ftp服务器 nc将输入重定向到任何地方，标准输出或输出到文件。 指定的方法很简单，使用 和 pathfile.txt /*victim machine*/ 需要Ctrl+C退出 nc -d victim_ip port pathfiledest /*attacker machine*/,NetCat应用实例,针对IIS 的植入后门案例 首先将NetCat上载至一个IIS Server nc L p 10001 e cmd.exe -L 告诉netcat不要中断联机而是等待联机 -p 我们所要listen特定的port -e 当联机后我们要执行的程序 将

9、其转换成Unicode URL的command http:/c+nc+-L+-p+10001+-e+cmd.exe,NetCat应用实例,在入侵的服务器上执行NetCat，启动NetCat在IIS上监听的端口(10001),执行cmd.exe程序,BO2K介绍,bo2K是bo(back orifice)的升级，是由Cult of the Dead Cow小组开发的一个功能非常强大的windows后门程序。但是，它的开发者认为它是一款功能强大的系统远程管理软件。 bo2K是一个客户机/服务器(C/S)应用程序，bo2K客户端可以监视、管理和使用其他网络中运行bo2K服务器程序所在的网络资源。bo

10、2K服务器程序被偷偷地安装在受控主机上。,BO2K的特点及组成,bo2K可以使用TCP或UDP协议作为通信协议。,bo2K为客户机/服务器信道提供加密机制。,bo2K有非常功能强大丰富的命令集。,bo2K支持可扩展插件。,bo2K开放源代码。,BO2K程序包括五部分： Bo2k.exe-136kb,BO2K服务器端程序。 Bo2kcfg.exe-216kb,BO2K设置程序 Bo2kgui.exe-568kb,BO2K客户端程序 Bo3des.dll-24kb,plugin-tripleDESmodule Bo_beep.dll-52kb,是BO2K自带的一个插件。,BO2K的主要功能,远程访

11、问服务器端 重新启动计算机、锁定系统、列出系统口令、获取系统信息 记录击键活动，查看、删除日志 注册表操作 文件共享操作 各种文件操作 进程控制,BO2k设置,设置BO2K过程很简单： 服务端文件名 网络协议（TCP或UDP） 监听端口 加密方法(XOR或3DES) 密码/加密钥匙。 设置向导执行完后，会列出服务器的设置工具，有BO2K的运行状况，控制BO2K，客户端/服务器的通讯协议和程序的隐藏。,bo2K客户机界面,Rootkit,Rootkit一词最早出现在Unix系统上。黑客为了取得系统管理员级的root权限，或者为了清除被系统记录的入侵痕迹，会重新编译一些软件程序（术语称为kit），

12、例如ps、netstat、w、passwd等等，这些软件即称作Rootkit。Rootkit也可视为一项技术。,Rootkit的组件,针对Unix和Linux的rootkit最多，rootkit是由几个独立的程序组成的，一个典型rootkit包括： 以太网嗅探器程序(network sniffer)，用于获得网络上传输的用户名和密码等信息。 特洛伊木马程序(trojan)，例如：inetd或者login，为攻击者提供后门。 隐藏攻击者的目录和进程的程序，例如：ps、netstat、rshd和ls等。 日志清理工具(log cleaner)，如：zap、zap2或者z2，清除wtmp、utmp和

13、lastlog等日志文件 。 提供telnet、shell和finger等后门服务。 清理/var/log和/var/adm目录中其它文件的一些脚本。 监视网络流量和击键记录。,History of Rootkits,1989: Phrack 25 article by Black Tie Affair on wtmp wiping 1994: CERT advisory CA-1994-01 about SunOS rootkits 1996: Linux Rootkits (lrk3 released) 1997: Phrack 51 article by halflife on LKM-

14、based rootkits 1998: Silvio Cesares kernel patching via kmem paper 1999: Greg Hoglunds NT kernel rootkit paper,Rootkit Goals,Remove evidence of original attack and activity that led to rootkit installation Hide future attacker activity (files, network connections, processes) and prevent it from bein

