史上最大胆又阴险!十二大软件后门盘点

在信息时代,要保护个人数据和隐私安全似乎正越来越变成一件艰难的事情。如果软件的创造者或者一些未知的第三方已经悄悄在你的电脑里埋下了后门软件,要确保您正在使用的软件是安全的,则更是难上加难。

下面我们就来盘点一下历史上12大最大胆又艰难棘手、令人讨厌的的软件后门程序。

1.Back Orifice

Back Orifice(来自InfoWorld)

Back Orifice(来自InfoWorld)

Back Orifice是一个用于揭示微软Windows操作系统安全隐患的rootkit程序。这个软件是由微软的BackOffice产品而得名的。由一组被称为cult of the Dead Cow的电脑黑客开发的,Back Orifice允许某些人在一台电脑上控制另一台运行Windows 95或其后的操作系统的电脑。当没有任何防护时,Back Orifice能探测到密码,记录用户的按键情况,进入到一个桌面文件系统或造成其他的破坏。

它能象以黑客为目的的特洛伊木马程序一样被植入到用户的电脑中,或作为网络的远程管理工具来使用。

2.  DSL调制解调器存后门

DSL调制解调器存后门(来自2cto.com)

DSL调制解调器存后门(来自 2cto.com)

Vanderbeken指出,思科设备,Netgear,Diamond,LevelOne和OpenWAG设备都存在此后门。据 HackerNews上的一个贴介绍,这些带漏洞设备的一个共同点是,它们都是由Sercomm定制提供的。Vanderbeken在访问自己的一个 Linksys WAG200G 设备时忘了密码,他发现该设备在侦听端口32764。此项侦听端口服务在手册文件里并无提到,但有其他用户提起过。他说他对设备固件的MIPS码做逆向工程分析,找到一个方法无需管理员身份验证即可向设备发命令。

利用穷举(Brute-force)的方法,无需密码将设备重置为出厂设置,即是说下一次登录时,他便具有访问设备任何功能的权限。

3.PGP 磁盘加密后门

PGP磁盘加密后门(来自InfoWorld)

PGP磁盘加密后门(来自 InfoWorld)

这是一个不为人知的后门程序,PGP的整个磁盘加密,现在由赛门铁克销售,允许任意的静态密码被添加到一个加密卷的引导过程。 在2007年第一次面市,PGP回答说,其他的磁盘加密产品也有类似的功能,但其缺乏公共文档的功能令人不安。

4.WordPress 的盗版插件后门程序

WordPress的盗版插件后门程序(来自InfoWorld)

WordPress的盗版插件后门程序(来自 InfoWorld)

WordPress的可能是世界上最流行和强大的博客和内容管理系统之一,但其安全性还有很多有待改进的地方。2011年,WordPress团队发现目前在 WordPress流行的一些插件存在安全隐患,插件被恶意插入后门程序,以便获取用户的数据,主要是用户的管理员密码。

这些恶意后台并非是插件作者有意作为,而是第三方的人在破解了插件作者的管理信息之后插入后门信息的。

5.Joomla 插件后门

Joomla插件后门(来自InfoWorld)

Joomla插件后门(来自 InfoWorld)

通过cookie向后门中传递恶意代码已经成为趋势,利用这种方式,黑客可以使用常规GET请求,这样就不会在web服务日志分析系统中产生任何可疑操作。

黑客不是仅仅将后门注入到某个插件中,而是安装到某个已经打过补丁的插件里,这样看起不可疑,也不会破坏任何东西。这比修改网站中现有的文件要容易一些,因为修改网站现有文件时有时候可能会会破坏网站,因此需要更复杂的injector。

像Joomla这种包含上千个文件的系统,安全扫描器也可能无法识别这种不常见的后门。检测这种后门唯一可靠的方法就是完整性控制,当检测到文件被修改时提供向站长提供警报,使站长可以立即解决可能产生的问题。许多版本控制系统可以完成这种工作。

6.ProFTPD 后门

ProFTPD后门(来自InfoWorld)

ProFTPD后门(来自 InfoWorld)

流行的开源FTP服务器ProFTPD在2010年发现被人在代码中放了一个后门。 在安装了包含有后门的ProFTPD服务器版本后,攻击者可以获得系统控制权限,攻击者的IP地址来自沙特阿拉伯地区。在该版本中,输入命令“HELP ACIDBITCHEZ”会出现一个root shell。攻击者利用了一个尚未修复的0day漏洞。受影响的版本是从11月28日到2日在官方镜像下载的ProFTPD 1.3.3c。

