论文部分内容阅读
影音漏洞与大站挂马
在10月8日前后,有不少用户登录上天空下载站,都纷纷中了木马病毒,即使安装了杀毒软件的朋友也不例外。其缘由是因为天空下载站的页面中,被嵌入了一段指向恶意网站ipl7173.cn的代码。该网站木马网页中,利用了多种系统与软件漏洞,其中就有PPStream网络电视堆栈溢出漏洞与暴风影音播放器溢出漏洞。网页木马被打开后,会自动下载杀毒软件无法查杀的多个病毒木马。短短几天的时间内,估计中了天空下载站网页木马病毒的用户,也有成千上万了。
此外,9月28日前后,国内著名站点TOM新闻中心,有部分页面也被黑客植入木马,被挂马的网页为TOM网页内嵌的一个广告页,将影响到所有展示此广告的新闻网页。此次挂马事件采用了框架形式,内置了利用PPSteam控件堆栈溢出漏洞和其它漏洞的网页木马,浏览了包含有网页木马的TOM网页后,将会自动从dj7788.cn站点下载十多个木马病毒程序并运行,从而窃取用户的QQ帐号、网游帐号等。
由上述两例事件。可见影音软件漏洞的危害。攻击者是如何利用影音漏洞,在大站入侵挂马的呢?下面我们就来看看PPStream与暴风影音漏洞利用攻击的过程吧!
PP8tream溢出漏洞与木马制作
PPStream网络电视是一款非常流行的P2P网络电视软件,有着大量免费精彩的电影电视节目。因此用户非常多。PPStream的溢出漏洞是如何产生的呢?我们简单的讲讲它的漏洞原理。PPStream的溢出漏洞,存在于PPStream 2.0.3.4及之前的版本中。与以前的QQ、新浪UC的ActiveX漏洞一样,也是由于DLL插件中的Strcat函数调用造成的。在PPStream网络电视的“MFC42 DLL”文件中会通过Strcat函数,调用“PowerPIayer.dll”文件。在该文件调用中,可以通过覆盖EBP中的值,从而达到溢出攻击的目的。下面我们直接来看看这个漏洞是如何制作网页木马进行攻击的。
目前网上有两个现成的PPStream木马溢出漏洞利用工具:“PPSTREAM网马生成器”和“PPS溢出网马生成器”,使用都很简单。PPSTREAM网马生成器只有一个可执行文件,运行程序后。直接在“URL”中输入上传的木马链接地址,点击“生成”按钮,即可生成一个名为“xmanhtml”的网页木马文件。“xman,html”文件很简洁,用记事本打开文件后,“”中的字符内容即是溢出代码,复制溢出代码,添加到任意网页中,都可实现攻击。PPS溢出网马生成器的使用也一样,直接在输入框中输入木马文件链接地址,点击“Maker”,按钮,即可生成名为“fuckpps.html”的网页木马文件。同样,代码也没有垃圾内容,直接复制“”代码段即可。将PPStream溢出代码添加到任意网页中,当安装了存在漏洞的PPStream软件的用户,浏览此网页时,就会自动在后台下载运行木马文件。
影音风暴漏洞网页木马
影音风暴2也是一个流行的万能播放器。可以播放各种格式的视频文件,也是装机必备软件之一。但是在最新的暴风影音2.8版和2.9测试版的ActiveX控件,存在着多个远程缓冲区溢出漏洞。暴风影音的“MPS.DLL”ActiveX控件文件,不能正确执行针对用户提供数据的边界检查。攻击者可针对ActiveX控件执行任意代码攻击。下载执行木马。
