信息安全介绍

网页木马从原理上来说，网络木马就是利用了一些已知的或者未知的系统或第三方软件的漏洞，然后悄悄地下载病毒木马并执行。由美国管理学家彼得提出的木桶原理表明：由多块木板构成的木桶，其价值在于其盛水量的多少：当决定木桶盛水量多少的关键因素不是其最长的板块，而是其最短的板块。这就是说，任何一个组织的各个部分往往是优劣不齐的，而劣势部分往往决定整个组织的水平。计算机安全领域同样也适用这个木桶原理，安全与否往往取决于整个系统最短的那一块板。就目前的安全形势来说，网页木马和移动介质是整个系统最为薄弱的两块短板，大量的病毒、木马就是通过这两个渠道疯狂传播的。通过U盘等移动储存介质传播的恶毒代码可依赖杀毒软件对其查杀，而网页木马则更多地依赖于良好的使用习惯以及一些安全工具杀毒软件往往是无法对其进行有效查杀的。什么是网页木马？网页木马实际上是一个HTML网页，与其它网页不同的是该网页是黑客精心制作的，用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。网页木马攻击原理网页病毒是利用网页来进行破坏的病毒，它存在于网页之中，其实是使用一些SCRIPT语言编写的一些恶意代码利用IE的漏洞来实现病毒植入。当用户登录某些含有网页病毒的网站时，网页病毒便被悄悄激活，这些病毒一旦激活，可以利用系统的一些资源进行破坏。轻则修改用户的注册表，使用户的首页、浏览器标题改变，重则可以关闭系统的很多功能，装上木马，染上病毒，使用户无法正常使用计算机系统，严重者则可以将用户的系统进行格式化。而这种网页病毒容易编写和修改，使用户防不胜防。目前的网页病毒都是利用JS.ActiveX、WSH共同合作来实现对客户端计算机，进行本地的写操作，如改写你的注册表，在你的本地计算机硬盘上添加、删除、更改文件夹或文件等操作。而这一功能却恰恰使网页病毒、网页木马有了可乘之机。而在我们分析网页病毒前，先叫我们知道促使病毒形成的罪魁祸首：Windows脚本宿主和MicrosoftInternetExplorer漏洞利用为什么浏览器会自动下载，并执行木马？现在大部分的网页木马都是针对Windows系统自带的IE浏览器的，针对其他第三方浏览器的网页木马很少；但像Macthon，腾讯TT等这种基于IE浏览器核心的浏览器也和IE浏览器一样，会受到网页木马的影响。那么，使用Firefox等非IE浏览器上网的用户是不是就不会中网页木马了呢？答案是否定的。现在有许多应用软件，例如RealPlayer等影音播放软件，RSS阅读器以及迅雷这些程序都是借助于IE核心来显示HTML页的第三方软件的，因此同样存在着中网页木马的风险，也就是说，网页木马是防不胜防的。网页木马发展历史网页木马出现的历史要比木马和病毒出现的历史短的多，但究竟什么时候有的也无法考证了。先前大多数以恶意网页为主，比如劫持浏览器的首页、修改注册表、死循环弹出窗口等，在2001年的时候出现过几个利用MIME头漏洞、BMP网页木马等。真正的流行实在2004年，网页木马开始大量出现，并且传播手段从仅仅的Web传播到发展出了邮件网页木马、CHM网页木马、隐藏在媒体文件中的RM/RMVB网页木马、WMV网页木马、Flash网页木马等几种新的形式。另外，挂马的手段也出现了诸如ARP欺骗挂马、通过QQ尾巴诱使用户点击其中的链接等几种新的手段。