##CONTINUE##
主題:利用有MS06027 Word 弱點開啟文件後植入木馬
VMWARE 模擬環境:
Hacker:IP:192.168.123.101
工具:MS06-027 弱點工具、植入的木馬
Client :IP:192.168.123.102
工具:Process Explorer 、 Word 2003
模擬過程:
Client 收到一個名為[ Good01.doc ]的文件,該文件是一份正常的 Word 檔案。利用 Word 2003 (未修正相關弱點的版本) 打開來之後,利用 Process Explorer 觀察並無特別的現象(也就是植入木馬的現象)。
Hacker 收到相同版本的[ Good01.doc ] Word 文件(本案例是直接用 網路上的芳鄰 COPY),使用[ MS06-027 弱點工具 ]將
- 想要植入的木馬程式(.exe 檔案)
- 原始正常的[ Good01.doc ] Word 文件
- 合併產生異常的[ Good02.doc ] Word 文件
接著再利用各式各樣的管道
- 利用E-Mail 的好康郵件
- 網站或部落格(BLOG)的下載區
- 討論區或論壇附件下載
- P2P程式下載
- 即時通訊軟體(例:MSN、Yahoo)傳輸
將已經改造過的[ Good02.doc ] Word 文件傳給使用者,利用[ 好東西會跟好朋友分享 ]的心理(迷之聲:好的木馬也會跟好朋友分享植入@@),在大量傳播之下使得凡是開啟[ Good02.doc ] Word 文件的人,均成為[ 一個很好的肉雞 ]。
比對原始正常的[ Good01.doc ] Word 文件與異常的[ Good02.doc ] Word 文件發現,原來由[ 100KB ]大小的文件,變成有附加木馬程式的[ 214KB ]大小的文件,再點選異常的[ Good02.doc ] Word 文件於Process Explorer 觀察可看到明顯的木馬植入程序。
註:
- 此手法利用的弱點為[ MS06-027 ]。 先讓 Word 產生當掉(弱點的影響)所以會先有開啟文件後突然消失的樣子,然後第二次打開時就會隨同木馬植入並也會產生 Word 的暫存檔[ ~$Good02.doc ]。
- 為了能明顯在Process Explorer 中觀察到,所利用的木馬是採用很原始並沒加工、加殼、加花或 Rootkit 過等隱藏技術的木馬程式。一般來說[ 惡意的製造者 ]並不會用這樣[ 明顯可察覺 ]的木馬。
防治手段:
- 修補 Word 的[ MS06-027 ]弱點。
- Word 文件被附加木馬程式檔案會變大,但這除非原始文件的創作人[ 提供MD5值或簽章加密 ]可以做比對,不然收到該文件的人怎會知道是否被動手腳?現行環境對使用者實施上有困難。
- 不要 Word 系列產品?不過這有點...因咽廢食之感,當然你可有其它選擇方式,但這只是提醒凡是文件均有可能採用弱點做加工,使用者要非常注意。(迷之聲:拔掉網路線或不要用電腦可能方法更好@@)
- 觀看 Word 文件時注意是否有異常現象。不過有時手法不同不見得一定會出現異常狀況。
- 勤於更新病毒碼或加裝其他防毒軟體,防止被植入時逃避過防毒軟體的偵測。
- 企業裡建置具第七層應用程之防火牆或IDS/IDP等多層次資訊安全架構,原因為大多數設定良好的防火牆或IDS/IDP設備均可阻擋從外部下載惡意程式此類的手法。
參考連結:
Microsoft 安全性公告 MS06-027
Microsoft 安全性摘要報告 (929433)
CVE-2006-2492
特別聲明:
- 本影片預設都沒有錄製聲音。
- 此模擬過程為Demo常見之入侵手法,示範及被攻擊主機均為VMWARE模擬機器而非真實主機。
- 該手法所利用之方式,實際上現今應該客戶都應該已經修正完Office 弱點。
- 本示範檔並非[教授入侵技巧],相關[駭客工具]及[木馬程式]等檔案請勿詢問及索取。
- 部分關鍵畫面採用不顯示工具名稱與不是很清楚的方式顯示,以避免旁人有樣學樣。
