一種針對分組密碼軟件的APT 后門及其防范*

王 安, 董永銀, 祝烈煌, 張 宇, 丁瑤玲

1. 北京理工大學 計算機學院, 北京100081

2. 密碼科學技術國家重點實驗室, 北京100878

3. 中國人民解放軍61206 部隊, 北京100042

1 引言

隨著計算機技術及信息化的不斷發展, 計算機軟件已經成為人們生活工作中不可缺少的輔助工具, 成為信息社會實現的基礎. 近年來, 利用軟件后門竊取重要信息的攻擊事件不斷被爆出, 引發人們對軟件安全使用的擔憂, 現階段軟件后門已成為保障重要基礎設施信息安全的焦點之一.

所謂軟件后門, 就是在設計開發階段, 程序員在軟件中創建了隱秘的訪問通道或控制指令, 以便在未來能夠便利地繞過軟件固有的訪問控制權限來訪問軟件或實施控制行為. 其原本目的是在各種實際應用場景下調試復雜的應用程序時, 可以降低調試的困難程度. 隨著時間的推移, 這項技術發生了變化, 其目的也變得不是那么的單純. 部分程序員或廠商故意設置了后門漏洞, 將其作為應用程序和系統中安全的突破口, 來上傳一些病毒、木馬、蠕蟲等惡意程序, 或造成隱私信息的泄露.

近年來, 針對各類軟件的后門攻擊日益增多, 攻擊的廣度和深度也不斷延伸, 造成的損失在不斷擴大.2013 年, Chen 等人提出了一種基于漏洞的后門程序, 誘導用戶安裝存在漏洞的軟件, 并利用該漏洞實施后續攻擊[1]. 2017 年, Bannier 等人發現了對稱加密系統中的數學后門, 提出了類似AES 分組密碼的后門算法提案, 并對該后門的危險系數進行了評估[2]. 2013 年, “棱鏡門” 事件[3]曝光了美國政府利用軟件后門對世界各國實施大規模信息監控. 2017 年, 攻擊者利用病毒[3]感染了M.E.Doc (一款被烏克蘭公司使用的熱門會計軟件) 的更新服務器, 導致歐洲多個國家的機場、銀行ATM 機及大型企業和公共設施大量淪陷. 2017 年, 據《華盛頓郵報》報道，美國計劃向俄羅斯的基礎設施中植入數字炸彈, 一旦美俄關系惡化將隨時引爆[4]. 2019 年, 約翰內斯堡市受到大量網絡攻擊, 黑客組織將惡意軟件植入了與該城市有關的所有電子服務和計費系統中, 并勒索4 個比特幣[5]. 據統計, 美國每年在軟件安全測試上的投入已達到幾十億美元[6].

為了防止各類攻擊, 重要數據系統的管理員往往會采用密碼軟件來保證數據的安全. 此類軟件通常采用密碼技術來實現數據加密、會話密鑰協商、數據來源認證、消息完整性認證等安全功能, 以確保信息在存儲、傳送過程中的安全性. 不幸的是, 密碼軟件也是信息安全廠商開發出的普通計算機軟件, 也需要經歷開發、下載、安裝、使用、維護的過程, 一旦其生命周期中被植入了后門, 將可以直接入侵進入它要保護的數據系統, 反而給攻擊者帶來了更大的便利.

對于惡意目的的軟件后門, 隱蔽性是其最重要的特性. 后門的設計者往往處心積慮地使軟件后門代碼難以被發現, 并長期潛伏, 待滿足特定時機時再進行激活, 具備這種特性的攻擊被稱為APT (Advanced Persistent Threat)[7]. APT 攻擊是近年來被廣泛關注的一類新型安全性威脅, 最初由美國空軍提出, 主要利用網絡、物理、欺騙等途經實現對特定目標的持續性攻擊. APT 攻擊的最大優勢是能夠實現長時間的潛伏和持續性攻擊, 因此, APT 已成為最具威脅性的網絡攻擊之一.

然而, 軟件后門的隱蔽性和其強大的功能之間往往是矛盾的, 這是因為: 一方面, 復雜的功能必然帶來冗長的代碼, 且需對原始軟件進行過多修改, 從而導致其代碼特征的變化很容易被發現; 另一方面, 一些具有明顯危害功能的行為特征很容易被殺毒軟件察覺.

