網頁木馬的攻擊與防禦知識

  什麼叫網頁木馬?

  網頁木馬就是表面上偽裝成普通的網頁檔案或是將惡意的程式碼直接插入到正常的網頁檔案中,當有人訪問時,網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬的服務端下載到訪問者的電腦上來自動執行。

  網頁木馬的攻擊方式有哪些?

  主動攻擊方式,就是攻擊者通過各種欺騙,引誘等手段,誘使使用者訪問放置有網頁木馬的網站,如果使用者不小心訪問了該惡意網站,就有可能感染惡意軟體。這種攻擊方式常見的案例有,攻擊者在各種論壇、聊天室、部落格留言等使用者集中的區域釋出各種色情內容的連線、在各種線上遊戲的聊天頻道中釋出各種中獎抽獎資訊、使用各種即時通訊軟體手動或通過之前被感染的使用者自動向聯絡人傳送帶欺騙性質的網站連結等。

  被動攻擊方式,是指攻擊者通過入侵網際網路上訪問量大的站點,並在其頁面中插入網頁木馬的程式碼,目前在IDC機房和企業內網中流行的通過ARP欺騙插入惡意網頁連結也屬於被動攻擊方式,這種攻擊方式屬於廣撒網的攻擊方式,訪問到該網站的使用者都有可能感染其所帶網頁木馬種植的惡意軟體。

  雖然沒有具體的統計結果,不過從最近的各安全公司釋出的攻擊趨勢來看,網頁木馬主動攻擊和被動攻擊的發起頻率差不多。如果使用者不慎訪問了有可能帶有網頁木馬的網站,如何識別正在發生的網頁木馬攻擊?使用者可以根據以下的幾個最常見的現象來判斷:

  系統反應速度:目前攻擊者構建網頁木馬所使用的IE瀏覽器漏洞,包括最新的MS07004 VML漏洞,都是利用構造大量資料溢位瀏覽器或元件的緩衝區來執行攻擊程式碼的,因此,使用者遭受溢位類的網頁木馬的攻擊時,通常系統的反應會變得十分緩慢,CPU佔用率很高,瀏覽器視窗沒有響應,也無法使用工作管理員強行關閉。另外,在一些記憶體小於512M的系統上,溢位類的網頁木馬攻擊時,系統會頻繁的對磁碟進行讀寫操作***實體記憶體不夠用,系統自動擴大虛擬記憶體***。

  程序變化情況:有少數的IE瀏覽器漏洞不屬於緩衝區溢位的漏洞,比如去年初出現的MS06014 XML漏洞,使用者在遭受使用它所構造的網頁木馬的攻擊時,系統反應不會有明顯的變化或者磁碟讀寫,頂多有時會短暫出現系統等待的沙漏圖示,不過時間很短,使用者一不留意就會錯過。這種情況下,使用者可以開啟工作管理員或使用Process Explorer,檢視是否有非使用者啟動的Iexplore.exe程序、名字比較奇怪的程序等來判斷是否遭受了網頁木馬的攻擊。

  瀏覽器顯示:攻擊者在使用網頁木馬的被動攻擊方式時,通常會在被其控制的合法網站上使用HTML中的iframe語句或java script方式來呼叫網頁木馬,如果使用者在開啟某個合法網站時,發現IE瀏覽器左下角的狀態列一直顯示一個和當前瀏覽網站一點關係都沒有的地址,同時系統響應變得很慢,或者是滑鼠指標變成沙漏形狀,便有可能正在遭受網頁木馬的攻擊。

  安全軟體報警:安全軟體報警也許是對使用者來說最安全的一種網頁木馬攻擊跡象,但目前市面上有相當多的反病毒軟體檢測不出用java script和vbscript 進行過加密的網頁木馬,因此反病毒軟體不報警不一定說明網站就是安全的。

  應該如何防禦網頁木馬的攻擊?

  1、系統補丁要及時更新,絕大部分的網頁木馬受害者都忽略了自己所使用的系統及應用軟體的補丁升級。畢竟只有極少數的攻擊者會使用昂貴的0day 瀏覽器漏洞來做網頁木馬,及時更新系統及軟體的安全補丁可以防禦大部分的網頁木馬。

  2、安裝並及時更新反病毒軟體,使用者可儘量選擇網頁木馬查殺能力較強的反病毒軟體,並及時更新病毒特徵庫,這樣的話,即使網頁木馬使用了最新的加密技術躲過反病毒軟體的檢測,但較新的病毒特徵庫也能儘可能使用者免受緊跟網頁木馬而來的惡意軟體的損害。

  3、使用第三方瀏覽器,由於目前網際網路上常見的網頁木馬所使用的是針對IE瀏覽器及其ActiveX控制元件的漏洞,因此,使用Firefox/Opera等非IE核心的第三方瀏覽器可以從源頭上堵住網頁木馬的攻擊,不過第三方瀏覽器在頁面相容性上稍遜IE瀏覽器,而且一些特別的網頁,如各種使用ActiveX密碼登陸控制元件的網上銀行不能使用第三方瀏覽器登陸,使用者在瀏覽這類網頁時可使用IE瀏覽器。

  4、養成安全的網站瀏覽習慣,使用者應該養成安全的網站瀏覽習慣,不要隨便點選各種來源不明,說明帶有引誘語言的連結,防止落入攻擊者的陷阱;遇到合法網站被攻擊者攻陷並掛上網頁木馬,使用者也應該報告網站管理員。