淺談后門檢測技術(shù)

首先我們要認(rèn)識一下什么是后門程序？

　　在網(wǎng)絡(luò)上常見的對“后門”的解釋， 其實我們可以用很簡單的一句話來概括它：后門就是留在計算機系統(tǒng)中， 供某位特殊使用都通過某種特殊方式控制計算機系統(tǒng)的途徑!!——很顯然， 掌握好后門技術(shù)是每個網(wǎng)絡(luò)安全愛好者不可或缺的一項基本技能!它能讓你牢牢抓住肉雞， 讓它永遠(yuǎn)飛不出你的五指山!

　　正因如此所以后門技術(shù)與反后門的檢測技術(shù)也成為了黑客功防戰(zhàn)的焦點。 正所謂知己知彼， 百戰(zhàn)不殆。 要了解反后門技術(shù)那么我們就要更多的深入去學(xué)習(xí)與了解后門知識。

　　后門的分類

　　后門可以按照很多方式來分類， 標(biāo)準(zhǔn)不同自然分類就不同， 為了便于大家理解， 我們從技術(shù)方面來考慮后門程序的分類方法：

　　前面講了這么多理論知識是不是覺得有點頭大了呢？下面我們來講講一些常見的后門工具吧

　　1.網(wǎng)頁后門

　　此類后門程序一般都是服務(wù)器上正常 的web服務(wù)來構(gòu)造自己的連接方式， 比如現(xiàn)在非常流行的ASP、cgi腳本后門等。

　　典型后門程序：海洋頂端， 紅粉佳人個人版， 后來衍生出來很多版本的這類網(wǎng)頁后門， 編寫語言asp,aspx,jsp,php的都有種類比較繁多。

　　2.線程插入后門

　　利用系統(tǒng)自身的某個服務(wù)或者線程， 將后門程序插入到其中， 這種后門在運行時沒有進(jìn)程,所有網(wǎng)絡(luò)操作均播入到其他應(yīng)用程序的進(jìn)程中完成。

　　典型后門程序：代表BITS， 還有我在安全焦點上看到的xdoor（首款進(jìn)程插入后門）也屬于進(jìn)程插入類后門。

　　3.擴展后門

　　所謂的擴展后門， 在普通意義上理解， 可以看成是將非常多的功能集成到了后門里， 讓后門本身就可以實現(xiàn)很多功能， 方便直接控制肉雞或者服務(wù)器， 這類的后門非常受初學(xué)者的喜愛， 通常集成了文件上傳/下載、系統(tǒng)用戶檢測、HTTP訪問、終端安裝、端口開放、啟動/停止服務(wù)等功能， 本身就是個小的工具包， 功能強大。

　　典型后門程序：Wineggdroup shell

　　4.C/S后門

　　這個后門利用ICMP通道進(jìn)行通信， 所以不開任何端口， 只是利用系統(tǒng)本身的ICMP包進(jìn)行控制安裝成系統(tǒng)服務(wù)后， 開機自動運行， 可以穿透很多防火墻——很明顯可以看出它的最大特點：不開任何端口~只通過ICMP控制!和上面任何一款后門程序相比， 它的控制方式是很特殊的， 連80端口都不用開放， 不得不佩服務(wù)程序編制都在這方面獨特的思維角度和眼光.

　　典型后門程序：ICMP Door

　　5.root kit

　　好多人有一個誤解， 他們認(rèn)為rootkit是用作獲得系統(tǒng)root訪問權(quán)限的工具。 實際上， rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具。 通常， 攻擊者通過遠(yuǎn)程攻擊獲得root訪問權(quán)限， 或者首先密碼猜測或者密碼強制破譯的方式獲得系統(tǒng)的訪問權(quán)限。 進(jìn)入系統(tǒng)后， 如果他還沒有獲得root權(quán)限， 再通過某些安全漏洞獲得系統(tǒng)的root權(quán)限。 接著， 攻擊者會在侵入的主機中安裝rootkit， 然后他將經(jīng)常通過rootkit的后門檢查系統(tǒng)是否有其他的用戶登錄， 如果只有自己， 攻擊者就開始著手清理日志中的有關(guān)信息。 通過rootkit的嗅探器獲得其它系統(tǒng)的用戶和密碼之后， 攻擊者就會利用這些信息侵入其它的系統(tǒng)。

