后門程序可讓黑客從任何網絡遙控缺乏防護的計算機,包括公共網絡、家庭網絡或辦公室網絡。通過一些所謂的后門程序技巧 (也就是后門程序所做的工作),黑客就能暗中下令計算機竊聽用戶在線聊天內容、連上受感染的網站、復制密碼等等。
當 IT 系統管理員在計算機系統上發現后門程序時,很可能歹徒早已暗中搜集有關其網絡的重要信息,也代表黑客早已準備進入鎖定目標攻擊流程的第三階段,也就是建立其幕后操縱 (C&C) 通訊。如果繼續照這樣發展下去,黑客最后將偷到一些可讓他們販賣或用于其他惡意用途的信息。
為此,趨勢科技研究人員特別觀察黑客使用后門程序來操控目標網絡的方式,截至目前為止,我們發現黑客最常使用的后門程序技巧有八項:
1、將后門程序綁定某個通訊端口
若網絡上沒有架設防火墻,黑客就能輕易通過計算機的某個通訊端口來進行后門通訊,也就是端口綁定。一旦后門程序綁定某個端口,黑客就能自由地與該計算機通訊,進而輕易加以掌控。
2、通過后門程序穿越防火墻
若網絡上架設了防火墻,黑客可利用反向聯機的技巧來通訊。黑客會修改后門程序來檢查可用及沒有保護的端口以進行通訊。這樣一來,后門程序就能穿越防火墻和防護軟件的封鎖。一旦后門程序找到一個可用的端口,就能連回黑客的幕后操縱 (C&C)服務器。
3、后門程序檢查可用的聯機以傳輸檔案
通常,黑客還會利用后門程序來搜尋可用的聯機,以躲避入侵檢測系統 (IDS) 的偵測。黑客一旦找到可用聯機,就能經由后門程序暫時連上系統并進行其他惡意活動,例如傳輸檔案。
4、后門程序通過社交網絡連上幕后操縱服務器
在這種情況下,黑客會讓后門程序利用一般合法的社交網站。黑客會將幕后操縱的指令存放在某些博客網頁或網絡硬盤空間,然后讓后門程序連上這些服務。
5、后門程序通過常見的網站服務與黑客通訊
有些后門程序會利用一些常見的通信服務協議來將信息回傳給黑客,例如:Gmail、Skype或QQ等。
6、后門程序可能變換通信協議
為了躲避偵測,后門程序會變換與幕后操縱服務器聯機的通信協議。例如,我們的研究人員就發現遠程控制工具PlugX 的變種使用的是 UDP 通信協議,而非一般常用的 TCP 通信協議。
7、透過后門程序使用自定義的 DNS 查詢以躲避偵測
黑客避免被列為黑名單的方式之一,就是利用后門程序向外部網站服務發出自定義 DNS 查詢,通過這項技巧就能查詢到幕后操縱服務器真正的 IP 地址。
8、后門程序重復使用已開啟的端口來監聽網絡
能夠取得操作系統各種權限的后門程序,可讓黑客重復使用目標計算機上已開啟的端口。
正因黑客掌握了這么多的后門程序技巧,IT 系統管理員應小心注意其網絡是否潛藏任何漏洞。要達到這項目標,系統管理員必須仰賴必要的解決方案和專業技能來監控網絡并且偵測惡意活動。
京公網安備 11010502049343號