http://www.cert.org.tw/document/column/show.php?key=22 MS Windows 平台的後門程式探討 -------------------- 一、前言 MS Windows 是大多數個人平台所使用的作業系統，雖然 Windows 系統 出現安全漏洞，多半也只會立即影響到個人，但是也可能會因此而影響 到別人（例如 DDoS 分散式阻絕攻擊、病毒等等）。 在本文中，我們要談談一些日漸盛行的後門程式，這些程式多半只影響 個人，但是對於個人隱私卻有相當大的影響。 二、後門簡介 後門程式的起源有兩種，一種是不懷善意的後門程式，另一種是遠端管 理程式。雖然遠端管理程式一開始的立意是為了方便遠端管理，但是如 果以不正當的手法、或是不懷好意的心態來使用的話，就變成了後門程 式。比方說像Back Orifice 或是國人自產的 BirdSpy 也都是為了遠端 管理而開發的，但是卻有太多人拿來當後門程式使用。 目前 Windows 上的後門程式約有三十幾種，多半是真的後門程式，而 少部分（一開始）是遠端管理程式，例如比較常見的 Netbus、Bo2k、 Netspy、Netbuster、BirdSpy、Sub 7...等等。這些後門程式最基本的 可以偷偷你的密碼或個人資料，幫你開、關機，增、刪你的檔案，比較 強大的（遠端管理程式）還可以監看你的螢幕，記錄你的 key stroke ，幫你執行程式，幫你打打字等等，就好像遙控者坐在你的電腦前面一 樣。 遙控者可以利用後門程式的 client，透過預先定義好的 port 來控制 受害者的機器，甚至有的後門程式會透過電子郵件、IRC 或其他方式來 散佈受害者的上網 IP，以避免撥接者 IP 動態改變的問題。 三、散播途徑 這些後門程式大多數是藉由類似病毒感染的方式傳遞，例如夾帶在電子 郵件中，夾帶在軟體中，當你享受朋友分享的軟體或電子郵件的同時， 後門程式就悄悄的進駐了。也有些人在幫人家裝電腦或是修電腦的時候 ，就會附贈後門程式，以提供更完善的「服務」，尤其是幫女生裝的電 腦。（曾有人在網路上提到，用 portscan 工具往女舍一掃，超過 60% 的女生電腦有裝 bo 之類的後門） 四、防制之道（一） 有些後門程式已經被病毒檢查軟體列為病毒來偵測，因此安裝防毒程式 並每月更新病毒定義碼是一個防制方式。此外，有些後門程式使用固定 的 port 來做通訊之用，有些通訊檢查軟體（例如 LockDown）可以做 一點基本的防護。 但是.... 1. 由於後門程式的原始程式碼大多數是公開的，只要有心人拿來改 一改，就可以換到不同的 port 以避開 LockDown，或是變換程式 碼以避開防毒軟體。 2. 防毒程式只能針對已知的程式碼進行篩檢，而 LockDown 這種軟 體也只能偵測已知的 port（但不會偵測通訊內容，只要相關的 port 遭到連線就會發出笨笨的警告）。 五、防制之道（二） 由於後門程式通常會使用（bind、listen）某些 port，所以你可以自 己來檢查看看你有哪些 port 正在使用中。 首先，我們開啟一個 DOS Command 視窗，並且輸入： C:\> netstat -a | more 你會看到類似以下的畫面：（最前面的行號不算） 1. TCP me:4950 ME:0 LISTENING 2. TCP me:nbsession ME:0 LISTENING 3. TCP me:1061 www.cert.org.tw:970 ESTABLISHED 4. TCP me:9780 11.22.33.44:40964 ESTABLISHED 5. TCP me:137 ME:0 LISTENING 6. TCP me:138 ME:0 LISTENING 7. TCP me:4576 152.163.243.114:5190 ESTABLISHED 8. UDP me:nbname *:* 9. UDP me:nbdatagram *:* 1. 以第 1 行來說，有一個程式正在 port 4950 等待連線（listen） 2. 以第 3 行來說，有一個連線從我的電腦 port 1061 連到 www.cert. org.tw 的 port 970，這是一個 SNP telnet 的連線。 3. 以第 2、5、6、8、9 行來說，這是 Windows 資源分享的 ports。 4. 你可能會看到一大堆不知道是什麼東西的 port，沒關係，再往下 看。 請關掉「所有的連線」，例如 Netterm、Outlook、MSIE、ICQ 等等， 然後再執行一次 netstat -a，看看是否還有 ESTABLISHED 的連線，如 果有的話，表示尚有不明的連線正在進行中，你可以請教比較瞭解的人 這些 ESTABLISHED port 是做什麼用的。如果你有 UNIX 或是相關的 nslookup、dig 工具，可以看看對方的 IP 對應到什麼 hostname，如 果是莫名其妙的機器就要小心了。 解決了 ESTABLISHED 之後，我們再來看看 LISTENING 的 port，這些 正在等待連線中的 port 就很有可能是後門程式的 port，你可以把它 們記下來問比較清楚的人，或是到 security 版上發問。 PS. 這裡有一份常見的後門程式 port 列表： http://www.simovits.com/nyheter9902.html 六、結語 目前對於 Windows 後門程式並無絕對有效的防制之道，端看使用者本 身的習慣是否良好，例如不隨便使用來路不明的軟體，不隨便開啟來路 不明的信件。此外，要看使用者的人緣，會不會受到朋友的「特別照顧 」，幫你裝了一些有的沒有的後門。 雖然如此，有裝防毒軟體或是網路通訊檢查軟體還是略有小用，可以擋 掉一些無謂的小騷擾，正所謂沒有魚、蝦也好。 當然對於一個躲在設定良好防火牆後面的 Windows 主機來說，這些後 門程式大多無用武之地，但畢竟在一般的情形之下，大多數的 Windows 機器都是單獨暴露在 Internet 之上，所以在此提到防火牆就有多此一 舉之嫌了。 -- PCZONE 防駭/防毒版 (論壇中有kaspersky派人解答) http://www.pczone.com.tw/vbb3/forumdisplay.php?f=45 卡巴斯基台灣官網 http://www.kaspersky.com.tw/ 強力推薦[卡巴斯基]和[F-Secure]比諾頓和PC-cillin還強的防毒軟體 小弟自製卡巴斯基 網站http://home.anet.net.tw/liucc/或http://home.kimo.com.tw/liukh0412/ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 163.22.18.105