黑客宝典: 偷袭七步曲

现在的互联网上充斥着数以百万的恶意软件，但是他们所使用的测略却有些是用了几年甚至十几年。他们利用了用户的懒惰，判断失误。每年反恶意软件研究所所公布恶意软件植入技巧都有大量的重复的。今天我们就来和大家说说，每年使用频率最高的黑客恶意软件植入技巧以及经验教训和预防办法。

隐身偷袭 1：伪造的无线接入点

没有劈是更容易实现比假的 WAP（无线接入点）。任何人都使用位软件和无线网卡可以宣传自己的电脑作为一个可用的 WAP，然后连接到真实，合法 WAP 在公共场所。

想想所有的时候，你 - 或你的用户 - 都去当地的咖啡馆，机场或公共聚集地，并连接到“免费无线”的网络。在星巴克黑客谁称他们假冒 WAP“星巴克无线网络”，或在亚特兰大机场称之为“亚特兰大机场免费无线”有各种各样的连接到他们的计算机在几分钟内的人。然后，黑客可以嗅出从不知情的受害者和他们的预期远程主机之间传送的数据流不受保护的数据。你会惊讶有多少数据，甚至密码，仍然以明文形式发送。

更邪恶的黑客们会问他们的受害者建立使用他们的 WAP 一个新的访问帐户。这些用户将很可能使用通用日志上的名字或他们的电子邮件地址之一，他们在其他地方使用密码一起。然后，WAP 黑客可以尝试使用相同的登录上流行的网站的凭据 - Facebook，微博，亚马逊，iTunes 的，等等 - 和受害者将永远不会知道怎么回事。

教训：你不能相信公共无线接入点。始终保护发送无线网络上的机密信息。请考虑使用 VPN 连接，它可以保护您所有的通信，不要循环使用公共和私人站点之间的密码。

隐身偷袭 2：浏览器饼干盗窃

浏览器 cookie 是一个美妙的发明，当用户浏览一个网站，保留“国家”。这些小的文本文件，通过网站发送给我们的机器，帮助网站或服务跟踪我们跨越访问，或者通过多方考察，使我们可以更方便地购买牛仔裤为例。有什么理由不喜欢？

答：当黑客窃取我们的 Cookie，并凭借这样做的，我们成为 - 越来越频繁发生的这些日子。相反，好像他们是美国和提供了一个有效的日志上名和密码，他们成为身份验证到我们的网站。

当然，饼干盗窃已经出现自万维网的发明，但这些天工具使过程一样简单的点击，点击，点击， Firesheep，例如，是一个 Firefox 浏览器插件，可以让人们从窃取未受保护的 cookie 其他。当用假 WAP 或一个共享的公共网络上使用，饼干劫持可以是相当成功的。Firesheep 将显示它是发现饼干的所有名称和位置，并用鼠标简单的点击，黑客可以接管会话（见 Codebutler 的博客的一个例子是多么容易使用 Firesheep）。

更糟的是，现在的黑客可以窃取甚至 SSL / TLS 保护的饼干和嗅出他们凭空。2011 年 9 月，标有“野兽”的攻击被它的创造者证明，即使 SSL / TLS 保护的饼干可以得到。进一步改进和细化，今年，包括精心命名的犯罪，取得了盗窃和再利用加密的 Cookie 中更加得心应手。

每次发布的 cookie 的攻击，网站和应用程序开发人员告知如何保护他们的用户。有时，答案是使用最新的加密密码; 其他时间禁止一些不起眼的功能，大多数人不使用。最关键的是，所有的 Web 开发人员必须使用安全开发技术，以减少被盗的 cookie。如果您的网站还没有更新了加密保护在短短几年内，你可能的风险是。

教训：即使是加密的 cookie 可以被窃取。连接到使用安全开发技术和最新的加密网站。您的 HTTPS 网站应该使用最新的加密，包括 TLS 1.2 版。

隐形攻击第 3 号：文件名技巧

黑客一直在使用的文件名的技巧，让我们因为恶意软件开始执行恶意代码。早期的例子包括命名文件的东西，将鼓励不知情的受害者点击它（如 AnnaKournikovaNudePics），并使用多个文件扩展名（如 AnnaKournikovaNudePics.Zip.exe）。直到这一天，微软 Windows 和其他操作系统易于隐藏“众所周知”的文件扩展名，这将使得 AnnaKournikovaNudePics.Gif.Exe 样子 AnnaKournikovaNudePics.Gif。

几年前，被称为“双胞胎”，“产卵”或“伴随病毒”依靠在 Microsoft Windows / DOS，在这里，即使你在文件名中的 Start.exe 类型的一个鲜为人知的功能，恶意病毒程序时，Windows 会看对，如果找到，执行开始。的 COM 来代替。伴随病毒会寻找你的硬盘驱动器上的所有.exe 文件，并创建一个病毒具有相同的名称为 EXE 文件，但是文件扩展名为.COM。这早已得到修复微软，但它的发现和开采早期黑客奠定了创造性的方式来隐藏病毒今天继续发展的基础。

在目前所采用的更复杂的文件重命名花样是使用影响的文件名的用户的输出 Unicode 字符呈现。例如，Unicode 字符（U + 202E），称为从右至左的覆盖，可以欺骗很多系统到显示实际上命名为 AnnaKournikovaNudeavi.exe 文件 AnnaKournikovaNudexe.avi。