本文中, 我們結合密碼學、差分故障分析、逆向分析、APT 攻擊等技術, 提出了一種面向分組密碼軟件的APT 后門植入方案, 解決了軟件后門隱蔽性和功能強大之間的矛盾問題. 該APT 后門的主要特點如下:

? 植入代碼的隱蔽性強. 該后門主要對原始軟件做兩處修改, 其一是修改分組密碼運算過程中特定輪的少量比特, 用于實施差分故障分析; 其二是用少量判斷語句和獲得系統狀態的代碼來實現激活條件, 這兩處的代碼量通常很小.

? 激活時的表征不明顯. 首先, 利用APT 長期潛伏的原理, 該后門僅僅在某一條件滿足時才會激活,該條件可以設定為特定時間、特定文件名等隱蔽條件. 其次, 該后門激活后, 會執行普通的加密功能, 以及帶有比特翻轉故障的加密功能, 但無論是正確加密還是錯誤加密, 它們都是該軟件的日常工作行為, 因而不易被察覺.

? 植入方式簡單. 利用軟件逆向分析技術, 可在軟件中精準定位到分組密碼運算的某個特定輪. 后門植入方式很簡單, 僅僅將此處的幾個比特進行“有條件” 翻轉, 即可使攻擊者獲得有效的正確密文和錯誤密文.

? 破壞性強. 由于該軟件后門可以直接恢復分組密碼算法的密鑰, 且觸發條件少, 生效時間短, 潛伏時間長, 不易被防火墻及殺毒軟件查殺, 這些功能均給數據系統的機密性、完整性帶來很大影響.

2 預備知識

2.1 軟件后門的實現方式

軟件后門從實現方式上可分為文件捆綁、插入捆綁、代碼植入三種類型。

(1) 文件捆綁

文件捆綁[8]是一種比較傳統的方法, 就是利用捆綁器軟件, 將單獨的后門軟件直接附加到正常軟件的后面, 比如迷你小游戲、辦公軟件等, 當正常軟件被執行的同時, 后門軟件也同時被執行. 這種方式很容易被殺毒軟件查殺.

(2) 插入捆綁

由于每個應用程序內部都有一定的閑置空間可以利用, 后門程序可以直接插入正常程序的中間, 從而使正常程序看上去“原封不動”. 插入捆綁[8]相比于文件捆綁的方式, 被查殺的可能性很小, 更具有迷惑性和欺騙性.

(3) 代碼植入

軟件的設計者在編寫軟件時, 可能直接在軟件內創建后門, 以便調試程序, 或在需要時發起攻擊. 在不公開源碼的情況下, 此類后門很難被發現. 另一方面, 非軟件廠商的第三方開發人員能夠對軟件進行逆向分析, 并插入匯編形態的后門代碼, 同樣實現后門功能.

對于第(1) 種捆綁方式而言, 在計算機安裝有殺毒軟件的條件下, 后門比較容易被發現. 另外, 文件捆綁會造成原軟件的大小發生明顯變化, 尤其是后門程序越大, 變化越明顯, 越容易被發現. 方式(2) 隱藏性較強, 如果再進行加殼處理, 可一定程度上躲過殺毒軟件的查殺, 但是在后門激活時, 其異常行為可能會被殺毒軟件發現. 方式(3) 的隱蔽性相對更強, 在軟件源碼未公開的情況下, 較難被發現和查殺.

2.2 差分故障攻擊

差分故障分析(Differential Fault Analysis, DFA) 是對分組密碼實施故障分析的主流方法, 是由Boneh 等人和Biham 等人于1997 年分別提出的[9,10]. DFA 通過向密碼算法的特定位置注入故障, 用正確的加密結果和錯誤的加密結果進行比對來計算出密鑰. Biham 等人針對DES 算法給出的差分故障攻擊借助了比特翻轉故障模型, 通過向DES 第14–16 輪中注入數十個有效故障, 即可恢復DES 算法的密鑰[10]. 隨后, 人們提出了針對AES 等其它分組算法的DFA 攻擊[11–13].

