【视频讲解】新型Borat远控软件及新型BITB攻击方式

知识铺垫

《波拉特(Borat)》是拉里·查尔斯执导的喜剧影片,由萨莎·拜伦·科恩、肯·戴维蒂安等出演,于2006年11月3日在美国公映。该影片讲述一个来到美国旅行并短暂生活的哈萨克斯坦主持人的搞笑经历。

图片[1]-【视频讲解】新型Borat远控软件及新型BITB攻击方式-FancyPig's blog
《波拉特》影片海报

视频讲解

图文讲解

Borat远控程序

一种新型的远程访问木马 (RAT) 对某些人来说可能有一个有趣的名字,但它的功能表明该恶意软件可不是笑话。

图片[2]-【视频讲解】新型Borat远控软件及新型BITB攻击方式-FancyPig's blog

研究人员在一篇博文中写道:“Borat RAT 为威胁参与者 (TA) 提供了一个面板来执行木马(RAT)活动,并且还可以选择编译恶意软件二进制文件以对受害者的机器执行 DDoS勒索软件攻击” ,并指出该恶意软件正在出售给黑客。

Borat – 以演员 Sacha Baron Cohen 在两部喜剧电影中成名的角色命名

图片[3]-【视频讲解】新型Borat远控软件及新型BITB攻击方式-FancyPig's blog
Borat远程控制工具

使它更有趣的是其他选项。不良行为者可以使用恶意软件提供勒索软件,该软件将加密受害者系统上的文件并要求赎金,包括在目标机器上创建赎金记录的能力。在支付赎金后,Borat 中也有代码可以解密系统中的文件。

此外,RAT 包括用于发起 DDoS 攻击的代码,其中网站或服务器被一波消息淹没,减慢对合法用户的响应和服务,有时甚至迫使网站关闭。通常需要付钱给威胁者才能阻止 DDoS 攻击。

最重要的是,有一系列远程监控功能使黑客能够监视系统及其用户,包括监控和存储来自受害者机器的击键的键盘记录器。他们的击键被保存在一个文件中,然后从系统中泄露出来。

Borat 将确定系统中是否包含已连接的麦克风,如果是,则将录制来自计算机的音频,并将录制的音频存储在另一个名为“micaudio.wav”的文件中。以类似的方式,如果在系统上发现网络摄像头,恶意软件可以从摄像头开始录制。

此外,还有远程桌面功能

这种HVNC功能类似于我们电脑中新建了一个桌面,因此被控者根本看不到攻击者操作了什么!

图片[4]-【视频讲解】新型Borat远控软件及新型BITB攻击方式-FancyPig's blog
HVNC
图片[5]-【视频讲解】新型Borat远控软件及新型BITB攻击方式-FancyPig's blog

研究人员写道:“这种恶意软件占据了受感染机器的远程桌面。” “然后,它赋予威胁参与者 (TA) 执行活动的必要权限,例如控制受害者的机器、鼠标、键盘和捕获屏幕。控制受害者的机器可以允许 TA 执行多项活动,例如删除关键文件、执行受感染机器中的勒索软件等。”

RAT 从受害者的机器中获取信息,例如操作系统的名称和版本以及机器的型号,并将从运行 Chrome 和基于 Chromium 的 Microsoft Edge 浏览器的系统中窃取 cookie、书签和保存的登录凭据

图片[6]-【视频讲解】新型Borat远控软件及新型BITB攻击方式-FancyPig's blog

该恶意软件还窃取了 Discord 令牌。然后将令牌和收集的信息发送到受损的命令和控制 (C2) 服务器。

Borat 使用进程挖空,这是一种威胁行为者可以将恶意代码注入系统合法进程的技术。还有反向代理代码,它使 RAT 能够匿名执行其工作,并且黑客可以在与 C2 服务器通信时隐藏他们的身份。

为了进一步激怒受害者,Borat 可以运行诸如播放音频显示隐藏桌面任务栏、启用或禁用网络摄像头灯关闭显示器显示空白屏幕等任务。

Cyble 研究人员写道,Borat 是威胁的“强大而独特的组合”,“使其成为任何受其入侵的机器的三重威胁。凭借录制音频和控制网络摄像头以及进行传统信息窃取行为的能力,Borat 显然是一个需要密切关注的威胁。”

