IT業界資訊媒體

【唔好搞我後面系列】後門攻擊(一):有心扮無意 睇 code 好難知

後門(Backdoor)係近期非常熱門嘅話題,成日有人爭拗後門係有心擺入去,漏洞(Vulnerability)就係無心之失。不過,網絡安全組織 VXRL 成員 Boris So 就話其實有心定無意並唔重要,因為出嚟嘅結果就係可以俾黑客偷入嚟做嘢。今次佢就同大家分析下究竟常見嘅後門有幾多種先。

「近嚟國際關係緊張,所以 backdoor 就成為咗爭拗問題。以前大家都覺得後門係特登整出嚟,將一啲唔需要、唔應該存在嘅功能放喺系統入面,例如無緣無故 send 走啲檔案,又或者俾人隱密進入系統等等。」Boris 指出至於工程師、開發者為咗方便維修而設置嘅「後門」,就被叫做 Trapdoor。「如果純綷從技術角度分析,其實係睇唔到有心定無意,因為大家做到嘅嘢都係一樣;舉個例,原本你部手機係 unlock 唔到,但透過一啲方法可以解鎖或 root 機,咁就好難拗呢啲方法係咪後門。」

Boris 以之前被大規模封殺嘅公司所推出嘅電腦為例,「之前俾人搵到佢嘅 laptop 有後門,可以俾人用嚟提升權限(privilege escalation),睇寫 code 手法就似係 malware,因為一般情況下係唔會咁寫。」不過,他說呢種做法又太過明顯,所以傾向相信它只係一個 bug,而業界又因此創作新嘅名稱,例如 backdoor flaw / backdoor bug 等等。「其實類似嘅問題不停係世界各地發生,特別係近嚟供應鏈攻擊(supply chain attack)成日出現,呢啲公司可以話係因為伺服器俾黑客入侵,喺源頭將惡意代碼加入官方嘅更新軟件內,又或開發者可以話自己用咗有問題嘅 compiler 去辯解,講到呢自己都係受害者,除非有第一手資料直接做 investigation,否則好難知道真相。」

既然好難分別,Boris 說例不如去了解現時後門攻擊常用嘅手法,更加實際。「最常見嘅手法,首先係 hardcoded password,或採用一啲明知有問題嘅 encryption 方法,有時係應國家要求,等佢哋有需要時可以入去睇到目標人物嘅 data。」他說其他方法還有將惡意代碼直接寫入 source code,以及他曾示範嘅編譯器(compiler)攻擊、將有問題嘅編譯器放上網等待受害人下載使用。

想知道更多關於後門程式嘅攻擊手法,就要睇片聽下 Boris 點講喇。下次 Boris 仲揀咗幾個案例,同大家分析一吓不同嘅手法有咩優缺點。

相關文章:Demo180】官網下載都有木馬 亂用編譯器自毁商譽