主題:寄發匿名及偽造的E-Mail點選超連結立即中木馬並可遠端遙控
VMWARE 模擬環境:
Hacker:IP:192.168.123.101
工具:IIS 5.0、第二代木馬、第三代木馬
Client:IP:192.168.123.102
服務:XP、Windows圖片和傳真檢視器、IE、Outlook Express
模擬過程:
這個示範與[利用漏洞瀏覽色情圖片時植入木馬]的原理及手法是相同的,主要差別在於這個示範是透過[有問題的E-Mail]來傳送有問題的網址,也是一種[社交攻擊]的應用。同樣的Hacker 首先將第二代木馬的Server端程式(G_Server.exe)與第三代木馬程式(rejoice_06.exe 與 rejoice.dll)上傳至免費網路空間或被入侵的Web與FTP空間。接著利用MS06-001的漏洞製作出Exploit的惡意程式,並與色情圖片與HTML網頁程式互相連結並一起上傳至[知名網站]。接著使用[知名餐飲連鎖店的廣告E-Mail]的手法大量宣傳該網址,誘使不知情的使用者[點選]看似正常的網址,進而間接傳入惡意程式至使用者端,再利用使用者端當[跳板]來取得其他[網路上芳鄰]的資料。
前半段影片使用[第二代木馬]由於不具有[反向連接]之功能,在[個人防火牆]中可被[攔截及阻擋],而後半段影片則改用[第三代木馬]使用[反向連接],則可順利通過防火牆的[攔截及阻擋]作為目前近期之木馬及後門程式均具有[反向連接]來[穿透防火牆]之對照組。
註:本次示範使用的是[XP內建之個人防火牆],不代表所有防火牆均無法攔截。
防治手段:
- 修正與修補MS06-001漏洞。
- 攔截或檢視有問題之郵件超連結。
- 教育訓練使用者與遵守資安政策。
- 建置IDS/IDP等多層次資訊安全架構。
相關連結:
大陸木馬的發展與分類
第二代Process隱藏技術
第三代Process隱藏技術
釣魚網站手法
特別聲明:
本影片預設都沒有錄製聲音,只有在舉辦研討會中才會有錄製聲音。
此模擬過程為Demo常見之入侵手法,示範及被攻擊主機均為VMWARE模擬機器而非真實主機。
本示範檔並非[教授入侵技巧],相關[駭客工具]及[木馬程式]等檔案請勿詢問及索取。
