不安分的网页—网页木马的守株待兔
作者:小金
来源:网络技术论坛
一. 不安本分的网页
职员李小姐这两个月来都觉得比力烦闷,为什么近来开很多网页都市跳出RealPlayer播放器,岂非网络又开始了一轮视频播放情势新潮流?但是每次她都是等了好久也没看到有音乐或影戏开始播放,一朝一夕,她曾经习惯这个现象了,直到那一天,她保存在硬盘上的紧张客户文档事出有因被加了密,并且目次下多了个名为“要想规复文档请将500元汇入帐号xxxxxxx”的文件……
当公司网络部的同事询问李小姐近来有没有发现什么非常现象时,李小姐才如梦方醒:翻开网页怎样会跳出RealPlayer?RealPlayer一样平常不是都在网页里面播放的吗?
二. 你的土地我做主:来自第三方东西的危害
随着安全危急的影响力渐渐扩大,许多网民的机器里都开始出现种种安全防护东西的身影,像种种反病毒产物、360安全卫士、超等巡警等,正是由于这些东西的存在,中国网民的机器上本来四处洞开的窗口终于得以封闭,但是网民们很快发现,虽然自己的“瘟到死”系统曾经安装全部补丁更新,但是仍旧逃走不了被病毒侵袭的变乱,终极只能寄盼望于反病毒产物的保护,效果,就在反病毒产物的监控下,歹意地痞和未知木马照旧可以大模大样的在系统里招摇过市,普通网民们只能望“马”兴叹——也不对,在很多环境下,宽大网民们根本就不知道自己的系统曾经被木马驻扎!
许多人接受不了这样的事实,高手说,系统要勤打补丁,好,我们照做了;高手又说,系统要装几个防御东西,好,我们装上了种种反病毒产物和超等巡警、360安全卫士等安全检测东西,效果到了末了,每次在新病毒来袭的时候,我们仍旧是首当其冲的受害者,而什么东西都没装的高手却偏偏不会中招?安全东西,真的有效吗?
这种质疑论点其实是不须要的,系统补丁一定要打,一些必须的系统加固事变也是必须要做的,但是这些措施只是为了防御种种蠕虫病毒、系统毛病入侵等,并不代表从此就可以百毒不侵,更何况,每小我私家的系统中,都存在有一个时时洞开的大门,正是它,让木马防不堪防,除非你决定调换另一个系统平台,不然你永久也摆脱不了它的影响。
这扇大门,便是我们每小我私家都熟知的Internet Explorer,IE浏览器。
不知道会不会有人立刻怒发冲冠要去把浏览器卸载或者筹划好投诉浏览器厂商不做安全事变了,但是作为我们与互联网世界接触的一大窗口,浏览器是不可或缺的紧张东西,像IE、FireFox、Opera等,正是浏览器为我们搭建了这个交互平台,将种种交互使用呈现在我们眼前,在这里,浏览器的重要功效便是“交互”,而便是这个特性,让入侵变得难以彻底革除。
由于浏览器面临的是互联网众多的交互功效,以独自一家公司本身的处置惩罚能力,要让浏览器能识别处置惩罚世界上尽少数的交互功效是不现实的,因而任何浏览器厂商都要为程序设计一个公然的接口范例让其能挪用扩展或第三方接口程序,以便把它本身并不了解的交互使命交给某些有特定处置惩罚能力的接口程序来处置惩罚,以是浏览器并非是一个独立的程序,而是一个可以挪用多个扩展组件运转的结合体,这些扩展组件通常也被称为“插件”(Plugin)。浏览器通过读取页面特定标志来决定自己需要加载什么组件实行,例如读取到脚本标志就自动加载脚本扩展组件实行、读取到XML标志就交给XML处置惩罚扩展实行,如果这些众多的扩展组件被取消,你将会发现浏览器大约只能显示最根本的笔墨和图片了。一个最简单的例子,现在网络购物和网络银行曾经走入了千家万户,大家都知道“登录”步调的操纵过程——输入用户名和密码,然后点击“登录”按钮。但是并非全部用户都能平稳的享用到这个过程,有些用户会发现,自己的浏览器里,那个用于输入密码的框框成了一个类似于图片显示不出来时报错的大红叉,这便是浏览器交互功效组件缺失时最明显的体现。由于网络银行和网络购物必须在用户平台中实现相对安全的防御手段,以是要求用户输入的敏感数据是不可被方便捕获和拦截的,这种要求,浏览器厂商本身是无法为其办理的,不然我们每次要用一个新的网络银行就必须等待厂商升级他们的浏览器产物了,这显然很不现实,以是为了兼顾这个题目,浏览器厂商在设计初期就必须加入一套可以被第三方厂商挪用的接口范例,利用这个接口,任何人都能自己编写符合范例的程序来实现与浏览器的数据交互,它的事变原理请看前面的描述。
因而,网络银行的设计者必须开发一套浏览器组件,并通过特定的页面标志来激活运转,终极将一个“密码输入框”显示在网页(浏览器的容器东西)中,并接受用户的输入,当用户点击提交按钮时,它将加密处置惩罚后的输入数据附加在浏览器的交互流程中通过“安全套接字协议”(HTTPS/SSL)返回到服务器端,这样才完成了数据交互,我们才得以登录淘宝、支付宝、拍拍、种种网络银行。在海内,这些组件是以ActiveX控件的情势加载的,它们使用的是IE提供的接口标准,而另外两大浏览器阵营FireFox和Opera则不支持这种交互方式,于是,在中国,大部门网民们知道的只要两种浏览器,一种是支持中国网银的,一种是不支持中国网银的。
现实上,不仅是网络银行等交互需要第三方组件,当我们使用浏览器在种种小游戏网站上消磨工夫时,是Flash插件被载入浏览器为我们提供交互功效,而我们在百度MP3里试听音乐时,是由于微软自家的Media Player插件和RealNetworks的RealPlayer插件正在浏览器中事变……诸云云类,浏览器结合种种扩展组件终极组成了我们的网络生存。
