使用工具:�、foxmail
當前�,郵件傳輸仍使用SMTP(Simple Mail )(端口:25)協議����,SMTP協議是整個郵件傳輸體系中最基礎的框架協議�。1982年��,協議協議首次作為互聯網標準被寫進RFC文檔��,此后經過多次更新�,最近的依次比較大的更新在2008年�,更新標準為RFC5321。
STMP是一種比較老的協議了,安全性差,在郵件傳輸過程中��,容易被第三方所竊取�。STMP缺少身份驗證機制,攻擊者可以很容易在傳輸鏈路上獲取明文的郵件內容。在這次郵件抓包中�,人為關閉SSL����,從而使流量捕獲容易��、密文解碼容易��。
大致過程就是我發送一封郵件給別人,在發送之前打開并監聽端口,發送完成后,即抓取到流量包����,隨后進行分析����,得到郵件內容��。
詳細操作過程:
1��、登錄foxmail,在設置中》賬號》服務器�,去掉SSL勾選�。
2�、在中�,監聽自己電腦(WLAN等)接口:25
3����、開始捕獲后����,可以看到還沒有捕獲到即時流量包,這是正常現象����,STMP協議使用25端口����,郵件還未發送����,沒有流量的產生。
4、前期準備工作做好了�,我們就可以開始寫郵件并發送了����。郵件想寫啥寫啥��,這只是一封測試郵件�,你可以發給自己����,發給別人,只要郵件能夠發送�,你抓取到流量包即可�。
在foxmail中可編輯郵件并發送:
5��、郵件發送成功后�,中即時捕獲流量包。
輸入smtp以過濾SMTP包�,隨后選擇任意一組��,鼠標右擊追蹤TCP流。
6、分析TCP流
我們可以看到郵件內容采用Base64的加密方式��,并且使用GB2312字符集��。
7、解碼工作:
可以使用在線的解碼工具�,注意字符集要高級設置為“GB2312”��,而不是“UTF-8”。
我們來簡單回顧下整個流程�,整個抓取過程還是比較順利的����,當然��,在真正郵件傳輸過程中��,會使用SSL/TLS協議保障傳輸安全,同時會使用DMARC機制對發件人進行身份驗證��,郵件內容使用PGP與S/MIME協議進行加密�。常人還是較難以中間人的身份竊取郵件內容的。
知識補充:
1�、MIME協議
MIME( Mail )是一種標準����,用于在郵件中傳輸非純文本的數據��,如圖像�、音頻��、視頻等多媒體內容�。MIME From 是 MIME 標準中的一個字段��,用于指示發送者的名稱和電子郵件地址�。
MIME From 字段通過以下格式表示:
From: "Sender Name"
其中����,"Sender Name" 是發送者的名稱,可以是用戶昵稱或真實姓名����; 是發送者的電子郵件地址����。
MIME From 字段允許發送者在電子郵件中顯示自定義的發送者名稱��,而不僅僅是電子郵件地址��。這有助于接收者更容易識別和辨認郵件的來源。需要注意的是��,MIME From 字段并不影響郵件的傳遞和路由過程�,它主要是為了提供更人性化的發送者信息,并讓郵件看起來更正式和可信����。郵件服務器和客戶端可能會根據 MIME From 字段來顯示發送者的名稱�,但并不保證所有郵件客戶端都會正確顯示該字段中的信息����。總結而言����,MIME From是MIME 標準中的一個字段��,用于指示郵件發送者的名稱和電子郵件地址。它提供了更人性化的發送者信息�,并使郵件看起來更正式和可信����。
2�、TLS協議
TLS( Layer )是一種加密協議,用于在網絡通信中提供安全和私密性��。它的前身是 SSL(Secure Sockets Layer)協議�,后來由于協議改進而更名為 TLS。 TLS 協議通過對數據進行加密和認證來保護通信的安全性��。
