合肥網(wǎng)頁制作與設計培訓|合肥網(wǎng)站設計培訓班|合肥易學電腦培訓--資深黑客詳談網(wǎng)頁木馬
網(wǎng)頁木馬的攻擊原理
網(wǎng)頁木馬實際上是一個HTML網(wǎng)頁,與其它網(wǎng)頁不同的是該網(wǎng)頁是黑客精心制作的,用戶一旦訪問了該網(wǎng)頁就會中木馬.為什么說是黑客精心制作的呢?因為嵌入在這個網(wǎng)頁中的腳本恰如其分地利用了IE瀏覽器的漏洞,讓IE在后臺自動下載黑客放置在網(wǎng)絡上的木馬并運行(安裝)這個木馬,也就是說,這個網(wǎng)頁能下載木馬到本地并運行(安裝)下載到本地電腦上的木馬,整個過程都在后臺運行,用戶一旦打開這個網(wǎng)頁,下載過程和運行(安裝)過程就自動開始.
打開一個網(wǎng)頁,IE瀏覽器不會自動下載程序和運行程序,這是因為,為了安全,IE瀏覽器是禁止自動下載程序特別是運行程序的,但是,IE瀏覽器存在著一些已知和未知的漏洞,網(wǎng)頁木馬就是利用這些漏洞獲得權(quán)限來下載程序和運行程序的.下面列舉一些IE瀏覽器等存在的漏洞來分別說明為什么利用網(wǎng)頁木馬可以下載程序和運行程序.
1.下載可執(zhí)行文件.
index里有一個代碼漏洞,IE會把可執(zhí)行文件誤認為CSS樣式表而下載到IE的臨時文件目錄.
也可以利用這段代碼,把這段代碼插入到網(wǎng)頁源代碼的h之間,運行后就會發(fā)現(xiàn)在IE的臨時目錄Temporary Internet Files下,已經(jīng)下載了1.exe這個病毒文件.
2.自動運行程序
把這段代碼插入到網(wǎng)頁源代碼的h之間,然后用IE打開該網(wǎng)頁,這段代碼可以在IE中自動打開記事本.
這段代碼使用了shell.application控件,該控件能使網(wǎng)頁獲得執(zhí)行權(quán)限,替換代碼中的"Notepad.exe"(記事本)程序,就可以用它自動運行本地電腦上的任意程序.
通過以上的例子可以看出,利用IE的漏洞,在網(wǎng)頁中插入相關的代碼,IE完全可以自動下載和運行程序.
三、可能被網(wǎng)頁木馬利用的漏洞
1.利用URL格式漏洞
此類網(wǎng)頁木馬是利用URL格式漏洞來欺騙用戶.構(gòu)造一個看似JPG格式的文件誘惑用戶下載,但事實上用戶下載的卻是一個EXE文件.
此類攻擊,具有相當?shù)碾[蔽性,利用URL欺騙的方法有很多種,比如起個具有誘惑性的網(wǎng)站名稱或使用易混的字母數(shù)字掉包進行銀行網(wǎng)絡釣魚,還有漏洞百出的"%30%50"之類的Unicode編碼等等,現(xiàn)在列舉比較常見的幾種方法:
(1).@標志過濾用戶名的解析
本來@標志是E-mail地址的用戶名與主機的分隔符,但在URL中同樣適用,而且功能如出一轍.HTTP(超文本傳輸協(xié)議)規(guī)定了URL的完整格式是":地址或主機名",其中的"IP地址或主機名"是必填項.@標志與其前面的"",意為"用戶名:密碼",屬于可選項.也就是說,在URL中真正起解析作用的網(wǎng)址是從@標志后面開始的,這就是欺騙原理.
