軟體後門

前幾年，微軟公司曾經對硬體黑客侵犯其Xbox設備的行為採取了法律與技術措施。索尼公司的PS2遊戲機也成為一些專門修改晶片的黑客的目標，其核心技術Sony的記憶棒被破解。美圍蘋果公司新推出的iPhone3GS的加密系統也被硬體黑客破解，造成磁碟檔案數據可以被實時偷走。

(1)2009年1 1月，江蘇省公安廳破獲“溫柔”黑客團伙案，該團伙利用木馬、後門等方式竊取網遊賬號，非法入侵各類網站1200多個，至少造成800萬個遊戲玩家的遊戲賬號密碼、遊戲裝備被盜，涉案金額高達3000萬元。

(2)2009年6月，一名15歲的韓國少年利用“後門”軟體，入侵了煙臺一家網路運營商的核心路由器，造成煙臺大量網咖擁堵達一個多小時，造成直接經濟損失4萬多元。

(3)2010年4月27日，科技資訊網Cnet報導，著名安全防護公司Bitdefender最新調查發現，黑客將垃圾郵件偽裝成iTunes升級補丁，欺騙iPad平板電腦用戶下載安裝，然後利用惡意代碼在iPad中開啟後門程式為其進一步破壞活動做準備。據Bitdefender反病毒專家沙比納·達特庫介紹，該郵件的主題為“iPad軟體升級程式”，附帶一個與蘋果官網地址極為相似的網頁連結。但實際上該連結的頁面內容是Bifrose.AADY後門間諜程式，能夠隱藏於explorer.exe進程中，黑客利用該後門可以輕易地取得系統控制權。

間諜軟體的定義是收集有關目標用戶或系統的數據並將其發回給另一方的軟體。某些間諜軟體還有一些另外的令人討厭的副作用，您對此必須有所了解。其中之一就是通過間諜軟體本身在系統中創建後門。後門是一個常用術語，意指系統的第二個訪問點。過去，程式設計師經常會在他們的程式中留下後門，以便在未來能夠輕鬆繞過程式的某些部分。這樣做的目的是在調試複雜的應用程式時降低固有的困難程度。隨著時間的推移，這項技術也出現了變化，其目的不再像過去那樣單純了。相反，現在的後門已經被當作是應用程式或系統中的安全突破口來對待了。

間諜軟體與其他任何程式一樣，能夠執行多種功能。在某些情況下，對於缺乏職業道德的程式設計師來說，軟體不僅可以充當間諜軟體，還可以充當系統的後門。因為大多數間諜軟體行事非常隱秘，用戶甚至可能不知道自己的系統上存在間諜軟體，更不必說後門了。這在企業環境中特別關鍵，因為一個小小的安全隱患可能很快演變為整個公司的大災難。當然，後門也有兩種工作方式：與間諜軟體一起安裝或者用於安裝間諜軟體。例如，如果另一個惡意軟體已經安裝在系統中，比如一個特洛伊木馬，該系統就可能已經存在後門。然後，入侵者就可以使用這個後門來安裝其他軟體，包括間諜軟體。

間諜軟體創造後門的方式多種多樣，這取決於後門的用途是什麼。後門最簡單的形式是在後台運行的應用程式，充當外部客戶端的伺服器端應用程式。這個伺服器應用程式可以提供很多功能，包括遠程訪問、遠程鍵盤記錄和遠程螢幕捕捉。伺服器端應用程式提供的這些功能決定了它的複雜性。

在這個例子中，攻擊者可以使用間諜軟體以兩種方式安裝這類後門應用程式。第一種方式是，間諜軟體除了行使其間諜軟體功能之外，還行使後門的功能。這將涉及到收集和傳送私有的系統數據，這對於間諜軟體的構成和持續在後台運行以支持後門功能是必要的。

第二種方式叫做投載程式(dropper)。在這種方式中，間諜軟體應用程式只執行它原本收集和傳送數據的功能。然而，在安裝時，間諜軟體應用程式啟動了用於安裝後門的第二個安裝程式。實際上，間諜軟體把後門“投到(drop)”了系統上，但其本身未行使後門的功能。

考慮安裝投載程式的方法時，應該記住這並非間諜軟體應用程式的預期功能。在某些情況下，攻擊者可以在構建和修改間諜軟體應用程式之後，把它修改為一個投載程式。這類似於病毒可以把一些執行檔變為它本身的安裝程式。在這種情況下，首要的應用程式-間諜軟體-就好像原本就具有投載功能一樣。攻擊者可以通過使用一些包裝應用程式或很多其他方法來加入這個投載程式。

後門的另一種形式與客戶端/伺服器風格的功能有所區別：後門保持靜止，直到收到某種形式的觸發器為止。這類後門更加難於檢測，因為它不會在系統上留下可以掃描到的活動連線埠。相反，這類後門在後台悄無聲息地運行，等待觸發器的到來，或者由一些其他的方法啟動。

這類後門與使用間諜軟體創造後門十分相似。不同之處在於，這類後門需要激活才會運行，而不是悄悄地運行。在這個例子中，間諜軟體可以為後門應用程式提供觸發器的額外功能。間諜軟體可以等到檢測到某種形式的數據，比如瀏覽了一個特定的Web站點，然後自動啟動後門應用程式。

間諜軟體和後門功能的所有這些組合讓很多企業大傷腦筋。企業可以使用某些工具或技術來保持對間諜軟體的免疫力，但是仍然有可能安裝上後門。您必須小心翼翼地確保在企業環境中監控和控制後門。這意味著，任何用於預防間諜軟體的安全方法還必須要考慮後門，反之亦然。