LV. 47
GP 2k

【心得】楓 - 您到底是怎麼被植入木馬的?迷思誤區

樓主 幽楓 b1356788
GP5 BP-
前言 :
今天整合一下網友來的信件,有些人對於木馬的威脅,是唯恐不及的或是一些小疑問...個人依目前常見的木馬來說解一下吧...
一些不常見的手法,就請多多提供樣本囉...

本文:
Q:有夾帶木馬的檔案在硬碟裡它會被執行運作嗎?防毒程式為什麼沒有反應?
A:這要看木馬的啟動方式,這種木馬通常是被動式的,沒執行就沒有反應。或者是它的副檔名特殊(加殼),要一些觸發條件他才會被啟動,或著是您的防毒程式不支援掃描壓縮格式。

Q:您常常說的捆綁文件是什麼呢?
A:綑綁文件就是將正常的檔案和木馬一起夾帶,比如說某個微軟更新,或是某個外掛文件。

Q:3389端口、漏洞又是什麼?
A:簡單來說是可能可以telnet、上傳的端口,著名的3389就是一種遠端操控。一般來說會取1024 - 65535端口,1024以內的是高手在玩的...比較罕見,不是說沒有。
而漏洞簡單來說就是系統存在的缺陷,會被我們黑客拿來利用的取得您系統的主控權,這解釋應該比較好理解。

Q:我開防毒軟體和防火牆可以免除這些威脅嗎?
A:答案是否定的。因為使用者會不斷自網路下載檔案、傳輸協議,威脅不可能就此消失。而且目前盜版猖獗、破解軟體盛行、木馬暗藏,難保證您的防毒軟體可以這樣招架使用者的這樣虐待。

Q:卡巴斯基萬能嗎?
A:這也是否定。

Q:HIPS開著就可以網路裸奔嗎?可以取代防毒嗎?
A:可以,只要熟悉父子規則(自己調校出屬於自己的HIPS吧),愛怎跑就怎跑吧。但還是堤防那些高精度的滲透...不能說開HIPS就100%安全。
另外防毒的HIPS和正統的HIPS防護軟體還是有微妙差異,防毒的看上去比較陽春...
能不能取代防毒呢?答案是否定的。不是所有的病毒木馬樣本您都看過、了解,有部現成的字典可以使用何樂不為呢?

常見的中招方式:

貍貓換太子:
比如說INTEL 雙核心驅動補丁KB896256-v4-x86-CHT
我將做好的免殺木馬一起和他綁定,原始KB896256大約是2.22MB,修改後大約是2.9MB
這樣可以騙過那些使用盜版作業系統的人,或是不檢查檔案MD5、後輟、副檔名的人。
可以抓到一堆想使用獨占性需驗證的補丁的肉鴿。

看我演示一次,用XP系統免費送的iexpress2.0捆綁器來木馬屠城記一次。



以假亂真:
隨便了...改個ICON圖檔...就可以將木馬變成炙手可熱的當紅炸子雞。比如說外掛、輔助程式、破解程式軟體,檔名又為.exe、.rar後輟的,無從辨識。

看我演示一次。



主動發動攻擊:
漏洞掃描,抓肉鴿。一條一條去試。就算你上網習慣好、不亂下載東西,照樣可以抓你漏洞種植木馬到您電腦裡頭。


RAR入侵:

撰寫BAT透過自解檔的方式繞過防毒的監控,甚至是破壞防毒的主動防禦...
大概模型長這樣子:

@echo off //關回顯
@@攻擊進程 -1 >pid.txt
@findstr /i "EXE" pid.txt >> //導入進程pid入TXT
@findstr /i "EXE" pid.txt >>導入進程pid入TXT
@for /f "eol=; tokens=1 delims= " %%1 in (TXT) 攻擊進程 -k %%1 //強制關閉進程
@del XXX.sys
@del XXX.exe
@del XXX.txt
@del 導入進程pid入TXT //刪除殘留文件
exit

其實RAR也蠻恐怖的...

後記:
以上都是一些過時的放毒掛馬手法...,只是讓大家了解一下...防治方法目前個人沒想到,只能事後解決。


感語:
至此謂之,豈非牴牾?先進前輩,承其不棄,於己論學問道,每多輔成,於公於私,迭有創獲,略有小成,不敢逾越,數篇劣作,僅恭寥語,聊表敬意。
疏失謬誤之處還請方家諸士不吝指教。
5
-
未登入的勇者,要加入討論嗎?
板務人員:

1318 筆精華,06/25 更新
一個月內新增 1
歡迎加入共同維護。


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】