但是,事变并非始终都是优美的,天使和恶魔,就在于一念之差。
当浏览器将一个组件加载后,这个组件就成为它的一部门,浏览器被称为“宿主”,凭据设计的标准,组件能拥有宿主所拥有的全部权限,也能控制宿主的举动,并且,它更能实行普通程序所拥有的全部功效,简单的说,一个被浏览器加载的组件,除了它的生命周期取决于宿主以外,其他特性与一样平常使用程序无异,并且,它比一样平常使用程序还多了一个可以传递参数的交互接口,这样的设计初衷是为了方便浏览器宿主将其加载时进行一些须要的初始化事变,但是,这一部门的数据是通过网页HTML代码以明文的情势写入的,任何人都可以对其进行修改和控制。
并且,由于微软本身浏览器的接口标准可以响应ActiveX控件交互,那就意味着,大部门ActiveX控件都可以通过组件的情势载入浏览器,并对其参数进行控制,虽然它可能会由于不符合接口数据返回的范例而不会形成浏览器有任何举动,但是,它曾经被加载运转了,数据也曾经传递了。
//文章出处:网络技术论坛(http://bbs.nettf.net) 作者:小金
正是这个特性,引发了新的一轮网页木马狂潮。
早在好几年前,网页木马(WebPage Trojan)的雏形——浏览器MIME解析毛病结合电子邮件文档EML载体以浏览器子框架IFRAME的情势汹涌来袭,想必履历过那个年月的人都不会忘记“求职信”、“大无极”这些闻名的“邮件木马”的可怕吧,现实上它们的本质都是网页木马,只不过是由于Outlook Express等邮件客户端很不幸的支持网页情势浏览罢了,终极导致它们被触发的因素仍旧是那幕后为网页显示而事变的IE浏览器控件,我们可以将开启了网页视图的邮件客户端视为一种特别的网页浏览器,EML便是在浏览器里被解释实行终极将病毒开释出来并实行的。
这个入侵狂潮随着IE6的出现而渐渐被历史埋没,但是,有人接过了它们手中的接力棒。
当第一个安全研究员发现通过浏览器加载的扩展组件会由于传入的参数检查不严而引发“缓冲区溢出”的现象时,新一代的网页木马正式拉开了序幕,不少安全团体都开始对种种主流的浏览器插件进行调试,然后,他们开始扩大“浏览器插件”的明白范围,终极,许多网页成了一个又一个树桩,天长日久的等待着倒运的网民往上面“撞”,而这些题目的泉源并非来自操纵系统和浏览器本身,以是,纵然网民们补上了全部系统补丁也无济于事。
2007年10月26日,海内安全团队报道了一个由RealPlayer引发的高危毛病“RealPlayer ActiveX播放列表名称栈溢出”,该毛病的真正题目文件是MPAMedia.dll,该文件用于处置惩罚播放列表的函数传参存在栈溢出毛病,但是入侵者是通过对RealPlayer用于与浏览器交互的ActiveX组件“IERPCtl”(RealPlayer Control for Internet Explorer)来触发的,它位于RealPlayer目次里的rpplugins文件夹下,对应文件名为“ierpplug.dll”,它平常被用得最多的作用便是在浏览器中显示内嵌的媒体播放器和传递相关内容参数,但是这一次,它被作为一条中转关键的桥梁,以致于浏览器乐成下载木马并实行,它也背上了黑锅,而现实上,它只是作为一个数据转接的通道存在而已,真正的首恶是MPAMedia.dll。
当RealPlayer ActiveX被载入浏览器后,它的全部参数便能通过HTML代码的情势传递,最常见的便是内嵌于浏览器的播放器,它至多需要一个待播放的媒体文件地位参数,在此底子上,网页设计者还能通过另一个参数来决定它能否自动播放媒体文件,这是大众最经常涉及的交互功效,大家都不会生疏,但是现实上,除了这些大众参数,还有个体极少被使用的参数存在,大约是由于它们“非主流”,RealNetworks没有将它们的安全盘问放在心上,但是,它们终究是存在的……
于是,毛病就此出笼。一些安全研究者发现,RealPlayer ActiveX导出的“Import”功效函数中的第二个参数“playlist”是间接提交给外部文件MPAMedia.dll与之对应的函数中的,但不幸的是,该函数存在边界检查不严题目,可引发控件的“缓冲区溢出”,从而导致宿主(ierpplug.dll作为传参者,成为了MPAMedia.dll的宿主,而IE内核的浏览器加载了ierpplug.dll……于是多米诺骨牌效应产生了,一浪推一浪,后浪IE冤大头死在沙滩上……)产生如出一辙的效果:允许实行任何代码,如下载一个歹意程序运转、或间接删除用户数据等,而现在的主流手法自然是前者,也便是所谓的“网页挂马”,入侵者通过种种组件存在的缓冲区溢出毛病,精心布局指令代码使得一个网页成为“潘多拉魔盒”,只要你翻开它,你的世界将永无宁日。
为了不让网页的显示出现非常,入侵者通常沿用晚期网页木马的隐秘加载情势——浏览器子框架IFRAME实现木马页面的读取,入侵者首先通过种种手段入侵一个网站(如社会工程学、SQL注入、服务器毛病等),然后修改这个网站中拜访量相对较多的网页文件(例如首页或各个网页必须挪用的网页头部框架等),在里面加入
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
评论加载中...
|