雷霆安全中心(手机雷霆解除敏感资源权限)

那些年那些逆天的后门

2020-08-12 13: 41云歌郑云2020年8月14日编辑整理

后门到处都是。有编译器、芯片、算法、开源管理工具和补丁。有的是国家权力的干预，有的是厂商远程管理OTA的方式，有的是恶意暗中刺探。

首先，编译器的后门

1.1 . 2015年Xcode的后门

Xcode是苹果提供的集成开发工具(IDE)，用于开发Mac OS X和iOS应用程序。因为直接从苹果官网下载Xcode太慢，大家都会选择从各大论坛和网盘下载第三方提供的Xcode安装包。

于是，一个网名为“coderfun”(真实身份尚未被发现)的爱心人士在Xcode上添加了一段代码，收集了用户设备上的大量信息，包括设备型号和系统版本，并通过加密的方式将信息发回init.icloud-analysis.com(网站已关闭)，这就是所谓的“XcodeGhost事件”。

他被感染的Xcode压缩包文件先是被发布到SwiftMi、CocoaChina、OSChina等多个论坛网站，然后被发布到百度网盘。

当时有人说雷霆也中毒了。但迅雷官方一看到，就安排迅雷安全中心工程师下载测试XCode6.4的官方链接，并在迅雷索引服务器上对记录进行了交叉核对。发现迅雷从未将XCode6.4的官方链接误认为是被感染版本，被感染的XCode6.4文件比官方版本大6.97MB，不存在文件特征值重复的可能。

2015年9月12日，国内某厂商在调试自己的APP时，发现其开机退出时会向init.icloud-analysis.com发送异常加密流量。9月14日，CNCERT发布了该事件的预警公告。考虑到coderfun需要在搜索引擎上做好seo，他至少在一年前就开始布局了。

这种将恶意代码直接传播到开发工具源头的替代方式，在传播广度上取得了非常好的效果——根据腾讯安全应急中心的文章，至少有76个苹果应用被病毒入侵，影响了超过1亿用户。

图1绿盟云绘制的xcodeGhost传播链

中国一位白帽黑客在接受采访时表示，这一事件足以载入移动安全史册，其感染苹果开发工具的技巧可以与著名的伊朗铀浓缩设备被蠕虫破坏的地震网事件相提并论。地震网络事件由于入侵者在西门子工业开发集成工具WinCC中感染恶意代码，导致与WinCC连接的工业控制系统间接感染，最终导致伊朗核工业设备大量物理损坏。

1.2.c编译器中的后门

向编译器中插入一段代码，使其在编译时复制自身，并感染所有已编译和打包的程序，如新冠肺炎感染。XcodeGhost本质上就是这样一个原理。但这项技术的鼻祖是一位老先生，肯·汤普森(1943年出生)，他因发明了Unix操作系统和C语言而与丹尼斯·m·里奇一起获得了1983年的图灵奖。

汤普森发表获奖感言时，抛出了一个问题:

看到软件的源代码就意味着没有后门？编译器有没有可能有一个可以自我复制的后门？

他讲了这样一个故事:

装有UNIX的PDP-11计算机在贝尔实验室日常使用。

但人们很快发现，肯·汤普森总能访问他们的账户并获得最高权限。

贝尔实验室的所有科学家都有比天空更高的心。当然，他们极度沮丧。

于是大师生气了，跳出来分析了UNIX代码，找到后门，修改了代码，然后重新编译了整个UNIX。

就在大家都以为“世界是干净的”的时候，却发现肯·汤普森很容易就能拿到自己的账号权，被迷惑之后，只好继续郁闷。

谁知道这个抑郁症，它已经抑郁了14年，直到肯·汤普森这次说出了原因。

原来代码中有后门，但后门不在Unix代码中，而是在编译Unix代码的C编译器中。

C编译器每次编译UNIX代码，都会自动生成后门代码。

整个贝尔实验室都使用肯·汤普森的C编译器。

1.3.JavaScript压缩的后门

一位安全研究人员曾经发表过一篇报告，利用带有bug的CLANG编译器，在编译时植入了升权后门漏洞，创建了人人都能获得root权限的sudo后门版本。受此启发，Lets encrypt项目的女工程师闫在2015年发布了一个概念验证代码，可以利用JS compressor的bug植入后门。她注意到，利用流行的JS compressor (uglify-js@2.4.23)的bug，可以为jQuery程序植入一个后门。

