八種駭客用來竊取企業資料的後門程式技巧
後門程式可讓駭客從任何網路遙控缺乏防護的電腦,包括公共網路、家用網路或辦公室網路。透過一些所謂的後門程式技巧 (也就是後門程式所做的工作),駭客就能暗中下令電腦竊聽使用者線上聊天內容、連上受感染的網站、複製密碼等等。
當 IT 系統管理員在電腦系統上發現後門程式時,很可能歹徒早已暗中蒐集有關其網路的重要資訊。此外,也代表駭客早已準備進入鎖定目標攻擊流程的第三階段,也就是建立其幕後操縱 (C&C) 通訊。若照這樣繼續發展下去,駭客最後將偷到一些可讓他們販賣或用於其他惡意用途的資訊。
下載完整的研究報告:鎖定目標攻擊所使用的後門程式技巧 (Backdoor Use in Targeted Attacks)
延伸閱讀:幾可亂真的 UPS 快遞電子郵件暗藏後門
為此,趨勢科技研究人員特別觀察駭客使用後門程式來操控目標網路的方式,截至目前為止,我們發現駭客最常使用的後門程式技巧有八項:
- 將後門程式綁定某個通訊埠。
若網路上沒有架設防火牆,駭客就能輕易透過電腦的某個通訊埠來進行後門通訊,也就是連接埠綁定。一旦後門程式綁定某個連接埠,駭客就能自由地與該電腦通訊,進而輕易加以掌控。
- 透過後門程式穿越防火牆。
若網路上架設了防火牆,駭客可利用反向連線的技巧來通訊。駭客會修改後門程式來檢查可用及沒有保護的連接埠以進行通訊。如此,後門程式就能穿越防火牆和防護軟體的封鎖。一旦後門程式找到一個可用的連接埠,就能連回駭客的幕後操縱 (C&C) 伺服器。
- 後門程式檢查可用的連線以傳輸檔案。
通常,駭客還會利用後門程式來搜尋可用的連線,以躲避入侵防護系統 (IDS) 的偵測。駭客一旦找到可用連線,就能經由後門程式暫時連上系統並進行其他惡意活動,例如傳輸檔案。
- 後門程式透過社群網路連上幕後操縱伺服器。
在這個案例當中,駭客會讓後門程式利用一般合法的社群網站。駭客會將幕後操縱的指令存放在某些部落格網頁或網路硬碟空間,然後讓後門程式連上這些服務。
- 後門程式透過常見的網站服務與駭客通訊。
有些後門程式會利用一些常見的服務通訊協定來將資訊回傳給駭客,例如:Gmail、Windows Live Messenger 或 AJAX 即時通訊。
- 後門程式可能變換通訊協定。
為了躲避偵測,後門程式會變換與幕後操縱伺服器連線的通訊協定。例如,我們的研究人員就發現 PlugX 的變種使用的是 UDP 通訊協定,而非一般常用的 TCP 通訊協定。
- 透過後門程式使用自訂的 DNS 查詢以躲避偵測。
駭客避免被列為黑名單的方式之一,就是利用後門程式向外部網站服務發出自訂 DNS 查詢,透過這項技巧就能查詢到幕後操縱伺服器真正的 IP 位址。
- 後門程式重複使用已開啟的連接埠來監聽網路。
能夠取得作業系統各種權限的後門程式,可讓駭客重複使用目標電腦上已開啟的連接埠。
正因駭客口袋裡有這麼多的後門程式技巧,IT 系統管理員應小心注意其網路是否潛藏任何漏洞。要達到這項目標,系統管理員必須仰賴必要的解決方案和專業技能來監控網路並且偵測惡意活動。
◎原文來源: Using 8 Backdoor Techniques, Attackers Steal Company Data