将木马与合法的可执行文件绑定是黑客们用来诱骗用户在电脑上安装恶意软件的常用方法。这些绑定程序,也称为特洛伊包装程序,将原始程序与特洛伊程序结合,并创建一个新的可执行程序。在这个例子中,Phoenix使用了Yet Another Binder (YAB),它最初是在areyoufearless.com.(此站点不再托管Yab,但您可以通过文件共享服务(如BitTorrent或其他黑客网站)找到此免费实用程序astalavista.net或packetstormsecurity.org。)
在启动YAB时,Phoenix看到屏幕显示图2.10.
另一个活页夹
Phoenix单击加号以显示显示的添加绑定文件命令屏幕图2.11.
添加Netcat
Phoenix设置了表2.1中的选项来准备绑定他的木马:
表2.1另一个绑定器选项
选项 |
价值 |
描述 |
选择命令要添加: |
绑定文件 |
此选项允许您将一个文件绑定到另一个文件。 |
源文件路径: |
C:\ nc.exe |
这是通往凤凰城网猫木马的路。 |
执行方法: |
异步执行 |
此选项将安装与主可执行文件分开的木马程序。有时尝试同时(同步地)启动它们可能会导致问题,因此异步执行是一种更安全的选择。 |
执行参数: |
-p 50 -e cmd.exe -L .exe |
此选项将Netcat配置为监听(-L.),用于接收到TCP端口50的连接。的-e cmd.exe.选项告诉Netcat执行MS-DOS命令shell。 |
可选的,凤凰可以选择再次启动木马时,计算机启动设置注册表启动方法选项。例如,Phoenix可以将其配置为加载HKEY_LOCAL_MACHINE \ Microsoft \ Windows \当前版本\ RUN,以便在每次计算机启动时都会启动Trojan。默认值不是修改注册表。
凤凰点击好的完成网上配置Netcat后。下一个Phoenix通过单击加号符号添加合法程序以添加它。他选择执行文件在里面选择要添加的命令下拉框(见图2.12).他进入Backup.exe可执行文件的完整路径,在其默认值下离开其他选项,然后单击好的.
添加可执行文件
在Phoenix将两个文件绑定在一起之前,他首先确保在它启动后将删除NetCat可执行文件的所有痕迹。这有助于防止用户在计算机上检测他的恶意软件。特洛伊木马包装器通常具有此选项来融化或删除,软件在RAM中运行后可执行的所有恶意软件的痕迹。虽然选择融化文件是理想的避免检测,但它确实有一个副作用:如果文件已经消失,则计算机启动时无法再次启动它。他选择融化netcat选项菜单和选择执行后熔体存根(看图2.13).
在执行后熔化存根选项
为了使这个特洛伊木马看起来合法,Phoenix选择一个看起来像标准安装程序的图标。在图标预览框中,他点击了(没有)打开“更改图标”对话框。然后,他选择一个看起来像标准安装程序的图标。图标7和图标8是两个不错的选择图2.14).
选择一个图标
现在Phoenix已经准备好将存根(Netcat)绑定到可执行文件(backup.exe)。他单击绑定文件按钮。他现在有他的特洛伊程序,他保存为setup.exe。
由于安装依赖于许多其他文件,Phoenix需要创建一个自解压缩归档,将安装所需的所有文件打包在一起。他启动WinZip Self-Extractor并选择用于软件安装的自解压Zip文件(看图2.15).
