恶意软件
后门
别称: 陷门, 隐藏访问通道
定义
绕过正常认证或访问控制、为攻击者提供未来进入系统通道的隐蔽机制。
后门为已被入侵的主机、网络设备或应用提供隐蔽且持久的访问通道,通常绕过日志、认证和策略控制。它可能由外部攻击者植入(Web Shell、恶意服务、计划任务)、由内部人员预设、隐藏在软件供应链中,或者作为厂商未公开账号存在。后门可用于执行命令、外泄数据,并在被清除后再度进入。检测需要关联端点与网络遥测、检查代码签名、审计配置、开展威胁狩猎以及供应链证明。缓解措施包括最小权限、定期轮换凭据和密钥、异常检测与不可篡改的审计日志。
示例
- 2020 年 SolarWinds Orion 供应链攻击中的 SUNBURST。
- 部署在被入侵 Exchange 服务器上的 Web Shell,如 China Chopper。
相关术语
远程访问木马(RAT)
一种使攻击者能够隐蔽、交互式地控制受感染设备的恶意软件,类似于隐藏的远程管理工具。
Rootkit
一种隐蔽性极强的恶意软件,可在操作系统或设备上获得并隐藏特权访问权限,使常规工具难以检测。
命令与控制(C2)
攻击者用来与被入侵系统保持通信并下发指令的基础设施和通道。
供应链攻击
通过攻陷可信的第三方软件、硬件或服务提供商,进而入侵其下游客户的攻击方式。
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT) — definition coming soon.
恶意软件
任何被故意设计用于破坏、损害计算机、网络或数据,或对其进行未经授权访问的软件。