维持访问方法和恶意软件类型分类

鹿客山人 十二月 11, 2023
AI 生成的维持访问和恶意软件分类图像

维持访问

针对大多数渗透测试,其目的是确保对被侵入系统的持续控制。尽管有多种方法可用于维持访问被入侵的系统,但总体结论是,专注于减少攻击已经被入侵系统的耗时和持续性,而非窃取信息。在安全测试人员参与团队合作的情况下,需要对远程配置服务器或者进行二次访问计算机系统进行管理,这能够更轻松且准确地进一步发起攻击。

恶意软件:"Malware(恶意软件)"是"malicious software(恶意软件)"的缩写,是用于描述以下几种类型的恶意软件的总称:病毒、蠕虫、特洛伊木马、键盘记录器和僵尸(bots)。

后门

不要混淆特洛伊木马和后门。后门指的是一个留在被入侵系统中持续运行的程序,旨在为未来访问受控制的系统提供便利,而无需重复利用系统的漏洞。尽管大多数特洛伊木马包含一个后门程序,但后门程序并不是特洛伊木马的必备组成部分。后门是一个应用程序或脚本,类似于特洛伊木马,但不向系统用户提供任何功能。后门程序可以作为完全独立的程序运行在主机上,连接到加密系统,嵌入到rootkit中,或者以一段程序代码的形式隐藏在身份验证算法中。

特洛伊木马

特洛伊木马(通常简称为“Trojan”)是一种恶意程序,它被安装到主机上并执行用户期望或明显功能的伪装操作,同时暗中执行其隐藏的恶意行为。木马程序通过其自己的代码建立后门、运行脚本、窃取信息,并在某些情况下利用用户的安全意识薄弱泄露其个人信息,例如信用卡卡号。自1975年第一个特洛伊木马(被称为Pervading Animal)被嵌入到UNIVAC 118计算机系统的一个游戏以来,后门程序和特洛伊木马之间的实际差异就变得模糊不清。由于特洛伊木马的固有特性,它们和后门经常被当作同义词。此外,特洛伊木马也经常与病毒混淆。使特洛伊木马与病毒分类独立的原因在于特洛伊木马通常是独立的程序,而不需要将它们注入到其他程序中。

病毒

感染进程或文件的恶意代码被称为病毒。病毒可以感染文件、内存空间(如RAM或分页内存)、引导扇区和硬盘。病毒一般分为两个子类别:驻留型和非驻留型。

驻留型病毒:

这种类型的病毒在计算机启动后将自身移动到RAM内存并处于激活状态,直到计算机关机。它通过挂钩应用程序和操作系统内核所产生的函数调用,并依附于其他合法程序。对于渗透测试而言,这种类型的病毒更具有优势,因为它更有可能持续逃避检测。

非驻留型病毒:

当非驻留型病毒执行时,程序会搜索计算机硬盘上可用的主机系统,并感染那些文件。一旦执行完毕,它会从内存中退出。

这两种病毒类型的区别主要在于驻留型病毒在计算机启动后继续在内存中运行,而非驻留型病毒执行结束后会退出内存。

蠕虫

蠕虫与病毒的区别在于,蠕虫能够自我复制并传播,而无需人工交互。蠕虫通常会利用漏洞,并在成功入侵一台主机后,自动将自己移动到另一个系统,并持续自动感染其他存在漏洞的系统。由于其具有高度的自我复制和传播能力,蠕虫的风险极高,而且往往不受安全测试人员的控制。因此,蠕虫通常不用于渗透测试。

与蠕虫相关的所有技术和分析工作应该在一个完全隔离并与任何相邻网络完全隔离的实验环境中进行,尤其不能连接到互联网。这样做是为了防止蠕虫在实验环境外传播和对外部系统造成损害。

键盘记录器

键盘记录器是一种工具,其作用是捕获用户在键盘上的击键内容,并将这些信息记录下来,随后返回给安全测试人员。它通常被安全测试人员用于执行常规任务。然而,键盘记录器的使用可能会引发一些合规和隐私方面的问题。

在进行渗透测试时,使用键盘记录器可能会违反一些组织的运营规范(ROE)。许多公司对保护员工的隐私信息十分重视,因为键盘记录器可能会捕获到与个人身份认证机制相关的敏感信息,比如私人电子邮件、银行信息等。因此,在使用键盘记录器之前,务必检查客户或组织对于其使用的授权情况。

如果获得授权,使用键盘记录器的详细操作应该在相关的ROE文件中得到记录。同时,任何通过键盘记录器捕获到的敏感信息都应该受到严格的监管,并在渗透测试结束后进行销毁,以确保这些信息不会被滥用或泄露。保持透明和合规对于渗透测试过程至关重要,以避免潜在的合规问题并保护个人隐私。

僵尸网络

Bots,即robots(机器人)的简称,有时也称为zombies(僵尸),是指被单个攻击者控制的计算机所构成的网络,这种网络被称为僵尸网络(botnet)。僵尸网络的组成部分包括被感染并留下后门的系统,这些系统可能被感染了病毒、特洛伊木马或其他恶意软件。

攻击者通常通过控制主服务器(botmaster)来指挥位于不同托管主机上的指挥控制系统,然后将命令传达到单个僵尸机器上。僵尸网络通常被用于执行各种恶意活动,包括:

  • DoS(拒绝服务攻击)
  • DDoS(分布式拒绝服务攻击)
  • 用于发送垃圾邮件的服务
  • 对身份验证控制和密码系统进行分布式暴力破解
  • 其他窃取信息、社会工程等恶意服务

僵尸网络的规模可以很小,由极少数量的感染机器组成,也可以很大,包括数千台感染的机器或服务器,并且可能由非常复杂的结构构成。这些网络由于其分布式特性,使得攻击者能够利用大量的合法计算资源来执行各种恶意活动。

指挥与控制

指挥与控制(C2)系统用来管理来自入侵系统的远程会话。从一个指挥控制程序接口,安全测试人员可以直接从程序发出命令访问远程脚本。在渗透测试期间,安全测试人员能很好利用远程访问终端( RAT),让入侵的主机回拨一个指挥与控制服务器。

鹿客山人

发帖者 鹿客山人

发表评论

0 评论