唔好搞我後面系列】後門攻擊（二）：古惑仔的三大秘笈

https://youtube.com/watch?v=nlS5lBNm9Us%3Fwmode%3Dtransparent%26rel%3D0%26feature%3Doembed

上次網絡安全組織 VXRL 成員 Boris So 同大家講解過後門（Backdoor）好難分辨有心定無意，同埋簡單介紹咗後門的種類。今次就用三個實例，分析三種常見嘅後門攻擊手法係點執行，同埋根據呢三個個案嘅攻擊手法，從植入嘅複雜性、可執行嘅權限及隱密性三方面嚟進行評分。

寫死密碼

講緊嘅係 2015 年 Juniper 嘅 Firewall 被發現有後門事件，呢個後門屬於 hard-coded password，只要經 SSH 或 Telnet 連接到 Firewall 裝置，就可以用呢組密碼取得最高權限。Boris 話呢個後門非常聰明，因為寫死嘅密碼係偽裝成 C 語言常見嘅 format string instruction，無論係人眼抑或 scanner 去分析呢段 code，都有好大可能俾佢瞞過。由於植入手法簡單又聰明，又攞到最高控制權做乜都得，再加上唔容易被發現，所以 Boris 對佢嘅評價極高。

供應鏈後門

另一個個案係今年三月，Bootstrap-Sass 嘅 Ruby 套件暗藏遠程執行代碼類型後門，Boris 話而家好多 Developer 都慣用 open source 資源，但用之前又無檢查清楚啲代碼入面有無問題，好易出事。呢種供應鏈攻擊（supply chain attack）近期好常見，好似 DockerHub 之前就被發現有 17 個 image 有後門。而 Bootstrap-Sass 套件內嘅後門就屬於好明顯放入去嘅後門，因為段代碼係完全無需要出現嘅，而佢嘅作用，就係嘗試喺 http request 讀出指定嘅 cookies，然後將呢啲 cookies 以 Base64 嚟解碼，之後再以 runtime 嚟 evaluate，成功達到遠程執行代碼嘅效果。Boris 話由於呢個隱藏功能可以執行任何指令，喺可執行權限方面嘅得分好高，不過植入嘅手法比其他例子略為複雜，亦容易俾人眼或 scanner 搵到出嚟，事實上呢個後門一日內就俾人發現，所以要減返啲分嘞。

複製信用卡

最後一個個案就係啱啱因為客人資料外洩，而被判罰 1.8 億英鎊嘅英國航空。由於佢哋嘅網站俾 Magecart 黑客組織植入咗一度 Javascript 後門，令黑客可以通過 jQuery 嘅 Ajax call 方法，暗中將客人輸入嘅信用卡資料複製多一份偷走。Boris 評價話呢個後門嘅植入手法並唔複雜，好容易就會俾人發現得到，而且由於只可以偷事前特定嘅客戶信用卡資料，所以功能亦只屬一般，換言之呢個價值 1.8 億英鎊嘅後門就唔算係高招嚟喇。

唔少企業管理者以為買個 code scanner，就可以將有問題嘅 code 捉晒出嚟，實情係咪咁呢？係咪愈貴嘅 code scanner 就愈安全？請留意下回【唔好搞我後面系列】後門攻擊（三）：Scanner 靠得住，豬乸會上樹

相關文章：【唔好搞我後面系列】後門攻擊（一）：有心扮無意睇 code 好難知