黑客寫的這一行代碼 看起來很LOW殺傷力很強!
前逛論壇的時候���,W3Cschool小編看到有吧主貼出一行黑客寫的代碼�����。如果你懂點程序�,這行代碼看起來沒有多難。廢話不多說,直接上代碼�。
據說這是BlackHat DC 2011大會上Ryan Barnett給出的一段關于XSS的示例javascript代碼���,這段代碼完全合法���,在絕大多數的瀏覽器上都可以運行�,效果和alert(1)一致。
對于黑客而言,這段代碼雖然很LOW,但是殺傷力還是很強的�����,這段代碼的的好處在于不包含任何的數字或者字符�,對于一些過濾器檢查,完全可以逃過。舉個很簡單的例子,假定一個AJAX請求將返回一個只包含數字的JSON���,有可能會簡單判斷了一下其中不含字母就直接eval了。就是因為這樣,給黑客留下后門���。
這段代碼相當簡單,只是alert(1),一般的程序員都看得懂�����。但是如果運用一樣的原理�,可以做出更加復雜的事情,比如說alert(document.cookie)���。從這段看似簡單的代碼,不難看出黑客擁有無窮的想象力�。
很多時候�,黑客的代碼雖然看起來簡單���,但是有很強的殺傷力!看下面這則新聞!
年紀最小的中國黑客
黑客一行代碼可能讓您損失上千萬
現在社會�,很多網銀上資金丟失、盜號等財務事件發生,這些事件的原因���,都是因為木馬�����。很多人�、很多企業雇傭黑客�,對個人網站或者第三方商業進行攻擊。者也是黑客謀利的一項重要業務���,這一行為在黑客行業中,就叫拿站���。
通過調查可知,黑客提供的所有服務中���,拿站這種行為可是明碼標價的。他們的價碼���,隨著目標網站的安全級別以及任務的難易程度而不同,大概在一千至上萬元�����。
在我國���,網上黑色的產業鏈相當明顯���,部分小企業為了確保自己網站電子商務的安全在���,只好定期去交保護費���。黑客行業�,簡直比房地產還更賺錢。有些時候�,黑客的一行代碼���,可能讓你瞬間損失上千萬。正是因為如此�����,美國FBI斥420萬美元的巨資抓捕五名黑客�����。
美國FBI懸賞420萬美元抓捕五名黑客
1.沙爾什庫馬爾·吉恩 懸賞5萬美元
他是美國公民�,這位黑客主要通過劫持瀏覽器,將虛假的彈窗廣告發布給用戶�,讓用戶誤以為自己的電腦中病毒�。之后�����,沙爾什庫馬爾·吉恩向用戶出售自制的假冒安全軟件以便消除彈窗�。兩年時間內�����,通過這種方式���,吉恩獲利1億美元�。
2.亞歷克賽·布蘭 懸賞10萬美元
在 2012年以及2013年期間���,亞歷克賽·布蘭曾入侵美國內華達州以及加州的多家電商網站�。通過這種方式,他竊取了用戶數據以及很多帳號的加密密碼�。只要出售這些數據�,他就可以賺錢���。
3.葉夫根尼·米哈伊洛維奇·博加喬夫 懸賞300萬美元
他制作了“宙斯”(ZouS)木馬�����,這個木馬主要通過盜取銀行的賬號和密碼、安全提問等,來控制銀行賬戶信息�?����!爸嫠埂焙诳停ㄟ^用這些用戶的信息來冒充賬戶的持有人以便轉移賬戶資金,還不會引發銀行警報���。這個病毒感染了超過100萬臺的計算機,博加喬夫從銀行盜走的資金達到一億美元。
4.尼古拉·波佩斯庫 懸賞100萬美元
這位黑客使用“被證實行之有效的”的方法來欺騙網上的消費者。2012年的時候���,他在很多網站設立假冒的汽車拍賣會,以便銷售不存在的汽車�����。波佩斯庫總共騙走受害者300萬美元�����。
5.皮特爾斯·薩弗羅斯 懸賞5萬美元
這位黑客冒充連鎖酒店���,往新聞網站銷售帶有惡意軟件的廣告�。如果用戶打開這些廣告的一些網頁時�����,惡意軟件將鎖住電腦并加密電腦中所有文件�,然后薩弗羅斯向用戶勒索50美元�����,否則這臺電腦將一直彈出窗口。
當今世界上�,黑客是很牛逼的存在���。不過為了對抗黑客���,很多公司�����、網站都加大了安全系統。不過黑客的很多行為都違法,各位程序員還是且行且珍惜。鑒于版面精簡的要求�,上面的代碼怎么運行的�����,如果還有不清楚的�,可以加我們的公眾號�,或者在底下給小編留言,小編一定一一回答!
