網購木馬傳播和攻擊流程分析

2021-08-27 07:42:55 字數 1705 閱讀 2774

網上購物已經成為我國網民的重要生活習慣。根據報告,截至2023年,我國有5.13億民眾有上網習慣。網路購物的消費總額達到1027億美金。著名購物****網,每分鐘可以賣出四萬八千份商品。這不僅僅是個具有龐大商機的市場,也是乙個令黑客垂涎三尺的獲利目標。

國內使用者也共享類似的軟體使用習慣。微軟的瀏覽器ie,在國內有超過50%的市場份額。即時通訊軟體qq則有上億的帳戶量。壓縮軟體則是以winrar最為普及。在這場演講中所舉例的網購木馬家族,就是利用上述三款軟體對網上購物的網民進行傳播、盜取金錢以及安全軟體的免殺。

網購木馬的典型流程:雙擊執行了惡意軟體之後,使用者會看見想看的,譬如商品實物圖、美女圖。貌似無害,但其實這是降低警戒心的手段。木馬程式會開始監控瀏覽器頁面,當發現使用者進入支付頁面的時候,將支付頁面的內容篡改,使得錢實際上是流入了網購木馬作者的黑帳戶裡面。黑客會立刻透過購買虛擬寶物後變現、手機充值後購物等方式進行多階段洗錢,使得追蹤源頭相當複雜困難。

最後的部分,我們分享了偵測網購木馬的挑戰,以及黑客與安全軟體對抗的思路。網購木馬通常以壓縮包形式傳播,而掃瞄壓縮包對安全軟體來說則是一大挑戰。攻擊者可以構造畸形壓縮包來挑戰掃瞄引擎的容錯能力。乙個相當有意思的案例是乙個壓縮包但是有兩個格式在內。檔案前端是compound binary format,裡面只有一些無害的檔案。緊接在後的是rar壓縮格式,真正的木馬檔案則是藏於此處。對於一般防毒軟體來說,掃瞄完前面的無害檔案之後,很容易忽略掉後面的第二段壓縮格式。但對於winrar來說,因為檔案後墜名是.rar,所以它反而忽略了壓縮包前面的compound binary format,直接解開rar壓縮格式內的木馬檔案。所以同乙個壓縮包,掃瞄引擎與winrar看到的檔案卻是截然不同,造成木馬檔案可以繞過安全軟體的防禦。

對於網購使用者的保護,我們總結了三條主要思路:

在不同的使用者場景,執行不同的安全策略。在網購保鏢下,360執行最嚴格的安全策略來保護使用者不受木馬攻擊。任何造成威脅的程式皆會被攔截,直到使用者完成網購為止。

以最高速度響應安全威脅。反應速度越快,木馬作者能賺到的錢就越少。當利潤下降到一定程度,木馬的活動就會趨緩。

擁有多層次的防禦機制。從360安全瀏覽器、360網盾、到360安全衛士,裡面包含了惡意**防禦、雲查殺、qvm、主動防禦、隔離沙箱…等先進防禦系統,木馬作者要繞過全部的機制,成本勢必提高。成本提高也會對木馬活動造成相當大的影響,減低攻擊者的意願。

RM和WMV木馬的攻擊和防範

一 rm rmvb檔案中加入木馬的方式 helix producer plus是一款圖形化的專業流 檔案製作工具,這款軟體把其他格式的檔案轉換成rm或rmvb格式,也可以對已存在的rm檔案進行重新編輯,在編輯的同時,我們可以把事先準備好的網頁木馬插入其中。這樣只要一開啟這個編輯好的 檔案,插入在其中...

ARP欺騙攻擊和會話劫持和斷網攻擊

arp欺騙攻擊有很多很多的工具可用,可以達到的目的相應的也有很多。我會根據實現攻擊相應的更新一些工具的使用。arpspoof命令格式 arpspoof i 網絡卡 t 目標 host 欺騙攻擊 kali 192.168.46.136 win7 192.168.46.137 網管 192.168.46...

使用動網論壇如何查殺和防範木馬

首先,在這裡感謝 黑客 們,動網發展的過程中確實抹不去他們的身影。這裡之所以打上引號,並沒有貶低的意思,而是指那些真正精通 的,憑自己精深的技術發現和利用程式漏洞的人,他們一般並不做什麼破壞,只是在研究中找到樂趣。我個人認為正是他們的存在促進了技術的快速發展。而對於普遍存在的 工具使用者 一族,他們...