论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 1854阅读
  • 0回复

WinRAR与木马结合的新安全隐患解析 [复制链接]

上一主题 下一主题
离线懒牛
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2008-05-02 17:53:10
来源:中关村在线 作者:张齐

压缩文件是最见的文件类型之一,无论是正常的软件程序,或者是“精心”制作的压缩包木马,都随处可见。对于这类最常见的文件,我们当然会想方设法,让它为我们传播木马服务。不过,普通的压缩包中夹带木马的方法已经有些落伍了,今天我们将重点分析一种WinRAR压缩包传播木马的新思路!

一、WinRAR与木马结合的优点

大家都知道WinRAR软件可以制作EXE自解压文件,以方便没有安装WinRAR软件的用户。WinRAR制作的自解压文件非常常见,而且不少软件也开始采用它来制作安装程序。用WinRAR制作自解压文件时,还可以对自解压界面进行自定义美化,在自解压时显示任意的文件或图片。我们可以通过对WinRAR自解压文件界面的再定义,从而欺骗对方在解压前执行网页木马。

二、简单测试

首先,我们需要制作一个WinRAR自解压文件。可以将任意资源,比如几张图片或音乐之类的打包压缩成RAR格式。然后用WinRAR打开压缩包,点击WinRAR工具栏上的“自解压”按钮,打开自解压文件制作对话框。在“自解压模块”中选择“Deault.sfx”模块,点击“高级自解压选项”按钮,打开高级自解压选项设置对话框。选择“文本和图标”选项卡,在下面的“自解压文件窗口中显示的文本”区里,可以输人任意文字,都将显示在自解压界面中。如果我们输入网页代码,是否会执行呢?

这里我们先来测试一下,在文本输入区中,输入如下代码:



这段代码常常被用来检测跨站漏洞,如果存在漏洞的话,那么在网页中会弹出一个文字提示对话框。点击“确定”按钮,返回自解压对话框,再点击“确定”按钮,即可在压缩包文件路径下,生成一个同名的后缀为.exe的自解压文件。现在,我们来双击这个自解压文件,看看前面的跨站检测代码是否执行?自解压文件打开后,同时弹出了刚才设置的文字提示对话框,说明网页代码执行了。

由此可见,WinRAR的自解压文件界面存在着跨站挂马的漏洞,我们完全可以修改刚才的测试代码,让自解压文件在打开时显示任意的网页,当然也可以显示木马网页,从而实现利用WinRAR自解压文件挂网页木马的攻击目的!
   三、自解压挂网页木马
现在,我们来制作一个具有挂马攻击性的WinRAR自解压文件。首先,准备一个网页木马,并将其上传到某个网站空间中去。这里假设网页木马链接地址为“http://www.XXX.com/01.htm”。然后制作一个自解压文件,方法与前面相同,但是在写入文本框中,我们需要输入如下代码:




这段代码表示显示一个长宽都为0网页象素,也就是不可见的页面框架,显示的网页内容为指定的木马网页。确定后即可制作成功一个挂马攻击的WinRAR自解压文件了。但是这里为了便于抓图显示攻击效果,我们将挂马语句改为了:



表示显示一个长宽为300的页面框架,显示的网页内容为百度首页。双击打开我们加入了挂马代码的WinRAR自解压文件时,可以在自解压界面窗口中看到显示了百度网页。由此可见挂成功!只要将代码换为真实的挂马代码,那么在WinRAR自解压界面中,就会显示空白页面,同时隐藏的打开木马网页,根本察觉不到任何攻击的症状!
  
四、挂马自解压包的不足

虽然用上面的方法制作出来的WinRAR自解压木马,在攻击时可以没有任何症状,但是还是有缺陷的。首先,使用代码隐藏挂马,虽然不会显示木马网页,但是界面中变成空白页面,不会显示默认的提示信息。另外,所有制作的带有脚本的自解压文件,在其“属性”中都会多出“注释”选项卡,即使是不带攻击性的自解压文件也是如此。我们用右键点击刚才制作的自解压文件,在弹出菜单中选择“属性”命令,打开属性对话框。选择“注释”选项页,如此一来,就会暴露在创建自解压格式压缩文件时设置的挂马代码了。

五、木马保护更强悍

那么,如何才能让隐藏注释信息,让挂马攻击的自解压包文件更完美呢?其实,自解压文件的“注释”信息,来源于WinRAR中的“Deault.sfx”自解压模块。我们完全可以修改此模块,让自解压文件不显示“注释”信息。

在WinRAR安装目录下,可以找到模块文件“Deault.sfx”。在修改前,可用Peid查壳,发现文件加了UPX壳,用UPX Shell对其脱壳即可。

下载安装“eXeScope资源修改器”,用eXeScope打开“Deault.sfx”文件。在eXeScope左边的列表中,展开“资源”→“字符串表”→“l0”→“中文(中国)”,在右边列表出现的150到155的字符串为默认自解压文件的自解压文件窗口中显示的文本代码,每行字串长度不能超过250个英文字符。我们可进行修改,以达到隐藏挂马的目的,在155行代码的最后添加如下挂马代码:




修改完毕后,关闭eXeScope,保存更新“Deault.sfx”文件。然后直接创建一个WinRAR自解压文件,无需在其中添加挂马代码了,此时创建和自解压文件中自动显示了挂马网页(如图11)。但是在文件属性中,却根本看不到“注释”选项页,这样就实现了隐藏“注释”信息。如果我们挂马框架长宽为0的话,在自解压界面中显示的是“单击安装按钮开始解压……”之类的默认信息,也不会出现前面的空白页。

这样,一个极度完美的WinRAR自解压木马便制作成功了!你能找出它与普通自解压文件有什么不同吗?



转自 华夏联盟