比如用戶訪問"/HuiGeZi_Server.exe",從表面上看,這是新浪網(wǎng)提供的一個鏈接,用戶會認為這是一個無害的鏈接,而點擊,而實際上 ""只是個寫成新浪網(wǎng)址形式的用戶名(此處的密碼為空),因為后面有@標志.而真正鏈接的網(wǎng)址卻是"" 也就是說這個發(fā)來的URL地址其實完全等同于" ,而與前面的用戶名毫無關系,只是迷惑性可就大大提高了.即使沒有這個用戶名,也完全不影響瀏覽器對URL的解析.(2).十進制的IP地址
常見的IP地址包括四個字節(jié),一般表示形式為"xxx.xxx.xxx.xxx"(x表示一個十進制數(shù)碼),例如"61.135.132.12".因為數(shù)字IP地址較長,且過于抽象、難以記憶,所以采用域名服務DNS來與之對應.在瀏覽器地址欄中輸入".sohu.com"與""的結(jié)果完全一樣,都是訪問搜狐網(wǎng)站,因為61.135.132.12就是搜狐域名的IP地址.不過,用訪問的話,仍然可以打開搜狐網(wǎng)站,這是因為,四位點分十進制形式的IP地址"61.135.132.12"代表一組32位二進制數(shù)碼,如果合在一起再轉(zhuǎn)換成一個十進制數(shù)的話,答案就是1032291340.轉(zhuǎn)換方法,就是數(shù)制的按權(quán)展開:12t2560+132t2561+135t2562+61t2563=12+33792+8847360+1023410176=1032291340(基數(shù)為256,即28).在上文的例子中提到了"".這種字母域名有時還能被用戶識破,而在把它對應的IP地址(假設為"61.135.132.13")換算成一個十進制數(shù)后,結(jié)果是1032291341,再結(jié)合@標志過濾用戶的解析,就會變成這樣的地址,這樣就更加隱蔽了.
(3).虛假的網(wǎng)址,網(wǎng)絡釣魚者注冊一個域名和真實網(wǎng)站域名十分相似的網(wǎng)址,其用戶界面也和真實網(wǎng)站頁面非常相似,然后不URL提供給用戶,那么一般的用戶被引導到這樣的虛擬網(wǎng)址上是難以察覺的,攻擊者也就可以利用該網(wǎng)頁來誘導用戶輸入自己的個人身份信息,達到竊取的目的,例如真實網(wǎng)站域名是,偽造網(wǎng)站域名是,一個是小寫的"L",一個是數(shù)字"1",域名服務器將解析到完全不同的IP地址上,但用戶很難看出來.再如真實網(wǎng)站的域名是,而虛假網(wǎng)站使用域名,很多人也無法判斷
(4).更隱蔽的方法,是根據(jù)超文本標記語言的規(guī)則,可以對文字制作超鏈接,這樣就使網(wǎng)絡釣魚者有機可乘.例如文件源代碼可以寫成:"".這樣,屏幕上顯示的是xxxbank的網(wǎng)址,而實際卻鏈接到了xxbank的虛假網(wǎng)站.
(5).采用偽裝手段.可以在瀏覽器打開虛假網(wǎng)站的時候,彈出一個很隱蔽的小圖像,正好覆蓋在瀏覽器顯示網(wǎng)址的地方,該小圖像顯示被仿冒的網(wǎng)站的真實域名,而瀏覽器真正訪問的地址被掩蓋在下面.
(6).虛假的彈出窗口.一些虛假網(wǎng)站會將用戶轉(zhuǎn)移到真實的網(wǎng)址,但是轉(zhuǎn)移之前制造假冒的彈出窗口,提示用戶進行個人登陸的操作,很多用戶會誤認為這些彈出窗口是網(wǎng)站的一部分而進一步按照提示操作,直到透露出自己的個人身份信息.
(7).可以利用瀏覽器漏洞竊取個人信息,如IE就曾暴露出一個漏洞,該漏洞使攻擊者可以在垃圾郵件中構(gòu)造一種數(shù)據(jù),用戶點擊后便可使IE瀏覽器顯示的網(wǎng)址與實際訪問的網(wǎng)址不同.采用這種方式進行攻擊,欺騙性更好,可以通過向用戶發(fā)送包含URL的垃圾郵件的方式,誘騙用戶點擊,用戶如果不檢查郵件的原始代碼,根本無法知道自己被瀏覽器欺騙了.
(8).黑客程序可以修改用戶計算機中的HOSTS文件,將特定域名的IP地址設置成自己的虛假網(wǎng)站的地址,用戶訪問這些網(wǎng)站時,機器會從HOSTS文件中獲得對應的IP.除了上面的方法外,更為隱蔽和目前常用的攻擊手法是,攻擊者首先攻破一個正常的網(wǎng)站,然后修改網(wǎng)站的代碼,通過跳轉(zhuǎn)語句或嵌入JS腳本的手段,來改造一個掛馬的網(wǎng)站,這樣當用戶點擊了包含正常網(wǎng)站的URL時,是不會有戒備心理的,更容易造成更大的損失.