本文我們以一款DES 軟件為例來設計后門方案. 對于DES 算法的DFA 攻擊, 故障出現在末輪比故障出現在中間輪時, 密鑰恢復算法能夠更加高效[14]. 由于軟件逆向分析工具已十分成熟, 根據實際應用場景, 本文選擇在DES 最后一輪輸入的位置植入故障. 因為最后一輪的雪崩效應較弱, 因而可以通過較為簡單的傳播路線, 得到更有規律的錯誤密文, 用以分段來恢復密鑰.

2.3 軟件的逆向分析

以“代碼植入” 的方式對源碼未公開的計算機軟件植入后門, 需要首先對軟件的代碼進行反匯編, 通過分析匯編代碼來搞清楚其運行過程和各部分功能. 這種將軟件從產品到設計的反向過程, 就是逆向分析.與源代碼開放的軟件不同, 用戶無法快速修改已經編譯成型的可執行文件, 也無法直觀地獲知軟件內部的算法, 這就需要借助逆向分析工具, 從二進制機器代碼翻譯過來的匯編代碼入手來分析程序, 分別推斷其數據結構、體系結構、程序設計信息. 在大多數情況下, 軟件代碼較長、且程序結構復雜, 這導致逆向分析的難度通常很高, 因而在實際中需要尋找盡可能少的修改點, 來達到分析者的目的.

OllyDbg 工具是一款具有可視化界面的用戶模式調試器, 它結合了動態調試和靜態分析, 具有強大的反匯編引擎, 能自動分析函數過程、循環語句、字符串等. 本文中, 我們利用OllyDbg 工具對軟件進行動態跟蹤分析, 獲知加密軟件的加密流程, 并準確尋找到希望注入故障的位置.

3 一種基于差分故障分析的軟件APT 后門

本文以一個具有DES 加密功能的軟件為例開展討論, 為了便于描述, 我們設定其為Windows 操作系統下的一個des.exe 文件, 它以文本文件的格式輸入明文, 并以文本文件的格式輸出密文, 與WinRAR 等軟件類似, 其加解密的密鑰可由用戶輸入的口令來生成.

3.1 整體流程

本文實施攻擊的場景設定為: Alice 和Bob 是兩個合法用戶, 工作中需要對一些文件進行加密傳輸,所使用的軟件為上述des.exe, 二人已通過安全渠道協商好口令, 該口令用于生成DES 加密使用的會話密鑰K. 然而, Bob 在不安全的網絡中下載了由敵手Eve 提供的des.exe 軟件, 該軟件被Eve 植入了后門.Eve 可以通過預留的后門來獲得一些信息, 從而推導出Alice 和Bob 的會話密鑰K, 圖1 展示了具體流程:

階段1: 后門植入

(1.1) Eve 下載正常的des.exe 軟件, 用逆向分析技術為軟件植入后門, 植入方法見3.2 節.

(1.2) Eve 誘導Bob 安裝帶有后門的des.exe 軟件.

階段2: 故障誘導

(2.1) Alice 請求Bob 以加密的方式將文件F 發送給Alice.

(2.2) Bob 在后門未激活的情況下使用des.exe 軟件和密鑰K 將文件F 加密為C, 并發送給Alice.

(2.3) Alice 向Bob 返回解密成功的確認消息, 但Eve 向Bob 實施拒絕服務攻擊, Bob 無法獲知該確認消息.

(2.4) Eve 選擇在適合后門激活的時間段內(后門是通過時間激活的, 見3.2 節) 假冒Alice 身份, 向Bob 發送消息, 聲稱文件C 解密失敗, 再次請求Bob 重新加密文件F 并再次發送.

(2.5) Bob 在后門被激活的時間段內使用des.exe 軟件和密鑰K 再次對文件F 加密, 得到錯誤的密文C′, 并發送給Alice.

(2.6) Eve 截獲步驟(2.2) 和步驟(2.5) 中的密文C 和C′.

階段3: 密鑰恢復

(3.1) Eve 利用DFA 恢復DES 密鑰K, 具體方法見3.3 節.

(3.2) Eve 用密鑰K 從加密文件C 中恢復出文件F, 并恢復出從前Alice 和Bob 之間多次加密傳輸過的各個文件中的信息.