第二，芯片的后门

2.1 . 2020年英特尔的后门

2020年8月7日，瑞士软件工程师Till Kottmann发布了英特尔内部文件被泄露的消息。根据Kottmann的推特地图，一个源代码的标注中有“后门”一词，再次引发了人们对英特尔芯片是否存在后门问题的关注。

相关文件中的注释内容为“将ras后门问题集指针保存到IOH SR 17”，字面翻译为“将RAS后门请求集指针保存到IOH SR 17”。字母RAS很容易与RSA算法联系起来，但安田的安全工程师从现场和经验判断，这里的RAS更可能是“可靠性、可用性和可维护性”三个字的首字母，意思是“可靠性、可用性和可维护性”。

在网络安全领域，“后门”一词被定义为“可用于未经授权秘密访问数据的计算机功能或缺陷”，其来源包括主观恶意预设、官方产品中调试界面未关闭等。

但在硬件设计上，“后门”是指直接修改寄存器值的方法，对应的是总线修改的“前门”方法，不是安全后门。

据网友分析，在泄露的内部文件中，原理图指的是引出线，固件指的是二进制bin，开发调试套件指的是使用硬件厂商自行调试固件。这些文件会提供给所有使用英特尔CPU的客户，这根本不是所谓的英特尔货币。

这次走后门事件大概率是乌龙。

图2后门关键字

2.2 . 2016年英特尔的后门

历史上，英特尔曾无数次被指责后门有漏洞，有些是，但2016年这一次，应该不是。

2016年，美国自由软件基金会(FSF)指出，英特尔的管理引擎(简称ME)程序可以完全控制用户的电脑。它可以控制启动和关闭，读取所有打开的文件，检查所有运行的程序，跟踪用户的键盘和鼠标移动，甚至可以截图。此外，它还有一个被证明不太安全的网络接口，攻击者可以通过它植入Rootkit程序或入侵计算机。

内部人士认为，ME被妖魔化了，是一个正常的远程管理工具。问题远没有爆炸那么严重，ME也没有那么神奇。

第三，管理工具的后门

3.1.Putty/WinSCP

2013年，很多Linux服务器管理员爆发服务器被恶意攻击，导致系统根密码和数据泄露。经调查，可能是PuTTY和内置后门的WinSCP工具造成的。

PuTTY是一个著名的Windows开源SSH管理工具，WinSCP是一个常见的开源SFTP工具。PuTTY从未有过正式的中文版本，而WinSCP已经有了正式的中文版本。

很多站长对此都做了风险警示:中文版的Putty、WinSCP、SSH Secure可能有后门。有人在上面的管理软件加了一个后门，做成一个单独的网站，然后在百度推广。

3.2.XShell的后门

2017年，一款主流远程终端软件XShell的官方版本被恶意代码打包。运行此版本软件后，受害者的电脑将被植入后门，可能被犯罪分子远程控制，导致个人信息被窃取的风险。看来黑客入侵了XShell开发者的电脑，在源代码中植入了后门，影响了正式版。由于dll文件有官方签名，很多杀毒软件并没有按照白名单机制上报病毒。

同时，该软件制造商NetSarang发布安全公告称，其新更新(2017年7月18日)的软件Xmanager Enterprise、Xmanager、XShell、Xftp、Xlpd存在安全漏洞，政府于2017年8月5日紧急修复。它的升级提示很有趣:提示修复了nssock2.dll的一个远程漏洞。

图3腾讯安全绘制的XShell后门邪恶过程

整个作恶过程分为三个部分。第一部分是被补丁的XShell启动后的恶意shellcode1。shellcode1解密后续数据后，执行shellcode2代码。在第二部分中，shellcode2将在运行后判断注册表项。如果没有Data键值，它会收集用户信息，通过DNS协议传输，获取云配置数据写回注册表。第三部分，如果注册表项中有这个键值，后续的恶意行为就会开始，shellcode3会被注册表项中的键解密，最终会创建svchost进程，窃取主机信息。

第四，操作系统的后门

4.1.Linux

2003年，有人试图在Linux内核源代码中提交一个隐藏的后门。这个人只修改了两行代码，非常不显眼，但是可以让攻击者给特定进程root权限。幸运的是，自动代码审计工具发现了这一代码更改，Linus Torvalds删除了这一更改。据推测，添加代码的人可能来自国家安全局(NSA)，因为NSA曾试图让Linus Torvalds为内核代码添加后门。