SSL/TLS協議被設計為一個兩階段協議��,分為握手階段和應用階段:
握手階段也稱協商階段�,在這一階段�,客戶端和服務器端通過第三方(CA) 認證對方身份�。
3、PGP/GPG協議
PGP/GPG(Pretty Good Privacy/GNU Privacy Guard):PGP 和 GPG 是兩個類似的開放標準,用于在電子郵件中實現端到端的加密和數字簽名��。這些標準允許用戶生成和管理自己的密鑰對�,并使用公鑰對郵件進行加密,以保護郵件內容的機密性。
PGP加密由一系列散列��、數據壓縮����、對稱密鑰加密,以及公鑰加密的算法組合而成。每個步驟支持幾種算法,可以選擇一個使用��。每個公鑰均綁定唯一的用戶名和/或者E-mail地址��。這個系統的第一個版本通常稱為可信Web或X.509系統����;X.509系統使用的是基于數字證書認證機構的分層方案�,該方案后來被加入到PGP的實現中。當前的PGP加密版本通過一個自動密鑰管理服務器來進行密鑰的可靠存放�。
4�、DKIM
DKIM( Mail)并不是一個獨立的協議��,而是一種郵件驗證技術�。它通過在郵件的頭部添加數字簽名來驗證郵件的來源和完整性����。
DKIM使用公鑰加密算法,將發送方域名的私鑰生成的數字簽名添加到郵件頭部的DKIM-字段中。接收方的郵件服務器可以使用發送方域名的DNS記錄中的公鑰來驗證該簽名��,從而確定郵件是否經過篡改并確認郵件的來源是合法的��。通過使用DKIM��,接收方可以驗證郵件的真實性,防止郵件被篡改和偽造。這有助于減少垃圾郵件��、欺詐和網絡釣魚等郵件安全問題��。
雖然DKIM不是一個獨立的協議�,但它通常與SMTP協議一起使用��,以確保郵件的安全性和可信度��。
5、DMARC
DMARC(Domain-based Message , , and )是一種用于電子郵件的認證和報告機制����,旨在提供對域名的郵件發送者身份驗證�,減少偽造郵件的風險,并提供有關郵件傳遞的詳細報告��。DMARC 的主要目標是防范釣魚攻擊�、偽造郵件和垃圾郵件,通過以下方式實現:
1��、SPF(Sender Policy ):SPF 是 DMARC 的一部分��,用于驗證發件人服務器是否被授權發送特定域名的郵件��。通過在域名的 DNS 記錄中設置 SPF 記錄�,發件人可以指定哪些服務器有權發送該域名的郵件�。
2����、DKIM( Mail):DKIM 也是 DMARC 的一部分,用于驗證郵件的完整性和真實性。發件人使用私鑰對郵件進行簽名����,并將公鑰發布到 DNS 中�。接收方使用公鑰解密簽名并驗證郵件是否被篡改。
3��、郵件處理政策:通過 DMARC�,域名所有者可以指定郵件的處理政策,如是拒絕�、放行或進行進一步審查�。這樣,接收方可以根據域名的 DMARC 記錄來判斷如何處理未經驗證或不符合策略的郵件����。
4��、報告機制:DMARC 提供了詳細的報告功能,讓域名所有者了解有關郵件傳遞情況的信息��。這些報告包括未經驗證的郵件��、失敗的驗證嘗試�、通過的驗證嘗試等����,幫助域名所有者監測和分析郵件流量。
通過使用 DMARC����,域名所有者可以加強對其域名下郵件的控制�,減少偽造郵件和釣魚攻擊的風險����,并提供有關郵件傳遞的實時報告。然而��,為實現最佳的效果,DMARC 的配置需要一定的技術知識和正確的設置����?�?偨Y而言,DMARC 是一種用于電子郵件的認證和報告機制��,通過 SPF 和 DKIM 驗證發件人身份�,并提供處理政策和詳細報告��。通過使用 DMARC����,域名所有者可以增強對郵件的控制��,防范郵件欺詐和偽造��,并獲得有關郵件流量的可視化報。
偽裝激活工具實施病毒傳播,火絨曾報道的“小馬激活”再度出現!
