淺談網(wǎng)頁木馬

高廷紅

臨沂大學(xué)沂水分校，山東 臨沂 276400

網(wǎng)頁木馬是指表面上偽裝成普通的網(wǎng)頁文件或是將惡意的代碼直接插入到正常的網(wǎng)頁文件中，當(dāng)有人訪問時，網(wǎng)頁木馬就會利用對方系統(tǒng)或者瀏覽器的漏洞自動將配置好的木馬的服務(wù)端下載到訪問者的電腦上來自動執(zhí)行。

1 背景和根源

網(wǎng)頁木馬這種安全威脅在中國萬維網(wǎng)上出現(xiàn)于 2003 年甚至更早，在此之前，國內(nèi)黑客社區(qū)還主要由政治事件、炫耀技術(shù)能力、追求社區(qū)威望等動機(jī)所驅(qū)動，但隨著網(wǎng)絡(luò)游戲和虛擬交易的日益流行，一些惡意攻擊者尋找出通過攻擊普通因特網(wǎng)用戶從而快速獲利的網(wǎng)絡(luò)犯罪途徑，并形成了分工明確，組織嚴(yán)密的地下經(jīng)濟(jì)鏈，而網(wǎng)頁木馬是其中最為主要的方式之一。

網(wǎng)頁木馬存在的技術(shù)基礎(chǔ) ——安全漏洞。另一個使得網(wǎng)頁木馬安全威脅持續(xù)存在的根源是普通因特網(wǎng)用戶用于訪問萬維網(wǎng)的瀏覽器和相關(guān)應(yīng)用軟件中存在的安全漏洞，這些安全漏洞為網(wǎng)頁木馬進(jìn)入并感染受害主機(jī)提供了必要條件。

2 網(wǎng)頁木馬的實(shí)質(zhì)

網(wǎng)頁木馬的實(shí)質(zhì)是利用漏洞向用戶傳播木馬下載器。網(wǎng)頁木馬實(shí)際上是一個HTML網(wǎng)頁，與其它網(wǎng)頁不同的是該網(wǎng)頁是黑客精心制作的，用戶一旦訪問了該網(wǎng)頁就會中木馬。為什么說是黑客精心制作的呢。因?yàn)榍度朐谶@個網(wǎng)頁中的腳本恰如其分地利用了IE瀏覽器的漏洞，讓IE在后臺自動下載黑客放置在網(wǎng)絡(luò)上的木馬并運(yùn)行（安裝）這個木馬，也就是說，這個網(wǎng)頁能下載木馬到本地并運(yùn)行（安裝）下載到本地電腦上的木馬，整個過程都在后臺運(yùn)行，用戶一旦打開這個網(wǎng)頁，下載過程和運(yùn)行（安裝）過程就自動開始。

3 可能被網(wǎng)頁木馬利用的漏洞

3.1 利用URL格式漏洞

此類網(wǎng)頁木馬是利用URL格式漏洞來欺騙用戶。構(gòu)造一個看似JPG格式的文件誘惑用戶下載，但事實(shí)上用戶下載的卻是一個EXE文件。此類攻擊，具有相當(dāng)?shù)碾[蔽性，利用URL欺騙的方法有很多種，比如起個具有誘惑性的網(wǎng)站名稱或使用易混的字母數(shù)字掉包進(jìn)行銀行網(wǎng)絡(luò)釣魚，還有漏洞百出的“%30%50”之類的Unicode編碼等等。

3.2 通過ActiveX控件制作網(wǎng)頁木馬

通過 ActiveX 把普通的軟件轉(zhuǎn)化為可以在主頁直接執(zhí)行的軟件的網(wǎng)頁木馬，此類網(wǎng)頁木馬對所有的系統(tǒng)和IE版本都有效，缺點(diǎn)是瀏覽網(wǎng)頁木馬時會彈出對話框，詢問是否安裝此插件。病毒作者通常是偽造微軟、新浪、Google等知名公司的簽名，偽裝成它們的插件來迷惑用戶。

3.3 利用WSH的缺陷

利用WSH修改注冊表，使IE安全設(shè)置中“沒有標(biāo)記為安全的ActiveX控件和插件”的默認(rèn)設(shè)置改為啟用，然后再利用一些可以在本地運(yùn)行EXE程序的網(wǎng)頁代碼來運(yùn)行病毒。它的危害在于，可以利用IE的安全漏洞提升權(quán)限達(dá)到本地運(yùn)行任意程序的后果。