在2013年的LinuxCon会议上，Linus Torvalds被问到这个问题:

国安局有没有让你植入后门？

他的父亲尼尔斯·托瓦尔兹后来这样描述他儿子的回答:

当时嘴里回答“不”，但同时点点头。我儿子有一定的法律自由，他给出了正确的答案。

4.2.Windows NT

1999年，安全研究人员在Windows NT 4 Service Pack 5中发现了一个名为_ NSAKEY的变量，它是一个1024位的公钥。人们怀疑微软为NSA提供了某种形式的后门，让NSA可以访问Windows的一些加密数据，甚至可以自己操作Windows。从那以后，微软产品有后门的嫌疑一直存在。

第五，算法的后门

5.1.RSA

双椭圆曲线后门可能是最隐蔽的后门:

通过密码学中常用的随机数生成算法植入后门。

Dual_EC_DRBG(双椭圆确定性随机数发生器)是美国国家标准与技术研究所(NIST)制定的标准，它存在一个允许攻击者解密数据的隐藏缺陷。

斯诺登爆料后，人们并不知道这个后门的存在，他们知道NSA可以通过干预标准的制定，将后门植入算法。NIST随后取消了这一标准。

图4 Dual_EC_DRBG后门时间线

5.2 .加密

令人惊讶的是，CryptoAG的幕后老板是中央情报局(CIA)和德国联邦情报局(BND)，他们对Crypto AG进行了篡改。

《华盛顿邮报》称，中央情报局有一份这一绝密计划的档案，其中列出了监督行动的中央情报局高级官员和负责实施的密码高管。事实上，Crypto早就被怀疑了，几十年前的文件也被影射过，但从未被证实。该报告还指出，尽管许多国家使用Crypto产品，但西方最大的敌人，包括俄罗斯和中国，从来都不是Crypto的客户。

图5该报告可追溯到1998年。

第六，补丁中的后门

供应链攻击是高级持久威胁攻击中常见的攻击方式。当网络钓鱼和渗透入侵无法突破目标防御系统时，攻击者可能倾向于利用供应链污染来寻找其供应链环节中的薄弱点进行曲线攻击。

6.1.华硕的影锤事件

2019年3月，卡巴斯基实验室表示，全球最大的电脑制造商之一华硕去年被入侵。攻击者劫持了华硕的实时软件更新服务器，并在没有人知道的情况下，在数千名客户的电脑上安装了恶意后门。主流安全厂商认为，黑客准备的攻击时间在2018年6月左右。

卡巴斯基实验室表示，这些恶意文件是华硕数字证书合法签署的，因此看起来与公司的软件更新并无不同。

虽然这意味着每一个使用受影响软件的用户都可能成为受害者，但ShadowHammer背后的攻击者似乎只专注于获得他们之前认识的数百名用户的设备的访问权限。他们发现每个后门的代码都包含一个硬编码的MAC地址表，MAC地址是网络适配器的唯一标识符，用户将计算机连接到网络。一旦后门在受害者的设备上运行，后门会将设备的媒体访问控制地址与地址表中的媒体访问控制地址进行比较。如果被感染设备的MAC地址与地址表中的地址匹配，恶意软件将下载下一个恶意代码。否则，包含恶意代码的更新程序将不会有任何网络行为，这就是为什么这种恶意攻击可以在如此长的时间内保持不被发现。卡巴斯基安全专家发现了600多个MAC地址。这些被感染的设备受到了超过230种不同后门样本的攻击。

图6暗影之锤的攻击过程(引用自卡巴斯基报告)

6.2.华硕求情事件

2019年5月，Eset安全研究人员报告称，黑客组织BlackTech通过中间人攻击(MITM攻击)在中国台湾省部署了define恶意软件。该组织已暴露利用华硕网络存储软件的漏洞上传绕过身份验证的恶意软件。该组织主要针对亚洲政府和公司。

Eset研究人员认为，这是路由器层面的中间人攻击。攻击者利用用户PC与华硕服务器之间不安全的HTTP连接，利用不完整的代码签名来验证收到文件的真实性。

下一篇：小宝贝直播最新地址在哪 小宝贝直播怎么进不去了
上一篇：location什么意思（be designed by什么意思）