反馈型Flash钓鱼方案

admin 2025年1月2日23:31:26评论8 views字数 1230阅读4分6秒阅读模式

反馈型Flash钓鱼方案

常规方案介绍

随缘型Flash钓鱼

介绍

在站点插入js语句,当目标访问站点时,弹出Flash升级弹窗,如果目标下载执行木马程序则成功上线,如果目标退出弹出的Flash升级程序则结束钓鱼流程。当目标再次访问站点时,则重新进入Flash钓鱼流程。

反馈型Flash钓鱼方案

优点

对站点无损,目标站点虽然会一直弹窗,但弹窗可以退出,不影响站点使用。

缺点

1.无论目标是否执行再次打开站点仍会继续弹窗,易被发现。

2.目标可直接退出弹窗选择不执行,钓鱼失败几率增大。

3.即使目标已执行木马,因为无法解决问题,如果掉线大概率不会再次运行。

强制型Flash钓鱼

介绍

在站点插入js语句,当目标访问站点时,弹出Flash升级弹窗,且弹窗无退出选项,即只有下载执行木马程序一条选项,而且当目标下载执行木马程序之后,弹窗仍无法消除。

反馈型Flash钓鱼方案

优点

目标大概率会下载执行木马,因为站点无法正常使用。

缺点

1.会导致站点无法使用。

2.问题会被及时解决,很难对使用站点的多个目标进行覆盖。

3.弹窗无法消除,易被发现。

4.如果目标掉线大概率不会再次运行。

新方案

反馈型Flash钓鱼

介绍

在站点插入js语句,当目标访问站点时,判断目标当前是否正在运行木马程序,如正在运行木马程序,则正常使用站点,否则,弹出FLash弹窗钓鱼程序,如不下载执行,则无法退出弹窗,即无法正常使用站点。

反馈型Flash钓鱼方案

思路历程

此种模式相对于原始钓鱼模式差别在于会根据目标执行木马与否促使站点进入不同的工作路径,技术上关键点在于如何确定目标已执行木马程序,即我们需要木马在目标主机执行后传递出目标的特征信息,且此特征信息可被站点端获取从而执行不同路径,想到的一些特征点如下:

IP信息

ip信息是较容易获取或传递的,我们可以有几个思路:

思路一

在远端服务器设置ip白名单,如目标是否下载我们的木马,则将其放入白名单之中,目标站点获取远端的白名单信息,如目标在白名单之中,则不进行弹窗,否则,弹窗。

此方案存在一些问题。第一,我们只能判断目标是否已下载木马,无法判断是否已执行;第二,目标IP可能会经常变化(如诈骗站点目标可能会经常变换ip去登陆不同应用)

思路二

方案与思路一基本相同,白名单IP获取方式改为获取与远控服务端通信的IP地址。

此方案相对于思路一存在一些改进,仍存在一些问题。第一,如果远控服务端使用了CDN隐藏,可能很难直接获取目标IP地址,需要通过CDN服务商或改造木马方式进行传递;第二,如思路一中缺点,目标IP可能会经常变化。

最终方案

木马程序增加如下功能,在本地任意一不常用端口开启http服务,在站点使用js访问本地http站点,如果目标本地站点开启成功则说明木马已运行,则不弹窗,否则,弹窗。

最终代码:

Flash钓鱼

木马改造

参考代码(上述代码以如下代码为基础改造而成):

Flash钓鱼

木马免杀

成果展示

木马运行中的机器访问钓鱼站点:

反馈型Flash钓鱼方案

木马未运行机器访问钓鱼站点

反馈型Flash钓鱼方案

本文转载自FreeBuff,更多内容请点击“阅读原文”

反馈型Flash钓鱼方案

反馈型Flash钓鱼方案

原文始发于微信公众号(网络安全者):反馈型Flash钓鱼方案

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月2日23:31:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   反馈型Flash钓鱼方案http://cn-sec.com/archives/1722067.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息