WinRAR已經成為用戶電腦中必裝的軟件,可你想過黑客會利用它來抓雞嗎?這是真的,只需一個小小的WinRAR漏洞利用程序,就可以把.rar格式的文件變成抓雞工具。一旦運行了文件就會變成黑客的肉雞。這是目前抓雞比較有效的方法之一,我們應該如何防范呢?下面我們就來揭開謎底。
小知識:抓雞是黑客常用術語,意思是指主動通過某些程序(如木馬程序或遠程控制程序的客戶端)或技術手段控制用戶的PC機,被控制的PC機稱之為肉雞。
為什麼要用WinRAR漏洞抓雞
網絡上流傳有很多可執行文件捆綁工具,這些工具雖然可以方便的將兩個或多個可執行文件捆綁為一個程序,並且可以進行簡單的偽裝,但是其原理卻決定了其不可能成為完美的捆綁工具,目前主流的殺毒軟件都可以輕易地將它清除掉。
而用WinRAR漏洞捆綁木馬來抓雞就很有優勢,因為普通捆綁檢測都是用16進制編輯工具查看程序PE頭進行判定的(大部分捆綁程序檢測工具用的就是這個原理),但是這條不適合這個漏洞。
小提示:該漏洞的原理是由於WinRAR在處理LHA格式文件時存在邊界條件錯誤,而若將一個經處理後文件改為長文件名並附加成LHA文件,再調用相應參數生成新的壓縮包後,被WinRAR打開的時候就會導致本地緩沖溢出。
當用戶點擊壓縮包時會出現錯誤提示(圖1),這時木馬程序就已經悄悄運行了,肉雞就到手了。Tw.wiNgWIt.Com所以如果我們用這個漏洞來抓雞,成功率是十分高的,比原始的3389端口抓雞的成功率高多了。
如何用WinRAR漏洞抓雞
Step1:將WinRAR的利用程序放到任意目錄中,例如C盤根目錄。
Step2:單擊菜單中“開始→運行”命令,輸入“cmd”運行“命令提示符”。將光標切換到“c:”,輸入“rar.exe”查看利用程序的使用方法。其使用方法為:“rar [選項] ”。
其中“選項”可以指定生成的文件名以及選擇溢出的操作系統等操作。我們使用默認的配置,可以不輸入,有需要的話可以添加相應的“選項”。
Step3:將配置好的木馬服務端程序也放到C盤根目錄,並命名為123.exe。在“命令提示符”中輸入命令:“rar 123.exe”,如果回顯中出現“All Done! Have fun!”字樣即表示捆綁有木馬的WinRAR文件生成了(圖2)。
Step4:最後我們要做的就是將這個捆綁有木馬程序的WinRAR文件發送給別人,當對方運行這個WinRAR文件時,將會出現錯誤,但是木馬已經悄悄地在對方系統後台運行了。對方的電腦也就成了我們的肉雞(圖3)。
不過要充分利用這個漏洞,光靠觸發漏洞是不夠的,木馬的配置也很重要,例如要設置運行後刪除自身,安裝服務端時不出現提示等,這樣當用戶運行惡意WinRAR文件時只會出現WinRAR的錯誤提示,是絲毫感覺不到木馬運行的。接著我們還要給木馬加上免殺,例如加殼處理和修改特征碼等,否則被殺毒軟件檢測出來豈不前功盡棄。
小提示:運行漏洞利用工具時請先關閉殺毒軟件,因為殺毒軟件會把它當作黑客工具給清除掉。
防范技巧
1.不要運行陌生人發過來的文件。這是老生常談的問題了,只不過以前只針對可執行文件,現在連WinRAR也不能輕易運行了。
2.識別惡意的WinRAR文件。在運行WinRAR文件之前,我們可以先對其進行檢查,確定無危害後再運行,檢查的方法為:右鍵單擊WinRAR文件,在菜單中如果沒有“用WinRAR打開 ”這一項,則說明壓縮包有異常,不要輕易打開!
3.升級WinRAR到3.7以上的版本,新版本打開雖仍會提示出錯,但木馬程序不會運行。
攻防博弈
攻 黑客:雖然很多人都有給系統打補丁的習慣,但會給應用軟件升級的人少之又少,所以將捆綁有木馬的WinRAR文件上傳到軟件下載網站或一些資源論壇中,將大大增加抓到的肉雞數量。抓雞的方法多種多樣,我們還可以用135端口來抓安全意識不強的雞。
防 編輯:系統軟件的漏洞可以通過自動更新來解決,而工具軟件的漏洞只能通過經常關注一些專業媒體的提醒,定期升級程序來解決。同時養成良好安全習慣,不接收不下載來路不明的壓縮文件才是最好的防范方法!至於135端口抓雞,只要我們關閉了端口,調高了防火牆的安全等級就不用懼怕。
From:http://tw.wingwit.com/Article/Network/201309/409.html