¿Cómo prevenir las puertas traseras del servidor?
1. Puerta trasera de lupa Lupa (magnify.exe) es una pequeña herramienta integrada en el sistema Windows 2000/XP/2003. Su finalidad es facilitar el uso a usuarios con discapacidad visual. Esta herramienta se puede llamar mediante la combinación de teclas "Win U" antes de que el usuario inicie sesión en el sistema, por lo que el atacante reemplaza el programa magnify.exe con un archivo magnify.exe cuidadosamente elaborado con el mismo nombre para controlar el servidor. Normalmente, un atacante creará un usuario administrador a través del programa magnify.exe integrado y luego iniciará sesión en el sistema. Por supuesto, a veces también se llama directamente al símbolo del sistema (cmd.exe) o al shell del sistema (explorer.exe). Cabe señalar que el programa llamado de esta manera tiene permisos del sistema, que es la máxima autoridad del sistema. Sin embargo, para evitar que los administradores descubran vulnerabilidades al ejecutar el programa Magnifying Glass, los atacantes suelen ejecutar el programa Magnifying Glass real al final después de completar las operaciones requeridas a través de este programa integrado para engañar al administrador. Su uso es el siguiente: (1). Cree el script por lotes @echo off
usuario de red gslw$ test168 /add
administradores de grupo local de red gslw$ /add
salir Guarde el script anterior como magnify.bat. Su función es crear el usuario administrador gslw$ con la contraseña test168 y, finalmente, ejecutar el programa de lupa renombrado nagnify.exe (Figura). 1)
(2). Conversión de formato de archivo Dado que el sufijo del archivo por lotes magnify.bat es bat, se debe convertir en un archivo exe con el mismo nombre y luego se puede llamar. la combinación de teclas de Win U. Los atacantes generalmente pueden usar WinRar para crear archivos exe comprimidos descomprimidos automáticamente y, por supuesto, también pueden usar bat2com y com2exe para convertir formatos de archivo. Demostremos el último método como ejemplo. Abra la línea de comando, ingrese el directorio donde se encuentran las herramientas bat2com y com2exe y luego ejecute el comando "bat2com magnify.bat" para convertir magnify.bat a magnify.com. Continúe ejecutando el comando "com2exe magnify.com" para. convierta magnify.com a magnify.exe, de modo que el archivo por lotes se convierta en un archivo de programa con el mismo nombre que el programa de la lupa. (Figura 2) (3). Reemplazo del archivo de lupa. El archivo de programa de lupa que debe reemplazarse a continuación es el archivo de programa de lupa con el mismo nombre que el magnify.exe creado debido a la autoprotección del sistema de Windows. archivos, no se puede reemplazar directamente, pero Windows proporciona el comando .exe de reemplazo, a través de este comando podemos reemplazar los archivos del sistema. Además, dado que los archivos del sistema tienen una copia de seguridad en Windirsystem32dllcache, para evitar la recuperación después del reemplazo del archivo, primero debemos reemplazar el archivo magnify.exe en este directorio. Suponiendo que el archivo magnify.exe creado se encuentra en el directorio Windir, podemos usar un programa por lotes para reemplazar el archivo.
