MSHTAホールはハッカーのための大開遠距離制御の扉です(図)


これはハッカーを狂喜させる新しい抜け穴です。一旦この抜け穴が活性化されると、大量のコンピュータがハッカーの手の中の肉鶏になります。遠隔操作は避けられません。
マイクロソフトのWindows OSは短い「息を吐く」後、最近また攻撃愛好者のたゆまぬ努力のもとで、いくつかの危険なシステムのセキュリティ・ホールを発見することに成功しました。 Windows MSHTAスクリプトの実行・ホールはその中の重要な一員である。
安全掲示板
MSHTAはHTAです。ここのMSは主にマイクロソフトの脆弱性を強調するために使われます。HTAはフルネームHTMLです。 アプリとは、HTMLアプリケーションのことですが、簡単に「htta」という拡張子でHTMLページを保存してHTAファイルを作成しただけです。以前から多くの悪意のあるコードが利用されていましたが、ユーザーの安全意識の高まりとともに、安全メーカーがブラックリストに登録しています。これらのHTAコードを含むファイルが発揮する破壊作用は以前ほど大きくなくなりました。しかし、Windowsは MSHTAの脚本は穴の出現を実行して、パンドラの魔の箱を再度開けさせて、悪夢は始まります…
攻撃者は、この脆弱性を利用して、影響を受けるシステムを制御し、悪意のあるプログラムのインストール、システムファイルの管理などを行い、または完全な制御権限を持つ管理者アカウントを作成することができます。
原理
Microsoft HTML Application Host(MSHTA)はMicrosoftです。 Windows OSの一部は、HTAファイルを実行するためにそれを使用しなければなりません。Windows Shellにはリモートコードの実行ホールがあります。システムがファイルを正しく識別できない関連プログラムが原因です。
簡単に言えば、Windowsシステムはファイル関連プログラムを処理する際に問題が発生しました。例えば、ユーザーはWinampでファイルを開けて「mp 3」というファイルを作りたかったが、Winampプログラムを正しく起動できずに別のプログラムを呼び出してこの「mp 3」ファイルを開いた。このバグはこのようにして、ユーザーが悪意のあるファイルを実行すると、システムがMSHTAを呼び出してこのファイルを開きます。このファイルにHTAコードが含まれていると、システムは直ちにこのコードを実行し、各種の安全問題を引き起こします。
トロイの木馬を配置します。
攻撃者がこの穴を利用して遠隔制御を成功させるには、まずトロイの木馬のサービスプログラムを配置しなければなりません。トロイの木馬プログラムを通じて、図形化した状態で遠隔制御ができます。このように操作するともっと簡単で便利です。
攻撃されたコンピュータのWindowsを起動することに成功した時 MSHTAスクリプトがバグを実行したら、このコンピュータは自動的に私達が設定したサービス端末プログラムをダウンロードします。遠隔操作ができます。
今日、私達が採用できる木馬は最新の国産木馬「ホタル」です。その助けのもとで、お客様の中の各ボタンを通じてリモートコントロールができます。
流れほたる木馬のクライアントプログラムを実行して、ポップアップされた操作画面でツールバーの「サーバーの設定」ボタンをクリックします。ポップアップされた「サーバーの設定」画面では、サービス端末の設定が開始されます。
javascript:if(this.width)screen.width-600)this.style.width=screen.width-600; border=0>
トロイの木马"ホタルの流れ"は、人気のあるリバウンド接続技术を采用しているので、"DNSドメイン名"は、サービスエンドプログラムのリバウンド接続のためのIPアドレス、つまりローカルコンピュータの现在のIPアドレスを设定します。もちろん、攻撃者も他の木馬を使ってリバウンド接続の操作ができます。
「接続ポート」には、サーバーとクライアント(すなわち攻撃されたコンピュータと攻撃を行うコンピュータ)のデータ転送のための傍受ポートが設定されています。パスワードを認識するということは、サーバーがオンラインにいる時のパスワードを確認します。もしパスワードが正しくないと攻撃者は攻撃されたコンピュータをコントロールできません。