近期�,韓國知名在線文件共享服務網站 出現了一種新型惡意軟件����,這款惡意軟件本質上是偽裝成 Windows 激活工具的 BitRAT 遠程訪問木馬�。
在這款惡意工具壓縮包內部�,一共包含三個文件����,其中“.exe”為真實的激活工具,而另一個“_Temp”則是木馬病毒����。
在用戶運行激活工具的同時����,惡意程序也會一起執行�,從而給受害者一種激活工具很安全的感官錯覺。
而當木馬執行之后��,會通過命令和控制服務器下載其他惡意文件��,并將其添加到開機啟動項中�。
這樣一來��,受害者的電腦也就成為了木馬竊取個人隱私和惡意彈窗廣告的平臺��。
一直以來�,由于微軟對 Windows 激活工具的放任,使得網絡上出現了大量參差不齊、魚目混珠的激活工具����,雖然部分激活工具很安全����,但更多的是有一部分不法分子利用這一機會制造木馬進行惡意傳播��。
除了韓國��,其實我國也是 Windows 系統盜版現象非常嚴重的國家之一,長期一來,大部分國人都使用著由激活工具激活的非官方授權系統�,激活工具擁有廣泛的用戶市場����。因此國內這些木馬病毒制造者同樣愿意在激活工具上下心思�。
火絨在 2016 年就報道過一次有人利用“小馬激活”實施病毒傳播的事件(點擊底部閱讀原文查看)。
這款“小馬激活”病毒在當時傳播非常廣泛,其后甚至演變出了五個變種����,但無論如何更新換代和演變����,總之萬變不離其宗����,這款病毒的目的就是在用戶電腦中通過篡改瀏覽器主頁以及為桌面添加快捷方式的手段實施流量變現。
在火絨這份幾千字報告中還提到�,“小馬激活”病毒與一家叫做陽泉市 XXXX 有限責任公司有著千絲萬縷的關系�。
在這家公司的簡介中�,我們看到,這家公司主要從事電腦圖文設計�、網站制作�、廣告��、電腦軟件開發等����。
當然�,以上只是這家公司對外所宣傳的業務范圍��,其重點還是落在以木馬病毒傳播為主要核心的黑色產業鏈上��。
那么 6 年過去了,這些打著激活工具名義的病毒木馬是否還存在呢��?
為了搞清楚這一點����,本人在百度搜索上以”kms 激活“為關鍵詞進行了相關的搜索。
搜索結果的第一頁頂部位置����,是百度發布的兩個競價排名推廣位�,頭條排名發布公司叫做湛江市余鮮家水產品有限公司�,次條排名發布公司為郴州航景電子商務有限公司。
在分別點開這兩個推廣鏈接之后����,我發現�,兩個推廣網址雖然不完全相同,但網頁內容居然出奇的一致�,不難看出�,百度發布的這兩個推廣位本質屬于一個公司�。
在推廣網站首頁頂部位置,存在非常顯眼的”使用工具前�,請退出安全軟件“的提示�。
網站上提供了多款不同激活工具的下載��,網站甚至還聲稱可以全面支持 Windows 及 Office 全系列����。
為了驗證這里下載的激活工具是否夾雜木馬病毒程序�,我特地下載了全部的三款激活工具。
在解壓之后��,火絨瞬間攔截并刪除了激活文件�,為了更安全地測試��,我挑選了其中的一款”小馬激活“��,并在虛擬機中進行了激活測試。
實驗證明����,這款”小馬激活“確實存在篡改瀏覽器首頁行為����。
更有意思的是�,我在打開”郴州航景電子商務有限公司“的公司官網 之后還發現,這家公司官網居然和 6 年前火絨提到的陽泉市 XXXX 有限責任公司官網介紹完全雷同����。
這不禁讓人懷疑�,這家 6 年前就已經被火絨全網曝光的病毒制作公司是否在改頭換面之后再度歸來?
更令我詫異的是����,這種以病毒傳播為目的的公司居然還能通過百度的資格審查讓百度為他光明正大地搞病毒推廣。
總結
根據本人多年的互聯網經驗��,一般正常的 Windows 激活工具在激活過程中除了 Windows 之外��,都不需要退出安全軟件�,凡是想千方百計引導用戶退出安全軟件的激活工具往往不懷好意����,最好不用!
大家在下載激活工具的時候也要睜大雙眼�,不要去不認識的陌生網站下載任何軟件工具�。
