第四季是一个过渡季,过渡后门在对抗升级中由传统后门,衍生成锁定目标的制定后门。引用百度百科的“后门程序"的相关解释:
安全从业人员,其实至少一直在与传统后门对抗,比如最常见的webshell免杀与webshell过waf。应急中的样本取证查杀远控残留文件等。但是webshell,远控仅仅又是“backdoor”的其中一种。
这里按照上几季的风格继续引用几个概念,只有概念清晰,才能了解如何对抗。
1:安全从业人员为什么要了解后门?
防御是以市场为核心的,而不是以项目为核心。需要对抗的可能是黑产从业者的流量劫持相关后门,或者是政治黑客的高持续渗透权限把控后门等。
2:攻击人员为什么要了解后门?
随着对抗传统后门的产品越来越成熟,由特征查杀,到行为查杀,到态势感知。到大数据联合特征溯源锁定,如何反追踪,是一个非常值得思考的问题。
3:后门与项目的关联是什么?
某项目,被入侵,应急并加固解决,若干天后,再次被入侵依然篡改为某博彩。导致安全从业人员,客户之间的问题。