有无数上网用户每天都在使用QQ,大家往往注重于QQ尾巴病毒、QQ传木马之类的攻击方式,却很少有人注意到我们经常访问的QQ群、QQ空间里面隐藏着更大的安全危险,远比QQ尾巴病毒、QQ传木马之类的隐蔽得多,危害更加大。今天我们就来看看攻击者是如何在QQ群和QQ空间中挂上网页木马,攻击浏览用户的!
8 t; ?. I; H4 s P# s% r: M9 u0 z3 L2 m; L2 ?* B; R/ n! m
一、QQ群中简简单单挂木马
) D. i1 Z4 A9 _) G2 k9 l: T: G( O" o# ]- J- ]; w9 |$ b9 D
在一个比较火的QQ群里挂上网页木马,一定很容易得到许多肉鸡的。怎么在QQ群里挂马,是在群里面群发木马的网址吗?现在已经不会有人上这样的当了。我们要作的只是在群里面发一个做了手脚的帖子。
9 W- ~: S. A# z3 n: D8 ~4 q; w f
步骤一:制作网页木马
* ?& V; Q2 D% q3 ?; j1 L0 s6 j# z3 X
在攻击前,我们首先要制作好一个木马网页。这里笔者使用了“上兴远程控制木马V2006”,这个木马功能非常强,以前笔者曾作过介绍。用上兴生成木马服务端程序“muma.exe”后,将服务端上传到某个网站上去,假设地址为“http://www.binghewu.com.cn/muma.exe”。
6 L3 |! p) ~2 v
# a+ z6 S9 K" [: i9 h打开“南域剑盟网页木马生成器”,在中间的“URL”处填入木马的链接地址,点击“生成”按钮,将会在生成器当前目录下生成一个名为“script.txt”的文件(如图1)。用记事本打开刚才生成的“script.txt”文件,可以看到木马代码,代码是经过加密的,一般人很难看出这是网页木马代码来(如图2)。复制所有代码,然后将代码插入到任意一个正常的网页中,就可以得到一个网页木马了。
. @/ E3 E, a: ^0 @1 y$ b" ?0 C- F
- U g2 r: y0 k5 l0 i& M0 W& S
3 ^3 O5 _, i. @
7 q0 g, l7 Z7 w" s! }& y* M0 P+ X% s3 }* m, F& q- @! [' O5 ] L
: v/ [1 l0 N9 m& _ q0 H$ W
& O' W! k8 u. j" i
" Y. }4 r# s; Y# g6 o
8 F' {& ]: A! {- A, }8 t+ ]0 e小提示:将木马代码插入正常的网页中,其位置一般是位于“”标记中间。
7 M0 z# {7 E2 q1 F! N3 P/ W% z7 o& N& P/ S; q
步骤二:制作SWF木马
6 U2 V1 v# r1 S. H" a. k
8 z2 Y; g; K6 J' D; U在以前的QQ群中,本来只需要发一张带图片的帖子就可以实现挂马的目的。不过现在QQ群也改版了,挂马就需要多一个步骤了,我们还需要将网页木马嵌入Flash文件中。
- S; U7 b# L; I9 N7 Y2 J
' O5 E" G. o7 l( P- b) d7 N打开“SWF插马工具(Icode To SWF)”,在“SWF文件”中浏览选择本机上的某个正常的Flash文件;在“插入代码”中填写刚才与在的网页木马的链接地址(如图3)。然后点击“给我插”按钮,即可将网页木马链接插入到正常的Flash文件中了。SWF插马工具生成的Flash文件是利用了一个IE漏洞,对方打开Flash文件后,就会造成IE溢出,自动访问木马网页在后台下载运行木马程序。
7 Z8 r% K5 p! M T% p: n3 K: P
8 ?* z3 y1 r9 `/ V" H% v7 U5 j7 m# t
7 m6 w' A: H" W% {6 r: a; T) D8 ^
5 {) _8 g% m3 j) D4 h" W
0 s K: N$ M& ]3 R3 h步骤三:在QQ群中挂马
/ C/ T' y- A; s0 M- j
8 g% ?# c/ T& v% Y7 }' ~% j+ ?首先将刚才生成的SWF木马文件上传到某个空间中,然后打开某个QQ群的BBS栏目,点击“发表新文章”。在新文章书写页面中点击“插入Flash”按钮,输入SWF木马文件的网络链接地址及长宽,然后点击后面的小钩按钮,插入Flash文件(如图4)。发表新文章后,当有人在QQ群中打开查看这篇文章时,就会自动播放Flash并在后台下载运行上兴木马服务端了。
h* o5 m8 K& b4 d7 x- P5 W2 y: s( y
; y7 A7 k/ @; v& |2 B5 M
% o- I% ?( R1 R: i9 J/ ^
: j6 `. z; ]+ R3 v/ b
8 d9 q6 W/ v7 H7 @# @- C3 Z, I* G8 h" L8 a小提示:当然我们也可以直接在QQ群中散布SWF木马文件的网址,别人点击后一样会中木马,不过这种方式不如发布文章隐蔽和效果好,攻击的持续性也不强。
L6 }& u: L7 {" v# l3 z0 c8 e3 Y3 q7 X! t