(3.3) Eve 繼續監聽Alice 和Bob 之間的加密信道, 從而獲取更多信息.

3.2 后門植入方式和后門激活條件

在獲得正式版的des.exe 軟件后, 敵手Eve 可對該軟件進行逆向分析, 在代碼中找到其中DES 加密的第16 輪的位置, 并將其改為下列條件分支:

(1) 在后門未激活時, 執行正常的第16 輪加密.

圖1 實現流程Figure 1 Implementation process

(2) 在后門被激活時, 將第16 輪的32 比特輸入值R15的第2/6/10/14/18/22/26/30 比特進行翻轉,并繼續執行后續的第16 輪加密.

后門激活的條件可設定為經常發生、不易被發現、且易于受到Eve 控制的事件, 例如軟件運行時的系統時間在20 點05 分到20 點15 分之間. 當Eve 選擇在20 點05 分執行步驟(2.4), 響應速度較快的Bob 將以很大概率在10 分鐘內將文件F 加密為C′, 從而讓Eve 的計劃得逞.

3.3 基于差分故障分析的密鑰恢復

當Eve 獲得由相同明文和密鑰生成的正確密文文件C 和錯誤密文文件C′后, 可通過差分故障分析計算出第16 輪輪密鑰K16可能的值. 其原理如下:

DES 算法加密得到的密文文件一般由多個分組構成, 對于正確密文C 和錯誤密文C′中的第一段64比特分組, 設出錯位置發生在第16 輪輸入位置R15的某1 個比特, 一方面, 該比特會直接影響到L16的1 個比特, 另一方面, 會影響到第16 輪的1 個S 盒(實際中可能會影響到1 到2 個S 盒, 為了簡便描述,我們只討論影響到1 個S 盒的情況, 影響2 個S 盒的情況與之類似), 進而影響到R16的4 個比特, 如圖2(左) 所示. 對于第16 輪異或輸入值中與該S 盒對應的6 比特v (設兩次加密時分別為v1和v2)、以及第16 輪該S 盒的輸出值y (設兩次加密時分別為y1和y2), 攻擊者可以通過兩次加密密文中的L16和R16推導出v1和v2, 以及y1和y2的差分?y, 如圖2(右) 所示.

此時, 攻擊者可對圖中的6 比特密鑰k 進行猜測, 遍歷0 到63. 對于每個密鑰猜測, 用已知的v1和v2輸入到異或和S 盒中, 看其輸出值的差分是否等于?y. 若相等, 則表明當前密鑰猜測可能正確; 若不相等, 則表明當前密鑰猜測必然不正確. 通過這種篩選, 可排除掉大部分錯誤的候選密鑰.

隨后, 對密文的另一段分組也進行上述分析, 可進一步縮小候選密鑰的范圍. 重復這一過程多次, 即可最大化縮小k 的可選范圍, 縮小計算量. 其它7 個S 盒對應的6×7 比特密鑰也可用相同方法恢復, 從而恢復出DES 算法第16 輪的48 比特輪密鑰的可能值. 最后, 再通過8 比特的窮搜, 即可獲得DES 算法的56 比特原始密鑰.

3.4 安全信道條件下的攻擊流程

如果Alice 和Bob 之間的所有數據通信均帶有消息來源認證, 則階段2 中的步驟(2.4) 將無法實現.此時, 我們可將階段2 的協議改為:

(2.1) Alice 請求Bob 以加密的方式將文件F 發送給Alice.

(2.2) Bob 在后門未激活的情況下使用des.exe 軟件和密鑰K 將文件F 加密為C, 并發送給Alice.

(2.3) Eve 使用拒絕服務攻擊手段, 使Alice 無法收到加密文件C.

(2.4) Alice 再次向Bob 請求文件F. 但Eve 使用拒絕服務攻擊手段, 攔截到該請求, 暫時不發送給Bob, 隨后選擇適合后門激活的時間段內將其發送給Bob.

(2.5) Bob 在后門被激活的時間段內使用des.exe 軟件和密鑰K 再次對文件F 加密, 得到錯誤的密文C′, 并發送給Alice.

(2.6) Eve 截獲步驟(2.2) 和步驟(2.5) 中的密文C 和C′.

