首页 > 本站原创, 渗透测试 > 实战–简单反击黑客钓鱼攻击

实战–简单反击黑客钓鱼攻击

作者:不走的钟–007安全小组成员

来源:http://www.007hack.com/?p=444

常常收到QQ群发邮件,从来不看,不过今天这个邮件标题隐含着另人好奇而悲愤的故事而且还带有附件视频,下载后如下图:

1

格式是EXE格式,略有安全意识的朋友可能会使用杀病毒软件来检测下,我当然也不例外,使用360杀毒软件、小红伞杀毒软件和查捆绑工具检测无病毒并且只有一个头文件。

2

不走的钟提示:杀毒软件提示无病毒并不代表这个文件是安全的!一般情况最新的病毒、木马杀毒软件是无法检测到的。

到了这步可能很多人都觉得这个文件很安全,仅仅300K的视频文件,我凭着职业习惯,还是使用PE检测是否加壳,如果正如我所料,如下图:

3

使用eXP的壳,可能是木马!300K,对木马来说这算比较大的了,凭着感觉应该是远程控制木马。我有测试环境不用脱壳,在VM中开启监视工具运行那个EXE,发现新增了服务和注册表项,使用netstat结果如下:

4

很明显远程反弹木马,本地通过Tcp 1248端口远程连接到对方的8000端口,现在呢这台VM就成了常说的肉鸡了,黑客可以通过客户端对这个VM进行任意远程管理。但这样我已经知道了黑客的IP地址为:120.3.4.25属于河北省保定市,大概位置就在:

7

不走的钟提示:如果给您造成了损失,你现在就可以报警了!

反击黑客

 对远程反弹木马比较了解的朋友都知道,一般反弹木马是通过域名解析、URL、加密字符来上线的。找到木马对应的服务然后禁用,重启VM,这个那个木马就没法启动了。这时候我们开启wireshark,再次运行那个木马,wireshark结果如下:

5

抓包内容可以看到木马使用了yuanlt.3322.org上线,通过ping返回的结果正是如上图IP。经过和朋友CC讨论和测试,很快确定这位黑客的网名为“枫叶”QQ为:24945435X(最后一位隐藏下),然后我们通过一系列的努力,轻松得到了黑客的QQ密码,使用QQ邮件登陆以后如下图:

QQ

还开通了支付宝,

qq22 拷贝

其中还什么域名管理密码、3322.org、百度空间、51空间密码、用户账号和密码等很多个人信息。

总  结

此文没有任何技术含量,意在提醒广大网民朋友,上网千万要注意安全,别为了看热闹而沦为了肉鸡!同时提醒这位“黑客”朋友,请先保护好自己!

 

 

 

  1. 2010年2月2日10:59 | #1

    把社工的详细内容也透露下吧?
    我这是么想的:
    通过3322的用户名为yuanlt去百度搜索这个用户名的信息
    呵呵,果然有很多的信息在网上,而且还有危害的信息。
    包括找到QQ进一步的进行搜索。。。
    然后他所有密码几乎相同 对吗?

    咱们群怎么不讨论哦?

  2. admin
    2010年2月2日14:35 | #2

    @1943
    思路、原理是完全一样!

  3. 龙~
    2010年2月23日19:18 | #3

    抓鸡不成,反被黑非常精彩,怎么弄到他密码的?

  4. tcwy
    2010年4月24日15:55 | #4

    哈1943原来老J的学员?基本社工思路,但如果百度,google搜索不到有用信息怎么办,怎么突破?

  5. 问问
    2010年4月26日17:14 | #5

    不走的钟?好熟悉呀……

  6. cc
    2011年5月9日17:39 | #6

    其他社工思路:做蜜罐,反向钓鱼。肉鸡管理员会看到肉鸡上线,然后登陆肉鸡查看。我们可以找一台不用的机器假装肉鸡,然后把你的马捆绑在一些诱惑性或者私密信息上,等待上钩。

    难点1:需要时间等待。
    难点2:容易暴露你的马。

    可行性不是很强,权当一种思路。