這兩週對處理後門累積了一些心得,雖簡短也非神奇之事,但卻是耗費許多精神、時間、與經驗換來的。
對攻擊方而言,設置後門需要注意到的幾件事:
1. 時間戳記,要把後門的時間戳記設為老檔案。
2. 後門與外界通訊需要編碼,明文容易被過濾抓到關鍵字。
3. 後門本身的程式碼也需要簡單的編碼,使其不容易一眼看出程式碼的目的。
4. 除了安裝執行指令的後門以外,也需要安裝新建後門功能的後門,如果執行指令的後門被查殺了,可透過新建後門功能的後門來創見一個新的後門。
5. 在 Windows 上,at 和 schtasks 是你的好朋友,在 *nix 上,crontab 是你的好夥伴,但要知道會被 log 下來,所以要嘛把 log 清掉,要嘛你確定對方的 log 很多噪音,然後把指令寫的像正常的合法程序。
6. 如果對象是 server,搭配 client-side 的程式語言,例如 javascript,建立擁有複合式功能的後門。
7. 後門盡可能是附著在原來系統已有的檔案之中,避免建立多餘的檔案,且選擇附著的對象時,對象檔案的修改時間越老越好。
8. 活用免空和短網址。
9. 如果對象是 server,盡可能避免 dns 查詢,畢竟在 server 上 dns 查詢的頻率不高,很可能留下紀錄。
10. 不要影響被攻擊者的日常工作
11. 測試你的所有程式碼,沒有萬全把握不出手。
另一方面來說,對防守方而言,以上同樣是檢查系統是否被感染時需要注意的幾件事。例如你應該檢查 server 所作過的 dns 查詢紀錄,搜尋是否有來路不明的名字出現。
沒有留言:
張貼留言