淺談感染載體1——1. 感染目標系統的方式

在攻擊者進行感染載體階段都是要結合社會工程學，特別是現在對惡意軟件查殺越來越白日化，網民的安全意識越來越強。因此想要成功的高效率大範圍進行惡意軟件進行部署惡意軟件獲得更多的殭屍肉雞（bot），就必須使用更高的社會工程學進行輔助，特別是對特定目標進行攻擊卻由於目標防護系統部署得比較嚴密讓你覺得無從下手的時候，社會工程學往往會讓你“柳暗花明又一村”。所以接下來介紹各種惡意軟件的時候將會結合社會工程學進行講解。
1.1電子郵件/物理媒介傳播方式
以前最常用的病毒惡意軟件的傳播方式就是電子郵箱傳播，因爲它的傳播範圍廣，速度快，基數大。只要獲取郵箱地址就可以以郵箱爲介質羣髮帶有惡意軟件的附件，然後通過社會工程學對目標進行誘導，誘使目標者下載惡意軟件然後雙擊打開。以我個人經驗羣發郵件可以迅速將惡意軟件進行擴散，但是成功並不高。因爲如果羣發郵件的話會使得社會工程學誘導方面變的模塊化，並針對性很差，只要稍微有點安全意識的目標者都會很容易識別，更嚴重的是會引起郵服和郵箱服務商的警惕，並將其過濾掉，從而無法進行傳播。所以這樣的話也會大大縮短這種傳播媒介的生命期。
要想使得電子郵件傳播方式有更長、更準確的、效率更高就必須犧牲傳播速度和傳播範圍。電子郵件服務商爲了提高電子郵件傳輸的郵件安全性，它設置有附件類型過濾規則，不允許傳輸屬於敏感類型的文件。我記得有一個進行社會工程欺騙時，本想直接將一個惡搞型的.bat文件附上QQ郵箱進行傳輸，但是卻提示附件不能有.bat類型文件，突然將我高漲的激情變的冰點，但是後來靈機一變，將.bat文件進行壓縮，然後就以壓縮文件形式附上QQ郵箱進行傳輸。
傳輸問題解決了，現在就到社會工程學粉墨登場了。以我的惡搞習慣，我會針對每個攻擊者的特定喜好進行社會工程誘導，以致使他們上我的鉤，例如一個內心強烈期盼有妹子勾搭的男生，那就裝扮成一個妹子向他“求救”，後者你裝扮成公司工作人員向目標者進行引誘，如果目標者是一個網站管理員，就以某某軟件生產商的客服誘使他進行操作……特別需要指出的是社工欺騙手段是瞬息萬變，因地制宜而生，不服從某種拘束，只要達到誘使目的就是成功，這樣也纔能有效的對應電子郵件服務商的查殺過濾，延長傳播方式甚至惡意軟件的生命週期。
1.2即時通訊方式
這兩年最常見的就是QQ被盜。下面淺略解析不法攻擊者利用被盜QQ進行不法操作。通常攻擊者利用QQ與“自己”的好友聊天，然後直接冒充QQ實際擁有者（下稱：擁有者）向他的好友借錢，這是一個目標簡單卻又有點鼠目寸光，在因爲這種方式出現久了，大部分人也就有了一定的自我防護心態很容易識破，所以成功機率並不高。長遠的思考的攻擊者盜取別人的QQ時，首先是瀏覽聊天記錄，熟悉擁有者與好友的關係類型（閨蜜、鐵兄弟、家人、情人、同學、普通朋友）和擁有者的聊天語氣習慣用語（這些很重要）。然後先冒充擁有者和好友（特別是經常聊天的）聊天，進行心理延續誘使對方認爲攻擊者就是擁有者，然後再傳輸惡意軟件誘使對方接收惡意軟件然後運行，然後再進行錢財詐騙。
當然現在有很多QQ盜號者目的並沒有如此險惡，他盜取別人的QQ這是單純的竊取受害者QQ綁定的遊戲帳號的裝備，或者只是想炫耀自己的技術在別人的空間說說發表一個鏈接（一般是黃色網站/帶有的惡意網馬的網頁誘使其它好友瀏覽然後進行惡意軟件下載或者進行遠程代碼執行獲取肉雞）或者在相冊上傳黃色圖片進行宣傳從而盈利。
1.3社交網絡
社交網絡傳播一般是結合UPL連接兩種方法使用，首先攻擊者會在XX網盤服務運營商那裏申請一個網盤空間，然後上傳惡意軟件在上面，接着複製它的下載鏈接，然後到目標社交論壇結合社會工程學欺騙誘導博主或者管理員以及其他訪客進行點擊連接下載惡意軟件，接着將惡意軟件自動隱藏在後檯安裝和運行，甚至修改註冊表，使得惡意軟件安能夠長期有效的進行操作，爲了提高成功率以及減少受害者的懷疑，攻擊者通常通過社工欺騙撫慰受害者，甚至不惜額外增加工作量達到對誘使受害者所描述的效果。
當然也有直接在社交論壇上上傳惡意軟件然後結合社工欺騙誘使瀏覽者下載安裝。有很多朋友（網絡經驗比較單純）向我訴苦，說想在網站下載一些軟件，結果下載安裝到的卻是百度殺毒軟件且很難卸載，有的是某某遊戲軟件，有的甚至是赤裸裸的惡意軟件，本人有時候在網上下載的軟件也會出現這樣的問題，特別是我還是純小白的時候。
溫馨提示一下，在下載工具的時候下載下來的軟件，名是“setup.exe”，那就要小心了，這很可能就是一個遠控目標執行文件。
現在比較流行也比較重視的XSS（跨站腳本攻擊）也是利用社交網站存在XSS漏洞進行攻擊。
1.4 URL連接
URL連接上面已經講解了不少，就儘量不重複講述。
上面未提到的URL連接且又是經常出現的就是URL混淆連接欺騙方式。這兩年的流行互聯網欺詐其中就有URL混淆連接欺騙。攻擊者首先申請一個域名，這個域名是與目標主題的域名相近似，以達到混淆效果。攻擊者常用的混淆是字母的大小寫混淆，字母與數字混淆等方法。
記得以前收到一條冒充聯通網上網上營業廳給我發來的短信，說恭喜我我成爲聯通的感恩回饋活動的幸運用戶，將給我返回500元現金，叫我登陸聯通官網http://www.1OO1O.com/數填入相關的資料，當初我登陸進去就是出現一個很類似與聯通網上營業廳的網站，並提示我輸入相關的姓名，銀行卡賬號、密碼，身份證號，首先關鍵暴露在於輸入銀行卡密碼，這讓我警惕起來，然後點擊界面上的連接，發現並沒有反應，仔細察看才發現整個界面除了讓你輸入相關信息的文本框之外其它的只是一張圖片，這讓我更加堅信他就是一個釣魚詐騙網站，但是乍一看就是聯通的網址啊，仔細看才發現端倪，這個網站的網址是將“O”代替“0”混淆受害者誤以爲這是聯通的眷顧。http://www.1OO1O.com/如今這個站已經不存在了，但是代替它的是http://www.1oo1o.com/，這也是一個不良網站，裏面有大量的假冒招聘信息，和不良網站連接，有興趣的可以進去看看，但要防止上當受騙。
收到一天短信，內容上的稱呼直署我的名字，說是大街網上有知名企業聘請我去工作，給我附上一個URL連接叫我打開查看http://d-jme/BEIULw，http:// d-jme/otwOZ，由於前一段時間我確實去過一次那鬼地方，再者也居然說出了我的名字，於是我便打開了連接查看一下是怎麼回事，結果彈出一個框叫我下載安裝一個apk軟件，出於警惕沒下載，剛想退出就手機就出現異常，藍屏一下然後自動退出。之後用瀏覽器打開上述連接卻並沒有找到相關的網頁，因此可以初步推斷是大街網出問題且把我的信息泄露出去。真正大街網的主頁是下面地：
http://www.dajie.com/corp/1000230/，與短信發給我的連接有很明顯的差異，但也屬於域名取法規則的URL混淆手法。