Winzip自我提取器
凤凰城的选择自动解压缩(看图2.16),以便归档对用户是透明的。当向导提示他输入要在解压缩过程完成时启动的可执行文件的名称时,他选择安装程序(看图2.17).当他的老板启动CCNA程序时,它将解压缩文件并运行setup.exe,这将安装合法的实践测试软件和Netcat。Netcat将在后台运行,监听TCP(传输控制协议)端口50上传入的连接。
选择自动解压缩
在完成时执行setup.exe
设置钓鱼网站
菲尼克斯现在已经创建了他的新程序在他的钓鱼网站上。他从合法网站上给他的文件与原始程序(ccna.exe)相同的名称,并将其复制到第一个ccna.exe所在的相同目录(覆盖它)。他需要将所有的钓鱼网站文件复制到一个可以承载这些文件的Web服务器上。为了让钓鱼诈骗看起来尽可能合法,他决定注册一个与原始网站相似的域名。原来的网站是certificationpractice.com,所以他注册了域名certificationpractice.com。现在,他拥有了一个功能齐全的网站,其名称与原来的网站类似,同时还带有一个新的木马,它似乎是一个合法的实践测试应用程序。
通过重复使用同一个网站,凤凰卫视违反了版权法。此外,如果有人下载并运行他创建的恶意软件,他可能会面临进一步的起诉。
给Minutia先生发邮件
Phoenix已复制了一个网站,创建了一个特洛伊木马,并举办了一个新的网站,并与他的木马的链接。所有这些都不会帮助他,除非他可以以某种方式指导他的老板,Metutia先生参观和下载他的木马。最简单的方法是向他的老板发送欺骗电子邮件,似乎来自网站凤凰主机。当他的老板看完电子邮件时从:领域,他应该看到来自Certification-Practice.com域的电子邮件地址,而不是Phoenix的电子邮件地址。Minutia先生只能通过查看电子邮件标题来发现真正的电子邮件地址。阅读电子邮件标题是少数人知道如何做的事情,即使他们这样做,也很少看看他们的电子邮件软件。
尽管Phoenix可以使用他的电子邮件客户端在他的工作场所发送电子邮件,但这将使他很容易在有人查看电子邮件头的情况下被跟踪。为了掩盖踪迹,他使用了mail.com这样的匿名电子邮件服务。那么,他的脚步如下:
在mail.com注册匿名电子邮件
创建一封电子邮件,诱使他的老板访问钓鱼网站并下载与木马绑定的CCNA可执行文件
改变从:字段转换为带有certificationpractice.com域的电子邮件地址
在Mail.com上注册匿名电子邮件很容易。凤凰城去了http://www.mail.com.注册免费的匿名电子邮件。不像许多电子邮件服务要求您输入替代电子邮件地址、您的邮政地址或其他个人信息,像mail.com这样的网站不需要。这种匿名身份保护了凤凰城的调查人员无法追踪到他。
如果黑客想要得到进一步的保护,可以通过匿名代理服务器。Anonymization.net和TorPark就是两个这样的代理。
接下来,Phoenix使用Mail.com说明配置他的电子邮件客户端。他决定了Outlook Express。
你可能想知道为什么菲尼克斯需要一个匿名的电子邮件帐户如果他要改变从:场地。改变这一点从:字段足以骗过用户,但不足以骗过调查人员查看邮件头。为了隐藏自己的身份,凤凰改变了两者从:输入并使用匿名电子邮件服务。
菲尼克斯现在创造了一封电子邮件,应该令人信服,以便在社会工程师们参观他的网站并下载木马。一个很好的网络钓鱼骗局电子邮件应遵循以下准则:
应该检查这封电子邮件是否有语法和拼写错误- 人们不太可能相信具有许多印刷错误的电子邮件,因为它看起来不专业。
电子邮件应该提供一些免费的东西-每个人都喜欢免费的东西。
这封邮件应该能解释为什么受害者能不劳而获-人们知道没有什么是真正“免费的”,这其中一定有陷阱。如果没有免费物品的正当理由,受害者可能会产生怀疑。他们不一定会认为这是一个网络钓鱼骗局,但他们可能会怀疑他们是被骗进入违背自己意愿的东西。如果你试图免费提供一些东西,受害者应该知道他们为什么得到免费的东西。
电子邮件应该让毫无戒心的用户自我感觉良好-你的电子邮件本质上是一种营销活动,试图让你的受害者下载你的软件。对于信息技术专业人士(比如菲尼克斯的老板,在这个场景中),最好的方法是让他们觉得如果他们使用你的产品,他们会比不使用你的产品更聪明、更成功。
电子邮件应该简短-相比短小的邮件,人们更不喜欢读长邮件。Phoenix想要保持邮件的简短,以增加他的老板阅读它的机会。
以下是符合这些目标的建议电子邮件:
主题:免费CCNA练习测试软件
亲爱的琐事先生,
下载您的免费CCNA实践测试今天,而它持续!