2.通過ActiveX控件制作網(wǎng)頁木馬.
通過 ActiveX 把普通的軟件轉(zhuǎn)化為可以在主頁直接執(zhí)行的軟件的網(wǎng)頁木馬,此類網(wǎng)頁木馬對所有的系統(tǒng)和IE版本都有效,缺點是瀏覽網(wǎng)頁木馬時會彈出對話框,詢問是否安裝此插件.病毒作者通常是偽造微軟、新浪、Google等*公司的簽名,偽裝成它們的插件來迷惑用戶.
3.利用WSH的缺陷
利用WSH修改注冊表,使IE安全設置中"沒有標記為安全的的activex控件和插件"的默認設置改為啟用,然后再利用一些可以在本地運行EXE程序的網(wǎng)頁代碼來運行病毒.它的危害在于,可以利用IE的安全漏洞提升權(quán)限達到本地運行任意程序的后果.
4.利用MIME漏洞制做的網(wǎng)頁木馬.
它利用了Microsoft Internet Explorer中MIME/BASE64處理的漏洞,MIME(Multipurpose Internet Mail Extentions),一般譯作"多用途的網(wǎng)絡郵件擴充協(xié)議".顧名思義,它可以傳送多媒體文件,在一封電子郵件中附加各種格式文件一起送出.現(xiàn)在它已經(jīng)演化成一種指定文件類型(Internet的任何形式的消息:E-mail,Usenet新聞和Web)的通用方法.在使用CGI程序時你可能接觸過MIME類型,其中有一行叫作Content-type的語句,它用來指明傳遞的就是MIME類型的文件(如text/html或text/plain).MIME在處理不正常的MIME類型時存在一個問題,攻擊者可以創(chuàng)建一個Html格式的E-mail,該E-mail的附件為可執(zhí)行文件,通過修改MIME頭,使IE不能正確處理這個MIME所指定的可執(zhí)行文件附件.IE處理附件的方式:一般情況下如果附件是文本文件,IE會讀取文件,如果是VIDEO CLIP,IE會查看文件;如果附件是圖形文件,IE就會顯示文件;如果附件是一個EXE文件呢?IE會提示用戶是否執(zhí)行,但當攻擊者更改MIME類型后,IE就不再提示用戶是否執(zhí)行而直接運行該附件.從而使攻擊者加在附件中的程序,攻擊命令能夠按照攻擊者設想的情況進行.在Win9X\ME以及WinNT4和Win2000下的Internet Explorer 5.0、5.01、5.5均存在該漏洞,微軟郵件客戶端軟件Outlook Express也存在此漏洞.
5.利用系統(tǒng)的圖片處理漏洞
這是種只要瀏覽圖片就可以傳播的網(wǎng)頁木馬.這種木馬是把一個EXE文件偽裝成一個BMP或JPG圖片文件,在網(wǎng)頁中添加如的代碼來欺騙IE自動下載,然后利用網(wǎng)頁中的Java Script腳本查找客戶端的Internet臨時文件夾,尋找下載的BMP格式文件,把它拷貝到TEMP目錄.再利用腳本把找到的BMP文件用DEBUG還原成EXE,并添加到注冊表啟動項中,達到隨系統(tǒng)的目的.
6.HTML文件木馬
首先利用工具把EXE格式的文件轉(zhuǎn)化成HTML文件的木馬,這樣.EXE文件看起來就變成了Htm文件,欺騙訪問者訪問假冒的Htm文件從而達到運行病毒的目的.它和BMP網(wǎng)頁木馬運用了同一個原理,也會利用JAVASCRIPT腳本和debug程序來轉(zhuǎn)換回EXE文件.
7.Hta木馬
Hta網(wǎng)頁木馬,是利用Internet Explorer Object Data(MS03-032)漏洞制作的網(wǎng)頁木馬,此漏洞是因為Internet Explorer在處理對象"Object"標記時沒有正確處理要被裝載的文件參數(shù).("Object"標記用于插入ActiveX組件等對象到HTML頁面."Object"標記的"Type"屬性用于設置或獲取對象的MIME類型.通常合法MIME類型包括"plain/text"或"application/hta", "audio/x-mpeg"等.)Internet Explorer指定遠程對象數(shù)據(jù)位置的參數(shù)沒有充分檢查被裝載的文件屬性,攻擊者可以構(gòu)建惡意頁面,誘使用戶訪問來運行惡意頁面指定的程序 .