二、QQ空间玩挂马
/ F% r8 ~& h1 \! w
: [2 O' L5 N% j自从腾讯推出QQ空间(QQ-zone)后,各种跨站漏洞便不断暴出。虽然腾讯已经对QQ-zone进行了一次全面的更新,禁止了运行自定义脚本,不过通过我们的测试,发现所做的限制是很简单的,只需要转换一下字符就可以突破限制,在QQ空间上任意挂马。
/ K4 v' h& A' ]5 B: ^
0 n( k( z# Z3 X) s; D方法一:挂Flash木马
9 u! I; T6 c& u u5 B
1 Q( ~8 }# b; ~2 A; a打开QQ空间后,在页面中点击“自定义”按钮,在弹出的工具条上依次单击“个性设置”→“新建模块”命令,也可在QQ空间页面中直接按下 组合键,打开自定义对话框。在弹出的网页对话框中输入任意“模块名称”,点击“提交”按钮,弹出创建成功的提示框。然后出现“添加内容”对话框,将其中的“网址”、“图片”中自带的“http://”删除,保持“链接名称”为空白。在“评论”中输入如下代码(如图5):
- L$ J/ s: `" Z9 e' e+ l
, ?$ m! @6 `/ q7 G" K2 Q
/ {4 [4 x# @6 H2 g
- e, S+ L$ e; r6 N( W
0 r* G( s$ O: d/ A" z2 y
" {, }+ _' |; V' L2 M“
6 S' v. Y2 D9 m! v# \
& q1 @) M: K) S2 z6 T';"> ”
, Y$ X3 j0 k5 {$ n/ t6 a' j h
! M% y1 W1 G6 I. t7 m代码中的Flash地址“http://www.binghewu.com.cn/muma.swf”,是刚才制作上传的SWF木马链接地址,可以更改为其它任意Flash木马文件地址。提交代码后,用户进入此QQ空间时,会自动打开显示上传的SWF木马Flash,从而在后台下载运行上兴木马服务端程序。
, q# Y% ]0 l4 ]2 D' ?3 z6 \( W1 R- q4 V
小提示:QQ空间是通过检测用户提交的代码中,是否含用“javascript”之类的字符进行过滤的。在上面的代码中,将脚本部分代码用ASCII编码之后替换躲过了过滤,如“javascript”可以替换为“javascri ”,“”为“p”的ASCII编码。具体ASCII编码转换可到“http://www.killadm.ful.cn/ascii.asp”查询(如图6)。
: [4 H. z ~, r& L
w3 p; G0 z( ^
* k5 `. C0 R! x2 i9 C. ?- o: B2 z2 t- @
' `, I: G! b, w, M0 L
! Y2 @5 |8 s% }! b
! _- x! y' k* n& \/ u; k( C, M- I- j% \0 y2 @' o3 v: b" w
. ]% w4 S1 D- p" D/ M1 I
方法二:挂网页木马
& M7 u2 U! Y$ `! U x$ n9 U( a i! C. f# K& `
上面的方法是直接在QQ空间中挂上一个Flash木马文件,实现的方法虽然比较简单,不过这个Flash文件有可能会让别人起疑心。既然我们可以在QQ空间中写入自定义代码,何不干脆直接挂上网页木马呢?
. E& O0 d4 C) M! v S1 R
3 f1 `1 O) ?9 {6 i6 q+ Z8 u' O5 l, f7 K6 i2 L& ?+ p% M0 a
" L6 t5 k" Z% Y# s8 _用上面同样的方法新建一个模块,代码如下:
, [4 B7 Q5 ^( v: o1 E8 h
! q: u1 E" a. }# `2 g3 Z& H“
' ~! V/ C7 I2 w# A
: s! T! `. m6 G+ v3 z( f'" style=display:none>”
0 |6 x) r! L( ]# `+ V7 w
; m8 n. C- E( a! _2 m同样的,在上面的代码中已经作了ASCII码转换躲过过滤;“http://www.binghewu.com.cn/muma.htm”是网页木马的链接地址,可以换成其它木马网页地址。代码中的其它语句是用来定义模块大小的,由于设置为0,该模块将在QQ空间中被隐藏,但是并不影响木马网页的打开与运行。这里为了说明攻击效果,笔者对代码作了一些修改,将木马网页显示为新浪首页,说明完全可以在QQ空间中打开其它木马网页的(如图7)。
+ i+ \4 A4 f& g) _( I2 L* d [ d. V/ C& L0 m
8 g4 i6 s$ a/ ^9 {: K7 O8 ?" c# O& a1 n$ `2 I0 I
) n/ I; y4 O4 o( n2 s: Q: P1 _! f$ X. Z4 S
, r$ y& r% \) h' Q& e! S6 b怎么样,在QQ群和QQ空间中挂马是不是很简单?掌握了这个方法,只要在比较火一点的QQ群或QQ空间中挂上你的木马,你很快就可以肉鸡成群了!
