巧避陷阱 識破地址欺騙術

■ 河南 郭建偉

編者按：如今網絡攻擊已是無孔不入，在日常計算機操作中也可能會無意遇到安全威脅。本文通過筆者遇到的一些隱秘威脅，探討了網絡攻擊的某些常用欺騙術，同時提醒讀者巧避陷阱。

當雙擊一個看似正常的文本文件，卻誤入惡意網站，進而招來病毒木馬，這聽起來有些讓人無法相信。其實，這是網絡攻擊者利用了URL 地址欺騙技術，很容易達到上述目的。

從外表上看，這類不法文件雖然擁有TXT 文檔圖標，但是，在文件夾選項窗口中的“查看”面板中取消“隱藏已知文件類型的擴展名”項，讓文件擴展名徹底顯示出來。但是該類文件卻沒有顯示擴展名。

我們知道，不同的文件都擁有文件頭信息，只要使用記事本將對應的文件打開，通過查閱文件頭信息，就很容易了解其類型。例如，將一個EXE 文件拖放到記事本中，就會發現其是以“MZ”開頭的，這就是EXE 文件的特征。將一個JPG 圖像文件使用記事本打開，會發現其文件頭包含“JFIF”信息等。

但是，在該類假冒的文本文件右鍵菜單上點擊“打開方式”項，卻無法使用記事本打開。而在WinHEX 中打開該假冒的文本，在右側的ASCII 區域則可以清晰地看到該文件的真實內容，里面的網址明顯是掛馬網址。而且在WinHEX 的文件名稱標簽上顯示其真實名稱，例如“xxx.url” “xxx”等為具體的文件名。

看來，這根本不是什么文本文件，而是包含特殊內容的URL 地址文件。

例如，筆者就遇到過這種假冒的文本文件，在WinHEX中將其打開后，再點擊菜單“文件”→“另存為”項，將文件名稱修改為“xxx.txt”。這樣，就可以直接使用記事本了解其廬山真面目了。對其進行分析后，筆者發現它的前兩行定義的目標頁面，當雙擊該文件后，就直接進入了該頁面。毫無疑問，其中包含了木馬等惡意程序。第三行和第四行定義了一個快捷方式的網址，第五句中的“Modified”字樣可能是修改屬性的意思，用來修改上述內容的屬性信息。第六行和第七行是使用系統路徑中的“shell32.dll”中包含的圖標信息，來偽裝該文件圖標，其中第70號圖標對應的就是TXT 圖標。

該頁面其實是一個掛馬網站，當進入該網站后，指定網址中的名為“xxx.exe”的木馬病毒就會侵入系統。

由此可以得出對付這種危險文件的方法，一旦發現看起來很像TXT、Word 等類型的文件，而且使用正常方法無法顯示其擴展名，同時其名稱頗具迷惑性的文件，最好使用記事本或者WinHEX等工具將其手工打開，來充分了解其內容。

其實，要想查看這類特殊的文件類型，還有一種簡單易行的方法，只需在CMD 窗口中切換到目標路徑下，執行“dir/a”命令，就可以讓其擴展名顯露無遺。如果發現其中包含可疑網址，最好將它直接刪除，以避免危害系統安全。

黑客為了實現入侵目的，往往會采用各種手段來麻痹用戶。例如，將這類文件起一個具有迷惑性的名字，通過郵箱或論壇等途徑傳送，或者將它和正常軟件打包在一起，讓用戶在毫無防范之際中招。

其實，除了這種URL 欺騙之外，還有一種URL 欺騙方式也值得警惕，那就是通過偽造超級鏈接，來誘惑用戶進入非法網站。例如，當筆者某次瀏覽網頁時，指向一個名稱很正規的鏈接，在瀏覽器狀態欄上也顯示這是一個很常用的網站，但是當點擊該鏈接后，卻進入了一個內容雜亂的網站，殺毒軟件也彈出警告，提示有危險的程序試圖下載運行。

