[zt]安全評論：WinRar也是雙刃劍

原創

2020-06-13 19:15

　　　　作者: 甘肅老五, 　出處:IT專家網,　責任編輯: 張帥,　2008-04-16 00:01　　
　　雙刃劍傷人，當然使用不當也會傷己，關鍵看它掌握在誰的手裏，怎麼使用。WinRar是大家使用最頻繁的壓縮、解壓軟件，它幾乎進駐了所有的系統。正是由於它的通用性、普遍性，它成了惡意攻擊者手中的一款利器。下面筆者列舉兩個攻擊者利用WinRar進行惡意攻擊的實例，看看它是如何成爲黑客幫兇的。
一、WinRar掛馬
1、實例演示
　　在我們的印象中掛馬一般都是在網頁中嵌入惡意代碼，瀏覽者通過瀏覽器瀏覽是然後中招。WinRar也可以掛馬，我們看攻擊者是怎麼做的?
　　第一步：新建一個文本文件，比如lw.txt。在該文件上點擊右鍵選擇“添加到壓縮文件”，打開如圖1所示的窗口，在“壓縮選項”中勾選“創建自解壓格式壓縮文件”選項。

圖1
　　第二步：點擊圖1中的“高級”選項卡，在打開窗口中點擊“自解壓選項”按鈕，在“高級自解壓選項”窗口中點擊“文本和圖標”選項卡如圖2。由於“自解壓文件窗口中顯示的文本”支持html腳本，因此我們就可以在其下的文本框中輸入跨站代碼進行掛馬。

圖2
　　第三步：在文本框中輸入如圖2代碼點擊“確定”按鈕即可。
　　提示：第一行彈出一個對話框(實際攻擊中會省略，我們因爲是演示才加了)，第二行是打開IT專家網安全子網的頁面，攻擊者往往會嵌入一個具有惡意代碼的頁面URL。
　　第四步：雙擊打開lw.exe文件，彈出一個對話框，確定後在WinRar中打開了相關的頁面，跨站成功如圖3。

圖3
　　小結：WinRar掛馬的安全威脅比較大，因爲它是我們常用的解壓工具，稍微不留意就會中招。同時它支持的腳本比較多，攻擊者可以利用其他更隱蔽的掛馬腳本。
2、預防技巧
　　(1).不要直接雙擊打開後綴爲exe的壓縮文件，安全的做法是先打開WinRar，然後通過它打開該壓縮文件。如果壓縮包中加入了惡意腳本就會在其右邊的窗格中顯示出來。當然也可以點擊任務欄中的“信息”按鈕，在打開的窗口中點擊“註釋”選項卡，所有的腳本都會顯示出來如圖4。

圖4
　　(2).安裝防火牆，因爲WinRar自解壓文件中被嵌入了掛馬代碼其就會進行網絡連接，這是防火牆就會彈出是否允許網絡連接的對話框如圖5，這就非常可疑。

圖5
二、WinRar綁馬
　　WinRar綁馬和上面的掛馬原理差不多，都是利用了WinRar的自解壓功能在其中嵌入惡意代碼，讓壓縮包中的木馬運行。
1、實例演示
　　第一步：準備好的木馬程序和正常的程序或者圖片文件，按照實例一第一步的操作把它們添加到自解壓包中。根據自己的需要選擇“壓縮方式”，然後點擊“高級”標籤，選擇“SFX　選項”，在“釋放路徑”中填入你需要解壓的路徑，這裏填的是“%systemroot%/temp”(不包括引號)，表示解壓縮到系統安裝目錄下的 temp(臨時文件)文件夾下。在“解壓後運行”中輸入正常的程序(記事本)，在“解壓前運行”中輸入你的木馬程序名(測試中一個簡單的對話框彈出小程序 lw.exe)如圖6。

圖6
　　第二步：點擊“模式”選項卡，在打開的窗口中勾選“全部隱藏”和“覆蓋所有文件”選項如圖7，以增強容錯性，最後點擊“確定”即可。

圖7
　　第三步：雙擊運行該自解壓程序，正常的程序notepand.exe和測試程序lw.exe依次運行，如圖8。

圖8
　　提示：除了上面的方法爲，攻擊者一般都通過腳本代碼來達到在WinRar中捆綁木馬達到其目的。其中關鍵代碼如下：
Path=%systemroot%
　　Setup=lw.exe
　　Presetup=notepad.exe
　　Silent=1
　　Overwrite=1
　　第一行是文件的解壓路徑，在系統根目錄下;第二行是解壓後自動運行lw.exe;第三行是在解壓之前先運行notepad.exe，達到掩人耳目;第四行是隱藏文件，達到更隱蔽;第五行是覆蓋目錄下的同名文件，以容錯更可靠。
2、防範技巧
　　(1).上面防掛馬的第一條相同，就是用WinRar打開自解壓包
　　(2).在遇到後綴爲exe的自解壓包前一定先用殺毒軟件對其進行查毒，確定無毒後再用WinRar打開。
　　(3).通過一些諸如“捆綁分離器”的軟件進行壓縮包的分離，把正常的程序和木馬分離出來。
三、WinRar欺騙
1、實例演示
　　通過上面的方法制作的自解包有兩個明顯的缺陷：1.儘管文件後綴爲exe但是文件圖標卻是WinRar的，隱蔽性不夠;2.單擊文件右鍵就會顯示與WinRar相關的項目如圖9。於是攻擊者對其從兩個方面進行隱蔽欺騙。

圖9
　　(1).文件圖標欺騙：在圖10中點擊“從文件加載自解壓文件圖標”下的“瀏覽”按鈕，選擇一個比較有欺騙性的圖標文件(比如QQ遊戲圖標)最後點擊“確定”即可。

圖10
　　(2).右鍵欺騙：
　　第一步：利用UltraEdit-32或者C32Asm等編輯器打開做好的自解壓程序，然後通過查找功能找到二進制526172211A07，把61改成其他的數字，比如62，再搜索807A0161，把61改成之前改的值，這裏改成62如圖11。

圖11
　　第二步：保存修改後的文件，點擊右鍵查看果然右鍵中的WinRar相關選項只剩下一項如圖12和其他程序沒有任何區別。

圖12
　　第三步：進行程序測試(筆者捆綁了一個灰鴿子的服務端)，把該文件移動到一虛擬機雙擊運行，稍等片刻灰鴿子控制端提示有主機上線如圖13。

圖13
2、防範措施
　　對於經過改造的WinRar自解壓文件，上面兩例中的方法一肯定無效。那隻能通過用戶個人提高安全意識，潔身自律不去下載運行沒有安全保障的軟件。當然，及時更新病毒庫用殺軟殺毒是非常必要的。
總結：上面列舉的攻擊實例是當前黑客常用的WinRar攻擊方法，筆者要說的是，WinRar本無罪，關鍵是它被攻擊者利用。作爲WinRar的用戶，當然沒有必要因噎廢食而放棄它。其實，我們只要理解了攻擊原理，提高警惕掌握一定的技巧就可以有效防範類似的來自常用軟件的攻擊。