攻防博弈第四幕:伪装贺卡 黑客算计内网电脑

网络安全

张桂月 · 2008年5月19日 第19期

博弈主题:木马渗透

技术难度:★★★

重点知识:E-Mail文件伪装

中国兵法常言“兵不厌诈”,兵不厌诈就是无法之法,就是“没有规则,就是唯一的规则”,在黑客掌控的商业战场中,这一招经常被使用,效果很不错。下面我们就来看看黑客K是如何运用此招的……

上期黑客K成功地打造出了超强的免杀木马,进攻武器已经准备妥当,一切的一切都如满弓弦上的利箭,蓄势待发,此时黑客K需要的是更完美的行动计划,更完美的谋略,更完美的结果……

木马发送前一小时十二分。在一座城市小区的居民楼中,一个身体瘦长、脸色苍白、比实际年龄看上去更沉稳的男孩,紧皱着眉头,痛苦地揉捏着自己的脊椎——他就是黑客K。

他抬头看了一下表,然后用自己变得虚弱的手臂滑动鼠标,在木马发送前,他需要事先拟定一份详细的计划。此时他想,或许随着渐渐进入工作状态,脊椎的疼痛也会在工作中被淡忘。他开始仔细思考木马发送的计划:如何将木马进行成功的伪装?伪装成什么形式?如何欺骗李飞获取信任,让他乖乖地运行木马?

这一次的小渗透,对曾经入侵过跨国公司网站的黑客K而言不过是小菜一碟。尽管如此,他还是用笔记本将计划缜密地记录下来(图1),计划拟好后,黑客K开始了按部就班的行动。

19-f14-1.jpg
图1

让木马隐藏在贺卡中

首先,黑客K需要制造一个后缀为EXE的虚假电子贺卡。他打开IE浏览器,进入到网易电子贺卡网(http://cards.163.com),然后选择一个节日祝福的电子贺卡,再用鼠标点击右键,在弹出的菜单中选择“查看源文件”。

此时IE浏览器会用默认的网页编辑器打开该页面,他的默认编辑器是一款叫做EmEditor的软件。编辑器打开网页源文件后,他点击“搜索→查找”在查找选项中输出“.swf”(图2),很快他寻找到了贺卡的地址,将这个SWF格式的Flash文件下载回来了。

19-f14-2.jpg
图2

接着,他运行格式转换软件SmartSWF,加载Flahs文件,通过转换功能即可将SWF格式的Flash文件转换成为EXE格式的可执行文件。转换过程相当迅速,EXE文件转换好后,黑客K测试了一下,效果和电子贺卡网中出现的效果一样。

最后,黑客K还需要将转换好的EXE贺卡和木马的服务端捆绑成为一个文件,合并捆绑好的文件能够最大程度上迷惑对方,让对方在运行木马后误以为自己打开的是真正的电子贺卡。

将免杀的木马服务端和电子贺卡保存在一个文件夹中,然后调出了《电脑报》测试用的EXE捆绑机(下载地址:http://www.cpcw.com/bzsof),捆绑机运行后,参照提示选择好第一个需要捆绑的文件(图3),也就是转换好的电子贺卡,点击“下一步”后选择免杀过的木马文件,最后合并即可,这样带木马的贺卡就制作好了。

19-f14-3.jpg
图3

给电子贺卡邮件披上伪装

黑客K通过FTP将制作好的木马上传到TT公司老板杜金给自己提供的网站空间中之后,他开始着手进行另一项工作,伪装电子贺卡的通知邮件。他登录电子贺卡网站,然后通过贺卡发送系统,给自己的邮箱中发送了一张电子贺卡——很快他收到了自己发送来的电子贺卡。

打开这封电子贺卡后,他通过“文件”选型中的“另存为”将这封贺卡保存为HTML格式的文件。随后用IE打开保存好的HTML文件,再通过文本编辑工具EmEditor修改该HTML文件的源代码。将HTML文件中的发件人修改为“马丁”(UU公司另外一个高层),邮箱地址也相应改成马丁的,然后将HTML文件中的:

<a href=“http://cards.163.com/letter/?type=1&cardid=44618203&checkcode=2749?????” target=“_blank”>

修改为:

<a href=“http://www.mumatest.net/ecards.exe” target=“_blank”>

新地址是黑客K木马电子贺卡的地址。HTML代码中的地址和发信人信息修改完成后,黑客K将新代码“全选”并“复制”保存。随后他打开电子邮件群发软件VolleyMail,在VolleyMail中的“邮件内容”编辑中,他将UU公司马丁的姓名、Email地址等详细信息一一对应填写到了“邮件基本信息”中(图4)。

19-f14-4.jpg
图4

这个过程他非常仔细谨慎,因为如果填写错误,贺卡发出后很可能会轻易地被对方识破,导致整个计划全盘失败。填写完马丁的信息后,他又将自己刚才修改好的HTML复制到“编辑正文”窗口中。复制完成,黑客K通过“网页预览”选项查看了一下,效果非常真实,他满意的笑了笑。

接下来需要填写的是李飞的地址,他点击软件左边选项栏中的“邮件地址”按钮,在弹出的“手工添加地址”一项后填写好李飞的邮件地址,即可完成电子贺卡木马的制作。

根据黑客K的计划,在李飞收到木马后,他会将该贺卡误认为是公司首席运营官马丁发送过来的,只要他点击贺卡邮件通知中的“查看贺卡”,网页就会指向他之前设置好的木马地址,将捆绑了木马的电子贺卡下载到李飞的电脑中运行。

到了最后的关头,他似乎有些紧张了。他双手有些颤抖,虽然他不是第一次运用这种谋略战术,但是他无法预知对方是否真的会点击这封信,太多的未知了,他盯着屏幕发了一会儿呆,还是义无反顾地点击了软件的“开始发信”,伪装的电子贺卡发送出去了。

未知的结果

黑客K在等待过程中思考着这封虚假贺卡通知所能够遇到的最坏结果。对方会发现自己的伪装技巧吗?大多数公司制作的电子贺卡不会做成.exe格式,而是Flash在线观看形式的,很多人都对.exe格式的贺卡持有戒心。

不过最令黑客K紧张的还是李飞使用的收信工具,他是用Outlook Express邮箱收看还是用Foxmail之类的软件?如果李飞用Outlook Express邮箱收看,默认查看模式是HTML方式,那么黑客K的邮件伪装效果会非常奏效;如果李飞用的是Foxmail邮箱收看,默认的查看模式是文本方式,那么黑客K这封精心设计的HTML伪装就彻底无法奏效了。

当然,黑客K也想过,例如李飞致电马丁,询问是否发送过贺卡,或者李飞根本就没有打开这封邮件,这些都会导致计划失败。黑客K越想越乱,他干脆闭上了眼睛,努力地制止自己胡思乱想,无论如何,此时等待才是他唯一能够做的。