##CONTINUE##
主題:利用RM編輯器將影片檔嵌入呼叫網頁木馬的事件讓人觀看後中木馬
VMWARE 模擬環境:
Hacker:IP:192.168.123.101
工具:RM編輯器、RM影片、網頁木馬
模擬過程:
Hacker 首先尋找一台Web Server 利用各種技巧網頁,將網頁木馬(範例為:06014.htm)植入到目的地的網站中當作跳版網站。(本案例是模擬則利用自己的Web當作目標跳版網站)。
接著利用該跳版網站製做一個呼叫跳版網站上網頁木馬的呼叫網頁(範例為:mu.htm),並設計植入後瀏覽器視窗會自動關閉以免讓人起疑。並再將此呼叫網頁放至到同一跳版網站中或另一個跳版網站。。(本案例是模擬則利用自己的Web當作目標跳版網站)。
到此已經完成植入網頁木馬[掛馬]的程序,只要等一般不知情的使用者瀏覽到被掛馬的網頁,就可經由網頁木馬再呼叫植入真正的木馬。但有時使用者並不會經常上網尤其被植入的網站流量太少或太不知名則效果不好。
Hacker 改尋找知名或新聞的影片檔案(範例為:林志玲.rm),將該影片使用RM編輯器將原始影片與呼叫網頁木馬事件的文件(範例為:指定於該影片00:01~00:03的時間點呼叫網頁木馬),做加工與合併的工作。
播放之後可發現該影片於指定的時間點會呼叫出木馬網頁(mu.htm)再連結呼叫到(06014.htm)進而植入木馬程式(123.exe),產生一連串惡意程式呼叫及植入的行為。
有心人士做好被加工作的影片之後,則利用P2P軟體大量散佈,假如下載者不注意到影片來源冒然觀看植入惡意程式,攻擊者則可收到源源不絕之植入木馬機器之效果。
註:
- 此手法大多針對副檔名為:rm、rmvb、wmv 檔案格式的居多 ,其它格式例如:avi、mpeg 等也有發現過但製造及加工影片相對前面比較困難。
- 加工與合併網址之手法目的是避免被防毒軟體偵測出來,相對於直接將木馬程式作綑綁影片的處理比較容易通過防禦的措施與設備。
防治手段:
- 不要看影片或者不要利用從P2P軟體從網路下載影片。(不過這有點...因咽廢食之感,當然企業及公務機關應該要封鎖就是,但家用時則要非常注意)
- 看影片時拔掉網路線或暫時讓網路離線,可避免觀看時被影片中的惡意網址對外呼叫木馬程式。(不過這有點笨就是@@)
- 觀看影片時注意是否有異常現象。不過有時手法不同不見得一定會出現瀏覽器視窗。
- 勤於更新病毒碼或加裝其他具有偵測HTML語法是否為惡意程式的功能的防毒軟體,防止被植入時逃避過防毒軟體的偵測。
- 建置具第七層應用程之防火牆或IDS/IDP等多層次資訊安全架構,原因為大多數設定良好的防火牆或IDS/IDP設備均可阻擋從外部下載惡意程式此類的手法。
特別聲明:
- 本影片預設都沒有錄製聲音。
- 此模擬過程為Demo常見之入侵手法,示範及被攻擊主機均為VMWARE模擬機器而非真實主機。
- 該手法所利用之方式,實際上現今應該沒有客戶是採用這麼不安全的方式。
- 本示範檔並非[教授入侵技巧],相關[駭客工具]及[木馬程式]等檔案請勿詢問及索取。
- 部分關鍵畫面採用霧狀馬賽克顯示,以避免旁人有樣學樣。
