第五十八課:高級持續(xù)滲透-第二季關(guān)于后門補(bǔ)充一
專注APT攻擊與防御
https://micropoor.blogspot.com/

這次繼續(xù)圍繞第一篇,第一季關(guān)于后門:
https://micropoor.blogspot.hk/2017/12/php.html 做整理與補(bǔ)充。在深入一步細(xì)化demo notepad++。
后門是滲透測試的分水嶺,它分別體現(xiàn)了攻擊者對目標(biāo)機(jī)器的熟知程度,環(huán)境,編程語言,了解對方客戶,以及安全公司的本質(zhì)概念。這樣的后門才能更隱蔽,更長久。
而對于防御者需要掌握后門的基本查殺,與高難度查殺,了解被入侵環(huán)境,目標(biāo)機(jī)器。以及后門或者病毒可隱藏角落,或樣本取證,內(nèi)存取證。.
所以說后門的安裝與反安裝是一場考試,一場實(shí)戰(zhàn)考試。
這里要引用幾個(gè)概念,只有概念清晰,才能把后門加入概念化,使其更隱蔽。
1:攻擊方與防御方的本質(zhì)是什么?
增加對方的時(shí)間成本,人力成本,資源成本(不限制于服務(wù)器資源),金錢成本。
2:安全公司的本質(zhì)是什么?
盈利,最小投入,最大產(chǎn)出。
3:安全公司產(chǎn)品的本質(zhì)是什么?
能適應(yīng)大部分客戶,適應(yīng)市場化,并且適應(yīng)大部分機(jī)器。(包括不限制于資源緊張,寬帶不足等問題的客戶)
4:安全人員的本質(zhì)是什么?
賺錢,養(yǎng)家。買房,還房貸。導(dǎo)致,快速解決客戶問題(無論暫時(shí)還是永久性解決),以免投訴。
5:對接客戶的本質(zhì)是什么?
對接客戶也是某公司內(nèi)安全工作的一員,與概念4相同。

清晰了以上5個(gè)概念,作為攻擊者,要首先考慮到對抗成本,什么樣的對抗成本,
能滿足概念1-5。影響或阻礙對手方的核心利益。把概念加入到后門,更隱蔽,更長久。

文章的標(biāo)題既然為php安全新聞早八點(diǎn),那么文章的本質(zhì)只做技術(shù)研究,
Demo本身不具備攻擊或者持續(xù)控制權(quán)限功能。
Demo連載第二季:
Demo 環(huán)境:windows 7 x64,notepad++(x64)
Demo IDE:vs2017
在源碼中,我們依然修改每次打開以php結(jié)尾的文件,先觸發(fā)后門,在打開文件。其他文件跳過觸發(fā)后門。但是這次代碼中加入了生成micropoor.txt功能。并且使用php來加載運(yùn)行它,是的,生成一個(gè)txt。demo中,為了更好的演示,取消自動(dòng)php加載運(yùn)行該txt。而txt的內(nèi)容如圖所示,并且為了更好的了解,開啟文件監(jiān)控。
使用notepad++(demo2).exe 打開以php結(jié)尾的demo.php,來觸發(fā)microdoor。并且生成了micropoor.txt
而micropoor.txt內(nèi)容:
配合micropoor.txt的內(nèi)容,這次的Demo將會變得更有趣。那么這次demo 做到了,無服務(wù),無進(jìn)程,無端口,無自啟。根據(jù)上面的5條概念,加入到了demo中,增加對手成本。使其更隱蔽。
如果demo不是notepad++,而是mysql呢?用它的端口,它的進(jìn)程,它的服務(wù),它的一切,來重新編譯microdoor。例如:重新編譯mysql.so,mysql.dll,替換目標(biāo)主機(jī)。無文件,無進(jìn)程,無端口,無服務(wù),無語言碼。因?yàn)橐磺懈綄儆谒?/span>這應(yīng)該是一個(gè)攻擊者值得思考的問題。正如第一季所說:在后門的進(jìn)化中,rootkit也發(fā)生了變化,最大的改變是它的系統(tǒng)層次結(jié)構(gòu)發(fā)生了變化。

Micropoor
?