1、 1. MS06-027漏洞与简单的DOC木马捆绑 Microsoft Word崎形对象指针内存破坏翻洞(MS06-027)是一个Word格式错误远程执行代码漏洞,在使用畸形对象指针打开Word文件时,存在缓冲区滋出漏洞,远程攻击者可能利用此漏洞诱骗用户打开恶意DOC文件,并在用户机器上执行任意指令。攻击者可使用格式错误的对象指针,构建特制的Word文件来利用此漏洞,从而允许远程执行代码。在受到攻击时,Word会崩溃,通知用户出现了问题,并请求重新打开文件。如果用户同意的话,就会打开恶意文件。 利用MS06-027公告发布的Word漏洞制作,攻击者可使用Word翻洞利用工具“浩天Word 2003捆绑器”在DOC文档中捆绑木马,让木马无声无息地运行。 运行Word 2003捆绑器后,单击上面的【浏览】按钮,指定要捆绑的DOC文档,当然要选择一个正常并具有吸引力的DOC文档。 单击下面的【浏览】按钮,指定一个远程木马服务端程序。最后单击【生成】按钮,就可以得到一个】)OC木马了。生成的DOC木马格式没有改变,提示文件安全。但是单击运行DOC看不出来任何异状,用杀毒软件检查DOC文档木马时,而且杀毒软件也没有提示。确定打开文档后,就会自动释放并运行捆绑在其中的木马。 腾讯入浸事件中,入侵者是将木马发布到了官方网站论坛中,欺骗客服下载打开。这是一种典型的社会工程学欺编方法.所谓社会工程学,就是在日常生活和社会交往中,利用对方心理上的盲点,进行欺编攻击。 社会工程学攻击的手段多种多样,与木马伪装攻击结合在一起,让计算机用户防不胜防。很可能一点小小的疏忽,就导致遭受木马欺编攻击。尤其是在外网上设置好了安全防范措施,但因为内网主机用户安全意识上的一点小漏洞,就被木马驻入内网主机,这是网络管理员所不愿看到的。
2、 2. DOC. XLS. MDB,统统有木马中 "office系列挂马工具全套”是利用Office软件滋出翻洞的工其,里面包括4个木马生成工其,可生成各版本的DOC木马和MDB数据库木马。 制作工J毛包中的“DocExp.03SP.v 1.03++.exe"针对的是Microsoft Word 2003/SP1/SP2系列," DocExp.XPSP.v 1.02++.exe”针对MicrosoftWord 2002/SP1/SP2/SP3,这些木马工具是要求注册的,常运行。
3、 2.1攻击Word 2003的DOC木马 首先,运行“office系列挂马工具内存补丁..exe "程序,如图2-179所示,再运行" DocExp.03SP.v 1.03++.exe”木马生成工其.这个木马工具是要求注册的,会弹出一个程序注册窗口。 "office系列挂马工具内存补丁”是用于破解木马生成器的,运行其他几个木马生成器时,只需选择相应的程序名,再打上补丁即可破解成功。 在木马生成器的“本地的可执行文件(EXE)"右侧,单击【浏览】按钮指定远程木马程序;然后在“输入Word文档(DOC)”中指定一个正常的DOC文档:在“输入Word文档(DOC)”中指定生成DOC文档的路径。最后单击【确定】按钮,即可生成一个包含可执行木马程序的DOC文档文件。 OC文档木马,可滋出安装了Word 2003的主机,并在后台悄悄执行事先捆绑的木马程序。该DOC木马文件与普通DOC文档没有两样,当文档被打开时,会在后台自动隐藏运行其中的木马文件.根本看不出什么异样。
4、 2.2 Word 2003的DOC溢出木马 首先,运行“office系列挂马工其内存补丁.exe"彻宇,再运行" DocExp.XPSP.v 1.02++.cxc弹出程序注册窗口.切换到补丁程序界面,选择" DocExp.XPSP.v 1.02++.exe ",单击【补上】按钮完成破解,自动打开彻辛。 在木马生成器的“本地的可执行文件(EXE )”右侧,单击【浏览】按钮指定木马程序;然后在“输入Word文档(DOC)"中指定一个正常的DOC文档;在“输入Word文档(DOC )"中指定生成DOC文档的路径。最后单击【确定】按钮,即可生成一个包含可执行木马程序的DOC文档文件,如图2-184所示。该木马可滋出安装了Word 2002的主机,并在后台隐藏执行木马程序。 在木马生成器的“本地的可执行文件(EXE )”右侧,单击【浏览】按钮指定木马程序;然后在“输入Word文档(DOC)"中指定一个正常的DOC文档;在“输入Word文档(DOC )"中指定生成DOC文档的路径。最后单击【确定】按钮,即可生成一个包含可执行木马程序的DOC文档文件。该木马可滋出安装了Word 2002的主机,并在后台隐藏执行木马程序。
