一、WinRar挂马
1、实例演示
在我们的印象中挂马一般都是在网页中嵌入恶意代码,浏览者通过浏览器浏览是然后中招。WinRar也可以挂马,我们看攻击者是怎么做的?
第一步:新建一个文本文件,比如lw.txt。在该文件上点击右键选择“添加到压缩文件”,打开如图1所示的窗口,在“压缩选项”中勾选“创建自解压格式压缩文件”选项。
图1
第二步:点击图1中的“高级”选项卡,在打开窗口中点击“自解压选项”按钮,在“高级自解压选项”窗口中点击“文本和图标”选项卡如图2。由于“自解压文件窗口中显示的文本”支持html脚本,因此我们就可以在其下的文本框中输入跨站代码进行挂马。
图2
第三步:在文本框中输入如图2代码点击“确定”按钮即可。
提示:第一行弹出一个对话框(实际攻击中会省略,我们因为是演示才加了),第二行是打开IT专家网安全子网的页面,攻击者往往会嵌入一个具有恶意代码的页面URL。
第四步:双击打开lw.exe文件,弹出一个对话框,确定后在WinRar中打开了相关的页面,跨站成功如图3。
图3
小结:WinRar挂马的安全威胁比较大,因为它是我们常用的解压工具,稍微不留意就会中招。同时它支持的脚本比较多,攻击者可以利用其他更隐蔽的挂马脚本。
2、预防技巧
(1).不要直接双击打开后缀为exe的压缩文件,安全的做法是先打开WinRar,然后通过它打开该压缩文件。如果压缩包中加入了恶意脚本就会在其右边的窗格中显示出来。当然也可以点击任务栏中的“信息”按钮,在打开的窗口中点击“注释”选项卡,所有的脚本都会显示出来如图4。
图4
(2).安装防火墙,因为WinRar自解压文件中被嵌入了挂马代码其就会进行网络连接,这是防火墙就会弹出是否允许网络连接的对话框如图5,这就非常可疑。
图5
二、WinRar绑马
WinRar绑马和上面的挂马原理差不多,都是利用了WinRar的自解压功能在其中嵌入恶意代码,让压缩包中的木马运行。
1、实例演示
第一步:准备好的木马程序和正常的程序或者图片文件,按照实例一第一步的操作把它们添加到自解压包中。根据自己的需要选择“压缩方式”,然后点击“高级”标签,选择“SFX 选项”,在“释放路径”中填入你需要解压的路径,这里填的是“%systemroot%/temp”(不包括引号),表示解压缩到系统安装目录下的temp(临时文件)文件夹下。在“解压后运行”中输入正常的程序(记事本),在“解压前运行”中输入你的木马程序名(测试中一个简单的对话框弹出小程序lw.exe)如图6。
图6
第二步:点击“模式”选项卡,在打开的窗口中勾选“全部隐藏”和“覆盖所有文件”选项如图7,以增强容错性,最后点击“确定”即可。
图7
第三步:双击运行该自解压程序,正常的程序notepand.exe和测试程序lw.exe依次运行,如图8。
图8
提示:除了上面的方法为,攻击者一般都通过脚本代码来达到在WinRar中捆绑木马达到其目的。其中关键代码如下:
| Path=%systemroot% Setup=lw.exe Presetup=notepad.exe Silent=1 Overwrite=1 |
第一行是文件的解压路径,在系统根目录下;第二行是解压后自动运行lw.exe;第三行是在解压之前先运行notepad.exe,达到掩人耳目;第四行是隐藏文件,达到更隐蔽;第五行是覆盖目录下的同名文件,以容错更可靠。
2、防范技巧
(1).上面防挂马的第一条相同,就是用WinRar打开自解压包
(2).在遇到后缀为exe的自解压包前一定先用杀毒软件对其进行查毒,确定无毒后再用WinRar打开。
(3).通过一些诸如“捆绑分离器”的软件进行压缩包的分离,把正常的程序和木马分离出来。
三、WinRar欺骗
1、实例演示
通过上面的方法制作的自解包有两个明显的缺陷:1.尽管文件后缀为exe但是文件图标却是WinRar的,隐蔽性不够;2.单击文件右键就会显示与WinRar相关的项目如图9。于是攻击者对其从两个方面进行隐蔽欺骗。
图9
(1).文件图标欺骗:在图10中点击“从文件加载自解压文件图标”下的“浏览”按钮,选择一个比较有欺骗性的图标文件(比如QQ游