日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

最近在研究apt入侵，發(fā)現(xiàn)u盤(pán)釣魚(yú)確實(shí)是一個(gè)簡(jiǎn)單但成功率極高的入侵手法。

創(chuàng)新互聯(lián)建站長(zhǎng)期為1000多家客戶(hù)提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開(kāi)放共贏平臺(tái)，與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為安丘企業(yè)提供專(zhuān)業(yè)的網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)，安丘網(wǎng)站改版等技術(shù)服務(wù)。擁有10多年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開(kāi)發(fā)。

入侵者在u盤(pán)中植入病毒，利用拾到者想偷窺、想知道使用人后歸還等好奇心理，誘導(dǎo)拾到者插入并打開(kāi)u盤(pán)中的文件，進(jìn)而觸發(fā)病毒，可以說(shuō)是APT入侵利器。當(dāng)然也就成為內(nèi)網(wǎng)安全防御的一大挑戰(zhàn)。下面我們一起看看u盤(pán)釣魚(yú)的實(shí)現(xiàn)方式，分析下可行的檢測(cè)防御方案。

一、U盤(pán)釣魚(yú)的實(shí)現(xiàn)

階段一 誘導(dǎo)用戶(hù)插入u盤(pán)

這是第一步，也是最關(guān)鍵的一步，如果拾到者不將u盤(pán)插入pc終端，那就談不上下一步的觸發(fā)了。這里的關(guān)鍵是要分析做插入動(dòng)作的的人(被入侵人)的身份。

• 前臺(tái)人員：多是從拾到者上繳獲取的u盤(pán)，想盡快找到失主歸還，這里可以在u盤(pán)上貼上，“簡(jiǎn)歷u盤(pán)”，“照片u盤(pán)”等字樣;
• 普通員工：多是想偷窺別人的隱私，那就要從人性的本質(zhì)出發(fā)了，在u盤(pán)上貼上“種子盤(pán)”、”我的私房照”等字樣;

總之，誘導(dǎo)人性，最大程度提高插入率。讓他們對(duì)各類(lèi)安全教育宣傳視而不見(jiàn)，也就達(dá)到我們的目的了。

階段二 誘導(dǎo)用戶(hù)主動(dòng)運(yùn)動(dòng)病毒

這里就不說(shuō)主動(dòng)運(yùn)行的病毒了，autorun已被玩爛，試問(wèn)哪個(gè)公司的安全團(tuán)隊(duì)還沒(méi)解決這個(gè)問(wèn)題?那可以拖出去斃了!

這里只說(shuō)讓用戶(hù)乖乖的運(yùn)行病毒，這里的套路和第一步一樣，無(wú)外乎就是根據(jù)不同人的需要制定不同的方案。下面我們僅從技術(shù)手段看下怎么讓用戶(hù)運(yùn)行病毒。

先準(zhǔn)備下：

1. 準(zhǔn)備病毒

我們先制作一個(gè)假的病毒，筆者喜歡用pyhon寫(xiě)簡(jiǎn)單的功能，然后轉(zhuǎn)成exe，就行。隨便寫(xiě)個(gè)嚇唬人的messagebox吧，如下：

然后轉(zhuǎn)換成exe，如下：

2. 準(zhǔn)備圖標(biāo)

這個(gè)就不細(xì)說(shuō)了，系統(tǒng)圖標(biāo)，網(wǎng)上找得到一堆，隨便選一個(gè)吧：

誘惑類(lèi)圖標(biāo)，美女之類(lèi)的，我們自己做下即可(這里避免三俗，接下里的演示就不用這類(lèi)圖標(biāo)了)：

這樣我們的前期準(zhǔn)備就ok了。下面我們看怎么誘導(dǎo)用戶(hù)打開(kāi)。

3. 誘導(dǎo)用戶(hù)打開(kāi)運(yùn)行病毒

(1) 方法1 誘惑圖標(biāo)的可執(zhí)行文件

直接修改可執(zhí)行文件圖標(biāo)，誘導(dǎo)用戶(hù)打開(kāi)

細(xì)心的同學(xué)肯定看到了，pyinstall的默認(rèn)圖標(biāo)還是挺陌生的，這種情況下一般的用戶(hù)都會(huì)注意到，而且用戶(hù)看到exe的后綴也會(huì)提高警惕，所有，直接讓用戶(hù)運(yùn)行的最有利條件是：