公眾號:w3c技術教程
知道大家有沒有經歷過某度某吧和某博曾經大規模的XSS攻擊,一些XSS惡意腳本在這些地方瘋狂傳播�,誘導用戶點擊或者自動發送帶病毒私信內容等���,造成了不小的影響���。
XSS攻擊又稱跨站腳本攻擊�����,腳本(Script)在我們瀏覽器客戶端被廣泛使用,目前大部分網站都使用JavaScript,用來進行計算和管理Cookie等工作�。這些腳本運行在我們本地的客戶端上���,而不是遠程服務器上。也就是運行在我們本地獲取的頁面中���,我們舉一個例子:下面的一串代碼就是一個HTML文件里的JavaScript代碼。(在javascript中,document.write()�,常用來網頁向文檔中輸出內容)
<html>
<head>
</head>
<body>
<script type="text/javascript">
document.write("一方信安");
</script>
</body>
</html>
JavaScript腳本示例
這個Jsp的腳本代碼執行效果跟一個靜態HTML頁面沒有區別���,Jsp腳本能夠豐富網頁內容�,提升閱讀網頁的體驗�����,但是世界上沒有絕對安全的系統�����,漏洞無法避免。XSS攻擊�����,就是一種對輸入沒有驗證的漏洞���。成功的XSS攻擊�����,需要兩個步驟:
1���、攻擊者提交的腳本執行語句沒有被過濾或者刪除
2�、Web應用返回的數據沒有經過編碼
客戶端提交的數據本來就是應用所需要的�����,但是XSS攻擊腳本代碼利用網站對客戶端提交數據的信任,在數據中插入一些符號以及javascript代碼,這些代碼就會成為原本應用代碼的一部分���。而攻擊者也就可以構造不同的代碼,進行惡意攻擊,比如獲取你帶有登陸賬號和密碼的Cookie。
XSS跨站腳本攻擊主要有三種形式
反射式XSS
存儲式XSS
基于DOM的XSS
危害:
1、盜取各類用戶帳號
2�����、獲取用戶數據
3�、更廣泛的蠕蟲傳播
4、網站掛馬
5�、控制受害者機器向其它網站發起攻擊
有很多小伙伴比較喜歡這方面的內容���,想要進行深入的學習�,小編以后會常更新一些關于信息安全���、網絡技術���、電腦知識�����、科技等方面的內容���,喜歡的小伙伴可以關注我�,我也會持續不斷的為大家帶來用心創作的內容以及分享一些資源、學習資料���。我是一方信安,最后
020年6月���,警方破獲一起大規模網吧非法植馬案件,該案件主要為通過上機植馬的方式���,向多家網吧服務器植入“STUpdater.exe”木馬,并對網吧服務器及主機進行遠程控制���,從而盜取大量游戲賬號�����;在進一步確認后發現�����,廣州、合肥�、成都等多地網吧也接連出現類似情形�����,對網絡安全造成巨大危害,嚴重擾亂了社會秩序。
360安全大腦在接到警方協助偵查需求后,結合安全大數據分析研判�,成功掌握了該攻擊木馬的入侵原理�、最終目的以及控制服務器地址等重要信息���,并通過追蹤溯源�,最終發現散布木馬的作案元兇。
目前,在多地警方的統一部署與通力配合下���,作案人員已被繩之以法,關于案件的后續偵辦正在有序推進中。
犯罪團伙周轉多地散布病毒
漢中�����、咸陽�、西安等網吧頻現木馬危機
警方在接到報案后,前往多家事發網吧對服務器進行勘驗;在調取近期監控視頻和上機記錄的過程中�,發現木馬植入幾分鐘前���,存在可疑人員使用虛假身份證開機操作�,并在幾分鐘后結賬下機�����。
根據該虛擬身份進行軌跡核查得知,犯罪嫌疑人5月23日由四川簡陽出發���,乘坐動車、飛機途經漢中�、咸陽���、西安等地�,并在沿途網吧皆完成植馬操作���。
360安全大腦在整合警方提供信息后發現�����,不法分子主要通過線上招募的方式�,安排大量人員前往不同地區的網吧門店�����,使用客戶機來攻擊網吧服務器���,且通常只上機5分鐘左右就離開���,行蹤十分隱蔽�。
同時���,為了拓展犯罪行徑,作案人員在進行線上招募時,主要通過在社交軟件上發布一些誘人的“小廣告”�,來吸引一些想賺外快的代理人員���,幫助他們完成網吧攻擊木馬的投放。
因此�����,存在多個作案幫手同樣按照一定路線到沿途網吧�,使用遠程控制軟件進行植馬,廣州���、合肥、成都等多地網吧皆淪為攻擊目標�����。
360安全大腦在進一步的分析研判后發現���,作案團伙如此大動干戈的種植木馬�����,并非企圖利用網吧電腦進行非法挖礦���,而僅是為了盜取網吧玩家的游戲賬戶�。目前���,警方已抓獲作案團伙管理人員�,并發現涉案人員20余人,在多省市網吧非法植馬�����。
吸睛福利誘導用戶下載使用
“網游加速器”成盜號木馬藏身之所
在對該木馬攻擊進行追蹤溯源后�����,根據已成功掌握的入侵原理、最終目的以及控制服務器地址等重要信息�,360安全大腦分析出了該作案團伙的整體運行流程�。其中���,作案團伙利用多樣的攻擊方法�����,對“易樂游”�����、“網維大師”和“云更新”3種主流網吧管理平臺實施入侵,從而完成了大規模的網吧植馬。
