不安分的网页—网页木马的守株待兔
一个高和宽均为“0”的IFRAME元素代码,内容指向入侵者在自己拥有的网络空间里安排的带毒网页文件,这个步调便是“挂马”(为了确保自己的木马文件和带毒页面不被删除或供人任意就能研究,入侵者很少会间接将这两个文件一起放入受害网站的服务器上),在这当前,当用户拜访这个被入侵者做过手脚的网页时,他现实曾经拜访了两个网页:本来浏览的网页、以及入侵者安排的带毒页面。带毒页面一经加载则启动相应的浏览器ActiveX组件,并将入侵者布局的参数读取实行,终极,用户会面临两种了局,一种是由于用户没有安装相应功效程序导致组件不存在或组件版本曾经经过毛病更新,从而导致浏览器无任何非常或者产生瓦解(溢出失败最常见的后果:组件瓦解导致浏览器非常退出的“拒绝服务”),在这时候用户是丝绝不知道自己刚躲过一劫的;而另一种则是比力符合国情的后果,即全部可令用户遭遇入侵的毛病条件均存在,毛病代码得以实行,导致用户浏览器下载实行了一个恶魔程序,末了恶魔可能被用户系统中的安全东西检测并清除,也可能就此安居并将安全东西设为傀儡,从此用户上彀将毫无防备——当然,这一切,用户都是绝不知情的。
其实,早在RealPlayer引发大面积的木马变乱之前,海内就有好几个程序出了类似毛病,例如海内下载新秀“迅雷”以及它的隶属产物“迅雷看看”,都辨别出现过参数检查不严导致溢出而带来的任意代码实行毛病,但是随着RealPlayer毛病创下的一次大面积撒网变乱,第三方厂商的插件毛病才开始被更多人细致并研究,到现在为止,海内已知的第三方插件毛病几乎覆盖了大部门厂商,辨别是PPStream PowerPlayer.DLL ActiveX 控件栈溢出毛病、联众ConnectAndEnterRoom ActiveX控件栈溢出毛病、超星阅览器Pdg2 ActiveX控件栈溢出毛病、迅雷ActiveX控件DownURL2方式远程缓冲区溢出毛病、Web迅雷ThunderServer.webThunder.1控件任意文件下载毛病、百度超等搜霸BaiduBar.dll ActiveX控件远程代码实行毛病、Qvod Player 2.0控件任意文件下载毛病等,这一切,让用户防不堪防。
这些毛病的共同点都是依赖于用户机器的浏览器加载存在毛病的组件来实现下载木马本体实行的功效,在相关厂商未出有效的安全更新之前,我们能做的只要通过某种手段防备毛病危害,那便是利用浏览器本身提供的一个小功效将产生题目的控件暂时屏蔽。细心的用户在阅读一些安全小组的毛病分析陈诉时,经常会看到这么一句:“在软件厂商未发布安全补丁之前,我们建议用户对该控件设置Killbit”。那么,什么是“Killbit”?微软编号Q240797的知识库文章《怎样克制 ActiveX 控件在 Internet Explorer 中运转》一文对此做出了解释:Internet Explorer 有一项安全功效,可用于克制 Internet Explorer HTML 呈现引擎加载某个 ActiveX 控件。此功效可通过进行注册表设置来完成,这种设置叫做设置“killbit”。一旦设置了“killbit”,该控件即永久不可加载,纵然将其完全安装也是云云。此设置可以确保,纵然有毛病的组件被引入或重新引入系统中,它也不具活性,没有破坏力。
现实上,这一设置的本质是将存在毛病的控件在浏览器里的兼容性标识设置为“不安全”,于是在预先设定的浏览器加载逻辑里,这一“不安全”的控件就不会被加载,从而保证浏览器不会携带着这个题目控件运转,其相关毛病自然也就没有了入口。
兼容性标识位于系统注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\下,其子键为各个ActiveX控件的CLSID(有关CLSID观点请参见本文上半部门),每个CLSID项里都有一个名为“Compatibility Flags”的DWORD类型值,当它的值为“0x00000400”即十六进制400或十进制1024时,浏览器就会以为这个控件不安全而将其忽略,同时微软还提供了“兼容的安全CLSID替代”功效,用于在对某个题目控件使用Killbit后指定的另一个功效替代控件,它是通过用户建立一个名为“AlternateCLSID”的字符串实现的,其内容为功效替代控件的CLSID。
只是,要让一样平常用户来操纵这些东西,着实有种赶鸭子上架的感觉,你不克不及指望一个对Word操纵都有点生疏的用户立刻去明白注册表,去明白毛病原因,以是,这是一种无奈的避难手段。
2008年,或许将会是个“浏览器插件毛病年”。
三. 系统毛病凑繁华:挂马王“MS06-014”与“MS07-017”
当MIME头部解析毛病根本鸣金收兵后,入侵者除了通过第三方插件引发浏览器毛病以外,还能利用系统毛病进行入侵吗?答案是肯定的,虽然系统毛病大家都“补”上了,但是总会有一些意外特例存在,例如真正存在毛病的文件并未被更新或者在某种条件下被旧版本规复,这时候纵然全部的安全陈诉都显示它是“打过补丁”的,但是它仍旧引发了理应曾经补上的毛病,如台甫鼎鼎的系统毛病“MS06-014”,虽然微软早已发布安全更新,但是仍旧有一部门用户遭其辣手,以是在海内,它又被称为“挂马王”。
