后门程序可让黑客从任何网络遥控缺乏防护的计算机,包括公共网络、家庭网络或办公室网络。通过一些所谓的后门程序技巧 (也就是后门程序所做的工作),黑客就能暗中下令计算机窃听用户在线聊天内容、连上受感染的网站、复制密码等等。
当 IT 系统管理员在计算机系统上发现后门程序时,很可能歹徒早已暗中搜集有关其网络的重要信息,也代表黑客早已准备进入锁定目标攻击流程的第三阶段,也就是建立其幕后操纵 (C&C) 通讯。如果继续照这样发展下去,黑客最后将偷到一些可让他们贩卖或用于其他恶意用途的信息。
为此,趋势科技研究人员特别观察黑客使用后门程序来操控目标网络的方式,截至目前为止,我们发现黑客最常使用的后门程序技巧有八项:
1、将后门程序绑定某个通讯端口
若网络上没有架设防火墙,黑客就能轻易通过计算机的某个通讯端口来进行后门通讯,也就是端口绑定。一旦后门程序绑定某个端口,黑客就能自由地与该计算机通讯,进而轻易加以掌控。
2、通过后门程序穿越防火墙
若网络上架设了防火墙,黑客可利用反向联机的技巧来通讯。黑客会修改后门程序来检查可用及没有保护的端口以进行通讯。这样一来,后门程序就能穿越防火墙和防护软件的封锁。一旦后门程序找到一个可用的端口,就能连回黑客的幕后操纵 (C&C) 服务器。
3、后门程序检查可用的联机以传输档案
通常,黑客还会利用后门程序来搜寻可用的联机,以躲避入侵检测系统 (IDS) 的侦测。黑客一旦找到可用联机,就能经由后门程序暂时连上系统并进行其他恶意活动,例如传输档案。
4、后门程序通过社交网络连上幕后操纵服务器
在这种情况下,黑客会让后门程序利用一般合法的社交网站。黑客会将幕后操纵的指令存放在某些博客网页或网络硬盘空间,然后让后门程序连上这些服务。
5、后门程序通过常见的网站服务与黑客通讯
有些后门程序会利用一些常见的通信服务协议来将信息回传给黑客,例如:Gmail、Skype 或 QQ等。
6、后门程序可能变换通信协议
为了躲避侦测,后门程序会变换与幕后操纵服务器联机的通信协议。例如,我们的研究人员就发现远程控制工具PlugX 的变种使用的是 UDP 通信协议,而非一般常用的 TCP 通信协议。
7、透过后门程序使用自定义的 DNS 查询以躲避侦测
黑客避免被列为黑名单的方式之一,就是利用后门程序向外部网站服务发出自定义 DNS 查询,通过这项技巧就能查询到幕后操纵服务器真正的 IP 地址。
8、后门程序重复使用已开启的端口来监听网络。
能够取得操作系统各种权限的后门程序,可让黑客重复使用目标计算机上已开启的端口。
正因黑客掌握了这么多的后门程序技巧,IT 系统管理员应小心注意其网络是否潜藏任何漏洞。要达到这项目标,系统管理员必须仰赖必要的解决方案和专业技能来监控网络并且侦测恶意活动。