勒索行为示例锁定个人中心滥用服务隐私泄露诱骗恐吓防范建议
想一下近年来安全行业比较火爆的勒索软件的技术原理,自从WannaCry类漏洞算起,大都是利用永恒之蓝漏洞配合通过smb弱口令进行传播,通过对主机重要数据进行加密后提示要求比特币渠道进行支付,用户无奈妥协后客服会发送解密私钥。任何远程类漏洞的漏洞均可用于勒索软件,比如mysql数据库、框架类、路由器漏洞。如何不能用于勒索,那么还能挖矿。
目前已知案例的漏洞利用技术均基于主机类的漏洞,这里讨论下通过xss搭配csrf这样的web类安全漏洞进行勒索行为,同时给出相应的防范建议。xss是跨站脚本利用漏洞的简称,技术上分为反射型,dom型,存储型,只有存储型具备传播性,难检测性,蠕虫传播性,本文以dvwa相关的模拟环境做概念性验证,对于用户的影响主要从机密性,可用性,完整性方面进行探讨。
示例
锁定个人中心
通过xss锁定用户的个人资料,修改密码,利用受害者的恐惧、服从心理,威胁删除服务和修改数据来影响可用性,胁迫用户就范,在支付赎金后,通过技术手段恢复正常服务及密码。
诱骗恐吓
也可谎称在用户的电脑网页中发现病毒信息,诱骗用户下载伪装的杀毒软件,或者利用公检法的套路,警告将以用户身份通过上传功能发布黄赌毒内容,诱导受害者主动和骗子联系,进行下一步行为诱导安装主机勒索软件,或者通过现实场景实施勒索犯罪行为。
来源:安全乐观主义
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!