該協議中, Eve 借助兩次拒絕服務攻擊, 在安全信道下仍然獲得了用于恢復密鑰的密文C 和C′, 故而上述APT 后門攻擊仍然成立.

4 實驗與對比

4.1 定位故障注入位置

為了獲知加密軟件des.exe 中與DES 算法相關的執行流程, 并定位加密算法最后一輪的輸入位置, 我們利用軟件逆向工具OllyDbg 對該軟件進行分析. 在沒有源代碼的情況下, 我們動態跟蹤代碼的執行, 查看寄存器和棧的內容, 可以得到程序執行中間結果的一些反饋. 當des.exe 軟件導入逆向工具OllyDbg后, 程序運行指針直接停在了程序的入口點. 如圖3 所示.

在導入待分析軟件后, 我們對其進行動態與靜態相結合的分析. 首先查看某些具有特定語義的字符串是否出現在軟件中用. 我們利用OllyDbg 字符串查找功能, 獲取了軟件在編寫過程中所使用的所有字符串, 發現了一些變量定義的信息, 如plaint、skey、in、kval、out、key 等字樣, 如圖4 所示, 我們猜測它們代表的是明文、源密鑰、輪輸入、輪密鑰、輪輸出等含義.

隨后, 我們對程序的運行流程做了全面的瀏覽, 按快捷鍵F8 一步一步執行, 尋找相關信息. 在運行的過程中, 我們發現了main() 函數和des() 函數的位置. 如圖5 和圖6 所示.

找到des() 函數的地址, 就相當于找到了算法的起始位置. 進入該函數后, 繼續單步執行, 可以發現在該函數下存在多個CMP 指令, 該指令很可能會用于判定當前執行的輪數是否已經達到16 輪. 最后, 我們鎖定了一條有關16 的CMP 指令, 即cmp dword ptr [ebp-50], 10. 由此大致確定, 這條指令之前或之后的一小段程序可能是DES 的輪函數. 我們跟蹤這段程序, 當循環的數值為14 時, DES 算法運算到達了第15 輪. 在該輪計算結束的位置, 就是我們要注入故障的位置.

圖4 軟件使用的字符串信息Figure 4 String information used by software

圖5 main() 函數位置Figure 5 Location of main() function

圖6 des() 函數位置Figure 6 Location of des() function

4.2 后門代碼的植入與驗證

OllyDbg 工具中顯示的代碼均為匯編代碼, 因而在植入代碼時, 我們也必須使用匯編語言才能滿足要求. 我們的目標是實現在DES 加密算法的第16 輪輸入R15處按照某個激發條件發生若干比特的錯誤.在添加代碼時, 由于此處的空間有限, 我們無法在原有位置上直接添加后門激活條件和產生比特翻轉的代碼.

解決這個問題的方法是, 我們在程序后面的空白處增加后門代碼. 具體方法是: 首先在原有位置添加一個跳轉指令, 跳轉到程序后部的一段NOP 代碼的位置, 隨后在此NOP 位置添加若干后門代碼, 最后再跳轉回原位置. 修改之后, 對該程序進行保存, 就成功實現了后門代碼的植入.

最后, 我們運行該軟件, 輸入一個已知的密鑰, 并用一個已知的明文文件進行驗證, 在后門未激活時運行加密得到密文文件C、并在后門激活時運行加密得到密文文件C′, 通過對比C 和C′的兩個L16之間有那些比特不同, 來驗證后門注入的實際效果.

4.3 密鑰恢復

通過以上技術操作, 我們成功獲得了同一個明文文件F 的兩個不同密文文件. 隨后我們編寫了DES算法差分故障分析的密鑰恢復程序, 以恢復第16 輪子密鑰K16和源密鑰K. 在實驗中, 我們實際使用的密鑰K 為0x7C 6C 6C 7C 7C 6C 6C 7C, 第16 輪輪密鑰K16為0xF1 BE 26 D9 DF 78, 第一個S 盒對應的6 比特密鑰值為111100. 我們嘗試對該S 盒對應的6 比特密鑰進行恢復, 過程如下:

(1) 單明文減少單S 盒密鑰空間

首先, 我們采用第一個分組的明文進行了一次分析實驗, 相關信息為:

