MSHTA漏洞為駭客大開遠端控制之門

來源:互聯網
上載者:User
控制

  這是一個可以讓駭客欣喜若狂的新漏洞,一旦該漏洞被啟用,就會有大量電腦成為駭客手中的肉雞,被人遠端控制不可避免……

  微軟的Windows作業系統在進行了短暫的“喘息”後,近日又在攻擊愛好者不懈努力下,被成功找出幾個高危的系統安全性漏洞,而Microsoft Windows MSHTA指令碼執行漏洞就是其中的重要一員。

  資訊安全諮詢牌

  MSHTA即HTA,此處的MS主要用於強調這是微軟的漏洞,HTA全名為HTML Application,就是HTML應用程式,其實只要簡單地用“hta”為副檔名儲存HTML頁面就算建立了一個HTA檔案。以前就有很多惡意代碼利用它,但是隨著使用者安全意識的提高,以及安全廠商將它列入黑名單,這些含有HTA代碼的檔案發揮的破壞作用已大不如前了。然而,Windows MSHTA指令碼執行漏洞的出現,使得潘多拉的魔盒再次開啟,噩夢開始……

  攻擊者可利用此漏洞控制受影響的系統,進行惡意程式的安裝、系統檔案的管理等,或建立一個擁有完全控制許可權的管理員帳號。

  原理

  Microsoft HTML Application Host(MSHTA)是Microsoft Windows作業系統的一部分,必須使用它才能執行HTA檔案。而Windows Shell中存在遠程代碼執行漏洞,起因就是系統不能正確識別檔案的關聯程式。

  其實說簡單一點就是Windows系統在處理檔案關聯程式的時候出現了問題。例如,使用者本來想用Winamp開啟一個檔案尾碼為“mp3”的檔案,但卻沒能正確調用Winamp程式而調用了另一個程式開啟了這個“mp3”檔案。這個漏洞就是這樣,使用者運行惡意檔案後,系統會調用MSHTA開啟這個檔案,如果這個檔案中包含有HTA代碼,那麼系統就會立刻執行這段代碼,從而引發各種安全問題。

  配置木馬服務端

  攻擊者想要成功利用該漏洞進行遠端控制的話,首先就得配置一個木馬的服務端程式。通過木馬程式,就可在圖形化的狀態下進行遠端控制,這樣操作起來更加簡單方便。

  當我們成功啟用被攻擊電腦上的Windows MSHTA指令碼執行漏洞後,該電腦就會自動下載我們設定的服務端程式,我們即可對它進行遠端控制操作。

  今天,我們可以採用的木馬是最新的國產木馬“流螢”,在它的協助下,我們可以非常方便地通過用戶端中的各個按鈕進行遠端控制。

  運行流螢木馬的用戶端程式,在彈出的操作介面中點擊工具列上的“佈建服務端”按鈕。在彈出的“佈建服務端”視窗中,就可開始配置我們的服務端程式(見圖)。

  由於木馬“流螢”採用了流行的反彈串連技術,所以要在“DNS網域名稱”中設定用於服務端程式反彈串連的IP地址,也就是本機電腦當前的IP地址。當然,攻擊者也可採用其他木馬進行反彈串連的操作。

  在“串連連接埠”中設定用於服務端程式和用戶端(即被攻擊的電腦和進行攻擊的電腦)進行資料轉送的監聽連接埠。“辨識密碼”就是服務端程式在上線時的確認密碼,如果辨識密碼不正確,攻擊者將不能對被攻擊電腦進行控制。

  “流螢”在服務端的隱藏方式上採用了現在流行的線程插入的方法,選中“是否產生dll進程插入類型”選項後,使用者可根據自己的需要,選擇將產生的服務端程式進程插入到資源管理員程式explorer.exe的進程中或IE瀏覽器的IEXPLORE.EXE進程中實施服務端隱藏。這樣不但可以輕鬆穿透大多數個人防火牆,而且在進程管理器中也無法查到該進程。

  現在,所有的設定已經完成,最後點擊“產生”按鈕就可產生我們需要的服務端程式。產生的服務端程式只有13KB,極其有利於被攻擊的電腦進行下載。

  漏洞的利用

  木馬服務端的配置完成,只是完成了整個攻擊過程中的很小一部分。下面,我們就要一鼓作氣,完成所有的操作,目的就是為了擁有更多的肉雞。

  現在我們來看看這個漏洞是如何被攻擊者利用的。首先從網上下載Windows MSHTA指令碼執行漏洞的利用工具,之後開啟命令提示字元視窗,進入漏洞利用工具所在的檔案夾,然後查看工具的使用方法。

  “Usage:C:\2005016.exe htafilename savefilename”,該語句的含義是可通過利用工具將一個HTA檔案轉化為一個可以成功利用Windows MSHTA指令碼執行漏洞的檔案(檔案格式不確定,使用者可以任意取,但檔案的尾碼名一定不能和系統中已有的檔案尾碼名相同),看來我們首先需要編寫一個HTA檔案。

  能夠編寫HTA檔案的語言有很多,包括VBScript、Perl等,使用者完全可以根據自己的愛好以及每種語言的特點來選擇編寫語言。下面就以VBScript為範例來編寫一個HTA檔案。

  開啟記事本程式,輸入一段VBScript代碼(下載地址:http://www.mh.fy.cn/2005/2.rar)。

  這段代碼的含義是從網上下載代碼中設定的連結檔案,下載完成後運行該檔案。其實這個檔案就是我們配置完成後上傳到網路空間的木馬服務端程式。代碼輸入完成後,將該檔案命名為mm.hta即可。

  現在重新運行漏洞利用工具,然後輸入命令“2005016.exe mm.hta mm.mm”,這樣就可產生一個名為“mm.mm”的惡意檔案。如果你怕檔案的尾碼名被對方識破,可以採用類似於“d0c”這樣的尾碼名。

  利用漏洞的惡意檔案產生之後,你就可通過各種各樣的方法將它傳播出去,例如藏在電子郵件的附件中、通過即時通訊軟體發給別人、在論壇上發帖等。

  只要被攻擊的使用者雙擊運行了該檔案,被攻擊的電腦的系統就會下載並運行已經設定的連結檔案,進而受遠端電腦的控制。

  攻擊者可通過用戶端程式中的各個命令對被攻擊的電腦進行遠端控制,包括檔案管理、螢幕管理、註冊表管理等。

  防範措施:使用者想要成功地對Windows MSHTA指令碼執行漏洞進行防範,最簡單的方法就是儘快安裝微軟推出的安全補丁,這樣就可徹底根除該漏洞對系統的危害。當然還可通過安裝殺毒軟體對利用該漏洞下載的惡意程式進行查殺,從而進行防範。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。