15、g logged Enable future access to system by attacker Install tools to widen scope of penetration Secure system so other attackers cant take control of system from original attacker,Concealment Techniques,Remove log and audit file entries Modify system programs to hide attacker files, network connecti

16、ons, and processes Modify logging system to not log attacker activities Modify OS kernel system calls to hide attacker activities,Installation Concealment,Use a subdirectory of a busy system directory like /dev, /etc, /lib, or /usr/lib Use dot files, which arent in ls output Use spaces to make filen

17、ames look like expected dot files: “. “ and “. “ Use filenames that system might use /dev/hdd (if no 4th IDE disk exists) /usr/lib/libX.a (libX11 is real Sun X-Windows) Delete rootkit install directory once installation is complete,Attack Tools,Network sniffer Including password grabber utility Pass

18、word cracker Vulnerability scanners Autorooter Automatically applies exploits to host ranges DDOS tools,Rootkit Types,Binary Rootkits Replace user programs like ls, netstat, and ps to hide malicious activity Add backdoors to programs like login and sshd Library Rootkits Replace core system libraries

19、 (glibc) to intercept common system calls to hide activities and add backdoors Kernel Rootkits Modify system calls/structures that all user-mode programs rely on to list users, processes, and sockets Add backdoors to kernel itself,Binary Rootkits,Install trojan-horse versions of common system comman

20、ds, such as ls, netstat, and ps to hide attacker activities. Install programs to edit attacker activity from log and accounting files. Install trojan-horse variants of common programs like login, passwd, and sshd to allow attacker continued access to system. Install network sniffers.,Binary Rootkit

21、Detection,Use non-trojaned programs ptree is generally uncompromised tar will archive hidden files, the list with -t lsof is also generally safe Use known good tools from CD-ROM. File integrity checks tripwire, AIDE rpm V a Must have known valid version of database offline or attacker may modify fil

22、e signatures to match Trojans.,Library Rootkits,Library rootkits commonly patch, hook, or replace system calls with versions that hide information about the attacker. t0rn rootkit uses special system library libproc.a to intercept process information from proc kernel space requested by user utilitie

23、s. Modify libc Intercept system call data returning from kernel, stripping out evidence of attacker activities. Alternately, ensure that rootkit library providing system calls is called instead of libc by placing it in /etc/ld.so.preload,Kernel Rootkits,Kernel runs in supervisor processor mode Compl

24、ete control over machine. Rootkits modify kernel system calls execve modified to run Trojan horse binary for some programs, while other system calls used by integrity checkers read original binary file. setuid modified to give root to a certain user. AdvantageStealth Runtime integrity checkers canno

25、t see rootkit changes. All programs impacted by kernel Trojan horse. Open backdoors/sniff network without running processes.,Linux Rootkit Examples,Linux Rootkit (LRK) TeLeKit Adore Knark t0rnkit Kernel Intrusion System (KIS) ,Windows Rootkit,A Windows rootkit typically replaces APIs, not binaries.

26、Any program that calls those replaced APIs is potentially affected. The rootkit typically hides itself using the hacked Windows installation. A typical Windows rootkit can hide files, folders, processes, services, and registry entries,Windows Rootkit Examples,null.sys HE4Hook Hacker Defender Slanret

27、 He4Hook Vanquish Fu ,Rootkit Detection,Offline system examination Mount and examine disk using another OS kernel+image. Knoppix: live CD linux distribution. Computer Forensics Examine disk below filesystem level. Helix: live CD linux forensics tool.,Linux Rootkit Detection Utilities,chkrootkit Dete

28、cts 50 rootkits on multiple UNIX types. Checks commonly trojaned binaries. Examines log files for modifications. Checks for LKM rootkits. Use p option to use known safe binaries from CDROM. carbonite LKM that searches for rootkits in kernel. Generates and searches frozen image kernel process structu

29、res.,Rootkit Recovery,Restore compromised programs from backup Lose evidence of intrusion. Did you find all the trojans? Backup system, then restore from tape Save image of hard disk for investigation. Restore known safe image to be sure that all trojans have been eliminated. Patch system to repair exploited vulnerability.,References,Oktay Altunergil, “Scanning for Rootkits,” 2002. Sil