明文: 0x28 D4 D3 A6 A4 74 2A D7

正確密文: 0x85 8E 27 2B 7D 93 0D C7錯誤密文: 0x84 DF DC 3B 2D C6 F6 D7

用DES 算法的原理,我們利用密文計算出圖2 中v1的值為二進制 010100,v2的值為二進制 011100,?y 的值為二進制 1001, 進而采用差分故障分析得到第16 輪的第一個S 盒對應的密鑰候選值為{0x12,0x1A, 0x31, 0x34, 0x39, 0x3C} , 當前這組密文對可將第16 輪的候選密鑰值從64 個直接縮減到6 個.

(2) 多明文縮減單S 盒密鑰空間到最優

隨后, 我們又采用了一個明文的分組來做第二次分析實驗, 相關信息如下:

明文: 0x99 22 BC DC BB 3F 2E 78

正確密文: 0x07 99 4D 91 F9 DB 5F BF

錯誤密文: 0x43 D8 B3 C4 ED CB A5 AA

在第二次分析實驗中, 第16 輪的第一個S 盒對應的候選密鑰值為{0x34, 0x3C}, 與第一次實驗結果取交集, 第16 輪的候選密鑰值再次縮減, 從6 個減少到2 個. 根據差分分析的原理, 候選密鑰減少到2 個已經達到最優解.

(3) 多明文縮減全部S 盒密鑰空間到最優

采用同樣的方法,我們共使用了0x28D4D3A6A4742AD7,0x9922BCDCBB3F2E78,0x474B0436427 92BD6, 0x2339F0280D319332, 0x032C6844C789D02C 共五組明文信息, 分別將8 個S 盒對應的6 比特候選密鑰縮減到了2 個. 8 個S 盒對應的可能密鑰分別為: {0x34, 0x3C}, {0x13, 0x18}, {0x30, 0x38},{0x26, 0x2E}, {0x36, 0x3E}, {0x15, 0x1D}, {0x35, 0x3D}, {0x30, 0x38}.

(4) 恢復源密鑰

目前, 恢復第16 輪輪密鑰值K16的搜索空間已縮減到28, 由于從K16搜索源密鑰K 的空間為28,因而我們最終通過216次搜索, 恢復了DES 算法的源密鑰0x7C 6C 6C 7C 7C 6C 6C 7C, 大約耗時1 秒鐘.

4.4 后門方案對比

我們將本文設計的APT 后門與現有技術進行對比, 如表1 所示. 與捆綁式后門、傳統植入式后門相比較, 本文提出的APT 后門不會留下捆綁痕跡, 篡改的代碼長度短, 隱蔽性強, 激活表征不明顯, 執行時間短, 因而具有更強的威脅性.

5 APT 后門的可行性與防范探討

5.1 APT 后門的可行性

軟件后門在實踐中是否可行, 主要取決于它是否能夠繞過后門檢測工具的查殺. 目前學術界對這種“繞過” 技術的專業研究較少, 現有軟件后門普遍采用兩種思路來繞過檢測工具, 其一是采用APT 手段提前獲取權限, 其二是通過一些隱蔽手段來確保不會被檢測工具發現.

表1 后門方案對比Table 1 Comparison among backdoor schemes

隨著網絡武器的發展, APT 已演變為一類防不勝防的攻擊手段, 后門在與APT 相結合后, 通常會在一段時間內運行一個簡單的惡意程序, 在確保自己不會被發現后, 長期蟄伏, 并選擇合適的時機進行強力攻擊. 2019 年10 月, 黑客組織APT41 對廣泛使用的TeamViewer 辦公軟件的后臺服務器實施了網絡攻擊, 直接導致大量用戶電腦上安裝的TeamViewer 軟件帶有惡意后門, 黑客們能利用該后門來訪問和控制安裝了TeamViewer 的客戶端[15]. 有證據顯示TeamViewer 后臺服務器早在很久之前就被黑客攻陷, 黑客正是利用這種“持續性” 威脅, 潛移默化地對用戶隱私進行侵犯. 該案例足以說明APT 攻擊不僅僅發生在國家關鍵基礎設施中, 同時也發生在我們身邊.