常被用于挂马的微软漏洞漏洞编号漏洞名称MS06-001MicrosoftWindows图形渲染引擎WMF格式代码执行漏洞MS06-014MicrosoftMDACRDS.DataspaceActiveX控件远程代码执行漏洞MS06-057MicrosoftIEWebViewFolderIcon远程整数溢出漏洞MS06-071MicrosoftXML核心服务XMLHTTP控件内存破坏漏洞MS07-017MicrosoftWindows动画光标畸形ANI头结构远程栈溢出漏洞MS07-004MicrosoftWindows矢量标记语言缓冲区溢出漏洞MS07-027MicrosoftWindows媒体服务器mdsauth.dll控件远程代码执行漏洞MS04-023MicrosoftHTMLHelp任意代码执行漏洞MS05-001MicrosoftIEHelpActiveX控件本地安全域绕过漏洞MS06-004MicrosoftIEWMF图形解析内存破坏漏洞MS06-005MicrosoftWindowsMediaPlayer畸形位图文件处理堆溢出漏洞常被用于挂码的第三方软件软件名称漏洞名称联众游戏联众ConnectAndEnterRoomActiveX控件栈溢出漏洞超星阅读器超星阅览器Pdg2ActiveX控件栈溢出漏洞百度搜霸百度搜霸ActiveX控件远程代码执行漏洞Web迅雷Web迅雷ActiveX控件DownURL2方式远程缓冲区溢出暴风影音暴风影音2mps.dll组件多个缓冲区溢出漏洞CCTVCCTV互动数字杂志IDM远程溢出漏洞RealPlayerRealPlayerIERPPLUG.DLLActiveX控件远程拒绝服务漏洞雅虎通Yahoo!Messenger8.1.0.421CYFTft60.dllActiveX控件GetFile方式任意文件上传漏洞McAfeeSecurityCenterMcAfeeSecurityCenterMcSubMgr.DLLActiveX控件远程溢出漏洞WinZipWinZipFileViewActiveX控件存在缓冲区溢出漏洞PPStreamPPStream(PowerPlayer.dll2.0.1.3829)ActivexRemoteOverflow邮件网页木马网页木马没有具体目标，只能被动地等待受攻击者，但邮件网页木马的出现正倒是弥补了网页木马的这个缺点。邮件网页木马也使网页木马的利用出现了一种新的形式，利用邮件系统对以HTML形式发送的邮件的危险标记过滤不严，便在其中嵌入了网页木马。邮件网页木马具有很强的针对性，还配合社会工程学等手段，诱使目标单机邮件。加入目标恰恰没有打补丁，那么，恶意代码就进入目标的计算机中了。CHM电子书木马CHM是一种十分流行的电子书格式，CMH是英语“CompiledHelpManual”的简写，即“已编译的帮助文件”。CMH是微软新一代的帮助文件格式，利用HTML作为源代码，把帮助内容以类似数据库的形式编译储存，编译好的扩展名为.chm的文件。chm档案可以提供如同一本书的内容目录，索引和搜寻等功能，非常方便资料的分类，整理和索引，所以微软的许多说明文件都是采用这种格式的，如最有名的MSDN就曾经采用了这个格式，也通过这个格式，微软将许多软件和函数库说明发行推广到了世界各个角落。CMH木马是网页木马的一种主要衍生形式，但它和普通的网页木马又有很大的不同。这是因为由于传统的网页木马还需要利用漏洞，但是CMH中的HTML页由于在本地我的电脑域执行，根本就不需要漏洞，有很高的权限，有很多的空间可供调用。所以，相比以往的网页木马，CMH木马更加难以发觉，可以“杀人于无形之中”。说不定哪一天下载的电子书里面就隐藏着特洛伊木马。多媒体网页木马随着互联网和多媒体技术的发展，很快就能从网上下载一部电影，故网页木马又盯上了这些多媒体文件。HelixProducerPlus是一款图形化的专业流媒体文件制作工具，这款软件把其他格式的文件转化成RM或RMVB格式，也可以对已有的RM文件进行重新编译，在编译的同时，可以把事先准备好的网页木马插入其中。这样，只要一打开这个编辑好的媒体文件，插入在其中的网页木马也会随之打开，甚至还能控制网页木马打开的时间，让网页木马更加隐蔽。对于WMA,WMV格式文件，是利用其默认播放器WindowsMediaPlayer的“MicrosoftWindows媒体播放器数字权限管理加载任意网页漏洞”来插入木马的。当播放已经插入木马的恶意文件时，播放器首先会弹出一个提示窗口，指出此文件已经过DRM加密，需要通过URL验证证书，而这个URL就是事先设置好的网页木马地址，当用户单机“是”进行验证时，便成功进行了值马。和RM/RMVB文件一样，为了在WMV文件中插入木马，还需要一种工具——WMDRM打包加密器，这是一款可以对WMA,WMV进行DRM加密的软件，软件本身是为了保护媒体文件的版权，但在攻击者手中，便变成了攻击的利器。Real公司和微软公司分别修补了这些可能被黑客利用的漏洞，但现在这两个巨头在播放浏览器领域的产品份额很少，早已被暴风影音，Kmplayer等播放器取代。Flash网页木马Flash动画是目前网络上最流行的一种互动式动画格式，这种动画必须用Macromedia公司开发的FlashPlayer播放器才能正常观看。Flash动画最初是用FutureWave公司开发的Flash软件来制作的，该公司被Macromedia收购后得以大力发展，而Macromedia开发的Flash软件现已成为制作Flash动画的主要工具之一，制作Flash动画的其他工具还有Swish，闪客巫师等。目前Macromedia已被Adobe公司收购.Flash网页木马的原理是，在网页中显示或本地直接播放Flash动画时，让Flash自动打开一个网址，而该网址就是我们预先制作好的一个网页木马。Flash网页木马可以嵌入普通网页，这就是说，它和普通的网页木马没有什么大的区别，只是更加具有欺骗性而已。另外一种利用方式就是利用论坛进行挂马，由于很多论坛都支持播放Flash播放动画，故利用论坛传播是一种非常有效的手段，所有浏览过帖子的人都将成为受害者。网页木马传播方式——被动网马被动木马是指黑客出于某种不可告人的目的入侵了某些大型网站，例如：黑客为了获取某网络游戏的装备及金钱，入侵了某网游的官方网站或者其他一些访问量很大的网站，在其中的首页嵌入了挂马的代码。这样，访问过此网站的网民（无任何防护措施）的计算机中就会被植入木马，该网民下次登录网络游戏的时候，木马就会将帐号及木马在后台悄悄地发送给盗号者。当然，并不是所有浏览该网站的网民都会中招，否则就天下大乱了；因为网络木马也要依赖具体的漏洞才能生存，及时打补丁的用户就不会受到影响。如果这个漏洞是未公开的，也就是俗称的“0day”，恐怕大多数网民就要遭殃了。网页木马传播方式——主动挂马主动挂马则更多属于一种钓鱼性的攻击，通过一些媒体，比如：电子邮件、即时通讯软件：QQ、MSN等，由人为或者木马本身为了传播自己，给一些好友发送一些欺骗性的链接，诱使对方点击，来达到不可告人的目的。近年来，由于网站管理员的水平逐步提高，入侵一个网站并挂马已经并非易事，所以通过即时通讯软件+网页木马来传播自己的病毒数目迅速增多，在国内，最流行的就是“QQ尾巴”，许多病毒都是借即时通讯领域霸主—腾讯QQ的东风来传播自己的。如何引入网页木马？在页面插入一个隐藏的框架利用JavaScript引入网页木马利用body的onload属性引入网页木马利用层叠样式表CSS引入js，从而引入网页木马利用隐藏的分割框架引入网页木马利用数据库引入网页木马利用统计网站大规模挂马利用ARP欺骗引入网页木马网页木马与漏洞网页木马正是由于漏洞的存在，才得以不断繁衍。现在网络木马所利用的漏洞主要有两类：一类是逻辑性漏洞，另一类则是溢出型漏洞。逻辑性漏洞的数量比较少，通常都是由利用系统本身提供的一些功能来完成木马的下载和执行的；而溢出型漏洞则是利用程序编写中的一些漏洞来获得浏览器的控制权。两者在利用手段上有本质的不同。逻辑性漏洞BMP网页木马是早期比较典型的网络木马之一，利用的就是逻辑方面的漏洞。它先把一个EXE文件伪装成一个BMP文件，欺骗IE自动下载，在利用网页中的JAVASCRIPT脚