8.利用CHM格式漏洞.
這種網(wǎng)頁木馬首先創(chuàng)建一個Htm文件,包含如下代碼:
Microsoft Internet Explorer javaprxy.dll COM Object Remote Exploit
四、網(wǎng)頁木馬的基本用法
理解了網(wǎng)頁木馬攻擊的原理,以及常用的漏洞,就可以寫出相關的利用代碼.制作出網(wǎng)頁木馬,然后就是傳播網(wǎng)頁木馬,目前網(wǎng)頁木馬的主要傳播途徑是:
1.通過IM及時聊天軟件傳播
將包含網(wǎng)頁木馬的地址(網(wǎng)址)通過QQ等聊天軟件在網(wǎng)絡中分發(fā),一旦有用戶訪問了該網(wǎng)頁,該網(wǎng)頁就會在系統(tǒng)中自動下載并運行放置在網(wǎng)絡上的木馬.
2.攻擊*網(wǎng)站,獲得Webshell權(quán)限后,在網(wǎng)站中填加惡意代碼,如:
(1)iframe
注:';
利用在*門戶網(wǎng)站,填加惡意腳本的攻擊行為很多,例如,安天實驗室在06年8月份就發(fā)現(xiàn)了針對KFC肯德基,雪花啤酒,邁拓硬盤等*網(wǎng)站的攻擊行為.所采用的都是此種方式.
3.利用美麗的網(wǎng)頁名稱及內(nèi)容,誘惑用戶訪問.
很多惡意網(wǎng)頁或是站點的制作者,對瀏覽者的心理進行了分析,對域名的選擇和利用非常精明.很多網(wǎng)民對一些****信息比較感興趣,成為了他們利用的渠道.他們會構(gòu)建名,或是等具有誘惑性的名稱誘惑用戶點擊.
4.利用電子郵件等傳播.
攻擊者,利用電子郵件群發(fā)工具,發(fā)送包含誘惑性信息的主題郵件,誘惑用戶點擊其中包含的網(wǎng)頁.
五、目前常用的網(wǎng)頁木馬制作方式
1.Javascript.Exception.Exploit
利用JS+WSH的完美結(jié)合,來制作惡意網(wǎng)頁.
2.錯誤的MIME Multipurpose Internet Mail Extentions,多用途的網(wǎng)際郵件擴充協(xié)議頭.幾乎是現(xiàn)在網(wǎng)頁木馬流行利用的基本趨勢,這個漏洞在IE5.0到IE6.0版本中都有.
3.EXE to .BMP + Javascritp.Exception.Exploit用虛假的BMP文件誘惑用戶運行.
4.iframe 漏洞的利用
當微軟的IE窗口打開另一個窗口時,如果子窗口是另一個域或安全區(qū)的話,安全檢查應當阻止父窗口訪問子窗口.但事實并非如此,父窗口可以訪問子窗口文檔的frame,這可能導致父窗口無論是域或安全區(qū)都能在子窗口中設置Frame或IFrame的URL.這會帶來嚴重的安全問題,通過設置URL指向javascript協(xié)議,父窗口能在子域環(huán)境下運行腳本代碼,包括任意的惡意代碼.攻擊者也能在"我的電腦"區(qū)域中運行腳本代碼.這更會造成嚴重的后果.
5.通過安全認證的CAB,COX
此類方法就是在.CAB文件上做手腳,使證書.SPC和密鑰.PVK合法
原理:IE讀文件時會有文件讀不出,就會去"升級"這樣它會在網(wǎng)頁中指定的位找 .cab 并在系統(tǒng)里寫入個CID讀入.cab里的文件.
方法:.cab是WINDOWS里的壓縮文件, IE里所用的安全文件是用簽名的,CAB也不例外,所做的CAB是經(jīng)過安全使用證書引入的.也就是說IE認證攻擊,之所以每次都能入侵,是因為它通過的是IE認證下的安全攻擊.
6.EXE文件的捆綁
現(xiàn)在的網(wǎng)頁木馬捆綁機幾乎是開始泛濫了,多的數(shù)不勝數(shù).再將生成的MHT文件進行加密.
合肥易學電腦學校"設計師精英培訓工程"
最有價值的培訓課程: 平面設計培訓 室內(nèi)設計培訓 廣告設計培訓 動漫設計培訓 游戲設計培訓 網(wǎng)站設計培訓 網(wǎng)頁設計培訓