2013年4月2日 星期二

巧用WinRAR來抓雞

http://ww.citymaid.info/viewthread.php?tid=788&page=1

WinRAR已經成為用戶電腦中必裝的軟體,可你想過駭客會利用它來抓雞嗎?這是真的,只需一個小小的WinRAR漏洞利用程式,就可以把.rar格式的檔變成抓雞工具。一旦運行了檔就會變成駭客的肉雞。這是目前抓雞比較有效的方法之一,我們應該如何防範呢?下麵我們就來揭開謎底。
  小知識:抓雞是駭客常用術語,意思是指主動通過某些程式(如木馬程式或遠程控制程式的客戶端)或技術手段控制用戶的PC機,被控制的PC機稱之為肉雞。
為什麼要用WinRAR漏洞抓雞
  網路上流傳有很多可執行檔捆綁工具,這些工具雖然可以方便的將兩個或多個可執行檔捆綁為一個程式,並且可以進行簡單的偽裝,但是其原理卻決定了其不可能成為完美的捆綁工具,目前主流的殺毒軟體都可以輕易地將它清除掉。
  而用WinRAR漏洞捆綁木馬來抓雞就很有優勢,因為普通捆綁檢測都是用16進制編輯工具查看程式PE頭進行判定的(大部分捆綁程式檢測工具用的就是這個原理),但是這條不適合這個漏洞。
  小提示:該漏洞的原理是由於WinRAR在處理LHA格式檔時存在邊界條件錯誤,而若將一個經處理後檔改為長文件名並附加成LHA檔,再調用相應參數生成新的壓縮包後,被WinRAR打開的時候就會導致本地緩衝溢出。
  當用戶點擊壓縮包時會出現錯誤提示(圖1),這時木馬程式就已經悄悄運行了,肉雞就到手了。所以如果我們用這個漏洞來抓雞,成功率是十分高的,比原始的3389端口抓雞的成功率高多了。

如何用WinRAR漏洞抓雞
  Step1:將WinRAR的利用程式放到任意目錄中,例如C盤根目錄。
  Step2:單擊菜單中“開始→運行”命令,輸入“cmd”運行“命令提示符”。將游標切換到“c:”,輸入“rar.exe”查看利用程式的使用方法。其使用方法為:“rar [選項] ”。
  其中“選項”可以指定生成的檔案名以及選擇溢出的操作系統等操作。我們使用默認的配置,可以不輸入,有需要的話可以添加相應的“選項”。
  Step3:將配置好的木馬服務端程式也放到C盤根目錄,並命名為123.exe。在“命令提示符”中輸入命令:“rar 123.exe”,如果回顯中出現“All Done! Have fun!”字樣即表示捆綁有木馬的WinRAR檔生成了(圖2)。

  Step4:最後我們要做的就是將這個捆綁有木馬程式的WinRAR檔發送給別人,當對方運行這個WinRAR檔時,將會出現錯誤,但是木馬已經悄悄地在對方系統後臺運行了。對方的電腦也就成了我們的肉雞(圖3)。

  不過要充分利用這個漏洞,光靠觸發漏洞是不夠的,木馬的配置也很重要,例如要設置運行後刪除自身,安裝服務端時不出現提示等,這樣當用戶運行惡意WinRAR檔時只會出現WinRAR的錯誤提示,是絲毫感覺不到木馬運行的。接著我們還要給木馬加上免殺,例如加殼處理和修改特徵碼等,否則被殺毒軟體檢測出來豈不前功盡棄。
  小提示:運行漏洞利用工具時請先關閉殺毒軟體,因為殺毒軟體會把它當作駭客工具給清除掉。
防範技巧
  1.不要運行陌生人發過來的檔。這是老生常談的問題了,只不過以前只針對可執行檔,現在連WinRAR也不能輕易運行了。
  2.識別惡意的WinRAR檔。在運行WinRAR檔之前,我們可以先對其進行檢查,確定無危害後再運行,檢查的方法為:右鍵單擊WinRAR檔,在菜單中如果沒有“用WinRAR打開 ”這一項,則說明壓縮包有異常,不要輕易打開!
  3.升級WinRAR到3.7以上的版本,新版本打開雖仍會提示出錯,但木馬程式不會運行。
攻防博弈
  攻 駭客:雖然很多人都有給系統打補丁的習慣,但會給應用軟體升級的人少之又少,所以將捆綁有木馬的WinRAR檔上傳到軟體下載網站或一些資源論壇中,將大大增加抓到的肉雞數量。抓雞的方法多種多樣,我們還可以用135端口來抓安全意識不強的雞。
  防 編輯:系統軟體的漏洞可以通過自動更新來解決,而工具軟體的漏洞只能通過經常關注一些專業媒體的提醒,定期升級程式來解決。同時養成良好安全習慣,不接收不下載來路不明的壓縮檔才是最好的防範方法!至於135端口抓雞,只要我們關閉了端口,調高了防火牆的安全等級就不用懼怕

沒有留言:

張貼留言