影音风暴2溢出漏洞工具也有许多,例如“心诺网马”和“暴风影音网马生成器0913”,在“地址”中输入上传的木马文件链接地址,点击“生成”按钮,即可生成网页木马文件。前者生成的网页木马文件名为“xinnuo.htm”,后者生成的网页木马文件名为“Vista.htm”。注意,网页木马代码包括两部分,“”和“”两段代码都必须复制嵌入网页中,才能够溢出成功。
网页木马的传播
虽然影音软件漏洞制作的网页木马,危害非常严重,但是在上述的大站挂马事件中,攻击者在制作和传播网页木马时,还充分的利用了一些特殊的手段,才使得攻击成功率更高。木马程序的选择
由于网页木马执行方式比较特殊,大多是利用程序溢出进行木马下载的,如果木马的体积太大,往往会假死情况非常严重。一般来说,网页木马下载的木马文件越小,执行速度越快也越隐蔽,因此下载者木马成为了最佳的选择。在上述的攻击事件中,攻击者选择的都是“下载者”木马,这里介绍一款名为“JPS WebDownloader 2.0”的国外下载者木马。
例如我们要在被攻击者主机上运行的是灰鸽子木马,那么可将此木马上传到网站空间中,得到链接地址。运行JPS Web Downloader 2.0,在“URL”,中输入灰鸽子木马的下载链接地址,在“Name afterdownload”下拉菜单中。用于设置木马下载保存的文件名。在“Inject To”项目中,可以设置下载者木马注入的系统进程名。最后点击“Creat server”按钮,即可生成一个仅有10KB大小的下载者木马,并上传到网站空间中。
在上面的影音漏洞利用工具中,指定下载者木马链接,制作出的网页木马会自动后台下载执行下载者木马。由于下载者木马体积非常小,因此网页木马在运行时,极为隐藏一点征兆也没有。
木马的免杀
下载者木马与灰鸽子之类的木马免杀,我们已经介绍过许多了。这里主要讲讲攻击者是如何对网页木马进行免杀的。在浏览器中打开前面生成的网页木马,杀毒软件一般都会报警,如何对网页木马进行免杀呢?可使用一个叫作“剑客网马复合免杀工具”的软件。
运行剑客网马复合免杀工具,在“路径”中指定前面生成的网页木马文件,在下方选择加密免杀模式,这里可选择“HTM/ASP加密”。点击“加密”按钮。即可生成一个免杀的网页木马了。
网页木马的植入
网页木马的传播是一个比较重要的问题,例如上面攻击事件中的天空下载站、TOM新闻站等热门大站点。往往是网页木马传播的最佳场合。但是大站点的安全性往往比较好,入侵挂马是比较困难的,因此攻击者就将目标盯向了大站点页面中的广告上。
以TOM网站被挂马的某网页为例(http://news.tomcom/2007-09-27/0020/08517215.html),在网页中有一个易趣的手机广告,该广告链接地址为“http://promo.eachnet.com/win/zs/mobile0709070_300x150html”,很显然,这个广告的链接地址来源并非TOM,而是“promo.eachnet.com”站点。而“promo.eachnet.com”的安全性到底如何,这就不得而知了。而攻击者就是入侵了“promo.eachnet.com”站点,修改了相应的手机广告页面,在其中植入木马,从而达到了在TOM网站挂马的目的。
与此类似的,在众多大网站中,都外链了许多让人眼花缭乱的广告,而这些广告很可能就来自一个被挂了木马的网站!大站点就是这样被入侵挂马的!
要防范影音软件的漏洞木马很简单,更新软件程序版本即可,但是对于大站点上的广告挂马,那就比较麻烦了。使用Maxthon之类的浏览器,可以尽可能过滤一些垃圾广告,提高浏览速度的同时,还可避免遭受广告挂马的攻击呢!
