第三章 电脑入侵控制技术深度剖析
第三章 电脑入侵控制技术深度剖析3.1 操作系统层面的入侵个人电脑操作系统经历了数十年的发展,安全机制不断完善,但黑客的攻击技术也在同步进化。3.1.1 内核级RootkitRootkit是黑客用于隐藏自身活动的工具集,内核级Rootkit是其中最高级的形式。黑客通过加载恶意内核模块或直接修改操作系统内核,实现对系统所有资源的控制。Linux系统上,黑客利用LKM(可加载内核模块)机制加载恶意模块。该模块能够隐藏指定的进程、文件和网络连接,使得ps、netstat、ls等常规命令完全无法发现黑客的活动。前文提到的UNC2891团伙更是采用了极端手段:他们直接替换系统的核心二进制文件,如ssh、crond、pam_unix.so,并在tmpfs内存文件系统中将进程的/proc目录完全覆盖。这种覆盖使得任何基于/proc文件系统获取进程信息的工具(包括ps、top、htop等)都无法看到黑客的进程,实现完全隐身。Windows系统上,黑客通过编写驱动程序加载到内核层,使用内核回调机制监控和篡改系统行为。例如,通过注册进程创建回调,每当新进程创建时,Rootkit检查该进程是否为需要隐藏的进程,动态修改返回给用户态的数据结构,使进程在任务管理器中不可见。3.1.2 引导套件引导套件是比Rootkit更底层的持久化技术,它感染系统的主引导记录或UEFI固件。在操作系统启动之前,引导套件就已经加载,因此能够绕过所有基于操作系统的安全检测。UEFI引导套件是当前最危险的威胁之一。它感染主板上的SPI闪存芯片中存储的UEFI固件,即使重装操作系统或更换硬盘,恶意代码依然存在。每次系统启动时,UEFI引导套件先于操作系统加载,能够拦截操作系统的启动过程,注入恶意代码到系统内核中。2024年曝光的"CosmicStrand"UEFI引导套件感染了多家主板厂商的产品。该套件利用主板厂商的测试模式漏洞,在固件更新过程中植入恶意代码。一旦感染成功,黑客能够远程控制设备,且无法通过常规杀毒软件清除,只能通过重新刷写固件解决。3.1.3 虚拟机逃逸随着云计算的普及,虚拟机逃逸攻击成为黑客关注的重点。当目标运行在云服务器上的虚拟机中时,黑客需要突破虚拟化层的隔离,从虚拟机内部攻击宿主机或同一宿主机上的其他虚拟机。虚拟机逃逸攻击通常利用虚拟化软件的漏洞。例如,VMware Workstation的拖拽功能曾存在缓冲区溢出漏洞,黑客通过在虚拟机内构造特殊的拖拽数据,触发漏洞,在宿主机上执行任意代码。KVM/QEMU的PCI设备模拟也存在多个漏洞,黑客通过向模拟设备发送恶意请求,突破虚拟机边界。一旦逃逸成功,黑客能够访问宿主机上的所有虚拟机,获取云平台的敏感数据,甚至控制整个虚拟化基础设施。3.2 应用层入侵3.2.1 浏览器漏洞利用浏览器是电脑上最常用的应用软件,也是黑客攻击的主要入口。现代浏览器功能复杂,代码量大,攻击面广,漏洞频繁出现。黑客利用浏览器漏洞的方式通常包括:构造包含漏洞利用代码的恶意网页;通过水坑攻击或钓鱼邮件诱骗目标访问;一旦访问,漏洞利用代码自动执行,在用户电脑上安装恶意软件。浏览器漏洞利用链通常由多个漏洞组成:首先是信息泄露漏洞,用于绕过ASLR等内存防护机制;然后是远程代码执行漏洞,获得浏览器进程内的代码执行能力;最后是沙盒逃逸漏洞,突破浏览器的进程隔离,获得系统级权限。2023年Chrome浏览器曝出的CVE-2023-4863漏洞是典型的例子,该漏洞存在于WebP图像格式的解码库中。黑客只需向用户发送一张特殊的WebP图片,当用户在支持WebP的应用中查看该图片时(如浏览器、聊天应用、邮件客户端),漏洞被触发,任意代码被执行。这一漏洞影响范围极广,包括Chrome、Firefox、Microsoft Edge、甚至许多移动应用都受到影响。3.2.2 办公软件宏病毒尽管微软已默认禁用Office宏,宏病毒仍然是黑客入侵的重要手段。黑客通过社会工程学手段诱骗用户启用宏,例如发送伪装成发票、简历、法院传票等主题的钓鱼邮件,附件为Word或Excel文档。文档内容提示用户"此文档由受保护的方式创建,请启用宏查看内容",用户一旦启用,宏代码自动运行,下载并执行恶意负载。现代宏病毒的技术水平显著提升。它们能够检测是否运行在沙箱环境,如发现处于分析环境则休眠不执行;使用Windows API直接调用系统功能,绕过VBA宏的安全限制;通过PowerShell、WScript等脚本宿主执行命令,避免在磁盘上写入文件。3.2.3 PDF漏洞利用PDF格式具有支持JavaScript脚本的特性,这使其成为黑客的攻击载体。黑客构造包含恶意JavaScript代码的PDF文件,通过邮件或下载链接发送给目标。当用户用Adobe Reader或其他PDF阅读器打开文件时,JavaScript代码自动执行,触发阅读器的漏洞或直接调用系统功能。即使PDF阅读器禁用了JavaScript,黑客仍可利用PDF的其他功能。例如,通过PDF的"/Launch"动作自动执行外部程序,或利用字体解析漏洞执行代码。
页:
[1]