U盘钓鱼的实现和防范
副标题[/!--empirenews.page--]
最近在研究apt入侵,发现u盘钓鱼确实是一个简单但成功率极高的入侵手法。 入侵者在u盘中植入病毒,利用拾到者想偷窥、想知道使用人后归还等好奇心理,诱导拾到者插入并打开u盘中的文件,进而触发病毒,可以说是APT入侵利器。当然也就成为内网安全防御的一大挑战。下面我们一起看看u盘钓鱼的实现方式,分析下可行的检测防御方案。 一、U盘钓鱼的实现 阶段一 诱导用户插入u盘 这是第一步,也是最关键的一步,如果拾到者不将u盘插入pc终端,那就谈不上下一步的触发了。这里的关键是要分析做插入动作的的人(被入侵人)的身份。
总之,诱导人性,最大程度提高插入率。让他们对各类安全教育宣传视而不见,也就达到我们的目的了。 阶段二 诱导用户主动运动病毒 这里就不说主动运行的病毒了,autorun已被玩烂,试问哪个公司的安全团队还没解决这个问题?那可以拖出去毙了! 这里只说让用户乖乖的运行病毒,这里的套路和第一步一样,无外乎就是根据不同人的需要制定不同的方案。下面我们仅从技术手段看下怎么让用户运行病毒。 先准备下: 1. 准备病毒 我们先制作一个假的病毒,笔者喜欢用pyhon写简单的功能,然后转成exe,就行。随便写个吓唬人的messagebox吧,如下: 然后转换成exe,如下: 2. 准备图标 这个就不细说了,系统图标,网上找得到一堆,随便选一个吧: 诱惑类图标,美女之类的,我们自己做下即可(这里避免三俗,接下里的演示就不用这类图标了): 这样我们的前期准备就ok了。下面我们看怎么诱导用户打开。 3. 诱导用户打开运行病毒 (1) 方法1 诱惑图标的可执行文件 直接修改可执行文件图标,诱导用户打开 细心的同学肯定看到了,pyinstall的默认图标还是挺陌生的,这种情况下一般的用户都会注意到,而且用户看到exe的后缀也会提高警惕,所有,直接让用户运行的最有利条件是:
不过这里这里我们仅探讨修改图标的方法,隐藏exe就盼着用户默认隐藏后缀名或眼神不好吧,哈哈。 方法如下: 一种是在py转成exe的时候就指定图标(当然如果c++之类的编译的时候直接指定图标即可) 另一种是用图标修改工具,如Restorator、ResourceHacker。先删除资源,然后添加资源即可: 第二种,自解压运行可执行文件,修改图标。 选择自解压: 配置: 效果: 最后把文件名改一下,多加空格,隐藏后缀,效果更好: (编辑:我爱故事小小网_铜陵站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |