账号:
密码:
最新动态
产业快讯
CTIMES/SmartAuto / 新闻 /
没有泄漏帐密就不会被偷?骇客只需一封邮件就能还原你的密码!
 

【CTIMES / SMARTAUTO ABC_1 报导】    2018年04月17日 星期二

浏览人次:【3309】

别再相信「没在钓鱼网页输入帐密就不会被盗」的说法,现在骇客只要发这封邮件就有机会还原你的密码!

ASRC研究中心与中华数位科技,曾在2018/03/28,於官方的Line@帐号发布一则即时的恶意邮件警告,其中我们提到一个特性:

「这种恶意邮件的特殊之处在於,当收件人在 Windows 下解开附档,并选取.url档案时,Windows即会主动向.url要求的位址以SMB通讯协定要求资讯,此时已对远端恶意主机泄漏收件人使用的IP与其电脑名称。」

 恶意邮件样本截图

图一:恶意邮件样本截图

然而,事情并不如表面那般简单。恶意主机上的Samba伺服器启用了NTLMv2验证,因此当Windows拜访该主机时,会将使用者的密码进行杂凑运算後送至伺服器进行验证。

”"恶意邮件样本截图"

图二:进行 NTLMv2验证时,送出的杂凑码封包

虽然无法从杂凑码反推回实际的密码,但若是密码的强度不足,只要对密码字典表进行杂凑编码後再做比对,就有很高的机会还原密码了。偷走Windows登入的密码要做甚麽用呢?骇客又不一定能直接从外部登入你的电脑!但别忘了,你所在的企业单位可能有外部的服务;或者你所使用的各种网路服务密码都是同一组,不论如何,这个密码可能都已经被骇客收进密码猜测的字典档内了。

若是密码强度不足,破解杂凑码不需要太多时间

图三:若是密码强度不足,破解杂凑码不需要太多时间

同样的问题也出现在Outlook信件软体中。由於Outlook支援Rich Text文本格式 (RTF),RTF中又可嵌入OLE物件,在制作攻击邮件时,只要在RTF格式的邮件中嵌入一个指向外部SMB服务的远端OLE物件,就能利用Outlook的漏洞 (漏洞编号CVE-2018-0950),让收信人在预览邮件时,自动连往外部的SMB服务,并泄露收件人的IP、电脑资讯,以及密码的杂凑码。微软已修正该漏洞并释出更新,但这个更新只确保了让Outlook在预览邮件时,不会自动外连至SMB服务。若是信件中带有“\\”开头的连结,使用者离落入陷阱依旧只有一步之遥。

为避免此种类型的攻击,除了建置良好的邮件过滤机制、定时修补软体漏洞外,在防火墙上建议应对外连的SMB服务(port 137、139、445)有所限制,以杜绝未来此种类型的攻击。

目前中华数位SPAM SQR已可防御这类攻击。提醒已使用 SPAM SQR 的用户保持系统与特徵定期更新,以达到最隹防御效果。

comments powered by Disqus
相关讨论


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK8C1BI91ZQSTACUKO
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw