浅谈网页木马
摘要 由于利益驱动,网络犯罪者已频繁地在中国万维网上构建木马网络,用于攻击普通因特网用户的客户端主机,窃取虚拟资产从而获得非法收入。本文对网页木马的攻击和防范策略进行深入分析,从而深刻了解网页木马的危害。
关键词 网页木马;木马攻击;恶意脚本
中图分类号tp393        文献标识码a        文章编号 1674-6708201146-0214-02
网页木马是指表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。
1 背景和根源
网页木马这种安全威胁在中国万维网上出现于 2003 年甚至更早,在此之前,国内黑客社区还主要由政治事件、炫耀技术能力、追求社区威望等动机所驱动,但随着网络游戏和虚拟交易的
日益流行,一些恶意攻击者寻出通过攻击普通因特网用户从而快速获利的网络犯罪途径,并形成了分工明确,组织严密的地下经济链,而网页木马是其中最为主要的方式之一。
网页木马存在的技术基础­——安全漏洞。另一个使得网页木马安全威胁持续存在的根源是普通因特网用户用于访问万维网的浏览器和相关应用软件中存在的安全漏洞,这些安全漏洞为网页木马进入并感染受害主机提供了必要条件。
2 网页木马的实质
网页木马的实质是利用漏洞向用户传播木马下载器。网页木马实际上是一个html网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢。因为嵌入在这个网页中的脚本恰如其分地利用了ie浏览器的漏洞,让ie在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。
3 可能被网页木马利用的漏洞
3.1 利用url格式漏洞
此类网页木马是利用url格式漏洞来欺骗用户。构造一个看似jpg格式的文件诱惑用户下载,但事实上用户下载的却是一个exe文件。此类攻击,具有相当的隐蔽性,利用url欺骗的方法有很多种,比如起个具有诱惑性的网站名称或使用易混的字母数字掉包进行银行网络钓鱼,还有漏洞百出的“%30%50”之类的unicode编码等等。
3.2 通过activex控件制作网页木马
通过 activex 把普通的软件转化为可以在主页直接执行的软件的网页木马,此类网页木马对所有的系统和ie版本都有效,缺点是浏览网页木马时会弹出对话框,询问是否安装此插件。病毒作者通常是伪造微软、新浪、google等知名公司的签名,伪装成它们的插件来迷惑用户。
3.3 利用wsh的缺陷
利用wsh修改注册表,使ie安全设置中“没有标记为安全的activex控件和插件”的默认设置改为启用,然后再利用一些可以在本地运行exe程序的网页代码来运行病毒。它的危害在于,可
以利用ie的安全漏洞提升权限达到本地运行任意程序的后果。
4 网络木马的攻击策略
为了将挂马网站的访问流量重定向至网页木马宿主站点,攻击者通常使用如下四类策略。
4.1 内嵌html标签
第一类策略使用内嵌html标签,如iframe, frame等,将网页木马链接嵌入到网站首页或其它页面中。为了达到更好的隐蔽性和灵活性,攻击者还经常利用层次嵌套的内嵌标签,引入一些中间的跳转站点并进行混淆,从而构建复杂且难以追溯的庞大网页木马网络。
4.2 恶意脚本
第二类也是很常用的重定向策略是利用script标签通过跨站脚本(xss: cross-site scripting)包含网页木马。跳转脚本通常使用document.write生成包含网页木马链接的 iframe。内嵌标签,或者比较少见的windows.open函数弹出一个新的html窗口连接网页木马进行攻击。
4.3 内嵌对象
第三类重定向策略基于调用第三方应用软件或浏览器帮助对象(bho)的内嵌对象。当攻击者发现这些第三方应用软件或bho 中存在某些可利用的安全漏洞,他们会通过构造。相应的内嵌对象,通过在挂马页面中包含,从而在其被打开时攻击存有漏洞的软件,从而获得目标主机的控制权。
4.4 arp欺骗挂马
如何制作网页插件第四类是攻击者使用一种危害度更高的网页挂马构建策略——arp欺骗挂马。这种方法不需要真正地攻陷目标网站,在攻击安全防护严密的知名网站时非常有效,在同一以太网网段内,攻击者通过arp欺骗方法就可以进行中间人攻击,劫持所有目标网站出入的网络流量,并可在目标网站的html反馈包中注入任意的恶意脚本,从而使其成为将网络访问流量重定向至木马宿主的挂马站点。
5 网页木马的防范策略
网页木马的防范只靠杀毒软件和防火墙是远远不够的,因为一旦黑客使用了反弹端口的个人版木马,那么杀毒软件和防火墙就无可奈何,所以,网页木马的防范要从它的原理入手,从根子上进行防范。主要采取的防范策略有:
1)及时安装安全补丁;
2 改名或卸载最不安全的activexobjectie插件);
3)提高ie的安全级别,禁用脚本和activex控件。
6 结论
当今网络,反病毒软件日益增多,使用的反病毒技术越来越先进,查杀病毒的能力逐渐提高,但病毒制作者并不会罢休,反查杀手段不断升级,新的病毒层出不穷,形式也越来越多样化,为了躲避查杀,病毒自身的隐蔽性越来越高。网页木马对普通的因特网用户构成了严重的威胁,要做到有效防范,从而阻止网络犯罪者通过网页木马获得非法收入。
参考文献
[1]韩法旺.web网页木马研究初探[j].科技信息,2008(19).
[2]吕磊.基于行为分析的网页木马检测技术研究[j].哈尔滨工业大学学报,2009.

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。