盤點史上最大膽又陰險的十二大軟體後門

evget發表於2014-06-17

  在資訊時代,要保護個人資料和隱私安全似乎正越來越變成一件艱難的事情。如果軟體的創造者或者一些未知的第三方已經悄悄在你的電腦裡埋下了後門軟體,要確保您正在使用的軟體是安全的,則更是難上加難。 

  下面我們就來盤點一下歷史上12大最大膽又艱難棘手、令人討厭的的軟體後門程式。

後門

史上十二大軟體後門盤點(圖:163.com)

  1.Back Orifice

  Back Orifice是一個用於揭示微軟Windows作業系統安全隱患的rootkit程式。這個軟體是由微軟的BackOffice產品而得名的。由一組被稱為cult of the Dead Cow的電腦黑客開發的,Back Orifice允許某些人在一臺電腦上控制另一臺執行Windows 95或其後的作業系統的電腦。當沒有任何防護時,Back Orifice能探測到密碼,記錄使用者的按鍵情況,進入到一個桌面檔案系統或造成其他的**。

  它能象以黑客為目的的特洛伊木馬程式一樣被植入到使用者的電腦中,或作為網路的遠端管理工具來使用。

  2.DSL調變解調器存後門

  Vanderbeken指出,思科裝置,Netgear,Diamond,LevelOne和OpenWAG裝置都存在此後門。據HackerNews上的一個貼介紹,這些帶漏洞裝置的一個共同點是,它們都是由Sercomm定製提供的。Vanderbeken在訪問自己的一個 Linksys WAG200G 裝置時忘了密碼,他發現該裝置在偵聽埠32764。此項偵聽埠服務在手冊檔案裡並無提到,但有其他使用者提起過。他說他對裝置韌體的MIPS碼做逆向工程分析,找到一個方法無需管理員身份驗證即可向裝置發命令。

  利用窮舉(Brute-force)的方法,無需密碼將裝置重置為出廠設定,即是說下一次登入時,他便具有訪問裝置任何功能的許可權。

  3.PGP磁碟加密後門

  這是一個不為人知的後門程式,PGP的整個磁碟加密,現在由賽門鐵克銷售,允許任意的靜態密碼被新增到一個加密卷的引導過程。 在2007年第一次面市,PGP回答說,其他的磁碟加密產品也有類似的功能,但其缺乏公共文件的功能令人不安。

  4.WordPress的盜版外掛後門程式

  WordPress的可能是世界上最流行和強大的部落格和內容管理系統之一,但其安全性還有很多有待改進的地方。2011年,WordPress團隊發現目前在WordPress流行的一些外掛存在安全隱患,外掛被惡意插入後門程式,以便獲取使用者的資料,主要是使用者的管理員密碼。

  這些惡意後臺並非是外掛作者有意作為,而是第三方的人在破解了外掛作者的管理資訊之後插入後門資訊的。

  5.Joomla外掛後門

  通過cookie向後門中傳遞惡意程式碼已經成為趨勢,利用這種方式,黑客可以使用常規GET請求,這樣就不會在web服務日誌分析系統中產生任何可疑操作。

  黑客不是僅僅將後門注入到某個外掛中,而是安裝到某個已經打過補丁的外掛裡,這樣看起不可疑,也不會**任何東西。這比修改網站中現有的檔案要容易一些,因為修改網站現有檔案時有時候可能會會**網站,因此需要更復雜的injector。

  像Joomla這種包含上千個檔案的系統,安全掃描器也可能無法識別這種不常見的後門。檢測這種後門唯一可靠的方法就是完整性控制,當檢測到檔案被修改時提供向站長提供警報,使站長可以立即解決可能產生的問題。許多版本控制系統可以完成這種工作。

  6.ProFTPD後門

  流行的開源FTP伺服器ProFTPD在2010年發現被人在程式碼中放了一個後門。 在安裝了包含有後門的ProFTPD伺服器版本後,攻擊者可以獲得系統控制許可權,攻擊者的IP地址來自沙烏地阿拉伯地區。在該版本中,輸入命令“HELP ACIDBITCHEZ”會出現一個root shell。攻擊者利用了一個尚未修復的0day漏洞。受影響的版本是從11月28日到2日在官方映象下載的ProFTPD 1.3.3c。