「フローほたる」は、現在流行しているスレッド挿入の方法をサーバーの非表示に採用し、「dllプロセス挿入タイプを生成するかどうか」を選択した後、ユーザーは自分の必要に応じて、生成したサービスエンドプログラムをリソースマネージャプログラムexplorer.exeのプロセスに挿入するか、またはIEブラウザのIEXP LORE.EXEプロセスでサービスを隠します。このようにすると、多くの個人の防火壁を簡単に貫通できるだけでなく、プロセスマネージャの中でもこのプロセスを見つけることができません。
現在、すべての設定が完了しました。最後に「生成」ボタンを押すと、私たちが必要なサービス端末プログラムが生成されます。生成されたサーバープログラムは13 KBしかなく、攻撃されたコンピュータのダウンロードに非常に有利です。
抜け穴の利用
トロイの木馬のサービスの設定が完了しました。攻撃の全体の一部を完成しました。次に、私達は一気に息を吹きかけて、すべての操作を完成します。目的は更に多くの鶏肉を持つためです。
この穴が攻撃者に利用される方法を見てみましょう。まずWindowsをネットからダウンロードします。 MSHTAスクリプトは、脆弱性の利用ツールを実行した後、コマンドプロンプトウィンドウを開き、脆弱性利用ツールがあるフォルダに入り、ツールの使い方を確認します。
「Usage:C:\2005016.exe httafilename savefilename」は、ツールを使ってHTAファイルを一つのWindowsに変換することができるという意味です。 MSHTAスクリプトは、脆弱なファイルを実行します。(ファイルフォーマットは不確定です。ユーザーは任意に取りますが、ファイルの拡張子名はシステムに既存のファイルの拡張子名と同じではないです。)まずHTAファイルを作成する必要があります。
HTAファイルを作成することができる言語はたくさんあります。VBS script、Perlなどを含んでいます。ユーザーは自分の好みや言語の特徴によって編集言語を選ぶことができます。VBScriptを例にしてHTAファイルを作成します。
メモ帳のプログラムを開けて、VBscriptコードを入力します。http://www.mh.fy.cn/2005/2.rarを選択します。
このコードの意味は、インターネットからコードに設定されたリンクファイルをダウンロードし、ダウンロードが完了したら実行するということです。実はこのファイルは私達の構成が終わったら、ネット空間にアップロードする木馬サービスエンドプログラムです。コード入力が完了したら、このファイルをmm.httaと名付ければいいです。
バグ利用ツールを再起動し、コマンド「2005016.exe」を入力します。 mm.htta mm.mm」は、「mm.mm」という悪意のあるファイルを作成することができます。ファイルの拡張子の名前が相手に見破られるのを恐れたら、「d 0 c」のような拡張子の名前を採用してもいいです。
抜け穴を利用した悪意のあるファイルを生成すると、電子メールの添付ファイルに隠したり、インスタント通信ソフトを使って他の人に送ったり、掲示板に書き込んだりするなど、さまざまな方法でそれを拡散することができます。
攻撃されたユーザがこのファイルをダブルクリックして実行すると、攻撃されたコンピュータのシステムが設定されたリンクファイルをダウンロードして実行し、さらにリモートコンピュータによって制御されます。
攻撃者は、ファイル管理、画面管理、レジストリ管理などを含む、クライアントプログラム内の各コマンドにより、攻撃されたコンピュータを遠隔制御することができる。
防犯対策:ユーザーはWindowsに対して成功したいです。 MSHTAのスクリプトは、脆弱性を防ぐために、最も簡単な方法は、マイクロソフトのセキュリティパッチをインストールすることです。もちろん、ウイルス対策ソフトをインストールすることで、この脆弱性を利用してダウンロードされた悪意のあるプログラムを検出し、それを防ぐこともできます。