作为一名IT专业人士,你知道获得行业认证会极大地增加你的净资产、你在组织中的技术能力,以及你同事的认可。我们的研究表明,获得CCNA认证的专业人士平均比没有获得该认证的专业人士多赚15%。
在有限的时间内,认证实践考试很高兴为所有注册cisco.com用户提供免费的CCNA实践测试软件。这是129美元的价值!为什么我们愿意免费付出这么多?这很简单。当您使用我们的软件在您的第一次尝试通过CCNA考试时,我们有信心认证实践考试将是您未来思科认证实践考试的目的地。我们只要求,在您通过考试后,您考虑我们为所有未来的实践测试需求。
要下载免费的CCNA练习测试,请访问www.certificationpractice.com/ccna并点击CCNA.exe链接。
真诚地,
认证实践考试
您可能已经注意到,该网站的URL是合法网站,而不是Phoenix创建的新钓鱼网站。这是故意的。虽然Phoenix可以把他的域名,一个好的网络钓鱼骗局似乎是合法的。这封电子邮件引用了原来的网站,但是Phoenix更改了HTML代码来链接到钓鱼网站。为此,Phoenix访问了电子邮件的源代码,并将链接改为指向他的网站www.certification-practice.com/ccna(参见图2.18).这样一来,电子邮件文本就指向了真实的网站,但代码却将Phoenix的老板导向了虚假的网站。当他浏览凤凰卫视的网站时,米尼奥亚可能永远不会注意到网站的不同。而且,即使他这样做了,它已经足够接近真正的网站域名,他可能甚至不会关心。
改变链接
为了进一步鼓励他的老板,菲尼克斯接近他并提到他一直在考虑参加CCNA认证。通过提及这一认证,凤凰地区对他的老板的思想造成了一个微妙的建议,了解认证考试。温柔的建议可以走向社交工程的长途讲座,让老板下载这个软件。菲尼克斯备注,“我今天收到了来自其中一个实践测试公司的电子邮件。你有一个吗?我还没有检查过,但看起来是一个非常好的网站。“因为Minutia先生是大自然的竞争人士,菲尼克斯进一步迈出了一步,并通过说,“你知道,我打赌你会在你之前完成我的CCNA。我想我今晚会去寻找一些练习考试软件开始准备。“
Phoenix发送电子邮件,然后坐下来等待。收到邮件后,Minutia先生就会被诱使下载Phoenix的软件。合法的实践测试和Netcat将在安装过程中安装在mintia先生的机器上。Netcat将在50端口监听凤凰老板的机器连接。
找到老板的电脑
下一步是发现Minutia的计算机先生使用的IP地址。一种方法是使用一个名为Angry IP Scanner的软件工具(http://www.angryziber.com/ipscan/),扫描一系列IP地址以发现哪些主机处于活动状态。看图2.19有关扫描192.168.1.0/24范围的示例。
愤怒的IP扫描器
现在Phoenix有一个网络上的主机列表,他可以使用端口扫描仪来确定哪些主机在端口50上侦听哪些主机(他配置了Netcat的端口以侦听)。Phoenix选择愤怒的IP扫描仪。图2.20.显示其端口扫描器的输出。注意,他指定Netcat监听的端口50是打开的。
愤怒IP扫描器端口扫描器输出
连接到老板的电脑
老板的电脑是192.168.1.5。现在Phoenix知道了IP地址,并且已经验证了TCP端口50是开放的,他可以连接到mintia先生的机器。Phoenix在他的电脑上打开一个MS-DOS命令提示符,并导航到他拥有Netcat副本的目录。他输入以下命令连接到他老板的机器:
NC 192.168.1.5 50.
Phoenix使用内置的ipconfig工具验证与老板电脑的连接。显示的是192.168.1.5(他老板电脑的IP地址),所以他成功地连接到了mintia先生的电脑(如图2.21.).
连接到mintia先生的电脑