潛伏的攻擊者:網(wǎng)頁木馬
為什么我們一打開網(wǎng)頁就會運(yùn)行木馬程序,木馬又是如何"掛"在網(wǎng)站上的呢�?這就要涉及"網(wǎng)頁木馬"這個概念。 網(wǎng)頁木馬就是將木馬和網(wǎng)頁結(jié)合在一起�,打開網(wǎng)頁的同時也會運(yùn)行木馬。
最初的網(wǎng)頁木馬原理是利用IE瀏覽器的ActiveX控件���,運(yùn)行網(wǎng)頁木馬后會彈出一個控件下載提示���,只有點(diǎn)擊確認(rèn)后才會運(yùn)行其中的木馬。這種網(wǎng)頁木馬在當(dāng)時網(wǎng)絡(luò)安全意識普遍不高的情況下還是有一點(diǎn)使用價值的�����,但是其缺點(diǎn)是顯而易見的��,就是會出現(xiàn)ActiveX控件下載提示。當(dāng)然現(xiàn)在很少會有人去點(diǎn)擊那莫名其妙的ActiveX控件下載確認(rèn)窗口����。
在這種情況下,新的網(wǎng)頁木馬誕生了����。這類網(wǎng)頁木馬通常利用了IE瀏覽器的漏洞,在運(yùn)行的時候沒有絲毫提示����,因此隱蔽性極高?�?梢哉f�,正是IE瀏覽器層出不窮的漏洞造成了如今網(wǎng)頁木馬橫行的網(wǎng)絡(luò)。例如最近的IE瀏覽器漏洞MS06-014���,就可以利用來制作一個絕對隱蔽的網(wǎng)頁木馬。下面讓我們看看利用MS06-014制作網(wǎng)頁木馬的過程��。
網(wǎng)頁木馬當(dāng)然得有木馬程序�,這里我們使用上文中提到的"灰鴿子"木馬。然后我們要下載一個MS06-014網(wǎng)頁木馬生成器���。接著還要一個網(wǎng)頁空間�����,三者準(zhǔn)備完畢后���,就可以開始測試了����。
生成網(wǎng)頁木馬
首先將木馬程序上傳到網(wǎng)頁空間中���。運(yùn)行"MS06-014木馬生成器"�����,在"木馬地址"中填入已經(jīng)上傳到空間中的木馬網(wǎng)址�,并勾選下方的"是否隱藏源碼"選項���。這個選項的作用是當(dāng)網(wǎng)頁木馬運(yùn)行后���,會自動清空網(wǎng)頁源文件,用戶即使起了疑心也無法找到痕跡���。當(dāng)然清空的是用戶打開的源文件���,而網(wǎng)頁木馬卻不受影響��。點(diǎn)擊"生成網(wǎng)馬"按鈕即可在程序的同目錄生成一個名為muma.htm的網(wǎng)頁木馬����。
配置網(wǎng)頁木馬繼續(xù)進(jìn)行網(wǎng)頁木馬的配置�����,在"欲加密的網(wǎng)頁"中瀏覽選中生成的網(wǎng)頁木馬��。網(wǎng)頁木馬在運(yùn)行時會利用IE的漏洞�,其中肯定存在漏洞利用代碼,這些代碼會被殺毒軟件檢測出來��,因此要想隱蔽地運(yùn)行網(wǎng)頁木馬���,加密木馬程序還不夠����,還需對網(wǎng)頁木馬進(jìn)行加密�。
"MS06-014木馬生成器"的"加密方式"中提供了四種網(wǎng)頁的加密方式,分別是:空字符加密��、轉(zhuǎn)義字符加密���、Escape加密和拆分特征碼��。這里我們使用"轉(zhuǎn)義字符加密"加密方式����,選中"轉(zhuǎn)義字符加密"選項后點(diǎn)擊"加密"按鈕�����,免殺的網(wǎng)頁木馬就生成了�����。將該加密過的網(wǎng)頁木馬上傳到網(wǎng)頁空間中即可����。
尋找缺陷網(wǎng)站,寫入網(wǎng)頁木馬
網(wǎng)頁木馬準(zhǔn)備完畢�����,就等著尋找掛馬的目標(biāo)網(wǎng)站了。此時黑客會到處搜索����,尋找有腳本缺陷的網(wǎng)站程序,找到后利用網(wǎng)站程序的漏洞入侵網(wǎng)站���,并得到網(wǎng)站的一個webshell�����。這時我們可以編輯網(wǎng)站首頁的內(nèi)容�����,將掛馬的代碼插入即可��。
代碼為:<iframe src="/muma.htm"; width="0" height="0" frameborder="0"></iframe>��,src參數(shù)后面的是網(wǎng)頁木馬的地址�。當(dāng)我們打開這個網(wǎng)站的首頁后���,會彈出網(wǎng)頁木馬的頁面,這個頁面我們是無法看到的���,因為我們在代碼中設(shè)置了彈出頁面的窗口長寬各為0�。此時木馬也已經(jīng)悄悄下載到本機(jī)并運(yùn)行了���。我們可以看到�����,網(wǎng)站的首頁顯示正常,殺毒軟件并沒有任何反應(yīng)�,而木馬卻已經(jīng)運(yùn)行了���,可見木馬的隱蔽性很高����,危害也相當(dāng)嚴(yán)重���。
"掛馬"攻擊已經(jīng)成為目前最流行的攻擊方式����,面對數(shù)量龐大的"掛馬"網(wǎng)站,我們該如何防御呢�����?作為一名網(wǎng)站站長���,我們又如何知道自己的網(wǎng)站被人掛馬了呢?站長防范:如果你是一名站長��,可以對網(wǎng)站首頁以及其他主要頁面的源代碼進(jìn)行檢查���,如用記事本打開這些頁面后�����,以"<iframe>"為關(guān)鍵字進(jìn)行搜索��,找到后可以查看是否是掛馬代碼�����。
不過碰上有經(jīng)驗的黑客��,會編寫一段代碼將整句掛馬代碼進(jìn)行加密,這樣我們就很難找到網(wǎng)頁中的掛馬代碼���。這時���,我們可以采用"掘馬"-北京智恒聯(lián)盟公司出品的一個專門針對網(wǎng)頁木馬代碼檢測的一個系統(tǒng),可以幫助解決代碼量較大����,網(wǎng)頁木馬存在形式多樣檢查困難的問題���。系統(tǒng)定期升級可以檢測1000多種網(wǎng)頁木馬�,檢測定位非常準(zhǔn)�����!
普通用戶防范:普通用戶關(guān)心的自然是如何防范"掛馬"攻擊����。既然殺毒軟件在網(wǎng)頁木馬面前成了"睜眼瞎"����,而我們又無法感知網(wǎng)站是否被"掛馬"。在這種情況下��,我們豈不是任人宰割?我們已經(jīng)知道網(wǎng)頁木馬的運(yùn)行原理利用了IE瀏覽器的漏洞�,因此只要我們及時更新系統(tǒng)補(bǔ)丁就可以讓網(wǎng)頁木馬失效了。開啟系統(tǒng)"自動更新"的方法為:右鍵點(diǎn)擊"我的電腦"����,選擇"屬性"�,切換到"自動更新"標(biāo)簽���,選中其中的"自動(推薦)"即可�。
