热点安全

Hot Security

没有泄漏帐密就不会被偷?黑客只需一封邮件就能还原你的密码!

别再相信「没在钓鱼网页输入账密就不会被盗」的说法,现在黑客只要发这封邮件就有机会还原你的密码!


ASRC研究中心与守内安,曾在2018/03/30,于官方网站发布一则实时的恶意邮件警告,其中我们提到一个特性: 「这种恶意邮件的特殊之处在于,当收件人在 Windows 下解开附档,并选取.url档案时,Windows即会主动向.url要求的地址以SMB通讯协议要求信息,此时已对远程恶意主机泄漏收件人使用的IP与其电脑名称。」

图一:恶意邮件样本截图。

然而,事情并不如表面那般简单。恶意主机上的Samba服务器启用了NTLMv2验证,因此当Windows拜访该主机时,会将用户的密码进行哈希运算后送至服务器进行验证。

图二:进行 NTLMv2验证时,送出的哈希码封包。

虽然无法从哈希码反推回实际的密码,但若是密码的强度不足,只要对密码字典表进行哈希编码后再做比对,就有很高的机会还原密码了。偷走Windows登入的密码要做甚么用呢?黑客又不一定能直接从外部登入你的电脑!但别忘了,你所在的企业单位可能有外部的服务;或者你所使用的各种网络服务密码都是同一组,不论如何,这个密码可能都已经被黑客收进密码猜测的字典文件内了。

图三:若是密码强度不足,破解哈希码不需要太多时间。

同样的问题也出现在Outlook邮件软件中。由于Outlook支持Rich Text文本格式 (RTF),RTF中又可嵌入OLE对象,在制作攻击邮件时,只要在RTF格式的邮件中嵌入一个指向外部SMB服务的远程OLE对象,就能利用Outlook的漏洞 (漏洞编号CVE-2018-0950),让收信人在预览邮件时,自动连往外部的SMB服务,并泄露收件人的IP、电脑信息,以及密码的哈希码。微软已修正该漏洞并释出更新,但这个更新只确保了让Outlook在预览邮件时,不会自动外连至SMB服务。若是邮件中带有“\\”开头的连结,使用者离落入陷阱依旧只有一步之遥。

为避免此种类型的攻击,除了建置良好的邮件过滤机制、定时修补软件漏洞外,在防火墙上建议应对外连的SMB服务(port 137、139、445)有所限制,以杜绝未来此种类型的攻击。

目前守内安HMDS高性能邮件威胁防御系统已可防御这类攻击,提醒用户保持系统与特征定期更新,以达到最佳防御效果。

登入

登入成功