1. 后门攻击原理简述

后门是一种恶意软件，通常攻击者会绕过正常的身份验证机制，远程访问和控制受感染的系统。通常隐蔽运行，使其不易被发现。一旦运行之后，攻击者就会通过后门控制受害者机器，包括但不限于会有以下操作：

l 远程执行命令：攻击者可以在受害者机器上运行任意命令

l 文件传输：攻击者可以在受害者机器上上传和下载文件，包括恶意软件、敏感数据或者其他文件

l 屏幕监控：攻击者可以捕获受害者的屏幕截图，来监视用户的活动

l 特权升级：攻击者通过软件或者系统的漏洞和错误配置来提升后门在受害者系统的权限，进而获取对系统的完全控制

1) 后门的动态加载与执行：在Windows和Linux中，后门都可以通过多种方式实现动态的加载执行；在Windows中，后门可以利用powershell、js、hta和vbs等进行动态加载执行，可以利用DLL注入、注册表项、计划任务、服务、WMI事件订阅等这些手段实现持久化，并在系统重启后依然保持控制。在Linux中可以通过wget、curl等来实现动态加载执行，可以利用LD_PRELOAD、rootkit、内核模块、systemd服务等这些技术来获得系统的持久控制，可以在系统重启时依然保持控制。

2) 后门的注入过程：

a) 攻击者通常利用系统漏洞、软件漏洞、弱口令或钓鱼攻击等手段，将后门程序植入目标系统

b) 后门启动后，会和攻击者控制的服务器进行通信，通常使用SSH、HTTP、HTTPS、ICMP、DNS隧道等协议进行隐匿通信，使通信流量变得正常。攻击者还会通过一些手段来隐藏控制服务器，增加溯源难度，其手段包括但不限于云函数、域前置、区块链和使用公共服务。

c) 后门会通过自定义的加密指令来对被害者计算机进行控制，包括执行命令、文件的操作、屏幕监控和持久化。

d) 后门会通过修改系统或者软件的配置来达到持久化的目的，在Windows中，后门可以修改注册表、服务、wmi事件订阅、计划任务、com劫持、自启动、快捷键劫持或者DLL劫持等等手段来进行持久化。在Linux中可以通过定时任务、服务、库文件劫持、ssh软链接等方式来进行持久化。使系统重启或者后门进程被结束时，依然能够通过持久化重新启动后门，让攻击者可以持续地控制被害者计算机。

2. 后门攻击快速研判方法/标准

后门注入攻击的过程分为多个阶段，在每个阶段我们都可以进行分析研判

1) 在植入目标系统过程的研判

恶意攻击者一般会利用软件或者系统的漏洞、钓鱼等攻击方式将后门植入目标系统。

a) 在利用web的漏洞来进行后门植入时，一般都会有明显的下载执行的特征

b) 攻击者还可以通过钓鱼的方式来植入后门，通常会使用即时通信软件或者电子邮件给受害者发送经过伪装的恶意文件，普通人很难察觉到异常，会认为是正常的文件

伪装正常的文件名和图标，但本质是后门

使用空格来隐藏exe后缀，只显示出pdf，但本质是应用程序

此类文件打开后会显示正常得文档或者程序界面，但是背后悄悄地将恶意后门复制到其他目录中进行执行。

2) 后门启动通信阶段的研判

通常情况下，后门启动后会立即或者延迟与攻击者的控制服务器进行通信，此阶段后门会进行加密通信，通过流量难以分析出后门具体的行为。但是某些通信流量是具备特征的，这种通过通信特征研判的手段只能在流行的后门工具下使用，对于自研的后门是不适用的。

a) 某款C2的通信证书特征是可以识别的，如果用户没有对证书进行修改或者自定义。

b) 某款C2的ja3指纹可识别，在使用https通信时，client hello数据包中存在ja3指纹，在win11系统下是固定的。

3) 后门持久化阶段研判

这一阶段后门已经在被害者系统中完整地运行了，需要快速地找到其持久化特征，在内部进行批量排查，防止更多的设备被攻陷。

使用crontab -e来查看可疑的定时任务列表

可以使用netstat -antpl 和grep筛选可疑网络连接，ps aux和grep来筛选可疑进程

查询操作日志，查看重要得配置文件是否被修改