教训：只要有可能，一定要在执行前知道任何文件的真实，完整名称。

隐身偷袭第 4 号：位置，位置，位置

使用操作系统本身对另一个有趣的隐身技巧是称为文件位置绝招“相对与绝对。” 在 Windows 的旧版本（Windows XP 中，2003 年和更早版本）和其他早期的操作系统，如果你在一个文件名输入并按下回车键，或者如果操作系统去寻找代表您的文件时，它总是先从当前文件夹或目录的位置首先，跳槽之前。这种行为似乎有效和足够无害的，但是黑客和恶意软件它用于自己的优势。

例如，假设你想运行内置的，无害的 Windows 计算器（CALC.EXE）。这是很容易的（通常比使用几个鼠标点击速度更快），打开一个命令提示符，输入 calc.exe 并按 Enter 键。但是，恶意软件可以创建一个名为的 calc.exe 一个恶意文件，并把它藏在当前目录或个人文件夹; 当你试图执行的 calc.exe，它会运行，而不是伪造的副本。

我喜欢这个故障作为渗透测试。很多时候，我已经断成一台电脑和提升我的权限管理员需要后，我拿到一个已知的，以前弱势的软件的版本未打补丁，并将其放置在一个临时文件夹。大多数时候都是我所要做的就是将单脆弱的可执行文件或 DLL，同时保持整个，以前安装修补程序孤单。我会在我的临时文件夹中键入程序的可执行文件的文件名，而 Windows 会从我的临时文件夹，而不是最近修补版本载入我的脆弱，木马可执行文件。我喜欢它-我可以利用一个完全修补系统，一个错误的文件。

LINUX，UNIX 和 BSD 系统已经有这个问题固定的超过十年。微软修复在 2006 年与 Windows Vista / 2008 版本的问题，虽然这个问题仍然是因为向后兼容性问题旧版。微软也已经警告和教学开发者使用自己的程序中的绝对（而非相对）的文件/路径名多年。尽管如此，数以万计的传统程序都很容易受到位置的技巧。黑客们知道这一点比任何人都好。

教训：使用强制绝对目录和文件夹路径操作系统，并查找文件在默认系统领域第一。

隐身偷袭第 5 号：Hosts 文件重定向

瞒着当今大多数的电脑用户是 DNS 相关的文件命名主机的存在。位于 C：\ WINDOWS \ SYSTEM32 \ drivers \ etc 下在 Windows 中，主机文件可以包含链接键入的域名与其对应的 IP 地址条目。Hosts 文件最初是使用 DNS 的一种方式主机本地解析域名到 IP 地址查询，而无需联系 DNS 服务器和执行递归名称解析。在大多数情况下，DNS 的功能就好了，大多数人从来没有与他们的 Hosts 文件交互，但它的存在。

黑客和恶意软件的爱情写自己的恶意条目的主机，这样，当在一个受欢迎的域名类型的人-说，冰。的 COM -他们将被重定向到其他地方更多的恶意。恶意重定向通常包含原来期望的网站一个近乎完美的复制，使受影响的用户不知道开关。

该漏洞至今仍在广泛使用。

教训：如果你不能弄清楚为什么你会被恶意重定向，检查你的主机文件。

隐形攻击第 6 号：水洞攻击

水潭攻击他们的巧妙方法，收到了他们的名字。在这些攻击中，黑客利用的事实，他们有针对的受害人经常见面或工作在特定物理或虚拟位置。然后，他们“毒药”的位置，以达到恶意目的。

例如，大多数大公司都有当地的咖啡馆，酒吧或餐厅，很受公司职工。攻击者试图获得尽可能多的公司凭据尽可能制造假的 WAP。或者攻击者恶意修改一个经常访问的网站做同样的。因为目标位置是一个公共的或社会的门户受害者往往是更轻松，毫无防备。

水潭攻击成了大新闻，今年在几个高知名度的高科技公司，包括苹果，Facebook 和微软等等，都因为他们的开发人员访问流行的应用开发网站的损害。该网站已被毒死的恶意重定向，开发商的计算机上安装恶意软件（有时是零天）。然后在受感染显影剂工作站被用来访问受害公司的内部网络。

教训：确保你的员工知道，流行的“水坑”是常见的黑客的目标。

隐身偷袭第 7 号：偷梁换柱

其中最有趣的正在进行的黑客技术被称为诱饵和开关。受害者被告知他们正在下载或运行的一件事，暂时是这样，但随后被转出带有恶意的项目。例子比比皆是。

这是常见的恶意软件传播者到热门网站上购买广告空间。的网站，确认订单时，示出了非恶意链接或内容。该网站批准的广告和收了钱。坏家伙，然后切换的东西更多的恶意链接或内容。常会编写新的恶意网站如果来自属于原始审批的 IP 地址看作由某人来重定向观众回原来的链接或内容。这个复杂的快速检测，并记下。

我见过为晚最有趣的诱饵和开关攻击涉及谁创建可下载和使用任何“免费”内容坏人。（想想管理控制台或网页底部的记数器）。通常这些免费小程序和元素包含说的效果，一个许可条款“可能为原始链接仍然可以自由，只要重复使用。” 毫无戒心的用户使用善意的内容，离开原来的链接不变。通常情况下，原来的链接会包含什么，但一个图形文件徽记或者其他东西微不足道的小。后来，假的元素已经包含在成千上万的网站后，原来的开发商恶意更改了一些更恶意的（如有害的重定向）无害化的内容。

教训：任何链接到任何内容谨防不是你的直接控制之下，因为它可以在片刻的通知未经您同意，不得转出。

本文来自 危险漫步博客 转载请注明；

本文地址：http://www.weixianmanbu.com/article/884.html