PPS溢出网马生成器
http://www.3800hk.com/SoftJzhly/19316.html
PPSTREAM网马生成器
http://www.3800hk.com/Soft/zhly/19255.html
心诺网马——暴风影音网马生成器
http://www.03540.cn/down/2007/0909/down_1214.html
暴风影音网马生成器0913
http://www.hookbase.com/Soft/HTML/6107.html
JPS Web Downloader 2.0
http://www.3800hk.com/Soft/zhly/19314.html
剑客网马复合免杀工具
http://download.anqn.com/2007/kwmscheng-anqncomar
在10月8日前后,有不少用户登录上天空下载站,都纷纷中了木马病毒,即使安装了杀毒软件的朋友也不例外。其缘由是因为天空下载站的页面中,被嵌入了一段指向恶意网站ipl7173.cn的代码。该网站木马网页中,利用了多种系统与软件漏洞,其中就有PPStream网络电视堆栈溢出漏洞与暴风影音播放器溢出漏洞。网页木马被打开后,会自动下载杀毒软件无法查杀的多个病毒木马。短短几天的时间内,估计中了天空下载站网页木马病毒的用户,也有成千上万了。
此外,9月28日前后,国内著名站点TOM新闻中心,有部分页面也被黑客植入木马,被挂马的网页为TOM网页内嵌的一个广告页,将影响到所有展示此广告的新闻网页。此次挂马事件采用了框架形式,内置了利用PPSteam控件堆栈溢出漏洞和其它漏洞的网页木马,浏览了包含有网页木马的TOM网页后,将会自动从dj7788.cn站点下载十多个木马病毒程序并运行,从而窃取用户的QQ帐号、网游帐号等。
由上述两例事件。可见影音软件漏洞的危害。攻击者是如何利用影音漏洞,在大站入侵挂马的呢?下面我们就来看看PPStream与暴风影音漏洞利用攻击的过程吧!
PP8tream溢出漏洞与木马制作
PPStream网络电视是一款非常流行的P2P网络电视软件,有着大量免费精彩的电影电视节目。因此用户非常多。PPStream的溢出漏洞是如何产生的呢?我们简单的讲讲它的漏洞原理。PPStream的溢出漏洞,存在于PPStream 2.0.3.4及之前的版本中。与以前的QQ、新浪UC的ActiveX漏洞一样,也是由于DLL插件中的Strcat函数调用造成的。在PPStream网络电视的“MFC42 DLL”文件中会通过Strcat函数,调用“PowerPIayer.dll”文件。在该文件调用中,可以通过覆盖EBP中的值,从而达到溢出攻击的目的。下面我们直接来看看这个漏洞是如何制作网页木马进行攻击的。
目前网上有两个现成的PPStream木马溢出漏洞利用工具:“PPSTREAM网马生成器”和“PPS溢出网马生成器”,使用都很简单。PPSTREAM网马生成器只有一个可执行文件,运行程序后。直接在“URL”中输入上传的木马链接地址,点击“生成”按钮,即可生成一个名为“xmanhtml”的网页木马文件。“xman,html”文件很简洁,用记事本打开文件后,“”中的字符内容即是溢出代码,复制溢出代码,添加到任意网页中,都可实现攻击。PPS溢出网马生成器的使用也一样,直接在输入框中输入木马文件链接地址,点击“Maker”,按钮,即可生成名为“fuckpps.html”的网页木马文件。同样,代码也没有垃圾内容,直接复制“”代码段即可。将PPStream溢出代码添加到任意网页中,当安装了存在漏洞的PPStream软件的用户,浏览此网页时,就会自动在后台下载运行木马文件。
影音风暴漏洞网页木马
影音风暴2也是一个流行的万能播放器。可以播放各种格式的视频文件,也是装机必备软件之一。但是在最新的暴风影音2.8版和2.9测试版的ActiveX控件,存在着多个远程缓冲区溢出漏洞。暴风影音的“MPS.DLL”ActiveX控件文件,不能正确执行针对用户提供数据的边界检查。攻击者可针对ActiveX控件执行任意代码攻击。下载执行木马。
影音风暴2溢出漏洞工具也有许多,例如“心诺网马”和“暴风影音网马生成器0913”,在“地址”中输入上传的木马文件链接地址,点击“生成”按钮,即可生成网页木马文件。前者生成的网页木马文件名为“xinnuo.htm”,后者生成的网页木马文件名为“Vista.htm”。注意,网页木马代码包括两部分,“”和“”两段代码都必须复制嵌入网页中,才能够溢出成功。
