美国NSA超级后门Bvp47的隐身技能:网络隐身2

admin 2022年11月9日11:32:20安全新闻评论3 views716字阅读2分23秒阅读模式

本文是基于Bvp47技术报告(PDF)和Linux内核写的。

这篇主要是讲述Bvp47在网络侧的隐身

前面已经讲了Bvp47通过挂钩各种内核socket函数,从而在主机侧完美隐身。

但恶意软件一般是要相互通信的,相互通信就意味着一个节点可以连接到另外一个节点的端口。

那么,如果扫描一台机器所有端口,找出哪些开启的端口,和目标主机侧找出监听的端口,是可以知道被隐藏的端口的,从而知道目标主机是否感染了恶意软件。

那么,Bvp47是通过什么方式逃过扫描器的检测呢?

从《Bvp47技术报告》可知,Bvp47使用了一种端口敲门技术。

那么,端口敲门技术是怎样的呢?

端口敲门是通过向目标机器发送特定序列的数据包,当这个序列匹配时,目标机器就会对该源IP打开指定的端口,接受它的连接,从而相互通信。

按照这个技术描述,假设22端口打开需要敲门数据包满足一定序列,序列每项需要源端口,宿端口和标志位都要是特定值。由于端口范围是0-65535,标志位有9种,那么,当该序列只有一个元素时,一个扫描器要扫出目标机器开启了22端口,按照我机器上nmap扫描65535个端口要5.21秒的速度来算,需要扫上35天才能够扫出22端口,每增加一个元素,需要的天数就是35*(65536655369)^(n-1)。

即使,序列只有一个元素,nmap要发现目标机器所有端口,都要35*65536/365=6284年的时间。

Bvp47呢,用了一个序列包,而包里还有136字节的数据。那么,一个扫描器要能够发现它的存在,需要花上2.2亿年。

从这个角度来说,Bvp47从网络上隐身了。


原文始发于微信公众号(debugeeker):美国NSA超级后门Bvp47的隐身技能:网络隐身2

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月9日11:32:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  美国NSA超级后门Bvp47的隐身技能:网络隐身2 http://cn-sec.com/archives/1397298.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: