思维跳出以上4条安全事件，这里再一次引入百度百科的APT的主要特性：

——潜伏性：这些新型的攻击和威胁可能在用户环境中存在一年以上或更久，他们不断收集各种信息，直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在短时间内获利，而是把“被控主机”当成跳板，持续搜索，直到能彻底掌握所针对的目标人、事、物，所以这种APT攻击模式, 实质上是一种“恶意商业间谍威胁”。

——持续性：由于APT攻击具有持续性甚至长达数年的特征，这让企业的管理人员无从察觉。在此期间，这种“持续性”体现在攻击者不断尝试的各种攻击手段，以及渗透到网络内部后长期蛰伏。

——锁定特定目标：针对特定政府或企业，长期进行有计划性、组织性的窃取情报行为,针对被锁定对象寄送几可乱真的社交工程恶意邮件，如冒充客户的来信,取得在计算机植入恶意软件的第一个机会。

——安装远程控制工具：攻击者建立一个类似僵尸网络Botnet的远程控制架构，攻击者会定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)审查。将过滤后的敏感机密数据，利用加密的方式外传。

一次针对特定对象，长期、有计划性渗透的本质是什么？

窃取数据下载到本地，或者以此次渗透来达到变现目的。

引用如图：

一次具有针对性的渗透，绝对不单单是以渗透DMZ区为主，重要资料一般在内网服务器区（包括但不限制于数据库服务器，文件服务器，OA服务器），与内网办公区（包括但不限制于个人机，开发机，财务区）等。而往往这样的高级持续渗透，不能是一气呵成，需要一定时间内，来渗透到资料所在区域。而这里其中一个重要的环节就是对后门的要求 ，在渗透期间内（包括但不限制于一周到月甚至到年）以保持后续渗透。

传统型的后门不在满足攻击者的需求，而传统型的木马后门，大致可分为六代：

第一代，是最原始的木马程序。主要是简单的密码窃取，通过电子邮件发送信息等，具备了木马最基本的功能。

第二代，在技术上有了很大的进步，冰河是中国木马的典型代表之一。

第三代，主要改进在数据传递技术方面，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了杀毒软件查杀识别的难度。

第四代， 在进程隐藏方面有了很大改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程。或者挂接PSAPI，实现木马程序的隐藏，甚至在Windows NT/2000下，都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。

第五代，驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到在深度隐藏的效果，并深入到内核空间的，感染后针对杀毒软件和网络防火墙进行攻击，可将系统SSDT初始化，导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS，并且很难查杀。

第六代，随着身份认证UsbKey和杀毒软件主动防御的兴起，黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主，后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的代表。

以远控举例，远控最开始生成的RAT功能一体化（包括但不限制于文件传输，命令执行等），后衍生成生成RAT支持插件式来达到最终目的。

以上的几代包括以上远控共同点，以独立服务或者独立进程，独立端口等来到达目的。难以对抗目前的反病毒反后门程序。那么传统型后门权限维持就不能满足目前的需求。

以第二季的demo举例，它无自己的进程，端口，服务，而是借助notepad++（非dll劫持）来生成php内存shell（这个过程相当于插件生成），并且无自启，当服务器重启后，继续等待管理员使用notepad++，它属于一个AB链后门，由A-notepad生成B-shell，以B-shell去完成其他工作。如果继续改进Demo，改造ABC链后门，A负责生成，B负责清理痕迹，C负责工作呢? 这是一个攻击者应该思考的问题。

而后门的主要工作有2点，1越过安全产品。2维持持续渗透权限。

文章的结尾，这不是一个notepad++的后门介绍，它是一个demo，一个类后门，一个具有源码可控类的后门。

php安全新闻早八点-高级持续渗透-第四季关于后门相关推荐

1. php安全新闻早八点-高级持续渗透-第二季关于后门补充一

   文章转载于:https://micropoor.blogspot.hk/2017/12/php_24.html 这次继续围绕第一篇,第一季关于后门:https://micropoor.blogspot ...

2. php安全新闻早八点-高级持续渗透-第一季关于后门

   转自:https://micropoor.blogspot.hk/2017/12/php.html 当我们接到某个项目的时候,它已经是被入侵了.甚至已经被脱库,或残留后门等持续攻击洗库. 后渗透攻击者 ...