2006年4月11日,微软发布了一个品级标志为“严重”的安全更新,代号为“MS06-014”,它的描述为“MS06-014:MDAC功效存在可能允许实行代码的毛病”,这个毛病现实上由至多3种系统组件共同引发,首先是被少量使用于Web2.0交互的焦点AJAX技术所需的HTTP数据恳求组件“Microsoft.XMLHTTP”,它被入侵者设置为获取一个网络空间上安排的歹意木马程序;接下来,本次毛病的主角“Adodb.Stream”出场,它将XMLHTTP组件获取的数据写入用户的系统中,这两个组件的搭配完成了一次歹意程序的下载过程;终极,入侵者布局一个“Shell.Application”组件将下载完成的歹意程序实行,就完成了这个毛病的全部步调。
虽然厂商实时发布了补丁,但是或许是由于MDAC这个数据库操纵组件的环境依赖性子,一部门用户的组件现实上并未乐成修补,从而埋下了一个隐患,当用户浏览到某个被植入这个毛病触发代码的网站时,邪恶的代码就在后台寂静下载实行了。
//文章出处:网络技术论坛(http://bbs.nettf.net) 作者:小金
而另一个,则是相对着名的“MS07-017”毛病,官方定义名称为“Microsoft Windows动画光标畸形ANI头布局远程栈溢出毛病”,也便是俗称的“ANI毛病”,它刚问世的时候就引发了一场惊动,由于它是以“0day”的方式出现的。
许多用户对“动画光标”的观点不太清晰,其实你可以简单的将它明白为动画情势的鼠标指针——点击“开始”、“运转”,输入“cursors”回车,如果你在设置装备摆设Windows组件时选择了“动画光标”,那么这里就会看到一些类似图标的文件,在任意一个文件上单击右键检察属性,你会发现它的文件类型描述为“静态光标”,后缀名是“.ani”——这便是“ANI毛病”称呼的由来。
这次的毛病泉源是由于厂商考虑不周,导致系统在渲染畸形的光标、动画光标文件或图标时没有精确验证文件头部中所指定的文件巨细,从而导致数据缓冲区溢出导致实行任意指令,入侵者最常见的手段便是布局一个特别的静态光标款式文件,并在它的相应地位安排实行代码,然后编写一个用于加载这个光标文件的网页,当用户拜访到这样的页面时,加载光标的CSS款式表举动CURSOR被触发,从而导致歹意代码被实行,这可以被称为“类似一句话木马”,由于它只需要一个毛病文件和相应款式表代码便能实行入侵者的指令,如下载远程文件实行等。
四. 躲避查杀的技术:加密加密再加密
毫无疑问,在现在各大反病毒产物和安全东西围堵拦截的形势下,间接傻乎乎的将自己的歹意代码以本来的明文情势呈现出来是初学者的做法,这样的后果通常只要一个:被安全东西检测并查杀。
于是现在盛行的歹意代码少数经过了一种被称为“加密”的手段进行处置惩罚,由于浏览器交互脚本的“弱言语”特性,入侵者可以将一句指令代码任意誊写,而终极它依然能被脚本解释器正常实行,例如“clsid:BD96C556-65A3-11D0-983A-00C04FC29E36”可以拆开写为“clsid:BD”+“96C556-”+“65A3-11D0-983A-00”+“C04FC29E36”,终极结合起来,它仍旧能被脚本解释器所明白,但是安全厂商载入浏览器中用于监督文件中敏感字符的歹意代码检测组件就叫苦了,它可不了解这种拆来拆去的东西终极表达了什么东西,并且它的功效也不包罗有类似脚本解释器一样的实行功效,终极它就将这段歹意代码视为无物而放行了。
厥后随着技术生长,检测组件开始具有敏感字符检测与代码组合分析的功效,于是新的加密手法再次出现,通过一种特别的脚本指令“eval”,入侵者可以将一段代码改头换面写成风牛马不相及的内容,终极在屡次奥妙的eval指令共同解密代码的事变后,它又神奇的被解释实行了,依旧留下那摸不着头脑的检测组件在一旁晾鱼干,纵然有安全厂商专门编写了一套用于中介性子的脚本解释接口也无济于事。
但是我们没法去责怪安全厂商,如果要彻底杜绝这些题目,那还不如让安全厂商自己写一套完整的脚本解释器算了,但这样是非常不现实的。
我们只能祈祷,系统毛病越少越好、东西毛病越少越好……
五. 结语:防御——难以言说的话题
面临云云浩瀚网海,普通网民根本无法得知下一次毛病将会出现在哪个组件身上,以是,它是防不堪防的,我们只能寄盼望于一些相对强大的安全东西,如360安全卫士、安全巡警等,它们都提供了较齐备的系统毛病更新检测与第三方东西毛病更新功效,初级用户可通过使用微点自动安全防御、SSM等HIPS东西加以抵挡,结合反病毒产物的运作,力图将毛病危害降到最低限度。
在这样的网络中,我们别无选择。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
