信息地道战-浅谈信息隐藏技术在HACK中应用

信息地道战-浅谈信息隐藏技术在HACK中应用
当一个入侵者得到远程主机的控制后，希望保持战果，安装一个安全的后门用以将来与之保持联系。该怎么做呢？直接将netcat这类文件放在管理员眼皮底下？或者仅仅简单地将它改个名字？这样就可以了，是吗？NO！不要以为所有的管理员都是白痴！现在相当多的管理员已经逐渐增强了系统安全意识，虽然他们中的一大部分也许还不是特别了解黑帽子军团的入侵伎俩，但是他们会用基本的网络命令以及借助一些第三方安全工具来诊断当前系统安全现状，当发现一个可疑的进程正运行在他宝贝服务器的内存空间中时，他非常有可能使用端口-进程关联查看程序来看看这个可疑进程正在做着怎么样的勾当！也有不少管理员将求助于一些常有黑客或者安全人士来往的BBS，比如我负责的一个在国内有比较大影响的黑客技术BBS上，平均每天都能看见几个担心自己系统被入侵的初级管理员，自然我们会热心地替他指出解决方案。当你正为使用了端口重定向等技术避开防火墙的检测来做到后门联系而沾沾自喜时，是否想到过一个检测到不明流量和可疑端口开放的管理员正虎视耽耽地看着你在他机器上玩耍！
是的！使用诸如NETCAT这类鼎鼎大名的工具完成你的事业的入侵者，正如一个大摇大摆地走进后门的家伙，也许这个后门已经被聪明的管理员设下了陷阱，正在等着您的大驾光临，也许你就从此踏上不归路。谁知道呢？
说了这么多，无非就是要说明隐秘通道技术对一个黑帽子的重要性，入侵中被当场抓获可不是闹着玩的。永远别小看你的对手-管理员！是否我们从此不能够HACKING？NO！只要打地道战，是的，神出鬼没的地道战！不开放可疑端口，不造成明显异常网络流量，一样地和你可爱的肉鸡保持联系！这样一来，一般的管理员可就傻眼了，即使富有经验的管理员亦很难查出这种方法。
先说说这种技术的理论基础：Transmitted via Carrier Pigeon?. RFC 1149，2549中定义过，高于TCP的协议[比如http, ftp, telnet等等基于TCP的应用协议]将数据传给协议栈，TCP将对其初始化，但此时并不直接送往IP层，而是直接将其送往目的地。在那里信息经过TCP层直接送交到等待接收的应用程序中处理。这就是其交互原理，可以类比SSH的技术，都是基于这个理论实现的。
下面我们该谈谈这个技术的实现方案了：
1：ICMP实现秘密隧道

在没有阻塞ICMP数据包的网络中[可以简单地使用PING或者tracert来判断目标是否阻塞ICMP]，由于ICMP与端口完全无关，所以我们可以使用ICMP来携带我们的通信，这样管理员使用netstat或者进程-端口关联程序来诊断都看不出来异常。许多软件都能够实现这一魔术般的技术，Loki是最棒的一个[通常我们称它为"low-key"]，它应用于linux,bsd等各类unix系统，这个程序包括了客户端[loki]和服务端[lokid],一个黑帽子只需要在目标上种植下服务端[lokid]?请注意：由于ICMP由操作系统直接处理，因此你必须是ROOT！否则安装无法完成命令格式：lokid -p -i -v l??

然后在本地操作客户端[loki]

命令格式：loki -d XXX.XXX.XXX.XXX -p -i -v l -t 3

这样就达成了足够隐秘的通信，只要未阻塞ICMP包，这个方法甚至可以穿透防火墙！下面让我们来看看在简单地键入这些命令以及我们的通信过程中发生了什么：当我们在客户端输入命令时，loki将我们的命令包裹在ICMP包中，发送给服务端lokid,lokid拆开这些包，执行命令之后再将响应信息以同样的方式包裹进ICMP包内返回给客户端。在管理员眼中，这次行动是什么样子呢？
--------????-------------???????----------
| 黑帽子 |???| ping????|??????| 目标主机 |
|????| -----| ping 响应? |------------|?????|
|?loki?|???|?????? |??????|? lokid?|
--------????-------------???????----------
????????? Internet

正如图揭示的那样，在管理员或者网络流量监测器角度看来，仅仅是发送了多次再简单不过的ping而已，他们很可能压根也想不到眼皮下貌似无辜的ICMP包正在做着黑帽子军团的最佳帮凶，不遗余力地传输着一条又一条邪恶指令，甚至黑帽子们可以简单地设置使用Blowfish算法为这一切加密！
不过这个技术将使进程清单上多出一个ROOT权限的进程，虽然它不关联端口，不如其他传统后门那么醒目，但是若你偏执地追求完美的隐蔽，那么请配合 rootkit 来实现吧！
这个工具亦可以运行的53端口，伪装为DNS查询响应信息，不过这样将开放一个端口，隐秘性下降不少，不推荐。
是的，这样确实足够隐秘，正恰似地道战一样打对方一个措手不及，不过需要注意的是，许多防火墙默认设置就是阻塞ICMP，一台WEB主机并不总是需要让浏览者不停地ping 或者tracert 。显然这个时候我们得再想别的办法。

2： HTTP实现秘密隧道
出于安全需要，他们也许不让我们ping 或者tracert，这很合理，但是通常情况下他们会禁止自己浏览网页吗？不会！多数情况下没人阻止员工浏览 www 网页[如果他们要禁止员工上班时间浏览与工作无关的网站多半也是做人工检查，毕竟禁止HTTP对人们的网络生活的影响太大了！]。So,我们为什么不能利用可爱的HTTP呢？！?Reverse WWW Shell [国内未见翻译，我暂且翻译反向 WWW SHELL]这个工具在技术上实现了这点。
这个程序会把你的机器做个真正的WEB服务器，还需要真正的网页？当然没那么夸张，只要一个 80 端口就行了！和ICMP实现非常类似Reverse WWW Shell 一样也有服务端和客户端 ，在你的目标上种植上 Reverse WWW Shell 服务端，并在你本地机器上运行 Reverse WWW Shell 客户端，它将打开你机器的 80 端口，Reverse WWW Shell 服务端每隔一段时间就会与你的计算机试图连接一次[默认是60秒，不过可以更改，建议更改到15-30秒，因为15-30 秒的时间浏览者刷新页面或者换下一页比较可信]

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有