网页木马的传播
虽然影音软件漏洞制作的网页木马,危害非常严重,但是在上述的大站挂马事件中,攻击者在制作和传播网页木马时,还充分的利用了一些特殊的手段,才使得攻击成功率更高。木马程序的选择
由于网页木马执行方式比较特殊,大多是利用程序溢出进行木马下载的,如果木马的体积太大,往往会假死情况非常严重。一般来说,网页木马下载的木马文件越小,执行速度越快也越隐蔽,因此下载者木马成为了最佳的选择。在上述的攻击事件中,攻击者选择的都是“下载者”木马,这里介绍一款名为“JPS WebDownloader 2.0”的国外下载者木马。
例如我们要在被攻击者主机上运行的是灰鸽子木马,那么可将此木马上传到网站空间中,得到链接地址。运行JPS Web Downloader 2.0,在“URL”,中输入灰鸽子木马的下载链接地址,在“Name afterdownload”下拉菜单中。用于设置木马下载保存的文件名。在“Inject To”项目中,可以设置下载者木马注入的系统进程名。最后点击“Creat server”按钮,即可生成一个仅有10KB大小的下载者木马,并上传到网站空间中。
在上面的影音漏洞利用工具中,指定下载者木马链接,制作出的网页木马会自动后台下载执行下载者木马。由于下载者木马体积非常小,因此网页木马在运行时,极为隐藏一点征兆也没有。
木马的免杀
下载者木马与灰鸽子之类的木马免杀,我们已经介绍过许多了。这里主要讲讲攻击者是如何对网页木马进行免杀的。在浏览器中打开前面生成的网页木马,杀毒软件一般都会报警,如何对网页木马进行免杀呢?可使用一个叫作“剑客网马复合免杀工具”的软件。
运行剑客网马复合免杀工具,在“路径”中指定前面生成的网页木马文件,在下方选择加密免杀模式,这里可选择“HTM/ASP加密”。点击“加密”按钮。即可生成一个免杀的网页木马了。
网页木马的植入
网页木马的传播是一个比较重要的问题,例如上面攻击事件中的天空下载站、TOM新闻站等热门大站点。往往是网页木马传播的最佳场合。但是大站点的安全性往往比较好,入侵挂马是比较困难的,因此攻击者就将目标盯向了大站点页面中的广告上。
以TOM网站被挂马的某网页为例(http://news.tomcom/2007-09-27/0020/08517215.html),在网页中有一个易趣的手机广告,该广告链接地址为“http://promo.eachnet.com/win/zs/mobile0709070_300x150html”,很显然,这个广告的链接地址来源并非TOM,而是“promo.eachnet.com”站点。而“promo.eachnet.com”的安全性到底如何,这就不得而知了。而攻击者就是入侵了“promo.eachnet.com”站点,修改了相应的手机广告页面,在其中植入木马,从而达到了在TOM网站挂马的目的。
与此类似的,在众多大网站中,都外链了许多让人眼花缭乱的广告,而这些广告很可能就来自一个被挂了木马的网站!大站点就是这样被入侵挂马的!
要防范影音软件的漏洞木马很简单,更新软件程序版本即可,但是对于大站点上的广告挂马,那就比较麻烦了。使用Maxthon之类的浏览器,可以尽可能过滤一些垃圾广告,提高浏览速度的同时,还可避免遭受广告挂马的攻击呢!
PPS溢出网马生成器
http://www.3800hk.com/SoftJzhly/19316.html
PPSTREAM网马生成器
http://www.3800hk.com/Soft/zhly/19255.html
心诺网马——暴风影音网马生成器
http://www.03540.cn/down/2007/0909/down_1214.html
暴风影音网马生成器0913
http://www.hookbase.com/Soft/HTML/6107.html
JPS Web Downloader 2.0
http://www.3800hk.com/Soft/zhly/19314.html
剑客网马复合免杀工具
http://download.anqn.com/2007/kwmscheng-anqncomar