帳號:
密碼:
CTIMES/SmartAuto / 新聞 /
沒有洩漏帳密就不會被偷?駭客只需一封郵件就能還原你的密碼!
 

【CTIMES/SmartAuto 林彥伶 報導】   2018年04月17日 星期二

瀏覽人次:【1702】
  

別再相信「沒在釣魚網頁輸入帳密就不會被盜」的說法,現在駭客只要發這封郵件就有機會還原你的密碼。

ASRC研究中心與中華數位科技,曾在2018/03/28,於官方的Line@帳號發布一則即時的惡意郵件警告,其中我們提到一個特性:

「這種惡意郵件的特殊之處在於,當收件人在 Windows 下解開附檔,並選取.url檔案時,Windows即會主動向.url要求的位址以SMB通訊協定要求資訊,此時已對遠端惡意主機洩漏收件人使用的IP與其電腦名稱。」

 惡意郵件樣本截圖

圖一:惡意郵件樣本截圖

然而,事情並不如表面那般簡單。惡意主機上的Samba伺服器啟用了NTLMv2驗證,因此當Windows拜訪該主機時,會將使用者的密碼進行雜湊運算後送至伺服器進行驗證。

”"惡意郵件樣本截圖"

圖二:進行 NTLMv2驗證時,送出的雜湊碼封包

雖然無法從雜湊碼反推回實際的密碼,但若是密碼的強度不足,只要對密碼字典表進行雜湊編碼後再做比對,就有很高的機會還原密碼了。偷走Windows登入的密碼要做甚麼用呢?駭客又不一定能直接從外部登入你的電腦!但別忘了,你所在的企業單位可能有外部的服務;或者你所使用的各種網路服務密碼都是同一組,不論如何,這個密碼可能都已經被駭客收進密碼猜測的字典檔內了。

若是密碼強度不足,破解雜湊碼不需要太多時間

圖三:若是密碼強度不足,破解雜湊碼不需要太多時間

同樣的問題也出現在Outlook信件軟體中。由於Outlook支援Rich Text文本格式 (RTF),RTF中又可嵌入OLE物件,在製作攻擊郵件時,只要在RTF格式的郵件中嵌入一個指向外部SMB服務的遠端OLE物件,就能利用Outlook的漏洞 (漏洞編號CVE-2018-0950),讓收信人在預覽郵件時,自動連往外部的SMB服務,並洩露收件人的IP、電腦資訊,以及密碼的雜湊碼。微軟已修正該漏洞並釋出更新,但這個更新只確保了讓Outlook在預覽郵件時,不會自動外連至SMB服務。若是信件中帶有“\\”開頭的連結,使用者離落入陷阱依舊只有一步之遙。

為避免此種類型的攻擊,除了建置良好的郵件過濾機制、定時修補軟體漏洞外,在防火牆上建議應對外連的SMB服務(port 137、139、445)有所限制,以杜絕未來此種類型的攻擊。

目前中華數位SPAM SQR已可防禦這類攻擊。提醒已使用 SPAM SQR 的用戶保持系統與特徵定期更新,以達到最佳防禦效果。

comments powered by Disqus
相關討論

AD


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2020 遠播資訊股份有限公司版權所有 Powered by O3
地址:台北市中山北路三段29號11樓 / 電話 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw