关于最新能侦听FTP密码的ASP.net木马的说明

mayapop1 · 发表于 2014-4-25 07:40:08

星外科技近期分析了以前没有人留意的一种网络侦听型ASP.net木马，我们发现，这个木马可以运行在所有默认的状态的win2003操作系统下(没装星外的一样完蛋)，只需要在普通的宽松类型的asp.net空间中就能运行，能造成非常严重的后果：

1.可以侦听网卡的任何流量，例如
A.FTP登陆的用户名及密码
B.3389远程桌面的登陆过程
C.同台服务器所有表单的POST数据
D.其他任何感兴趣的网卡数据包，如POP,SMTP等

2.侦听后可以写入日志，事后用来FTP挂马用，或直接登陆服务器，入侵邮箱等

我们也测试了国内主流所有的安全及防护软件，没有任何一种可以解决这个问题，最核心的原因是，这个asp.net木马合法地调用了微软自身允许的网络组件System.Net，而这个组件在大量的正常的程序中用到，我们又不能完全禁止它！

经过星外测试，这个问题只有在宽松环境下的windows 2003下能运行，在严格环境下并不能运行，因此，还在使用win2003的星外用户，请务必启用严格asp.net安全模型！

我们也测试了win2008R2,win2012R2，就算是宽松环境，这个木马也运行不了，因此，我们建议所有星外的用户，升级操作系统到Win2008R2来完全解决这个问题，我们估计微软是完全了解这个情况的，但是，就象放弃WinXP一样，win2003估计也被放弃了！

为了防止将来可能出现的问题，我们强烈要求所有星外用户都必须安装星外杀马驱动版(更新于2014-4-23)，这个软件可以直接在驱动层拦截从IIS发出的非法调用进程调用，对asp,asp.net,php全部有效！但是，这个软件也解决不了侦听网络的木马！，请按上面的说明处理！

为了防止同网段的侦听，我们也建议您对win2008/2012的FTP启用ssl，设置办法请看下图：
IIS中设置：

lxqfff · 发表于 2014-4-25 07:45:02

提示: 作者被禁止或删除内容自动屏蔽

Captain · 发表于 2014-4-25 08:30:32

星外杀马驱动版

土鳖 · 发表于 2014-4-25 08:33:31