后門程序可讓黑客從任何網(wǎng)絡(luò)遙控缺乏防護(hù)的計(jì)算機(jī),包括公共網(wǎng)絡(luò)、家庭網(wǎng)絡(luò)或辦公室網(wǎng)絡(luò)。通過一些所謂的后門程序技巧 (也就是后門程序所做的工作),黑客就能暗中下令計(jì)算機(jī)竊聽用戶在線聊天內(nèi)容、連上受感染的網(wǎng)站、復(fù)制密碼等等。
當(dāng) IT 系統(tǒng)管理員在計(jì)算機(jī)系統(tǒng)上發(fā)現(xiàn)后門程序時(shí),很可能歹徒早已暗中搜集有關(guān)其網(wǎng)絡(luò)的重要信息,也代表黑客早已準(zhǔn)備進(jìn)入鎖定目標(biāo)攻擊流程的第三階段,也就是建立其幕后操縱 (C&C) 通訊。如果繼續(xù)照這樣發(fā)展下去,黑客最后將偷到一些可讓他們販賣或用于其他惡意用途的信息。
為此,趨勢科技研究人員特別觀察黑客使用后門程序來操控目標(biāo)網(wǎng)絡(luò)的方式,截至目前為止,我們發(fā)現(xiàn)黑客最常使用的后門程序技巧有八項(xiàng):
1、將后門程序綁定某個(gè)通訊端口
若網(wǎng)絡(luò)上沒有架設(shè)防火墻,黑客就能輕易通過計(jì)算機(jī)的某個(gè)通訊端口來進(jìn)行后門通訊,也就是端口綁定。一旦后門程序綁定某個(gè)端口,黑客就能自由地與該計(jì)算機(jī)通訊,進(jìn)而輕易加以掌控。
2、通過后門程序穿越防火墻
若網(wǎng)絡(luò)上架設(shè)了防火墻,黑客可利用反向聯(lián)機(jī)的技巧來通訊。黑客會(huì)修改后門程序來檢查可用及沒有保護(hù)的端口以進(jìn)行通訊。這樣一來,后門程序就能穿越防火墻和防護(hù)軟件的封鎖。一旦后門程序找到一個(gè)可用的端口,就能連回黑客的幕后操縱 (C&C)服務(wù)器。
3、后門程序檢查可用的聯(lián)機(jī)以傳輸檔案
通常,黑客還會(huì)利用后門程序來搜尋可用的聯(lián)機(jī),以躲避入侵檢測系統(tǒng) (IDS) 的偵測。黑客一旦找到可用聯(lián)機(jī),就能經(jīng)由后門程序暫時(shí)連上系統(tǒng)并進(jìn)行其他惡意活動(dòng),例如傳輸檔案。
4、后門程序通過社交網(wǎng)絡(luò)連上幕后操縱服務(wù)器
在這種情況下,黑客會(huì)讓后門程序利用一般合法的社交網(wǎng)站。黑客會(huì)將幕后操縱的指令存放在某些博客網(wǎng)頁或網(wǎng)絡(luò)硬盤空間,然后讓后門程序連上這些服務(wù)。
5、后門程序通過常見的網(wǎng)站服務(wù)與黑客通訊
有些后門程序會(huì)利用一些常見的通信服務(wù)協(xié)議來將信息回傳給黑客,例如:Gmail、Skype或QQ等。
6、后門程序可能變換通信協(xié)議
為了躲避偵測,后門程序會(huì)變換與幕后操縱服務(wù)器聯(lián)機(jī)的通信協(xié)議。例如,我們的研究人員就發(fā)現(xiàn)遠(yuǎn)程控制工具PlugX 的變種使用的是 UDP 通信協(xié)議,而非一般常用的 TCP 通信協(xié)議。
7、透過后門程序使用自定義的 DNS 查詢以躲避偵測
黑客避免被列為黑名單的方式之一,就是利用后門程序向外部網(wǎng)站服務(wù)發(fā)出自定義 DNS 查詢,通過這項(xiàng)技巧就能查詢到幕后操縱服務(wù)器真正的 IP 地址。
8、后門程序重復(fù)使用已開啟的端口來監(jiān)聽網(wǎng)絡(luò)
能夠取得操作系統(tǒng)各種權(quán)限的后門程序,可讓黑客重復(fù)使用目標(biāo)計(jì)算機(jī)上已開啟的端口。
正因黑客掌握了這么多的后門程序技巧,IT 系統(tǒng)管理員應(yīng)小心注意其網(wǎng)絡(luò)是否潛藏任何漏洞。要達(dá)到這項(xiàng)目標(biāo),系統(tǒng)管理員必須仰賴必要的解決方案和專業(yè)技能來監(jiān)控網(wǎng)絡(luò)并且偵測惡意活動(dòng)。