Linux后渗透常见后门驻留方式分析( 三 ) _渗透

2
Tcp wrapper后门实现
1）编辑配置文件，并写入恶意代码。

文章插图
图25
2）在攻击机上开启本地端口监听。

文章插图
图25
3）连接目标服务器的22端口，触发后门，无需输入密码，监听端口将会获得shell连接。

文章插图
图26
3
Tcp wrapper后门检测响应
1）在/etc/hosts.allow文件中查找并删除恶意代码。

文章插图
图27
十
Systemd服务后门
1
Systemd服务后门原理
Linux下的服务启动后门，可创建或配置系统服务文件中的ExecStart参数，实现启动服务时，调用恶意代码的执行。
2
Systemd服务后门实现
1）创建服务描述文件。

文章插图
图28
2）编辑backdoor.service文件，加入下面的内容。

文章插图
图29
3）给予执行权限，并重新读取服务信息，使得服务生效。

文章插图
图30
4）在启动服务后，攻击机监听的端口将会返回一个shell 。

文章插图
图32
3
Systemd服务后门检测响应
1）在/usr/lib/systemd/system下的服务文件中查找并删除恶意代码。

文章插图
图33
十一
Vim Python/ target=_blank class=infotextkey>Python2拓展后门
1
Vim python2扩展后门原理
vim安装时默认安装了当前服务器的python版本的扩展，利用该扩展，可以用vim的扩展pyfile来执行python脚本。
2
Vim python2扩展后门实现
1）在靶机上创建python反弹shell脚本attck.py 。

文章插图
图34
2）在攻击机中开启端口监听。

文章插图
图35
3）靶机在执行vim-E-c"pyfile attck.py"命令后，攻击机监听的端口将会返回shell 。

文章插图
图36
3
Vim python2扩展后门检测响应
1）查看当前系统是否有可疑的网络连接；

文章插图
图37
2）定位到vim进程，查看执行的命令调用了python扩展；
3）定位到可疑脚本路径，查找并清除可疑后门脚本；

文章插图
图39
十二
安全狗的后门检测案例介绍
Linux系统中后门驻留的方式花样繁杂，任何一个配置、一个语句、一行代码，都会给攻击者可乘之机。如今内网攻击手段越来越趋于隐蔽化，攻击者在进入内网系统环境后操作更加谨慎，为达到隐匿自己行踪的目的，攻击者会开启常用端口作为网络连接回传，从而误导防守者的研判与分析。
以下“Tcp wrapper后门”为例，攻击者利用443端口回传数据。众所周知，443端口是https协议传输端口，而攻击者将其tcp回传用https障眼。而在进程行为中，并无可疑的命令执行。

文章插图
图40
多数防守者在发现端口是443就默认会放过，因为系统中成百上千条进程网络连接就够防守者头痛了。而少部分防守者在发现443端口协议应该是https而非tcp的端倪时，却很难继续往系统内部溯源发现是hosts.allow配置文件驻留有后门代码，顶多就用微步等网络测绘工具查看目的地址是否标记恶意或非恶意，若是非恶意则就不了了之，殊不知已然酿成大祸。
安全狗的云眼主机防御系统能实时对主机异常行为做研判分析。以上述的“Tcp wrapper后门”为例，通过定时采集系统中能被作用于后门驻留的配置文件做规则匹配，快速定位到对应的配置文件及后门恶意代码内容，快速响应。