曾經飽受木馬、後門(以下統稱後門)侵害的人們都不會忘記機器被破壞後的慘象,於是人們展開了積極的防御工作,從補丁到防火牆,恨不得連網線都加個驗證器,在多種多樣的防御手法夾攻下,一大批後門倒下了,菜鳥們也不用提心吊膽上網了…… 可是後門會因此罷休嗎?答案當然是否定的。君不見,在風平浪靜的陸地下,一批新的後門正在暗渡陳倉……
1、反客為主的入侵者
黑客A連接上了網絡,卻不見他有任何行動,他在干什麼呢?我們只能看見他燃起一支煙,似乎在發呆……過了一會兒,他突然把煙頭一丟,雙手迅速敲擊鍵盤,透過屏幕,我們得知他已經進入了一個企業內部的服務器,一台安裝了防火牆、而且深居內部的服務器……他怎麼做到的呢?莫非他是神仙?請把鏡頭回退到剛才那一幕,黑客A在煙霧熏繞中盯著一個程序界面出神,突然,那個界面變動了一下,同時,黑客A也開始敲打鍵盤,接下來就是熟悉的控制界面。各位也許不相信自己的眼睛了:難道是那台機器自己找上他的?不可能…… 可是這是事實,真的是服務器自己找上來的。黑客A也不是高技術,他只是使用了一種反客為主的後門——反彈木馬。
眾所周知,通常說的入侵都是入侵者主動發起攻擊,這是一種類似捕獵的方式,在警惕性高的獵物面前,他們已經力不從心;可是對於使用反彈技術的入侵者來說,他們卻輕松許多,反彈木馬就如一個狼外婆,等著小紅帽親自送上門去。一般的入侵是入侵者操作控制程序去查找連接受害計算機,而反彈入侵卻逆其道而行之,它打開入侵者電腦的一個端口,卻讓受害者自己與入侵者聯系並讓入侵者控制,由於大多數防火牆只處理外部數據,對內部數據卻閉上眼睛,於是,悲劇發生了。
反彈木馬的工作模式如下:受害者(被植入反彈木馬服務端的計算機)每間隔一定時間就發出連接控制端的請求,這個請求一直循環到與控制端成功連接;接下來控制端接受服務端的連接請求,兩者之間的信任傳輸通道建立;最後,控制端做的事情就很普通了——取得受害者的控制權。由於是受害者主動發起的連接,因此防火牆在大多數情況下不會報警,而且這種連接模式還能突破內網與外部建立連接,入侵者就輕易的進入了內部的計算機。
雖然反彈木馬比起一般木馬要可怕,但是它有天生的致命弱點:隱蔽性還不夠高,因為它不得不在本地開放一個隨機端口,只要受害者有點經驗,認出反彈木馬不是難事。於是,另一種木馬誕生了。
2、不安分的正常連接
現在有很多用戶都安裝了個人HTTP服務器,這就注定了機器會開著80端口,這很正常,但是有誰知這是一個給無數網絡管理員帶來痛苦的新技術,它讓一個正常的服務變成了入侵者的利器。
當一台機器被種植Tunnel後,它的HTTP端口就被Tunnel重新綁定了——傳輸給WWW服務程序的數據,也在同時傳輸給背後的Tunnel,入侵者假裝浏覽網頁(機器認為),卻發送了一個特殊的請求數據(符合HTTP協議),Tunnel和WWW服務都接收到這個信息,由於請求的頁面通常不存在,WWW服務會返回一個HTTP404應答,而Tunnel卻忙開了……
