微剋多資訊

 找回密碼
 註冊

Sign in with google

Google帳號登入

搜索
回覆 3則 瀏覽 19503篇
Line

淺談圖片木馬攻擊與防禦

該用戶從未簽到

升級   24.29%

跳轉到指定樓層
主題
發表於 2013-10-26 21:13 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式
本帖最後由 z24374203 於 2013-10-26 21:20 編輯

常見木馬種類與其型態演進方式
1.木馬-EXE執行檔
這是最傳統也最常見的普通型木馬,容易被防毒軟體發現並隔離,加上有經驗的使用者很容易就可察覺到並刪除之。

2.木馬-DLL/VxD
這類木馬本身無法自己執行,因此需要在登錄資料中作設定,以便Windows啟動時一併被載入執行,或是使用Rundll32.exe、svchost.exe來執行它,如此一來在工作管理員或網路連線監控軟體等之類的工具,便不會發現它的蹤跡。

3.取代掛勾式DLL木馬
本質上仍是DLL木馬,但它卻是取代某個系統DLL檔並將它改名,然後對該系統DLL檔所提供的各函式進行掛鉤(Hook),如果收到遠端的木馬客戶端程式傳來的訊息,就進行相關的駭客行為。

4.嵌入式DLL木馬
這類木馬是利用嵌入技術,將DLL木馬寄生到某個系統檔案中,例如: Explorer.exe,當該系統檔案執行時木馬也一併被執行。

JPEG圖片木馬
漏洞原理: 系統讀取JPEG圖片時,會使用相關的模組來處理該圖片。漏洞的原因是,系統讀取JPEG圖檔時,相關的處理模組會將圖片資料讀進緩衝區內。此時,雖然Windows有定義緩衝區的大小,卻沒有檢查圖片資料的大小。

這樣一來,黑客可以利用緩衝區溢位漏洞,執行惡意的程式碼。該漏洞主要涉及作業系統中一個名稱為GdiPlus.dll的文件。由於許多軟體都會利用這個動態連接來處理JPEG圖片,使得該漏洞涉及的層面非常廣,如Windows XP SP1、Microsoft Office系列等。

入侵者可以將木馬後門通過這個漏洞原理來插入至圖片中,如此一來,存在此漏洞的程式會無條件執行圖片中的木馬後門程式,進而控制受影響的系統。
   
JPEG圖片木馬之感染途徑
Step1. 經由IE瀏覽器開啟網路圖片。
Step2. 透過MIME定義,將文件的標頭檔修改為圖片格式,再利用IE漏洞通過檢查。
Step3. 下載修改過的圖片,造成緩衝區溢位。
Step4. 利用緩衝區溢位的漏洞,執行惡意程式的指令。
Step5. 入侵使用者電腦。

BMP圖片木馬
漏洞原理: 將木馬偽裝成BMP圖片檔。接著,利用JavaScript將圖片下載到暫存資料夾,以便透過緩衝區溢位漏洞,將圖檔以Debug的方式還原木馬。並且將它放到註冊表啟動項目中,等待下一次開機時執行。
   
當你使用瀏覽器看圖檔之前,會先利用Java Script將此圖檔下載至Internet暫存資料夾中。不幸的是,此動作已將木馬存入使用者電腦中。注意,木馬的檔案格式為可執行檔,並將它偽裝成BMP圖片檔。還有該圖檔在還原之前是無害的。

BMP圖片木馬之感染途徑
Step1. 修改EXE檔的PE標頭,以便偽裝成BMP圖檔。
Step2. 利用IE漏洞通過文件標頭的檢查。
Step3. 通過檢查後,利用Java Script,在Internet暫存資料夾尋找剛下載的圖檔。
Step4. 利用緩衝區溢位的漏洞,執行攻擊者已設置好的網頁腳本檔,將圖片的PE標頭還原成可執行檔。
Step5. 當使用者下次開機時,執行木馬即達到入侵的目的。

解決方法與建議
JPEG圖片木馬
JPEG漏洞會影響好幾個微軟的軟體應用與作業系統,包括Windows XP、Windows Server 2003、Office XP、Office 2003、IE 6 SP1、Project、Visio、Picture It與Digital Image Pro。

微軟於2004年9月已經公布所有會受影響的軟體,至於最新公布的Windows XP SP2則不會受到影響。對於虛假圖片文件的欺騙手法,只需要修補MIME和IFRAME漏洞。而對於JPEG圖片木馬病毒,微軟已提供JPEG模組的更新, 只要即時修補及系統安全更新,即可免除JEPG圖片木馬的攻擊。

BMP圖片木馬
基本上這個漏洞是無法進行修補的,因為用戶很難知道他們正在瀏覽的頁面是否正在偷偷下載木馬資料。再加上,即使修補了所有漏洞也無濟於事,因為木馬是被IE 「合法」下載的,不屬於程式碼漏洞,而單靠程式本身也很難判斷這個圖片是不是木馬程式。但由於這也是需要下載文件的入侵方式,它能否下載完畢以及使用者願不願意去開啟網頁就要取決使用者本身,最重要的還是安裝效能較高的防毒軟體及避免瀏覽不明網站。

參考:  http://www.runpc.com.tw/content/content.aspx?id=103602

有對此文章做不少精簡,如果有問題可以先查看原文章的內容。感覺原文章,有些地方的語句不夠通順 (個人認為)
歡迎大家一起討論,雖然我很多也不懂。 其實,看我上面的文章就夠了,我有認真精簡。如果,還是不行
可以看原文章。剛剛發文發現,多多x教導致不能發文 ...

  • 精闢分析,獨特觀點

    csihcs 貢獻度 +10

樓主熱門主題

該用戶從未簽到

升級   97.5%

2F
發表於 2013-10-26 23:50 | 只看該作者
小長知識
結論:IE悲劇(ˊ艸ˋ.

使用道具

該用戶從未簽到

升級   65%

3F
發表於 2013-10-27 11:18 | 只看該作者
增加了一些圖片木馬的攻擊與防禦知識,因為常下載網頁上的圖片,
看來日後要有所節制了,免得會中毒;

使用道具

該用戶從未簽到

升級   24.29%

4F
 樓主| 發表於 2013-10-30 09:18 | 只看該作者
2012rugo 發表於 2013-10-27 18:29
JPEG圖片木馬,另人防不剩防,用 ipad 上網吧

那個文章有提到JPEG是可以靠修補漏洞來解決這類問題

只有BMP有這類問題 詳細原因文章有寫

至於ipad會不會有問題 那就要看ipad的機制

是否和BMP弱點一點

使用道具

您需要登入後才可以回帖 登入 | 註冊

本版積分規則

小黑屋|Archiver|微剋多資訊(MicroDuo)

GMT+8, 2024-12-22 14:56

Discuz! X

© 2009-2023 Microduo

快速回覆 返回頂部 返回列表