• 圖標(biāo)誘導(dǎo)性或吸引力
• exe后綴隱藏(默認(rèn)隱藏，或看不到)

不過(guò)這里這里我們僅探討修改圖標(biāo)的方法，隱藏exe就盼著用戶(hù)默認(rèn)隱藏后綴名或眼神不好吧，哈哈。

方法如下：

一種是在py轉(zhuǎn)成exe的時(shí)候就指定圖標(biāo)(當(dāng)然如果c++之類(lèi)的編譯的時(shí)候直接指定圖標(biāo)即可)

另一種是用圖標(biāo)修改工具，如Restorator、ResourceHacker。先刪除資源，然后添加資源即可：

第二種，自解壓運(yùn)行可執(zhí)行文件，修改圖標(biāo)。

選擇自解壓：

配置：

效果：

最后把文件名改一下，多加空格，隱藏后綴，效果更好：

(2) 方法2 誘惑的快捷方式

快捷方式指向病毒目錄中的可執(zhí)行文件，就可以解決圖標(biāo)問(wèn)題和顯示后綴exe的問(wèn)題了。

以上就是兩種筆者常用的實(shí)現(xiàn)方式，方法雖然簡(jiǎn)單，但是很多apt團(tuán)隊(duì)也是用類(lèi)似方案的，效果確實(shí)不錯(cuò)。有興趣的同學(xué)，歡迎提出更多方案。

最后，可能大家注意到了，這里沒(méi)有說(shuō)免殺。畢竟這已經(jīng)是大家的基本素養(yǎng)了，何況，這種誘惑人性的東東很多同學(xué)都是看到殺軟報(bào)毒都會(huì)主動(dòng)加白的!可笑的案例比比皆是。所以很多時(shí)候連免殺都不做也沒(méi)問(wèn)題。

說(shuō)完了，各種實(shí)現(xiàn)方案，發(fā)揮思路，看看怎么防御和檢測(cè)。

二、U盤(pán)釣魚(yú)的防御和檢測(cè)

答案可能顯而易見(jiàn)了，那就是加強(qiáng)用戶(hù)教育，這個(gè)落地的苦就不說(shuō)了，搞安全同學(xué)都知道，讓別人聽(tīng)你的，那是最難的。所以筆者提出一個(gè)變態(tài)的思路。

不允許u盤(pán)內(nèi)程序運(yùn)行，但可以拷貝到本地運(yùn)行。為實(shí)現(xiàn)這個(gè)目標(biāo)，看看怎么技術(shù)實(shí)現(xiàn)。

這個(gè)比較簡(jiǎn)單，利用組策略就行了：

基本就可以控制病毒程序被執(zhí)行了。

當(dāng)然，除了可執(zhí)行文件外，還有各類(lèi)腳本，如vbs、js。這類(lèi)腳本都是調(diào)用系統(tǒng)的解析程序，如wscrip等進(jìn)行解析，而解析程序在系統(tǒng)盤(pán)并不在u盤(pán)內(nèi)，所以我們的域策略控制可執(zhí)行的這種方式無(wú)法攔截。但這類(lèi)方式正因?yàn)槭钦{(diào)用系統(tǒng)程序進(jìn)行解析，所以它的圖標(biāo)是不能更改，所以迷惑性也不高。

如果必須攔截，那按照筆者思路，這里需要判定u盤(pán)插入，然后自動(dòng)配置域策略，禁止對(duì)應(yīng)u盤(pán)盤(pán)符內(nèi)的vbs，js等后綴程序的執(zhí)行就可以阻止了。這就涉及到dlp了，就不展開(kāi)說(shuō)了。

綜上，簡(jiǎn)要的說(shuō)了下u盤(pán)釣魚(yú)的實(shí)現(xiàn)和防御，當(dāng)然只要你思路足夠開(kāi)闊，還有很多方式可以更好的誘導(dǎo)用戶(hù)，或者繞過(guò)防御。入侵和對(duì)抗本來(lái)就是在不斷演進(jìn)，這也是安全技術(shù)最大的樂(lè)趣所在。如有疑問(wèn)，歡迎探討。

分享名稱(chēng)：U盤(pán)釣魚(yú)的實(shí)現(xiàn)和防范
網(wǎng)頁(yè)網(wǎng)址：http://www.5511xx.com/article/dhddddj.html