2004年に出現した4つの新しいバックドア技術を分析します。


木馬や裏口(以下、裏口)の被害を受けた人たちは、マシンが破壊された後の惨状を忘れず、パッチからファイアウォールまで積極的な防御活動を展開しています。ネットの配線にも検証器が加わり、多種多様な防御手法で裏口が倒れています。 しかし、裏門はそれでやめられますか?答えはもちろん否定です。君がいないと、静かな陸の下で、いくつかの新しい裏口が陳倉を渡っています。私達は彼がタバコを燃やすのを見るしかないです。ぼんやりしています。しばらくして、彼はタバコの吸殻をなくして、両手で素早くキーボードを打って、スクリーンを通して、彼はもう一つの企業内部のサーバーに入ったと知っています。防火壁を付けて、しかも内部のサーバーに深く住んでいます。彼はどうやってできますか?彼は神様ですか?レンズを先ほどのシーンに戻してください。ハッカーAは煙の中で一つのプログラムインターフェースをじっと見ています。突然、そのインターフェイスが変化しました。同時に、ハッカーAもキーボードを打ち始めました。次によく知っているコントロールインターフェースです。皆さんは自分の目を信じないかもしれません。あのマシンは自分で彼を見つけましたか?ありえない しかしこれは事実です。本当にサーバーが自分で探してきました。ハッカーAも高い技術ではありません。彼は客に反対するバックドアを使っています。周知のように、侵入は侵入者が自発的に攻撃すると言われています。これは狩猟のような方式です。警戒性の高い獲物を前にして、彼らはもう力不足です。しかし、リバウンド技術を使用した侵入者にとっては、彼らはリラックスして多くの木馬に反発します。狼祖母のように、赤い帽子を待っています。一般的な侵入は侵入者操作制御プログラムで接続された被害コンピュータを検索します。反発して侵入したのです。侵入者のコンピュータのポートを開けて、被害者自身と侵入者を連絡させて侵入者にコントロールさせます。大多数のファイアウォールは外部データだけを処理して、内部データに対して目を閉じています。リバウンド木馬の作業パターンは次の通りです。被害者(リバウンドされた木馬サービスエンドのコンピュータ)は一定時間ごとにコントロール側の要求を出します。この要求はコントロール側との接続に成功するまでループします。次いで、制御側は、サービス端末の接続要求を受け入れ、両者の間の信頼伝達チャネルが確立される。最後に、コントロールすることは普通です。被害者のコントロールを得ることです。被害者が主導的に起こした接続なので、ファイアウォールはほとんどの状況で警報を出さないです。また、このような接続モードはネットと外部を突破して接続を確立できます。侵入者は簡単に内部のコンピュータに入りました。リバウンドトロイの木马は、普通の木马よりも怖いですが、それは生まれつきの致命的な弱点があります。隠蔽性はまだ足りないです。地元でランダムポートをオープンしなければなりません。そこで、もう一つの木馬が誕生しました。2、不安の正常な接続は今多くのユーザーが個人のHTTPサーバをインストールしています。これはマシンが80ポートを開いていることに運命づけられています。これは正常です。通を隠すTunnel)は、多くのネット管理者に苦痛を与えた新しい技術で、正常なサービスを侵入者の利器に変えました。つのマシンがTunnelに栽培された後、そのHTTPポートはTunnelによって再結合されました。WWサービスプログラムに転送されたデータは同時にバックのTunnelに転送され、侵入者はウェブページを閲覧するふりをしていましたが、特殊な要求データ(一致HTTPプロトコル)を送りました。TunnelとWWサービスはこの情報を受信しました。要求されたページは通常存在しないので、WWWサービスはHTTP 404に戻り、Tunnelは急いでいます。まず、Tunnelは侵入者に確認データを送り、Tunnelの存在を報告します。その後、Tunnelはすぐに新しい接続を送り、侵入者の攻撃データを要求し、侵入者がHTTPポートから送信したデータを処理する。最後に、Tunnelは侵入者が欲しい操作を実行します。これは「正常」なデータ転送なので、ファイアウォールのように見えませんでした。