一些傳統的隱蔽手段也能以一定概率繞過檢測工具, 具體效果需要看后門固有代碼的隱蔽性、以及運行過程中的隱蔽性. 例如本文提出的后門方案之所以能夠繞過一些檢測措施, 主要是因為其植入代碼短、植入方式簡單, 其代碼具有較好的隱蔽性. 同時, 該后門在激活時的表征不夠明顯, 不會產生額外的網絡數據包或其它敏感數據流, 所以它可以繞過一些基于數據流量變化分析的實時檢測工具.

本文提出的APT 后門方案正是結合了上述APT 手段和隱蔽性的特點, 因而可以繞過檢測工具的查殺. 需要說明的是, 本文研究APT 后門、分析其可行性, 當然不是為了蓄意對計算機系統進行破壞, 而是希望學術界、產業界、普通用戶都能夠足夠重視APT 后門, 提高防護意識, 加強防護技術的研究.

5.2 APT 后門的防范技術

軟件后門已被人們研究多年, 學術界已提出了許多防范措施. 然而, 本文提出的APT 后門具有很強的隱蔽性, 很可能繞過殺毒軟件的監控, 其防范對策可以從下列幾點進行考慮:

(1) 安全軟件廠商應進行嚴格的版本控制, 其官網應提供所有版本的Hash 校驗值.

(2) 用戶在下載軟件后, 應從可靠渠道獲得其Hash 校驗值, 并對軟件完整性進行驗證.

(3) 用戶仍然有必要安裝殺毒軟件和防火墻, 并及時進行版本升級. 一方面, 它可以有效規避軟件中的一些惡意行為的發生; 另一方面, 也可以杜絕一些靠第三方病毒下載的后門軟件.

(4)在必要時, 信息安全測評機構和關鍵基礎設施的信息安全員應針對特定軟件(如進口操作系統、進口應用軟件等) 進行深入地安全檢測.

(5) 檢測人員可結合靜態檢測[16,17]、動態檢測[16,17]、數據挖掘[18]等先進的智能化檢測技術, 與APT 后門進行對抗.

(6) 用戶需具備高度警惕的信息安全意識, 不從不可靠的網站下載軟件, 也不相信來路不明的軟件.

(7) 關鍵基礎設施的信息系統管理員或其主管部門應制定信息安全規章制度, 強制要求計算機操作員或用戶按照規章制度來進行操作.

單獨實現上述防范措施, 未必能夠百分之百抵抗APT 后門的攻擊, 實際中通常需要多種方式相結合,以達到最理想的防范效果. 例如用戶安裝軟件時一般不愿意做Hash 校驗, 但主管部門可以制定規章制度,強制要求廠商必須提供Hash 校驗值, 并要求用戶安裝軟件時必須進行Hash 校驗.

6 總結

本文基于分組密碼算法的差分故障分析原理, 設計了一個具有很高隱蔽性的軟件后門, 可在軟件使用過程中隱蔽地激活, 并協助敵手恢復軟件使用者的會話密鑰, 我們將其稱為APT 后門. 我們借助逆向工具OllyDbg 對DES 加密軟件進行了逆向分析實驗, 在軟件中仿真實現了該后門, 并借助后門輸出的故障密文, 成功恢復了DES 算法的密鑰. 最后, 我們探討了APT 后門的防范對策. 在實際應用中, DES 算法的加密軟件已經無法滿足某些方面的要求, 加大其它算法的研究力度已刻不容緩. 因此, 下一步我們將考慮更多密碼算法的后門植入與檢測, 比如3DES、AES、SM4 等. 同時, 實際中的軟件通常由多種不同的編譯器生成, 并可能采用不同加殼工具進行加殼, 這也會給APT 后門的植入和檢測帶來新的挑戰. 后續我們會嘗試將本文的方法應用到實際的第三方軟件中, 繼續探討該后門在不同算法、不同實現場景下是否有效, 并提供相應的防范措施.

信息安全的攻和防總是相輔相成、共同發展的, 隨著信息安全檢測技術的飛速發展, 后門隱藏[19]技術也在不斷提高, 單一的檢測方法可能無法保障軟件的安全性, 需要將多領域、多行業、多維度、多角度的分析方法進行整合, 這是一個值得長期研究的領域.