本文作者竭力保证文章内容可靠,但对于任何错误、疏漏或不准确的内容,作者不负任何责任。文章部分内容来源于网络是出于传递更多信息的目的,对此不负任何法律责任。本文仅用于技术分享与讨论,严禁用于其他用途。
前言
命令与控制(command andcontrol),是远程控制的一种表现形式,更是目前网络攻击常用手段中不可或缺的一环。而邮箱作为收发信息的仓库,既能作为恶意代码传播的平台,亦可作为命令与控制的信道。本文介绍了邮箱在恶意代码传播和命令与控制两个方面的应用。
一、邮箱在恶意代码传播中的应用
1.1 恶意代码传播手段
恶意代码传播过程可利用多种手段,目前已知的手段有:
1.定向鱼叉攻击邮件投放
2.垃圾邮件批量投放传播
3.网页挂马
4.利用优盘、移动硬盘等移动介质传播
5.捆绑、隐藏在一些破解、激活、游戏工具中进行传播
6.感染web/FTP服务器进行传播
7.利用自动化机制病毒进行传播
1.2 定向鱼叉攻击邮件投放
1.2.1 鱼叉攻击定义
“鱼叉攻击”是黑客攻击方式之一,最常见的做法是,将恶意代码作为电子邮件的附件,并起上一个极具诱惑力的名称,发送给目标电脑,诱使受害者打开附件,从而感染恶意代码。
1.2.2 邮件鱼叉攻击示例
2018年4月,Internet Explorer被曝出一个0day漏洞 “双杀”(CVE-2018-8174 )。该漏洞通过 VBClass::Release函数中存在的缺陷访问未分配内存,从而触发漏洞达到任意地址读写的目的。该漏洞通过精心构造的页面或往邮件或Office文档中嵌入VB脚本即可触发 ,危害性较强,也因此被命名为“双杀”漏洞,且一遭曝光便第一时间被 APT 组织利用于黑客活动。
2018年2月Adobe Flash被曝出一个0day漏洞CVE-2018-4878。该漏洞影响版本在28.0.0.137以下的AdobeFlash,通过修改Flash脚本对象ByteArray的值至特殊长度来实现任意地址读写ÿ