» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 【韩不信】叫板主动防御和硬认证的黏虫技术   作者: 标题: 【韩不信】叫板主动防御和硬认证的黏虫技术 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  【韩不信】叫板主动防御和硬认证的黏虫技术 看雪软件安全论坛 > 初学者园地 > 『初学者论坛』 2009-01-28, 04:45    作者：HanLu 啥叫黏虫技术？恐怕有些高手都不屑于称其为技术。但恰恰就是这玩意，盗密码过UsbKey，把社会工程学的理论提升到技术层面，并且发挥到了极致－－09年乃至未来几年，驱动木马不可怕，要我说，黏虫技术才最可怕。 黏虫技术，顾名思义就是黏糊着要攻击的对象的一种技术，用最容易上手的Visual Basic，再傻的人，学个三天准能编写出来一款－－因为它的技术原理真的就那么简单。 前些天，实验室同仁到一钓鱼网站抓特征，弄下来一款盗取QQ号码和密码的黏虫类木马，逮谁去研究都会觉得相当雷人。 感染之后，完全是考验被感染者的思维和眼里。 这款小玩意的主界面如下： 可以生成2种形态的客户端，1是通过进程读取来盗取目标账户和密码，另外一种就更加直白－－更换目标的快捷：先启动木马，再由木马启动目标程序。 test的时候是用QQ来的（选择生成的是进程读取模式），打开QQ，号码是默认的，在密码框输入木马，点登录，正常登录。看不出来有什么不同。但如果你不点登录或者Enter键，不去触发一个Click，而是直接杀死QQ登录界面进程，我的天呀，屏幕上居然留下2个文本输入框，一个是号码输入框另外一个就是密码输入框－－黏虫技术是什么？就是给敏感输入框前面再加一个钓鱼的文本框。 这个作者恐怕不是懒惰就是真的不知道100%透明化处理。 test第二种LNK修改的状态客户端，更加雷人－－直接把QQ的快捷换成它自己的，用户点快捷，先启动的是木马，再由木马启动QQ，直接把文本框丢在QQ登录界面上，这个时候用鼠标拖动登录界面，NN个短，那2文本框居然还不会跟着走……哪个人每次打开QQ有拖着登录框溜达一圈的习惯？我是没有。 跟朋友聊起着玩意，朋友来劲，说加入RootKit，深入到内核种种，更加强悍，我想既然这么简单都可以，何必弄那么复杂呢－－反正杀软现在喜欢把自己弄的很神神叨叨、“出神入化”，却让黏虫钻了空子，这玩意也太有讽刺意义了吧。 ____________________________________________________________ 叫板网银UsbKey的黏虫技术 几年前我国银行业为了提高储户网上支付和交易的安全，均使用了强硬件认证模式，像工行的U盾、建行的UsbKey等等。虽然各个银行上UsbKey之前，一些安全专家曾呼吁过有些攻击可以穿透硬证书，不能因为有了硬证书就高枕无忧，但似乎如针落大海。几年过去，一些银行现在已经开始以百元内的价格向储户兜售UsbKey了，似乎说明安全性的确很高。 我们必须有一个的认知：UsbKey只是一种身份认证的手段，而不是一种安全防护手段。它所保护的是通信双方两点的可信任，也就是说，当储户插入UsbKey后，网银客户端与网银服务器之间是一种安全的互动，至于由谁来操控它，无所谓的…… 首先，我从来不认为中国的金融业信息安全度是最高的――如果，哪天警察叔叔说偷别人网上银行的钱跟偷游戏虚拟币一样不立案，我敢说第二天就会让银行那些鼓吹UsbKey是终极安全方案的人夹着尾巴找地缝钻。 这款网银盗窃木马是黏虫原理，但不对账户和密码发生兴趣，而是用户打开网上支付、转账界面的时候关注――在收款方户名、收款方开户行和收款方账户前面加文本框。 当用户输入要转账的所有资料之后，点击确定会弹出一个确认提示框，确认无误，转账。但其实在用户写完所有信息的第一个Click时，先前输入的信息早已经被黏虫cls后Print指定到另外一个账户了，所弹出的确认提示框也仅仅只是一个伪装的而已。 关于LNK修改的形态，该黏虫嵌入了配置代码，使用者可以直接在文本框中输入要攻击的目标的启动exe文件名。感染后黏虫将自动搜索该文件名来替换。 参数配置的几个选项相当猥亵。不同的转账模式伪造不同的文本框； 如果某位储户以为USBKEY安全无敌而不设置转账限额的话，“余额98%转出”这个选项则彻底能让这位储户倾家荡产…… “不修改转账金额”这个选项让使用UK的储户发信转账出错的时候有嘴也说不清楚－－明明给章老三转了500元，怎么跑到王老四那里去了？银行说是储户操作错误？谁会犯这么神经的错误呢！！！你就是把银行告上法院恐怕也无济于事。你要找那个“转错账”的陌生人王老四？我可以告诉你，警察也不会有什么办法的――转账成功自动卸载木马，那玩意很难取证，金额不大的时候80%以上都不会给你立案，况且，你也得知道你是受了病毒的侵袭才成。 你们会认为那些把主动防御挂在嘴上的病毒防火墙会对这么一个黏虫技术起到主动的效果吗？其实，对于一个一般的计算机用户而言，没有杀毒软件那是万万不能的事情，但是，杀毒软件也绝对不是万能的。金融行业作为敏感行业，在自己的客户端上加了P点UNHooK API、UN消息钩子、UN.dll注入的防护代码，再给配一个USBKEY，不被粘才怪。 关于防护，别看这么猥亵简单的木马，要主动防起来，还真是有些无从下手－－难不成每个病毒防火墙都禁止应用程序快捷变动？360保险箱？瑞星卡卡？呵呵，莫不是每次启动都到安装目录里面点击exe？现在的金融业的安全是嫁接在经济环境大好和网游虚拟币市场不错的前提下，金融海啸期间，如果再寄希望于犯罪分子惧怕法律的威严这种狗屁逻辑上，那可真就得不偿失了。 说到底，还是希望大家自己多点心眼。而作为社会工程学结晶的黏虫技术，还是少点这种程序吧。 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2009-2-2 15:09 killvxk 新手上路 积分 20 发帖 20 注册 2008-9-3 #2   这种小东西2004年就有了~~~ 哎~~~~ 记得还是某人最先开始放的demo ※ ※ ※ 本文纯属【killvxk】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-2-3 04:35 sgsrun 注册用户 积分 82 发帖 84 注册 2008-4-25 #3   楼主说的虽然技术水平不算深，但是实用 ※ ※ ※ 本文纯属【sgsrun】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-2-7 00:44 mamsds 银牌会员 积分 1373 发帖 1360 注册 2008-3-15 来自 乌克兰 #4   最好是在u盾中自带一个专用转账pe操作系统....... ※ ※ ※ 本文纯属【mamsds】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ Vi Veri Veniversum Vivus Vici. 2009-3-21 10:56 doclsh 中级用户 积分 329 发帖 329 注册 2007-5-24 #5   这是真的吗，太可怕了，微点对它有没有反应 ※ ※ ※ 本文纯属【doclsh】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-3-21 18:22 hzjcla 注册用户 积分 166 发帖 164 注册 2006-11-29 #6     Quote: Originally posted by doclsh at 2009-3-21 18:22: 这是真的吗，太可怕了，微点对它有没有反应 同问？？？？？？？？？？？ ※ ※ ※ 本文纯属【hzjcla】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-3-25 11:34 坐照 银牌会员 正式版用户 积分 1426 发帖 1422 注册 2009-3-24 来自 湖北宜都 #7   超级关注。。。。。 ※ ※ ※ 本文纯属【坐照】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-3-27 08:42 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #8   黏虫怎么防 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2011-5-8 19:57 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号