IT業界資訊媒體

唔好搞我後面系列】後門攻擊(二):古惑仔的三大秘笈

上次網絡安全組織 VXRL 成員 Boris So 同大家講解過後門(Backdoor)好難分辨有心定無意,同埋簡單介紹咗後門的種類。今次就用三個實例,分析三種常見嘅後門攻擊手法係點執行,同埋根據呢三個個案嘅攻擊手法,從植入嘅複雜性、可執行嘅權限及隱密性三方面嚟進行評分。

寫死密碼

講緊嘅係 2015 年 Juniper 嘅 Firewall 被發現有後門事件,呢個後門屬於 hard-coded password,只要經 SSH 或 Telnet 連接到 Firewall 裝置,就可以用呢組密碼取得最高權限。Boris 話呢個後門非常聰明,因為寫死嘅密碼係偽裝成 C 語言常見嘅 format string instruction,無論係人眼抑或 scanner 去分析呢段 code,都有好大可能俾佢瞞過。由於植入手法簡單又聰明,又攞到最高控制權做乜都得,再加上唔容易被發現,所以 Boris 對佢嘅評價極高。

供應鏈後門

另一個個案係今年三月,Bootstrap-Sass 嘅 Ruby 套件暗藏遠程執行代碼類型後門,Boris 話而家好多 Developer 都慣用 open source 資源,但用之前又無檢查清楚啲代碼入面有無問題,好易出事。呢種供應鏈攻擊(supply chain attack)近期好常見,好似 DockerHub 之前就被發現有 17 個 image 有後門。而 Bootstrap-Sass 套件內嘅後門就屬於好明顯放入去嘅後門,因為段代碼係完全無需要出現嘅,而佢嘅作用,就係嘗試喺 http request 讀出指定嘅 cookies,然後將呢啲 cookies 以 Base64 嚟解碼,之後再以 runtime 嚟 evaluate,成功達到遠程執行代碼嘅效果。Boris 話由於呢個隱藏功能可以執行任何指令,喺可執行權限方面嘅得分好高,不過植入嘅手法比其他例子略為複雜,亦容易俾人眼或 scanner 搵到出嚟,事實上呢個後門一日內就俾人發現,所以要減返啲分嘞。

複製信用卡

最後一個個案就係啱啱因為客人資料外洩,而被判罰 1.8 億英鎊嘅英國航空。由於佢哋嘅網站俾 Magecart 黑客組織植入咗一度 Javascript 後門,令黑客可以通過 jQuery 嘅 Ajax call 方法,暗中將客人輸入嘅信用卡資料複製多一份偷走。Boris 評價話呢個後門嘅植入手法並唔複雜,好容易就會俾人發現得到,而且由於只可以偷事前特定嘅客戶信用卡資料,所以功能亦只屬一般,換言之呢個價值 1.8 億英鎊嘅後門就唔算係高招嚟喇。

唔少企業管理者以為買個 code scanner,就可以將有問題嘅 code 捉晒出嚟,實情係咪咁呢?係咪愈貴嘅 code scanner 就愈安全?請留意下回【唔好搞我後面系列】後門攻擊(三):Scanner 靠得住,豬乸會上樹

相關文章:【唔好搞我後面系列】後門攻擊(一):有心扮無意 code 好難知