MrDox浏览器钓鱼

下面的钓鱼页面主要使用了BITB攻击方式

BITB原理讲解

浏览器中的浏览器 (BITB) 攻击

对于安全专家来说,URL 通常是域中最受信任的方面。是的,像IDN HomographDNS 劫持这样的攻击可能会降低 URL 的可靠性,但不会降低到使 URL 不可靠的程度。

所有这些最终让我思考,是否有可能让“检查 URL”的建议变得不那么可靠?经过一周的头脑风暴,我决定答案是肯定的。

图片[7]-【视频讲解】新型Borat远控软件及新型BITB攻击方式-FancyPig's blog

弹出登录窗口

很多时候,当我们通过 Google、Microsoft、Apple 等对网站进行身份验证时,我们会看到一个弹出窗口,要求我们进行身份验证。下图显示了当有人尝试使用其 Google 帐户登录 Canva 时出现的窗口。

图片[8]-【视频讲解】新型Borat远控软件及新型BITB攻击方式-FancyPig's blog

复制窗口

对我们来说幸运的是,使用基本的 HTML/CSS 复制整个窗口设计非常简单。将窗口设计与指向托管网络钓鱼页面的恶意服务器的 iframe 结合起来,基本上无法区分。下图显示了假窗口与真实窗口的比较。很少有人会注意到两者之间的细微差别。

图片[9]-【视频讲解】新型Borat远控软件及新型BITB攻击方式-FancyPig's blog
左侧的是钓鱼页面,右侧的是真实页面

JavaScript 可以很容易地用于使窗口出现在链接或按钮单击、页面加载等上。当然,您可以通过 JQuery 等库中提供的动画使窗口以视觉上吸引人的方式出现。

演示
图片[10]-【视频讲解】新型Borat远控软件及新型BITB攻击方式-FancyPig's blog
自定义 URL 悬停

当允许 JavaScript 时,将鼠标悬停在 URL 上以确定它是否合法并不是很有效。链接的 HTML 通常如下所示:

<a href="https://gmail.com">Google</a>

如果添加了返回 false 的 onclick 事件,则将鼠标悬停在链接上将继续在href属性中显示网站,但当单击链接时,该href属性将被忽略。我们可以利用这些知识使弹出窗口看起来更真实。

<a href="https://gmail.com" onclick="return launchWindow();">Google</a>

function launchWindow(){
    // Launch the fake authentication window
    return false; // This will make sure the href attribute is ignored
}
结论

使用这种技术,我们现在能够升级我们的网络钓鱼游戏。目标用户仍需要登陆您的网站才能显示弹出窗口。但是一旦登陆攻击者拥有的网站,用户就会放心,因为他们在看似合法的网站上输入了他们的凭据(因为可信的 URL 是这样说的)

工具下载

工具涉及的文件夹

图片[11]-【视频讲解】新型Borat远控软件及新型BITB攻击方式-FancyPig's blog
支持MacOS、Windows白天、黑暗2种模式

代码分析

图片[12]-【视频讲解】新型Borat远控软件及新型BITB攻击方式-FancyPig's blog
主要是使用了iframe嵌套页面

如何判断哪些是钓鱼页面

不过这样的页面也存在很大的逻辑上的漏洞,我使用的Windows电脑,里面突然出现了一个Mac界面,是不是就TM很离谱!

图片[13]-【视频讲解】新型Borat远控软件及新型BITB攻击方式-FancyPig's blog

当然,除了这种方式,还有其他方式可以区分,弹窗是否是安全的,你可以尝试移动弹窗,看看能不能移动到浏览器外面

图片[14]-【视频讲解】新型Borat远控软件及新型BITB攻击方式-FancyPig's blog
无法移出父窗口,因此可以判断可能是钓鱼页面
© 版权声明
THE END
喜欢就支持一下吧
点赞26赞赏 分享
评论 共7条

请登录后发表评论