《2022年小心 MSHTA漏洞为黑客大开远程控制之门.docx》由会员分享,可在线阅读,更多相关《2022年小心 MSHTA漏洞为黑客大开远程控制之门.docx(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2022年小心 MSHTA漏洞为黑客大开远程控制之门作者: 刘爱民 出处: 电脑报 这是一个可以让黑客欣喜若狂的新漏洞,一旦该漏洞被激活,就会有大量计算机成为黑客手中的肉鸡,被人远程限制不行避开微软的Windows操作系统在进行了短暂的“喘息”后,近日又在攻击爱好者不懈努力下,被胜利找出几个高危的系统平安漏洞,而Microsoft Windows MSHTA脚本执行漏洞就是其中的重要一员。平安公告牌MSHTA即HTA,此处的MS主要用于强调这是微软的漏洞,HTA全名为HTML Application,就是HTML应用程序,其实只要简洁地用“hta”为扩展名保存HTML页面就算创建了一个HTA文
2、件。以前就有许多恶意代码利用它,但是随着用户平安意识的提高,以及平安厂商将它列入黑名单,这些含有HTA代码的文件发挥的破坏作用已大不如前了。然而,Windows MSHTA脚本执行漏洞的出现,使得潘多拉的魔盒再次开启,噩梦起先攻击者可利用此漏洞限制受影响的系统,进行恶意程序的安装、系统文件的管理等,或创建一个拥有完全限制权限的管理员账号。原理Microsoft HTML Application Host(MSHTA)是Microsoft Windows操作系统的一部分,必需运用它才能执行HTA文件。而Windows Shell中存在远程代码执行漏洞,起因就是系统不能正确识别文件的关联程序。其实
3、说简洁一点就是Windows系统在处理文件关联程序的时候出现了问题。例如,用户原来想用Winamp打开一个文件后缀为“mp3”的文件,但却没能正确调用Winamp程序而调用了另一个程序打开了这个“mp3”文件。这个漏洞就是这样,用户运行恶意文件后,系统会调用MSHTA打开这个文件,假如这个文件中包含有HTA代码,那么系统就会立即执行这段代码,从而引发各种平安问题。配置木马服务端攻击者想要胜利利用该漏洞进行远程限制的话,首先就得配置一个木马的服务端程序。通过木马程序,就可在图形化的状态下进行远程限制,这样操作起来更加简洁便利。当我们胜利激活被攻击计算机上的Windows MSHTA脚本执行漏洞后
4、,该计算机就会自动下载我们设置的服务端程序,我们即可对它进行远程限制操作。今日,我们可以采纳的木马是最新的国产木马“流萤”,在它的帮助下,我们可以特别便利地通过客户端中的各个按钮进行远程限制。运行流萤木马的客户端程序,在弹出的操作界面中点击工具栏上的“配置服务端”按钮。在弹出的“配置服务端”窗口中,就可起先配置我们的服务端程序(见图)。由于木马“流萤”采纳了流行的反弹连接技术,所以要在“DNS域名”中设置用于服务端程序反弹连接的IP地址,也就是本地计算机当前的IP地址。当然,攻击者也可采纳其他木马进行反弹连接的操作。在“连接端口”中设置用于服务端程序和客户端(即被攻击的计算机和进行攻击的计算机
5、)进行数据传输的监听端口。“辨识密码”就是服务端程序在上线时的确认密码,假如辨识密码不正确,攻击者将不能对被攻击计算机进行限制。“流萤”在服务端的隐藏方式上采纳了现在流行的线程插入的方法,选中“是否生成dll进程插入类型”选项后,用户可依据自己的须要,选择将生成的服务端程序进程插入到资源管理器程序explorer.exe的进程中或IE阅读器的IEXPLORE.EXE进程中实施服务端隐藏。这样不但可以轻松穿透大多数个人防火墙,而且在进程管理器中也无法查到该进程。现在,全部的设置已经完成,最终点击“生成”按钮就可生成我们须要的服务端程序。生成的服务端程序只有13KB,极其有利于被攻击的计算机进行下
6、载。漏洞的利用木马服务端的配置完成,只是完成了整个攻击过程中的很小一部分。下面,我们就要一鼓作气,完成全部的操作,目的就是为了拥有更多的肉鸡。现在我们来看看这个漏洞是如何被攻击者利用的。首先从网上下载Windows MSHTA脚本执行漏洞的利用工具,之后打开吩咐提示符窗口,进入漏洞利用工具所在的文件夹,然后查看工具的运用方法。“Usage:C:2022016.exe htafilename savefilename”,该语句的含义是可通过利用工具将一个HTA文件转化为一个可以胜利利用Windows MSHTA脚本执行漏洞的文件(文件格式不确定,用户可以随意取,但文件的后缀名肯定不能和系统中已有
7、的文件后缀名相同),看来我们首先须要编写一个HTA文件。能够编写HTA文件的语言有许多,包括VBScript、Perl等,用户完全可以依据自己的爱好以及每种语言的特点来选择编写语言。下面就以VBScript为范例来编写一个HTA文件。打开记事本程序,输入一段VBScript代码(下载地址:这段代码的含义是从网上下载代码中设置的链接文件,下载完成后运行该文件。其实这个文件就是我们配置完成后上传到网络空间的木马服务端程序。代码输入完成后,将该文件命名为mm.hta即可。现在重新运行漏洞利用工具,然后输入吩咐“2022016.exe mm.hta mm.mm”,这样就可生成一个名为“mm.mm”的恶
8、意文件。假如你怕文件的后缀名被对方识破,可以采纳类似于“d0c”这样的后缀名。利用漏洞的恶意文件生成之后,你就可通过各种各样的方法将它传播出去,例如藏在电子邮件的附件中、通过即时通讯软件发给别人、在论坛上发帖等。只要被攻击的用户双击运行了该文件,被攻击的计算机的系统就会下载并运行已经设置的链接文件,进而受远程计算机的限制。攻击者可通过客户端程序中的各个吩咐对被攻击的计算机进行远程限制,包括文件管理、屏幕管理、注册表管理等。防范措施:用户想要胜利地对Windows MSHTA脚本执行漏洞进行防范,最简洁的方法就是尽快安装微软推出的平安补丁,这样就可彻底根除该漏洞对系统的危害。当然还可通过安装杀毒软件对利用该漏洞下载的恶意程序进行查杀,从而进行防范。