バックドアはどのように配信する必要がありますか?
バックドアを誰かに配信する方法と、さまざまな方法の長所と短所について疑問に思っています。
バックドアとは、被害者から情報を取得する方法でサーバーへの逆tcp/http接続を取得できる可能性のあるスクリプトまたはペイロードを意味します。このスクリプトは、コンピュータの被害者に直接アクセスしたり、クリックジャッキングしたりすることで、埋め込みファイルとして送信される可能性があります。
私が知りたいのは、バックドア全体の一部(接続、ファイルのダウンロード、アップロードなどの基本的な機能を備えたもの)のみを配信する方がよいかどうかです。次に、コンピューターへのアクセスを取得した後、キーロガー、パケットフィルター、パスワードダンプなどの機能を備えた他のファイル(.exe)を送信しますか?または、すべての機能、つまりバックドア全体を含む1つのファイル(.exe)のみを送信する方がよいでしょうか。
両方の方法の長所と短所は何ですか?それぞれをいつ使用する必要がありますか?
攻撃者がシステムに設定する可能性のあるバックドアにはさまざまな種類があります。これらには以下が含まれます
- 管理者権限を持つアカウントを追加します。
- おそらくハイポートで接続をリッスンし、リモートシェルアクセスを提供するシステムにデーモンを追加します。
- 実行する必要のあるコマンドをリモートサイトに呼び出すシステムで実行されているソフトウェアである可能性があります。
- コマンドをリモートで実行できるように、既存のシステム構成またはアプリケーションを変更します。
- 物事、場合によってはWebサイトへのコードの変更または追加。これにより、リモートコードを実行できるようになります。 PHPシェルはこの例です。
- 解析または開かれたときにコードの実行またはリモート要求を可能にするドキュメントへの変更。
- など...おそらく他の何百もの例。
お分かりのように、これらすべてにスクリプトを含める必要はなく、スクリプトまたはプログラムの実行によってこれらのほとんどを設定することもできます。あなたの質問は(私が読んでいる時点で)現在書かれているように少し広いですが、うまくいけばこれがそれに答えるのに役立つでしょう。
あなたの質問はバックドアについてではなく、一般的な感染の配信方法についてです。
はい、更新またはより多くの機能が段階的に追加される段階的な感染のいずれかが発生する可能性があります。
これの利点は、悪意のあるコードを分割または非表示にできるため、IDSとパケットインスペクションを回避できることです。
欠点は、更新を受信するために、信頼性が高く長期的な接続が必要なことです。また、被害者との間で更新ソースに繰り返し接続されている場合は、疑わしいと見なされる可能性があります。