  7.Borland的資料庫軟體後門

  Borland公司的InterBase資料庫軟體中的一個“後門”使得任何擁有適當口令的人都可以對資料庫和執行資料庫的計算機系統實施嚴重的**行為。

  計算機緊急反應小組在當地時間星期三發表的諮詢報告中稱,這一“後門”可以使黑客改變儲存在資料庫中的資訊,甚至在計算機中執行造成更大**的程式。使用者名稱和口令寫在程式裡,很容易被發現,而且不能通過改變設定清除掉。

  Borland公司承認存在這樣一個“後門”,並且已經開始釋出補丁,並通知使用者和合作夥伴將於本週推出修改後的版本,這一漏洞存在於4、5、6版的InterBase中。

  8.Linux核心後門

  早在2003年,有人試圖向Linux核心插入一個微妙後門原始碼。該程式碼被寫入到給一個後門,沒有外在標誌,被託管的伺服器入侵與Linux源相連的其他電腦。

  只有兩行程式碼被更改, 並有可能輕輕鬆鬆瞞過大多數的眼睛。幸運的是,後門程式碼審計人員發現了。很多人認為這是一個炒作事件。

  9.Tcpdump後門

  ACKcmd是提供Win2000下遠端命令Shell的一種後門,它使用TCP來傳輸,但是不同於一般正常的TCP連線有三次握手,ACKcmd僅使用了TCP ACK資料包,所以一般情況下可以穿越防火牆及躲避IDS的檢測。

  ACKcmd採用client/server結構,在目標機器上執行AckCmdS.exe植入後門,入侵者在客戶端執行命令AckCmdC 即可獲得一個遠端的Shell。

  10.主流公司硬體被NSA植入後門

  根據美國國家安全域性的檔案,美國國家安全域性與中央情報局和聯邦調查局合作偷偷截運網售膝上型電腦或其他電子配件,以植入間諜軟體。惡意軟體載入後,可以給美國情報機構的遠端訪問許可權。

  雖然該檔案並沒有明確表示該程式的公用或者國家安全域性的竊聽目標,不過這是該機構第一次與廣泛的情報機構合作以獲得通訊裝置的訪問許可權。其中一種惡意軟體的開發代號是COTTONMOUTH,於2009年開始使用。它是一個USB“硬體植入”程式,可以祕密提供國家安全域性被感染機器的遠端訪問權。該程式被植入了大部分主流科技公司的硬體,為國安局提供後門。這些廠商包括思科、Juniper網路公司、戴爾、希捷、西部資料、邁拓、三星和華為,許多目標都是美國本土公司。

  11.NSA金鑰

  NSA金鑰,是指1998年有人發現Windows作業系統中存在用途等詳情不清的第二把金鑰。1999年8月,加拿大Cryotonym公司首席科學家Andrew Fernandes宣佈,他發現這第二把金鑰叫做NSAkey,而NSA就是美國國家安全域性的簡稱,也就是說,微軟公司在每一份Windows作業系統中都安裝了一個程式上的“後門”,專供NSA在需要時進入全世界Windows使用者的電腦。

  12.雙橢圓曲線確定性隨機位元生成器後門

  雙橢圓曲線確定性隨機位元生成器(dual elliptic curve deterministic random bit generator,縮寫Dual_EC_DRBG)被廣泛認為被 NSA 植入了後門,它獲得了美國國家標準技術研究院的認可,併成為安全公司 RSA 加密產 品預設使用的偽隨機數生成器。比利時電腦科學專家 Aris Adamantiadis 發表了 Dual_EC_DRBG後門的概念驗證研究報告,認為 Dual_EC_DRBG 的後門是被有意植入的,指出 Dual_EC_DRBG 使用了一個祕密的值去計算一個橢圓曲線點常量,他並不知道這個祕密值,認為可能只有 NSA 能利用這個後門。

  作者:李英傑

相關文章