|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 通常,我們在獲得了對目標的控制權后,還想保持這種控制權限,于是就出現了木馬后門,Rootkit之類的保護權限的手段。首先來說一下我們常見的應用層次的木馬后門,比如我們常見的遠程控制類的軟件,像國外的Sub7,VNC,netbus,國內的冰河,灰鴿子,黑洞等等,這些大家都很熟悉就不詳細介紹了。此類后門很容易被發現,現在的殺毒軟件大多都能輕松的查殺,即使暫時查不到,用其它手段檢測發現也不困難,而這次給大家介紹的是比一般木馬后門潛伏的更深木馬后門--Rootkit。 傳統的Rootkit是一種比普通木馬后門更為陰險的木馬后門。它主要通過替換系統文件來達到目的,這樣就會更加隱蔽,使檢測變得比較困難。傳統的Rootkit主要針對Unix平臺,例如Linux、AIX、SunOs等操作系統,有些Rootkits可以通過替換DLL文件或更改系統來攻擊Windows平臺。Rootkit并不能讓你直接獲得權限,相反它是在你通過各種方法獲得權限后才能使用的一種保護權限的措施,在我們獲取系統根權限(根權限即root權限,是Unix系統的最高權限)以后,Rootkits提供了一套工具用來建立后門和隱藏行跡,從而讓攻擊者保住權限。 RootKits是如何實現后門的呢?為了理解Rootkits后門,有必要先了解一下Unix的基本工作流程,當我們訪問Unix時(不管是本地還是遠程登錄),/bin/login程序都會運行,系統將通過/bin/login來收集并核對用戶的帳號和密碼。Rootkits使用一個帶有根權限后門密碼的/bin/login來替換系統的/bin/login,這樣攻擊者輸入根權限后門的密碼,就能進入系統。就算管理員更改了原來的系統密碼或者把密碼清空。我們仍能夠使用后門密碼以根用戶身份登錄。在攻入Unix系統后,入侵者通常會進行一系列的攻擊動作,如安裝嗅探器收集重要數據,而Unix中也會有些系統文件會監視這些動作,比如ifconfig等,Rootkit當然不會束手就擒,它會同樣替換一下這些系統文件,通常被Rootkit替換的系統程序有login,ifconfig,du,find,ls,netstart,ps等。由于篇幅問題,這些系統文件的功能就不一一羅列,有興趣的讀者可以自己去查找,現在Rootkit的工具很多,里面基本都是包含一些處理過的系統文件來代替原來的系統文件的,像tOmkit等一些Rootkit就是比較優秀的了。 寫到這里,戰爭似乎結束了,然而更可怕的Rootkit還沒登場,那就是內核級Rootkit。在大多數操作系統中(各種Unix和Windows),內核是操作系統最基本的部件,它控制著對網絡設備、進程、系統內存、磁盤等的訪問。例如當你打開一個文件時,打開文件的請求被發送到內核,內核負責從磁盤得到文件的比特位并運行你的文件瀏覽程序。內核級Rootkit使攻擊者獲得對系統底層的完全控制權。攻擊者可以修改你的內核,大多數內核級Rootkit都能進行執行重定向,即截獲運行某一程序的命令,將其重定向到入侵者所選中的程序并運行此程序。也就是說用戶或管理員要運行程序A,被修改過的內核假裝執行A,實際卻執行了程序B。 [page_break]內核級Rootkit對Unix的攻擊 和傳統的Rootkit不同,內核級Rootkit攻擊時Unix的bin/login并未被修改,但所有執行/bin/login的請求(當登錄系統時將產生)都被重定向到攻擊者制作的隱藏文件/bin/backdoorlogin,這樣當系統管理員使用檢測傳統級別的Rootkit的方法(比如用tripwire之類的軟件檢測文件的完整性)就行不通了,因為/bin/login并沒有被改變。同樣的道理,攻擊者對其他的系統程序也進行重定,這樣你的操作實際就是按照入侵者的意愿執行了。 