檢測(cè)惡意軟件、防止惡意軟件在關(guān)鍵系統(tǒng)上執(zhí)行，這一直是這幾年安全行業(yè)關(guān)注的焦點(diǎn)。如果別有用心的攻擊者想要利用系統(tǒng)自帶的應(yīng)用和工具實(shí)施入侵，其選擇往往不多。但對(duì)于攻擊高手來說，living off the LAN，已經(jīng)夠了。

Linux的很多發(fā)行版中包含一個(gè)名為Netcat的工具包。Netcat是一個(gè)強(qiáng)大的管理員工具，被安裝在很多服務(wù)器上，甚至包括一些Windows系統(tǒng)。它的功能是與遠(yuǎn)程接口連接并發(fā)起通信，或者創(chuàng)建一個(gè)預(yù)留給遠(yuǎn)程連接的監(jiān)聽接口。通過控制TCP或UDP的端口限制，Netcat可以被作為端口掃描器來使用，一方面探測(cè)打開的端口，另一方面標(biāo)記下可用的服務(wù)和應(yīng)用。使用一行簡(jiǎn)單的命令 nc –nv –w1 <端口范圍> 就可以掃描目標(biāo)IP上的指定端口。使用Netcat掃描端口的樣例見下圖：

如圖所示，Netcat客戶端快速隱秘地掃描了IP地址192.168.1.3的10到25號(hào)端口，發(fā)現(xiàn)端口22是打開的，并使用SSH-2.0-OpenSSH 5.3。通過和特定端口的互動(dòng)，我們可以得到更多目標(biāo)設(shè)備的有用信息，包括應(yīng)用名稱、版本，以及基礎(chǔ)操作系統(tǒng)。使用Netcat和HTTP服務(wù)互動(dòng)的樣例見下圖：

如圖所示，我們可以推測(cè)出目標(biāo)設(shè)備使用Apache，運(yùn)行的版本號(hào)是2.2.15，基礎(chǔ)操作系統(tǒng)是CentOS。這樣的信息泄露并不一定是有害的，然而Netcat可能表現(xiàn)出一些更惡意的行為，包括允許攻擊者建立、使用后門，在不同設(shè)備間傳送文件。

Netcat的其中一項(xiàng)功能是執(zhí)行一個(gè)程序，并將輸入變量從監(jiān)聽器傳送到該程序。當(dāng)用戶在Linux設(shè)備上執(zhí)行/bin/sh或在Windows設(shè)備上執(zhí)行cmd.exe時(shí)，就相當(dāng)于在自己的電腦上打開了一個(gè)后門。幸運(yùn)的是，對(duì)安全管理人員而言，在設(shè)備上使用預(yù)裝Netcat時(shí)的命令可能并沒有包含-e。

不過，攻擊者也可以只通過設(shè)立一個(gè)Netcat監(jiān)聽器來繞過這個(gè)問題，該監(jiān)聽器作為中繼，功能是從FIFO文件中讀取標(biāo)準(zhǔn)化輸出。然后攻擊者就可以將指令輸送到連接著本地主機(jī)22號(hào)端口的Netcat命令行上，然后將標(biāo)準(zhǔn)化輸出重定向到預(yù)先定義好的FIFO文件上。最后，只需要連接一個(gè)非本地主機(jī)的其它IP即可完成中繼過程。

盡管有諸如SCP、FTP、TFTP這類傳輸文件的方式，但它們基本上都被防火墻嚴(yán)密監(jiān)控著，甚至可能已經(jīng)被封鎖了。

上述Netcat的功能在Windows系統(tǒng)上也成立，但Netcat并不是Windows的自帶工具，因此使用它進(jìn)行入侵可能沒有那么盛行。不過，微軟也為攻擊者無意間提供了一些基于SMB的其它工具，比如Windows規(guī)范管理架構(gòu)命令行(WMIC)。要執(zhí)行遠(yuǎn)程命令，攻擊者需要一個(gè)管理員級(jí)別的賬戶。不幸的是，哈希傳遞攻擊(Pass the Hash)在Windows體系下相當(dāng)普遍，獲得一個(gè)管理員級(jí)別的賬戶也許并非難事。除了WMIC之外，類似reg.exe和sc.exe這些內(nèi)置工具也允許攻擊者遠(yuǎn)程控制設(shè)備，不過同樣也需要管理員賬戶。

考慮到很多系統(tǒng)管理員也使用類似WMIC、reg.exe、sc.exe這類的工具，探測(cè)來自于這些工具的攻擊時(shí)會(huì)獲得較大的假陽性率。不過，Tripwire企業(yè)版用戶可以通過改動(dòng)審查和關(guān)鍵改動(dòng)審查兩個(gè)模塊來探測(cè)關(guān)鍵注冊(cè)表的風(fēng)吹草動(dòng)。另外，網(wǎng)絡(luò)犯罪內(nèi)容模塊監(jiān)控所有Windows設(shè)備上的服務(wù)狀態(tài)，任何通過sc.exe執(zhí)行的命令都會(huì)觸動(dòng)檢測(cè)規(guī)則，引起模塊報(bào)警。

盡管攻擊者在使用設(shè)備非自帶的工具和惡意軟件時(shí)更加得心應(yīng)手，上面的這幾個(gè)例子同樣說明，即使是使用系統(tǒng)自帶工具，黑客仍然可以展開攻擊。

原文地址：http://www.aqniu.com/tools/7297.html