@echo off
copiar Windirsystem32dllcachemagnify.exe nagnify.exe
copiar Windirsystem32magnify.exe nagnify.exe
reemplazar exe Windirmagnify.exe Windirsystem32dllcache
replace.exe Windirmagnify.exe Windirsystem32
salir La función del proceso por lotes anterior es primero hacer una copia de seguridad del programa de lupa como nagnify.exe y luego reemplazarlo con el programa constructor del mismo nombre. . (Figura 3)
(4). Ataque y explotación Después de completar las operaciones anteriores, se completa una puerta trasera con lupa. Luego, el atacante se conecta al servidor a través de Escritorio remoto, presiona la combinación de teclas "Win U" en el teclado local en la ventana de inicio de sesión y elige ejecutar "Lupa" para crear el usuario administrador gslw$ en el servidor y abrir la herramienta Lupa. . Una vez que se abre la herramienta de lupa, el atacante puede iniciar sesión en el servidor a través de esta cuenta. Por supuesto, el atacante eliminaría toda la información relacionada con la cuenta antes de desconectarse del servidor para evitar que los administradores la descubran. (Figura 4) (5). Medidas preventivas: Ingrese a Windirsystem32 y verifique si el ícono del archivo magnify.exe es el ícono de lupa original. De lo contrario, es muy probable que se haya implantado una puerta trasera de lupa. Por supuesto, a veces los atacantes cambiarán el ícono del archivo para que sea el mismo que el ícono original del programa de lupa. En este punto, podemos verificar el tamaño y la hora de modificación del archivo magnify.exe. Si uno de estos dos elementos no coincide, es más sospechoso. También podemos ejecutar magnify.exe y luego lusrmgr.msc para ver si hay usuarios sospechosos. Si determina que se ha colocado una puerta trasera de ampliación en su servidor, primero elimine el archivo y luego reanude el proceso de ampliación normal. Por supuesto, también podemos sustituir el programa de la lupa por un programa no relacionado, que será más completo. Incluso podemos lograr el mismo objetivo que Magnify creando un magnify.exe que advierta a los atacantes o realice análisis forense y monitoreo de intrusiones. Suplemento: similar a la puerta trasera de la lupa, existe la puerta trasera de "tecla adhesiva", lo que significa que presionar la tecla SHIEF cinco veces puede activar la función de la tecla adhesiva. Las precauciones utilizadas son similares a las de la puerta trasera de la lupa, excepto que magnify.exe es. reemplazado por sethc.exe. 2. Puerta trasera de política de grupo En términos relativos, la puerta trasera de política de grupo está más oculta que la puerta trasera de política de grupo. Agregar los valores clave correspondientes en el registro para que se ejecuten cuando se inicia el sistema es un truco común utilizado por los troyanos y es bien conocido. De hecho, esta función también se puede implementar en la mayoría de las estrategias. No solo eso, también puede realizar ciertas operaciones cuando el sistema está apagado. Esto se logra a través del elemento "Script (Inicio/Apagado)" en la mayoría de las políticas. La ubicación específica está en el elemento "Configuración de la computadora → Configuración de Windows". Debido a su fuerte ocultamiento, los atacantes suelen utilizarlo como puerta trasera del servidor. Una vez que el atacante obtiene el control del servidor, puede utilizar esta puerta trasera para ejercer control a largo plazo sobre el host. Puede ejecutar ciertos programas o scripts a través de esta puerta trasera. La forma más sencilla es crear un usuario administrador, que puede hacer: (1) Crear un script para crear un archivo por lotes add.bat, y el contenido de add.bat es @. echo off amp; usuario de red gslw$ test168 /add amp; administradores de netlocalgroup gslw$ /add amp exit (cree un usuario administrador con el nombre de usuario gslw$ y contraseña test168).
(2) Utilice la puerta trasera para ingresar gpedit.msc en el cuadro de diálogo "Ejecutar", navegue hasta "Configuración de la computadora I gt; Configuración de Windows I gt; Script (Inicio/Apagado)" y haga doble clic en "Apagar" en el archivo. lado derecho de la ventana. "Apagar", agregue .bat en él. Es decir, el usuario gslw$ se crea cuando se apaga el sistema. Para un usuario normal, no tiene idea de que hay un usuario oculto en el sistema, es decir, vio y eliminó esta cuenta, y luego creó esta cuenta cuando se cerró el sistema. Por lo tanto, los usuarios pueden confundirse si no conocen este lugar en la Política de grupo. De hecho, hay muchas otras formas de utilizar esta "puerta trasera" en la Política de grupo. Los atacantes pueden utilizarla para ejecutar scripts o programas, detectar contraseñas de administrador, etc. Después de obtener la contraseña de administrador, no necesitan crear una cuenta en el sistema y pueden iniciar sesión directamente en el sistema de forma remota utilizando la cuenta de administrador. Por lo tanto, esto también es un "arma de doble filo" y espero que todos presten atención a este lugar. Cuando le desconcierta que su servidor haya sido atacado, tal vez el atacante se dio cuenta a través de él. (Figura 5) (3). Las puertas traseras de la política de grupo son creadas por atacantes que se aprovechan de la negligencia de los administradores, porque el elemento "script (inicio/apagado)" en la política de grupo a menudo se ignora y algunos administradores ni siquiera lo saben. sobre esta opción en la política de grupo. Para evitar este tipo de puerta trasera del servidor, en realidad es muy simple: simplemente abra la herramienta Política de grupo y busque la vista en "Scripts (Inicio/Apagado)". Por supuesto, también puede ingresar a los directorios system32GroupPolicyMachineScriptsStartup y system32GroupPolicyMachineScriptsShutdown para buscar scripts sospechosos.