常规方案介绍
随缘型Flash钓鱼
介绍
在站点插入js语句,当目标访问站点时,弹出Flash升级弹窗,如果目标下载执行木马程序则成功上线,如果目标退出弹出的Flash升级程序则结束钓鱼流程。当目标再次访问站点时,则重新进入Flash钓鱼流程。
优点
对站点无损,目标站点虽然会一直弹窗,但弹窗可以退出,不影响站点使用。
缺点
1.无论目标是否执行再次打开站点仍会继续弹窗,易被发现。
2.目标可直接退出弹窗选择不执行,钓鱼失败几率增大。
3.即使目标已执行木马,因为无法解决问题,如果掉线大概率不会再次运行。
强制型Flash钓鱼
介绍
在站点插入js语句,当目标访问站点时,弹出Flash升级弹窗,且弹窗无退出选项,即只有下载执行木马程序一条选项,而且当目标下载执行木马程序之后,弹窗仍无法消除。
优点
目标大概率会下载执行木马,因为站点无法正常使用。
缺点
1.会导致站点无法使用。
2.问题会被及时解决,很难对使用站点的多个目标进行覆盖。
3.弹窗无法消除,易被发现。
4.如果目标掉线大概率不会再次运行。
新方案
反馈型Flash钓鱼
介绍
在站点插入js语句,当目标访问站点时,判断目标当前是否正在运行木马程序,如正在运行木马程序,则正常使用站点,否则,弹出FLash弹窗钓鱼程序,如不下载执行,则无法退出弹窗,即无法正常使用站点。
思路历程
此种模式相对于原始钓鱼模式差别在于会根据目标执行木马与否促使站点进入不同的工作路径,技术上关键点在于如何确定目标已执行木马程序,即我们需要木马在目标主机执行后传递出目标的特征信息,且此特征信息可被站点端获取从而执行不同路径,想到的一些特征点如下:
IP信息
ip信息是较容易获取或传递的,我们可以有几个思路:
思路一
在远端服务器设置ip白名单,如目标是否下载我们的木马,则将其放入白名单之中,目标站点获取远端的白名单信息,如目标在白名单之中,则不进行弹窗,否则,弹窗。
此方案存在一些问题。第一,我们只能判断目标是否已下载木马,无法判断是否已执行;第二,目标IP可能会经常变化(如诈骗站点目标可能会经常变换ip去登陆不同应用)
思路二
方案与思路一基本相同,白名单IP获取方式改为获取与远控服务端通信的IP地址。
此方案相对于思路一存在一些改进,仍存在一些问题。第一,如果远控服务端使用了CDN隐藏,可能很难直接获取目标IP地址,需要通过CDN服务商或改造木马方式进行传递;第二,如思路一中缺点,目标IP可能会经常变化。
最终方案
木马程序增加如下功能,在本地任意一不常用端口开启http服务,在站点使用js访问本地http站点,如果目标本地站点开启成功则说明木马已运行,则不弹窗,否则,弹窗。
最终代码:
Flash钓鱼
木马改造
参考代码(上述代码以如下代码为基础改造而成):
Flash钓鱼
木马免杀
成果展示
木马运行中的机器访问钓鱼站点:
木马未运行机器访问钓鱼站点
本文转载自FreeBuff,更多内容请点击“阅读原文”
原文始发于微信公众号(网络安全者):反馈型Flash钓鱼方案
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论