　　典型后門程序：hacker defender

　　以上是我在網(wǎng)上搜集的前人總結(jié)， 值得指出的是這些分類還不夠完善， 還沒有真正指出后門的強大。

　　下面我繼續(xù)補充點我更新黑基技術(shù)文章時看到的一些比較少見的后門技術(shù)。

　　6 BootRoot

　　通過在Windows內(nèi)核啟動過程中額外插入第三方代碼的技術(shù)項目， 即為“BootRoot”。 國外組織eBye在通過這種新的Rootkit啟動技術(shù)， 并賦予這種無需依賴Windows內(nèi)核啟動過稱去加載自身代碼的技術(shù)及其衍生品——“BootKit”， 即“Boot Rootkit”。

　　Mebroot是如何實現(xiàn)MBR感染與運作的

　　Mebroot比Windows還要早一步啟動， 然后將自身驅(qū)動代碼插入內(nèi)核執(zhí)行， 從而繞過了注冊表HIVE檢測的缺陷。 同時采用的底層技術(shù)讓大部分Anti-Rootkit工具失明——因為它根本沒有在系統(tǒng)內(nèi)留下任何啟動項目。 檢測工具自然會檢測失效。 然后通過DLL遠(yuǎn)程注入用戶進(jìn)程， 為系統(tǒng)打開后門并下載木馬運行。 在這非傳統(tǒng)的滲透思路下， 反Rootkit工具是無法根除它的。

　　看到以上這么多可怕的后門知識是不是對這些有所了解了呢？

　　下面我們來談?wù)勅绾螜z測后門

　　1.簡單手工檢測法

　　凡是后門必然需要隱蔽的藏身之所， 要找到這些程序那就需要仔細(xì)查找系統(tǒng)中每個可能存在的可疑之處， 如自啟動項， 據(jù)不完全統(tǒng)計， 自啟動項目有近80多種。

　　用AutoRuns檢查系統(tǒng)啟動項。 觀察可疑啟動服務(wù)， 可疑啟動程序路徑， 如一些常見系統(tǒng)路徑一般在system32下， 如果執(zhí)行路徑種在非系統(tǒng)的system32目錄下發(fā)現(xiàn)

notepad

System

smss.exe

csrss.exe

winlogon.exe

services.exe

lsass.exe

spoolsv.exe

這類進(jìn)程出現(xiàn)2個那你的電腦很可能已經(jīng)中毒了。

如果是網(wǎng)頁后門程序一般是檢查最近被修改過的文件， 當(dāng)然目前一些高級webshell后門已經(jīng)支持更改自身創(chuàng)建修改時間來迷惑管理員了。

　　2.擁有反向連接的后門檢測

　　這類后門一般會監(jiān)聽某個指定斷口， 要檢查這類后門需要用到dos命令在沒有打開任何網(wǎng)絡(luò)連接頁面和防火墻的情況下輸入netstat -an 監(jiān)聽本地開放端口， 看是否有本地ip連接外網(wǎng)ip。

　　3.無連接的系統(tǒng)后門

　　如shift， 放大鏡， 屏保后門， 這類后門一般都是修改了系統(tǒng)文件， 所以檢測這類后門的方法就是對照他們的MD5值 如sethc.exe（shift后門）正常用加密工具檢測的數(shù)值是

　　MD5 : f09365c4d87098a209bd10d92e7a2bed

　　如果數(shù)值不等于這個就說明被篡改過了。

　　4.CA后門

　　CA克隆帳號這樣的后門建立以$為后綴的超級管理員在dos下無法查看該用戶， 用戶組管理也不顯示該用戶， 手工檢查一般是在sam里刪除該帳號鍵值。 當(dāng)然要小心， 沒有經(jīng)驗的建議還是用工具。 當(dāng)然CA有可能克隆的的是guest用戶， 所以建議服務(wù)器最好把guest設(shè)置一個復(fù)雜密碼。

　　5.對于ICMP這種后門

　　這種后門比較罕見， 如果真要預(yù)防只有在默認(rèn)windows防火墻中設(shè)置只 允許ICMP傳入的回顯請求了。

　　6.對于rootkit

　　這類后門隱藏比較深， 從一篇安全焦點的文獻(xiàn)我們可以了解到他的歷史也非常長， 1989年發(fā)現(xiàn)首例在Unix上可以過濾自己進(jìn)程被ps -aux 命令的查看的rootkit雛形。 此后這類高級隱藏工具不斷發(fā)展完整， 并在94年成功運用到了高級后門上并開始流行， 一直保持著后門的領(lǐng)先地位， 包括最新出現(xiàn)的Boot Root也是該后門的一個高級變種。 為了抵御這類高級后門國外也相續(xù)出現(xiàn)了這類查殺工具。 例如：荷蘭的反Root Kit的工具Gmer,Rootkit Unhooker和RKU都可以檢測并清除這些包括變種的RootKit.