3. php安全新闻早八点-Microdoor-第五季

   Microdoor系列分为持续渗透的权限把控系列,部分为目前已成熟的轮子.会持续更新下去. php5.x x32 backdoor for windows public_x86.dll Size: 6 ...

4. php安全新闻早八点-Microdoor-第二季

   Microdoor系列分为持续渗透的权限把控系列,部分为目前已成熟的轮子.会持续更新下去. iis6.x x32 backdoor iis_x86.dll Size: 82432 bytes MD5: ...

5. php安全新闻早八点-Microdoor-第三季

   Microdoor系列分为持续渗透的权限把控系列,部分为目前已成熟的轮子.会持续更新下去. php5.x x32 backdoor for linux public_x32.so Size: 2612 ...

6. php安全新闻早八点-Microdoor-第四季

   Microdoor系列分为持续渗透的权限把控系列,部分为目前已成熟的轮子.会持续更新下去. php5.x x64 backdoor for linux public_x64.so Size: 2680 ...

7. php安全新闻早八点-Microdoor-第一季

   Microdoor系列分为持续渗透的权限把控系列,部分为目前已成熟的轮子.会持续更新下去. iis6.x x64 backdoor iis_x64.dll Size: 100352 bytes MD5 ...

8. hql中获取前一天的数据_oracle实现动态查询前一天早八点到当天早八点的数据功能示例...

   本文实例讲述了oracle实现动态查询前一天早八点到当天早八点的数据.分享给大家供大家参考,具体如下: 需要查询前一天早八点到当天早八点的数据 这里是查询sql语句 select dept_id, c ...

9. 今日早报，365资讯简报12条，热点新闻早知道

   今日早报,365资讯简报12条,热点新闻早知道! [365资讯简报]每天一分钟,知晓天下事!2021年1月19日 星期二 农历腊月初七 1.中国GDP首次突破100万亿人民币大关,比上年增长2.3% ...

最新文章

1. 基于MATLAB的costas载波同步+gardner时间同步，QPSK调制
2. java 线程分配_Java多线程原子引用分配
3. 关于ibatis.net 和 Nhibernate的选择
4. 2019ICPC(上海) - Light bulbs(离散化+差分)
5. asp.net 写入html代码,asp.net读取模版并写入文本文件
6. HDOJ 1671 HDU 1671 Phone List ACM 1671 IN HDU
7. 阵列信号处理——研究背景与现状
8. vue结合elmentui实现前端分页
9. ios 凭据验证_iOS内购IAP（十四） —— IAP的收据验证（一）
10. repo sync repo reset: error: entry ‘comand.py ‘ not uptodate . cannot merge
11. maven install报The forked VM terminated without saying properly goodbye. VM crash or System.exit call
12. 人工智能对商业影响深远，AI可以为中小企业提供五大优势
13. AI新基建沙场点兵，背后是一场“路径之争”
14. YTU 问题 : 数组奇偶操作
15. 无线计算机通信网络安全,4G通信技术的无线网络安全通信-网络安全论文-计算机论文（7页）-原创力文档...
16. 外呼系统需要服务器么,外呼
17. mysql语句统计总数_一条sql语句实现统计查询_MySQL
18. 便捷建筑工程行业招采管理，供应商协同平台精准匹配企业需求，撮合交易
19. Unity3d 技巧(5) 了解VR 游戏开发 美术和资源规范
20. 微信小程序-【仿咸鱼】的底部导航

热门文章

1. 重装台式电脑后只剩下C盘DEF盘的资料怎样恢复
2. FS9401符合 Qi 标准的 5W无线充电接收IC
3. JDK17上手，新特性让你起飞
4. P1909 [NOIP2016 普及组] 买铅笔
5. 网络安全会被淘汰吗？网络安全如何学？
6. Windows环境搭建C语言开发环境
7. 智慧校园平台源码：实现互联互通的校园管理一体化
8. MTK Android8.1 UI之蓝牙和WiFi
9. Oracle表空间（tablespaces）简介
10. Java--进制转换（一）