水坑攻击介绍

  • 水坑攻击属于 APT 攻击的一种,与钓鱼攻击相比,攻击者无需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐蔽性比较强。
  • 在人们安全意识不断加强的今天,攻击者处心积虑地制作钓鱼网站却被有心人轻易识破,而水坑攻击则利用了被攻击者对网站的信任。
  • 水坑攻击利用网站的弱点在其中植入攻击代码,攻击代码利用浏览器的缺陷,被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息。水坑攻击相对于通过社会工程方式引诱目标用户访问恶意网站更具欺骗性,效率也更高。
  • 水坑方法主要被用于有针对性的攻击,而 Adobe Reader、Java 运行时环境(JRE)、Flash 和 IE 中的零漏洞被用于安装恶意软件

Flush 水坑钓鱼

image-20231130191051228

  • 将以上文件解压,放至网站根目录,示例如下:

image-20231130191054640

  • 将 fake_user 文件提取出来放到 WWW 下,查看下 index.html 源码:
1
2
3
4
5
6
7
8
9
10
11
<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8">
        <title>Flash </title>  
        <script src='./flash.js'></script>
    </head>
    <body>
    <!-- <h1>Flash Test...</h1> -->
    </body>
</html>
  • 只有一个链接跳转,把这个注释删一删,看起来真实一点,查看一下 flash.js 文件:
1
2
3
......
<div id='button' onclick=window.location.href='../fake_flash_domain/index.html'></div>
......
  • 由于我这里改了目录层级,修改一下代码:
1
2
3
......
<div id='button' onclick=window.location.href='./fake_flash_domain/index.html'></div>
......
  • 网站访问一下:

image-20231130195928082

  • 点击一下立即升级:

image-20231130195933169

  • 点击一下下载:

image-20231130195936471

  • 发现下载链接是:
1
http://127.0.0.1/fake_flash_domain/flashcenter_pp_ax_install_cn.exe
  • 使用 WinRAR 做一个木马:

image-20231130205616671

  • 使用木马文件,代替网站下的 flashcenter_pp_ax_install_cn.exe 文件,下载双击上马:

image-20231130195940966

image-20231130195945915

image-202311301959509131