4 網(wǎng)絡(luò)木馬的攻擊策略

為了將掛馬網(wǎng)站的訪問流量重定向至網(wǎng)頁木馬宿主站點(diǎn)，攻擊者通常使用如下四類策略。

4.1 內(nèi)嵌HTML標(biāo)簽

第一類策略使用內(nèi)嵌HTML標(biāo)簽，如iframe, frame等，將網(wǎng)頁木馬鏈接嵌入到網(wǎng)站首頁或其它頁面中。為了達(dá)到更好的隱蔽性和靈活性，攻擊者還經(jīng)常利用層次嵌套的內(nèi)嵌標(biāo)簽，引入一些中間的跳轉(zhuǎn)站點(diǎn)并進(jìn)行混淆，從而構(gòu)建復(fù)雜且難以追溯的龐大網(wǎng)頁木馬網(wǎng)絡(luò)。

4.2 惡意腳本

第二類也是很常用的重定向策略是利用script標(biāo)簽通過跨站腳本（XSS: Cross-Site Scripting）包含網(wǎng)頁木馬。跳轉(zhuǎn)腳本通常使用document.write生成包含網(wǎng)頁木馬鏈接的 iframe。內(nèi)嵌標(biāo)簽，或者比較少見的windows.open函數(shù)彈出一個新的HTML窗口連接網(wǎng)頁木馬進(jìn)行攻擊。

4.3 內(nèi)嵌對象

第三類重定向策略基于調(diào)用第三方應(yīng)用軟件或?yàn)g覽器幫助對象（BHO）的內(nèi)嵌對象。當(dāng)攻擊者發(fā)現(xiàn)這些第三方應(yīng)用軟件或BHO 中存在某些可利用的安全漏洞，他們會通過構(gòu)造。相應(yīng)的內(nèi)嵌對象，通過在掛馬頁面中包含，從而在其被打開時攻擊存有漏洞的軟件，從而獲得目標(biāo)主機(jī)的控制權(quán)。

4.4 ARP欺騙掛馬

第四類是攻擊者使用一種危害度更高的網(wǎng)頁掛馬構(gòu)建策略——ARP欺騙掛馬。這種方法不需要真正地攻陷目標(biāo)網(wǎng)站，在攻擊安全防護(hù)嚴(yán)密的知名網(wǎng)站時非常有效，在同一以太網(wǎng)網(wǎng)段內(nèi)，攻擊者通過ARP欺騙方法就可以進(jìn)行中間人攻擊，劫持所有目標(biāo)網(wǎng)站出入的網(wǎng)絡(luò)流量，并可在目標(biāo)網(wǎng)站的HTML反饋包中注入任意的惡意腳本，從而使其成為將網(wǎng)絡(luò)訪問流量重定向至木馬宿主的掛馬站點(diǎn)。

5 網(wǎng)頁木馬的防范策略

網(wǎng)頁木馬的防范只靠殺毒軟件和防火墻是遠(yuǎn)遠(yuǎn)不夠的，因?yàn)橐坏┖诳褪褂昧朔磸椂丝诘膫€人版木馬，那么殺毒軟件和防火墻就無可奈何，所以，網(wǎng)頁木馬的防范要從它的原理入手，從根子上進(jìn)行防范。主要采取的防范策略有：

1）及時安裝安全補(bǔ)丁；

2） 改名或卸載最不安全的ActiveXObject（IE插件）；

3）提高IE的安全級別，禁用腳本和ActiveX控件。

6 結(jié)論

當(dāng)今網(wǎng)絡(luò)，反病毒軟件日益增多，使用的反病毒技術(shù)越來越先進(jìn)，查殺病毒的能力逐漸提高，但病毒制作者并不會罷休，反查殺手段不斷升級，新的病毒層出不窮，形式也越來越多樣化，為了躲避查殺，病毒自身的隱蔽性越來越高。網(wǎng)頁木馬對普通的因特網(wǎng)用戶構(gòu)成了嚴(yán)重的威脅，要做到有效防范，從而阻止網(wǎng)絡(luò)犯罪者通過網(wǎng)頁木馬獲得非法收入。

[1]韓法旺.Web網(wǎng)頁木馬研究初探[J].科技信息，2008(19).

[2]呂磊.基于行為分析的網(wǎng)頁木馬檢測技術(shù)研究[J].哈爾濱工業(yè)大學(xué)學(xué)報，2009.