存档

文章标签 ‘反击黑客’

实战–简单反击黑客钓鱼攻击

2010年2月2日 6 条评论

作者:不走的钟–007安全小组成员

来源:http://www.007hack.com/?p=444

常常收到QQ群发邮件,从来不看,不过今天这个邮件标题隐含着另人好奇而悲愤的故事而且还带有附件视频,下载后如下图:

1

格式是EXE格式,略有安全意识的朋友可能会使用杀病毒软件来检测下,我当然也不例外,使用360杀毒软件、小红伞杀毒软件和查捆绑工具检测无病毒并且只有一个头文件。

2

不走的钟提示:杀毒软件提示无病毒并不代表这个文件是安全的!一般情况最新的病毒、木马杀毒软件是无法检测到的。

到了这步可能很多人都觉得这个文件很安全,仅仅300K的视频文件,我凭着职业习惯,还是使用PE检测是否加壳,如果正如我所料,如下图:

3

使用eXP的壳,可能是木马!300K,对木马来说这算比较大的了,凭着感觉应该是远程控制木马。我有测试环境不用脱壳,在VM中开启监视工具运行那个EXE,发现新增了服务和注册表项,使用netstat结果如下:

4

很明显远程反弹木马,本地通过Tcp 1248端口远程连接到对方的8000端口,现在呢这台VM就成了常说的肉鸡了,黑客可以通过客户端对这个VM进行任意远程管理。但这样我已经知道了黑客的IP地址为:120.3.4.25属于河北省保定市,大概位置就在:

7

不走的钟提示:如果给您造成了损失,你现在就可以报警了!

反击黑客

 对远程反弹木马比较了解的朋友都知道,一般反弹木马是通过域名解析、URL、加密字符来上线的。找到木马对应的服务然后禁用,重启VM,这个那个木马就没法启动了。这时候我们开启wireshark,再次运行那个木马,wireshark结果如下:

5

抓包内容可以看到木马使用了yuanlt.3322.org上线,通过ping返回的结果正是如上图IP。经过和朋友CC讨论和测试,很快确定这位黑客的网名为“枫叶”QQ为:24945435X(最后一位隐藏下),然后我们通过一系列的努力,轻松得到了黑客的QQ密码,使用QQ邮件登陆以后如下图:

QQ

还开通了支付宝,

qq22 拷贝

其中还什么域名管理密码、3322.org、百度空间、51空间密码、用户账号和密码等很多个人信息。

总  结

此文没有任何技术含量,意在提醒广大网民朋友,上网千万要注意安全,别为了看热闹而沦为了肉鸡!同时提醒这位“黑客”朋友,请先保护好自己!