しかし目標は80ポートを開放していません。どうすればいいですか?無断でポートを開くのは自殺に等しい。しかし、侵入者はそのかわいいNetBIOSポートを忘れません。長い年月にわたってオープンした139ポートとデータを共有しています。 Tunnel技術は後門の隠蔽性をもう一つのレベルに上げましたが、これはミスがないというわけではありません。経験のある管理人がSnifferを通して異常な光景を見ますから。 Tunnel攻撃は管理者によって破壊されましたが、より恐ろしい侵入が密かに行われています。1.眼下の泥棒――ICMP ICMP、インターネット 制御装置 メッセンジャー Protocol(インターネット制御情報協議)では、最も一般的なネットニュースは、近年洪水の渋滞攻撃に多く使われていますが、ICMPがこっそりと木馬の戦争に参加しています。 最も一般的なICMP新聞は、サーキットとして使用されています。PINGは、実際には8タイプのICMPデータです。このデータを受信したリモートマシンが0タイプの応答を返すことで、「オンラインで」と報告しています。しかし、ICMP新聞自体はデータを携帯することができるので、それが侵入者の有能な助手になることができることを運命付けました。ICMP報文はシステムカーネルで処理され、ポートを占有しないので、優先権が高いです。ICMPはシステムカーネルの親戚のように、門衛に邪魔されなくてもいいです。そこで、バスケットの中に武器を隠している田舎の老人が大統領の家のドアをノックしました。特殊なICMPを使ってデータを携帯する裏口が静かに流行しています。この一見普通のデータはファイアウォールの監視の下で堂々と被害者を操作しています。これらの「正常」のICMP新聞が彼のマシンを飲み込んでいるとは思いません。ある人が言うかもしれません。カバンをつかんでみてください。しかし、実際のアプリケーションでは、データを転送するICMPのほとんどが暗号化されています。どうやってチェックしますか?しかし、ICMPも無敵ではありません。もっと多くの経験を持つ管理人はICMPの新聞の伝送を全部禁止しました。この親戚はもうシステムに近づかないようにしました。これはシステムの正常な機能に影響しますが、親戚に殺されるのを避けるために、我慢するしかないです。最も親密で最も疑われない人は、往々にして最もあなたを殺害しやすい人です。2.正常ではない郵便配達員――IPヘッダの戦略はすべて知っています。ネットはIPデータ新聞の基礎の上に構築されています。どんなものでもIPと付き合わなければなりません。しかし、IP新聞という基本的な郵便配達員さえも侵入者に買収されました。この戦争はいつまでも停止しません。何ですか?まずIPデータ报の构造を少し理解します。二つの部分に分けて、ヘッダと体、ヘッダは住所情报と識別データをいっぱい入れています。封筒のように。体は私たちがよく知っているデータです。手紙のようです。どの新聞もIP新聞の中で小包を送ります。普通は便箋に何か書いてあるかだけに注意しますが、封筒にシアン酸カリウムが塗られているかどうかは見落としました。そこで、多くの管理人が死亡しました。検査できない疑いがあります。これは協議規範の欠陥によるものです。このエラーは唯一ではなく、SYN攻撃も協議規範の誤りによるものです。同様に、両方ともIPヘッダを使用している。SYNは偽の封筒を使いましたが、「ソケット」の木馬は封筒に余分な空白の内容が毒薬を塗りました。普通郵便ですか追加データ(手紙に対する備考)は、結果としてIPヘッダにいくつかのバイトの空白があり、これらの空白を軽視しないでください。これらは無害そうな手紙は警備員に止められませんが、大統領ははっきりしないままオフィスで死んでしまいました。侵入者は短い攻撃データでIPヘッダの空白を埋めました。データが多すぎると、何通かの手紙を送ります。被害者の機械に紛れ込んだ郵便配達員が封筒の「余分」を記録し、これらの内容を一つの攻撃命令にまとめることができた時、攻撃が始まった。現在の防御技術は、簡単なデータ判断処理にとどまっていれば、無数の新型の裏口がつぶれます。本当の防御は人間の管理操作を主体としなければならない。