7.Borland 的数据库软件后门

Borland的数据库软件后门(来自InfoWorld)

Borland的数据库软件后门(来自 InfoWorld)

Borland公司的InterBase数据库软件中的一个“后门”使得任何拥有适当口令的人都可以对数据库和运行数据库的计算机系统实施严重的破坏行为。

计算机紧急反应小组在当地时间星期三发表的咨询报告中称,这一“后门”可以使黑客改变存储在数据库中的信息,甚至在计算机中运行造成更大破坏的程序。用户名和口令写在程序里,很容易被发现,而且不能通过改变设置清除掉。

Borland公司承认存在这样一个“后门”,并且已经开始发布补丁,并通知用户和合作伙伴将于本周推出修改后的版本,这一漏洞存在于4、5、 6版的InterBase中。

8.Linux内核后门

Linux内核后门(来自InfoWorld)

Linux内核后门(来自 InfoWorld)

早在2003年,有人试图向Linux内核插入一个微妙后门源代码。该代码被写入到给一个后门,没有外在标志,被托管的服务器入侵与Linux 源相连的其他电脑。

只有两行代码被更改, 并有可能轻轻松松瞒过大多数的眼睛。幸运的是,后门代码审计人员发现了。很多人认为这是一个炒作事件。

9.Tcpdump后门

Tcpdump后门(来自InfoWorld)

Tcpdump后门(来自 InfoWorld)

ACKcmd是提供Win2000下远程命令Shell的一种后门,它使用TCP来传输,但是不同于一般正常的TCP连接有三次握手,ACKcmd仅使用了TCP ACK数据包,所以一般情况下可以穿越防火墙及躲避IDS的检测。

ACKcmd采用client/server结构,在目标机器上运行AckCmdS.exe植入后门,入侵者在客户端运行命令AckCmdC 即可获得一个远程的Shell。

10.主流公司硬件被NSA植入后门

主流公司硬件被NSA植入后门(来自InfoWorld)

主流公司硬件被NSA植入后门(来自 InfoWorld)

根据美国国家安全局的文件,美国国家安全局与中央情报局和联邦调查局合作偷偷截运网售笔记本电脑或其他电子配件,以植入间谍软件。恶意软件加载后,可以给美国情报机构的远程访问权限。

虽然该文件并没有明确表示该程序的公用或者国家安全局的窃听目标,不过这是该机构第一次与广泛的情报机构合作以获得通信设备的访问权限。其中一种恶意软件的开发代号是COTTONMOUTH,于2009年开始使用。它是一个USB“硬件植入”程序,可以秘密提供国家安全局被感染机器的远程访问权。该程序被植入了大部分主流科技公司的硬件,为国安局提供后门。这些厂商包括思科、Juniper网络公司、戴尔、希捷、西部数据、迈拓、三星和华为,许多目标都是美国本土公司。

11.NSA密钥

NSA密钥(来自InfoWorld)

NSA密钥(来自InfoWorld)

NSA密钥,是指1998年有人发现Windows操作系统中存在用途等详情不清的第二把密钥。1999年8月,加拿大Cryotonym 公司首席科学家Andrew Fernandes宣布,他发现这第二把密钥叫做NSAkey,而NSA就是美国国家安全局的简称,也就是说,微软公司在每一份Windows操作系统中都安装了一个程序上的“后门”,专供NSA在需要时进入全世界Windows用户的电脑。

12.双椭圆曲线确定性随机比特生成器后门

双椭圆曲线确定性随机比特生成器后门(来自InfoWorld)

双椭圆曲线确定性随机比特生成器后门(来自 InfoWorld)

双椭圆曲线确定性随机比特生成器(dual elliptic curve deterministic random bit generator,缩写Dual_EC_DRBG)被广泛认为被 NSA 植入了后门,它获得了美国国家标准技术研究院的认可,并成为安全公司 RSA 加密产 品默认使用的伪随机数生成器。比利时计算机科学专家 Aris Adamantiadis 发表了 Dual_EC_DRBG后门的概念验证研究报告,认为 Dual_EC_DRBG 的后门是被有意植入的,指出 Dual_EC_DRBG 使用了一个秘密的值去计算一个椭圆曲线点常量,他并不知道这个秘密值,认为可能只有 NSA 能利用这个后门。