後門程式是針對性攻擊/鎖定目標攻擊(Targeted attack ) 重要組成部分,因為它們讓外部的攻擊者可以去控制任何已經入侵的電腦。這讓攻擊者可以收集資料,並且在目標組織內做橫向移動。
我們對各種針對性攻擊/鎖定目標攻擊(Targeted attack ) 進行的調查顯示,後門程式會利用各種不同戰術來進行自己的行為,以及保持不被網路管理者或安全產品發現。隨著時間的過去,這些技術已經發展成更加複雜以防範網路管理者。
最初,攻擊者所需要做的只是連上一台已入侵電腦的開放TCP/IP端口。然而,因為防火牆變得更加普遍,其它技術也變成必需。技術繼續發展,變成是由客戶端來初始連線到伺服器,因為早期封鎖對外流量比較少見。
隨著時間過去,各種防禦也越來越加進步,所以會使用其他的技術。比方說,公開的部落格也可以成為某種指揮和控制(C&C)伺服器:
圖1、用作指揮和控制伺服器的部落格(點入以看大圖)
這免費的「部落格」包含了密文,被後門程式解密後就能夠知道真正的C&C伺服器。利用免費服務作為C能並非新聞;趨勢科技注意到最近Dropbox也被用在類似的用途上。(請參考:具備時間炸彈的PlugX遠端存取工具,利用Dropbox更新指揮與控制設定)
這份「針對性攻擊所用的後門技術」報告是基於趨勢科技從調查各種針對性攻擊所收集來的經驗。它詳細介紹了一些我們所看到用於連接後門程式和其C&C伺服器的技術。此外。它也提供了IT管理者確實可行的最佳實作,以幫助防止這些技術紮根在組織內部。其他關於幫助如何應對針對性攻擊的資源,可以參考我們的針對性攻擊資料站。
@原文出處:Backdoor Techniques in Targeted Attacks作者:Dove Chiu(威脅研究員)