內核級Rootkit不僅會進行“執行重定向”設置,還有很多支持文件隱蔽。傳統的Rootkit是通過替換ls程序來實現文件的隱藏,而內核級的Rootkit則是通過對內核的修改來對ls程序欺騙,更加的陰險隱蔽。另外內核級的Rootkit還能對進程和網絡進行隱藏,用戶將得不到真實的系統情況報告。 因此,許多內核級Rootkit都通過LKM來實現。安裝通過LKM實現的內核級Rootkit十分簡單。例如,在Linux上安裝Knark內核級Rootkit只需具有根權限的入侵者輸入命令:insmod knark.o就行了,模塊被安裝后就等著我們輸入命令了。更妙的是整個過程不需要重啟。通過LKM實現的Rootkit在Unix上十分流行。我們也常常會通過給windows平臺打LKM補丁的方法攻擊windows。 [page_break]內核級Rootkit實例 現在有大量的內核級Rootkit可用,就選幾種比較強大的來跟大家討論一下。 Knark具有各種標準的內核級Rootkit功能,包括執行重定向,文件隱藏,進程隱藏和網絡隱藏。另外,還有不少比較過癮的功能,如: 1、遠程執行:我們可以通過網絡向運行Knark的機器發送一條命令,源地址是假造的,命令被發往UDP端口53,使之表面上看起來像是DNS流量。我們就可以利用這個功能來升級Knark,刪除系統文件或任何我們想做的事。 2、任務攻擊:當某一進程在系統上運行時,它總是具有與UID和有效的UID(EUID)相關的權限。另外進程還具有與文件系統UID(FSUID)相關的文件及目錄訪問權。Knark的任務攻擊能力可實時地將進程UID,EUID和FSUID改變。進程在不停止運動的情況下突然具有了新的權限。 3、隱藏混雜模式:同一般的RootKit一樣,入侵者也會在受害者機器上運行嗅探器。我們可以用文件隱藏和進程隱藏將嗅探器隱藏起來。然而,以太網卡會被設成混雜模式,管理員可以檢查到這一點Knark將內核進行了修改,使之隱瞞網卡的混合模式,這將使嗅探變得更加隱秘。 4、實時進程隱藏:Knark可以將一個正在運行的進程隱藏起來。通過發送信號31給一個進程,此進程將消失,但仍在運行。命令kill-31 process_id將阻止內核匯報任何有關此進程的信息。進程在運行時,ps和lsof命令的使用都不能顯示此進程。 5、內核模塊隱藏:Linux中的lsmod命令可以列出當前在機器上安裝的LKM,我們自然不想讓管理員看到Knark模塊,因此Knark包含了一個單獨的模塊modhide,modhide將Knark和自己隱藏了起來。這樣,當我們用Knark攻擊一個系統時,我們首先為Knark.o做一個insmod,然后為modhide.o做一個insmod。這樣不管誰運行lsmod命令,這些模塊都不會被發現。 同Knark一樣,Adore也是一個針對Linux的LKM RootKit,他包含了標準的內核級Rootkit功能,如文件隱藏,進程隱藏,網絡隱藏和內核模塊隱藏。我們只所以討論Adore,是因為他還有一個非常強大的功能:內置的根權限后門。 Adore的根權限后門可以讓我們連接到系統上并獲得根權限的命令外殼,此功能十分直接了當 ,Adore將此功能巧妙的包含在內核模塊中了。這一招十分難破,因為管理員看不到任何文件、進程、偵聽網絡端口的跡象。 現在也存在一些Rootkit自動檢測工具,但都不是很可靠。同時內核級的Rootkit也在不斷的發展中,對一些系統來說防御它最好的辦法是使用不支持LKM的內核,Linux的內核就可以設成不支持LKM的單一內核。 下面是一些圖例,幫助大家理解。  圖:普通應用級別的木馬后門  圖:傳統的RootKit  圖:內核級的RootKit 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統 手機站 關于本站