通過360安全大腦關聯“STUpdater.exe”木馬相關的攻擊鏈,快速定位到了網吧攻擊木馬的傳播載體是一款經過修改的“熊貓加速器”。有意思的是,該軟件安裝完成后���,會通過“網吧安裝激活送獎勵”等福利提示,將自己包裝成看似正常推廣的“合法”軟件,來吸引用戶使用�����。
而實際上�,安裝目錄里會添加一個捆綁的木馬模塊“wke.dll”,該模塊利用DLL側加載技術在熊貓加速器主程序啟動時自動運行。運行后首先會檢測網吧環境和資質�,驗證通過后就聯網下載攻擊網吧服務器的工具�����,聯網時會附帶傳播載體的渠道號(內置于每個傳播軟件中,本例為“1986”)方便區分和控制�����。
攻擊工具主要針對3種主流的網吧管理平臺���,分別是“易樂游”���、“網維大師”和“云更新”�。針對每種平臺使用的攻擊方法各有差異,且部分平臺甚至存在多種攻擊方法,但攻擊原理其實都是利用平臺的漏洞來向網吧服務器上傳木馬模塊“AppRead.exe”�。
比如針對“易樂游”平臺包含2種攻擊方法�,其中一種是直接向該平臺的特定服務端口發送構造數據后�����,實現了服務器木馬的植入和啟動�����。
“AppRead.exe”木馬存在兩種不同類型的版本,但本質上都是一個包含遠控功能的后門。比如其中一版自制的簡易后門使用內置C&C列表分別嘗試遠程連接進行上線,成功后則循環等待接收控制端指令���。
另外一版除了包含Gh0st遠控模塊,還會下載一個駐留更新的程序“STUPdater.exe”,該程序使用計劃任務在每天中午12點左右自動運行�。
攻陷大量的網吧服務器后�,作案團伙在6月7號左右開始下發一套盜取游戲賬號的木馬程序“Mount.exe”�,該程序負責將核心盜號模塊“zlib1.dll”植入到網吧客戶端運行。
盜號模塊“zlib1.dll”內嵌一個模塊“PersonCard.dll”,PDB路徑信息為“H:\股票信息\QQHook\ReflectiveDLL\Publish\Release\BaseDll\PersonCard.pdb ”透露其是盜取QQ密碼的木馬。該模塊通過檢測窗口類名稱來查找相關的進程,并注入盜號代碼到對應的進程中執行���,數據回傳的C&C地址為“123.56.86.25”。
在協助抓捕作案人員的過程中���,360安全大腦根據網吧服務器木馬使用的C&C地址 “www.swjoy.org” 和“www.barserver.cn”查詢whois域名注冊信息,發現注冊人出自同一可疑人員,注冊時間與該案件發生時間段也比較吻合���。
而后,360安全大腦結合安全大數據追蹤溯源,最終關聯鎖定該木馬病毒作者�。
360安全大腦協助追捕作案元兇
切忌沉迷游戲踏上犯罪不歸途
也許是過分沉迷游戲世界���,該木馬作者社交軟件個人說明中收藏的github鏈接���,表明其也在研究一些網絡游戲的內核代碼�,但最終還是走向了偷盜游戲賬號的違法犯罪之路�。
不得不說���,適量游戲可以有效緩解日常生活中的壓力���,但如果過度沉迷游戲�����,甚至因此而走向犯罪之路�,顯然得不償失�。針對此次入侵網吧服務器的病毒木馬,360安全大腦已實施全面攔截和查殺�����,為避免這類攻擊態勢再度蔓延�����,建議廣大用戶做好以下防護措施:
1���、及時前往weishi.360.cn�,下載安裝360安全衛士�,強力攔截查殺各類病毒木馬;
2�、使用360軟件管家下載軟件�,360軟件管家收錄萬款正版軟件�����,經過360安全大腦白名單檢測���,下載、安裝�、升級�,更安全�����;
3���、提高安全意識���,為個人電子賬戶設置強密碼和多重驗證�����;
4�����、定期檢測系統和軟件中的安全漏洞,及時打上補丁�����。
0x05 附錄IOC
文件哈希
5a3a410e139eed6652c9e71ea625de29 熊貓加速器.exe
e0c8a4c5149c91b9cc8afb84e0d5fcc8 wke.dll
a267d46932c1b39519142bb4cfad465a AppRead.exe
eebb08efff13dd2100fbc81513c6c671 STUPdater.exe
9a640d97be9f7af1ad7122ce3e43c74f Mount.exe
c25442259c70d23f501907b2174c6a35 zlib1.dll
2444596d72942cdbb9944c14050a2be2 PersonCard.dll
C&C
123.56.86.25
47.110.10.104
www.swjoy.org
www.barserver.cn
128.1.137.26.ipssh.net
0x06 參考鏈接
https://www.shykx.com/category/416.html
https://mp.weixin.qq.com/s/vbDm_Cub4cHdPY8HW_Ickg
https://bbs.txwb.com/thread-2080252-1.html
