特洛依木马与资料窃取技术.pptVIP

6.3.4 利用搜尋引擎 手法一：購買網路關鍵字廣告服務並於各大入口網站搜尋行銷服務刊登「關鍵字廣告」，使用者上網搜尋「網路銀行」等條件時，搜尋結果的最上方即出現犯罪集團之「關鍵字廣告」。 手法二：由於搜尋引擎的搜尋機器人太強大，可能會將已經被植入惡意連結的網站建立成索引(index)，提供給一般人搜尋。如果該搜尋引擎沒有做好安全控管則易被使用者點選。 一般民眾認為搜尋網站的搜尋結果應該很可靠，進而點選進去。因為這些廣告或網站是有心人士精心設計，網站管理者亦無法判別廣告之真偽，更何況一般人，幾乎無法查覺該網站連結是假冒之網站。 * 第六章 特洛依木馬與資料竊取技術 6.3.4 利用搜尋引擎 * 資料來源 .tw 資料來源 .tw 第六章 特洛依木馬與資料竊取技術 6.3.4 利用搜尋引擎 駭客詐騙集團利用關鍵字搜尋，架設假網站，搜尋「土地銀行landbank」網站的網址，英文「land」應是小寫的「l」（圖左下），仔細看可發現變成 阿拉伯數字的「1」，一旦網友連結，便會遭到詐騙集團以「網路釣魚」方式植入木馬程式，即可任意轉帳或盜取你的個人資料 。 * 資料來源 .tw 第六章 特洛依木馬與資料竊取技術 6.3.4 利用搜尋引擎 手法三：透過有意義的搜尋字串在搜尋引擎中取得攻擊目標資訊，以google為例，先了解有哪些搜尋相關的指令。 基本指令 + : 強制包含某query - : 排除某query “ : 組合多個term成為一個query . : match單一字元 * : match任意數量的任何字元 | : OR運算 進階指令 filetype, inurl, allinurl, site, intitle, allintitle, intext, allintext, numrange, daterange 例如要查詢的關鍵字「身份證字號」，排除含有「範本」的字樣，並且只要副檔名為「.xls」的搜尋結果，可參照下圖的語法。 * 第六章 特洛依木馬與資料竊取技術 6.3.4 利用搜尋引擎 如果不清楚語法如何使用，也可以直接使用google的進階搜尋功能，如下圖1，在[包含全部的字詞]欄位裡輸入「身份證字號」，[不包括指定字詞]輸入「範本」，在[檔案類型]選擇「.xls」，這樣就和輸入「身份證字號 -範本 filetype:xls」的語法相同。搜尋結果如下圖2。 * 圖1 圖2 第六章 特洛依木馬與資料竊取技術 6.3.5 避過防毒軟體的方式 常用的方式便是針對木馬的執行檔進行 加殼：對.exe壓縮(瘦身)或加密(阻擋反組譯)等重組變形 編碼：對.htm的HTML語法做函數的編碼 加密：對.htm的HTML語法做加密 綑綁合併：與正常程式綑綁在一起做為偽裝 當進行這些程序後木馬便會變更其「特徵值」使防毒軟體對該木馬的檔案辨識不出來進而放行。 * 第六章 特洛依木馬與資料竊取技術 6.3.5 避過防毒軟體的方式 加殼 原始目的： 保護程式原始碼防止修改 可以減少程式的體積 木馬再狡猾一旦被防毒軟體定義了特徵碼，會在執行前就被攔截了。所以要躲過防毒軟體的追殺，很多木馬就被加了殼。 對木馬加殼的行為則類似對程式本身作二次封裝或加密或壓縮的變化，目的在於讓防毒軟體無法識別出他的原始身分並改變木馬的特徵檔(偽裝成正常軟體)。 對付這種木馬的方法是使用具有脫殼能力的防毒軟體對系統進行保護。 常用的加殼軟體：ASPACK、UPX、WWPACK32、PE-PACK、PECompact、PKLITE32、NeoLite、Shrinker * 第六章 特洛依木馬與資料竊取技術 6.3.5 避過防毒軟體的方式 編碼與加密 常見於網頁型的木馬，將HTML內Script語法做編碼或加密，來迷惑防毒軟體或Web攔截程式。 常用函數： Escape加密函數與unescape解密函數 Encode加密函數 添零(加空格)加密 自寫函數加密 * 第六章 特洛依木馬與資料竊取技術 6.3.5 避過防毒軟體的方式 * 自訂加解密函數 資料來源 網路攻防技術研討課程Day4_惡意程式.pdf 第六章 特洛依木馬與資料竊取技術 6.3.5 避過防毒軟體的方式 綑綁合併 木馬的植入程式大多是.exe檔，大部分有警覺心的使用者及管理員均不會去點選。所以必須要使用綑綁正常程式(常見Flash或Office檔案)之方法，誘騙(社交工程)目標去點選來達成目的。 為了不引起懷疑，入侵者可以把正常程式(好康程式、小遊戲、序號程式、免光碟程式)與木馬程式合併成一個檔案來作為偽裝。 高階一點的技巧可以利用應用程式(Office檔案、Flash、影音播放程式)的漏洞，來與漏洞型木馬合併，藉由點選該檔案後執行一連串的連鎖觸發，來到植入原生型木馬的目