筆者瀏覽上述頁面的源代碼，發現在頁面上顯示的“www.xxx.com”鏈接顯得很正規，并沒有什么可疑之處。當指向該鏈接后，在狀態欄上也會顯示“www.xxx.com”字樣。其實這都是假象，該鏈接真實的地址其實是一個非法網站，當您誤擊該鏈接后，自然會掉入陷阱之中。

關于URL 地址欺騙類型有多種，要想了解這些攻擊的伎倆，首先需要知曉URL的結構組成。

大家一般都認為URL就是WWW 網址或者FTP 地址，其實不然。URL 的全稱是Uniform Resource Loca tiors，即統一資源定位器。它的標準在RFC1738 中被定義。其中最普遍的形式定義為“:”。“”部分是網絡協議的名稱，“”被定義為“//:@:/”，其中只有“”部分是必須的，“；”和“@字符具有特殊的含義。這樣，服務器才可以解析完整的字符串。如果用戶名和密碼包含在URL 中，“”部分則只能從“@”字符后開始。

了解了URL 的組成結構之后，我們來看一個最古老的URL 欺騙方法。例如，對于網址“http://www.sohu.com@www.xxx.net”來說，其中的“www.xxx.net”代表惡意網址。從表面上看，用戶很容易被其前部的“http://www.sohu.com”迷惑，以為這是一個正規的大網站，而放松對該地址的防范。其實，在該地址中，“@”符號之前的部分是虛假的用戶名，服務器會忽略它，最終打開的確實其后的“www.xxx.net”。

當然，這類比較初級的URL 欺騙方式對于高版本的IE 是無效的，但是對于很多第三方的瀏覽器，例如遨游、世界之窗、GreenBrowser 等是有效的，所以當使用這些瀏覽器時，還是應該防范這類URL 地址欺騙。

因為常規的URL 地址很容易讓惡意網站現行，為了更好地蒙騙用戶，攻擊者通常會采取更改URL 地址格式或者是加密的方式，來偽裝惡意URL 地址。在一般情況下，IP 都是采用諸如“aaa.bbb.ccc.ddd”的劃分格式，但其實也可以八進制、十進制或者十六進制的方式進行表述。從用法上來說，不管采用何種進制，都不影響對目標IP 的訪問。如果攻擊者在某個IP 上布設了木馬網站，然后采用以上特殊的進制格式來偽裝訪問網站，就很容易讓用戶上當受騙。除了更改進制格式外，黑客往往會對URL 進行加密處理，來進一步對其進行偽裝。

那么，面對變化多端的URL 欺騙，該如何加以防范呢？雖然URL 欺騙很狡猾，不過也有其弱點。我們只需在訪問之前進行一番檢測，就可以讓它徹底露出原型。

例如，利用Netcraft 公司的網站信息查詢引擎，使用瀏覽器就可以輕松實現查詢。打開網址“http://toolbar.netcraft.com/site_report”，在其中的“Lookup another URL”欄中可以輸入網址，回車后就可以對其進行深入檢測，并顯示一份詳細的報表，包括該網站建立日期、網站的IP、所屬國家、域名注冊商、主機所在地址、網站全球排名（Site rank）等具體數據，甚至包括網絡主機上次啟動的時間。

在“Hosting History”中列出網站變遷歷史的清單，包括IP、服務器類型、操作系統種類以及上次更新時間等數據。

利用這些數據，不僅可以洞察網站的具體信息，同時可以有效地對抗釣魚網站的欺騙。當然，也可以在虛擬運行環境中訪問可疑網站，來檢測其是否存不法行為。

例如，使用一些殺毒軟件提供的隔離沙箱功能，就可以在保證系統安全的前提下，訪問存在疑點的URL 地址。因為它被“軟禁”在沙箱中，自然不會危害真實的系統。例如，在360 安全衛士的隔離沙箱主界面中點擊“運行指定程序”按鈕，啟動世界之窗瀏覽器，在該瀏覽器頂部會顯示“360 隔離沙箱保護中”字樣，說明其活動已經和真實系統隔開，在其中就可以放心大膽地打開存在問題的URL 地址，來查看其中是否存在問題了。