教你防范網(wǎng)頁木馬 入侵原理完全解析
網(wǎng)頁掛馬的實質(zhì)是利用漏洞向用戶傳播木馬下載器��,當我們更清楚了這點就能做到有效的防范�����。
網(wǎng)頁木馬就是網(wǎng)頁惡意軟件威脅的罪魁禍首�����,和大家印象中的不同,準確的說�,網(wǎng)頁木馬并不是木馬程序,而應(yīng)該稱為網(wǎng)頁木馬“種植器”����,也即一種通過攻擊瀏覽器或瀏覽器外掛程序(目標通常是IE瀏覽器和ActiveX程序)的漏洞,向目標用戶機器植入木馬�����、病毒�、密碼盜取等惡意程序的手段。常見的網(wǎng)頁木馬攻擊手段有哪些����?用戶應(yīng)該如何識別及防御來自網(wǎng)頁木馬的攻擊?
本文將為大家細細道來:
攻擊者常用的網(wǎng)頁木馬攻擊手段按照用戶交互程度���,可以分為主動攻擊和被動攻擊兩種���。
主動攻擊方式:
就是攻擊者通過各種欺騙�,引誘等手段,誘使用戶訪問放置有網(wǎng)頁木馬的網(wǎng)站��,如果用戶不小心訪問了該惡意網(wǎng)站,就有可能感染惡意軟件���。這種攻擊方式常見的案例有�����,攻擊者在各種論壇���、聊天室、博客留言等用戶集中的區(qū)域發(fā)布各種色情內(nèi)容的連接�、在各種在線游戲的聊天頻道中發(fā)布各種中獎抽獎信息、使用各種即時通訊軟件手動或通過之前被感染的用戶自動向聯(lián)系人發(fā)送帶欺騙性質(zhì)的網(wǎng)站鏈接等����。
被動攻擊方式:
是指攻擊者通過入侵互聯(lián)網(wǎng)上訪問量大的站點,并在其頁面中插入網(wǎng)頁木馬的代碼����,目前在IDC機房和企業(yè)內(nèi)網(wǎng)中流行的通過ARP欺騙插入惡意網(wǎng)頁鏈接也屬于被動攻擊方式,這種攻擊方式屬于廣撒網(wǎng)的攻擊方式��,訪問到該網(wǎng)站的用戶都有可能感染其所帶網(wǎng)頁木馬種植的惡意軟件��。
雖然沒有具體的統(tǒng)計結(jié)果,不過從最近的各安全公司發(fā)布的攻擊趨勢來看���,網(wǎng)頁木馬主動攻擊和被動攻擊的發(fā)起頻率差不多�。如果用戶不慎訪問了有可能帶有網(wǎng)頁木馬的網(wǎng)站�,如何識別正在發(fā)生的網(wǎng)頁木馬攻擊?用戶可以根據(jù)以下的幾個最常見的現(xiàn)象來判斷:
系統(tǒng)反應(yīng)速度:
目前攻擊者構(gòu)建網(wǎng)頁木馬所使用的IE瀏覽器漏洞���,包括最新的MS07004 VML漏洞��,都是利用構(gòu)造大量數(shù)據(jù)溢出瀏覽器或組件的緩沖區(qū)來執(zhí)行攻擊代碼的�,因此����,用戶遭受溢出類的網(wǎng)頁木馬的攻擊時,通常系統(tǒng)的反應(yīng)會變得十分緩慢�,CPU占用率很高,瀏覽器窗口沒有響應(yīng)����,也無法使用任務(wù)管理器強行關(guān)閉。另外����,在一些內(nèi)存小于512M的系統(tǒng)上,溢出類的網(wǎng)頁木馬攻擊時��,系統(tǒng)會頻繁的對磁盤進行讀寫操作(物理內(nèi)存不夠用����,系統(tǒng)自動擴大虛擬內(nèi)存)。
進程變化情況:
有少數(shù)的IE瀏覽器漏洞不屬于緩沖區(qū)溢出的漏洞��,比如去年初出現(xiàn)的MS06014 XML漏洞���,用戶在遭受使用它所構(gòu)造的網(wǎng)頁木馬的攻擊時���,系統(tǒng)反應(yīng)不會有明顯的變化或者磁盤讀寫,頂多有時會短暫出現(xiàn)系統(tǒng)等待的沙漏圖標�,不過時間很短,用戶一不留意就會錯過�。這種情況下,用戶可以打開任務(wù)管理器或使用Process Explorer����,查看是否有非用戶啟動的Iexplore.exe進程、名字比較奇怪的進程等來判斷是否遭受了網(wǎng)頁木馬的攻擊���。
瀏覽器顯示:
攻擊者在使用網(wǎng)頁木馬的被動攻擊方式時��,通常會在被其控制的合法網(wǎng)站上使用HTML中的iframe語句或java script方式來調(diào)用網(wǎng)頁木馬���,如果用戶在打開某個合法網(wǎng)站時���,發(fā)現(xiàn)IE瀏覽器左下角的狀態(tài)欄一直顯示一個和當前瀏覽網(wǎng)站一點關(guān)系都沒有的地址,同時系統(tǒng)響應(yīng)變得很慢�����,或者是鼠標指針變成沙漏形狀���,便有可能正在遭受網(wǎng)頁木馬的攻擊���。
安全軟件報警:
安全軟件報警也許是對用戶來說最安全的一種網(wǎng)頁木馬攻擊跡象,但目前市面上有相當多的反病毒軟件檢測不出用java script和vbscript 進行過加密的網(wǎng)頁木馬���,因此反病毒軟件不報警不一定說明網(wǎng)站就是安全的��。
攻擊手法花樣翻新�����,網(wǎng)頁木馬防不勝防�����,處于技術(shù)弱勢地位的用戶如何進行防御:1��、 系統(tǒng)補丁要及時更新���,絕大部分的網(wǎng)頁木馬受害者都忽略了自己所使用的系統(tǒng)及應(yīng)用軟件的補丁升級。畢竟只有極少數(shù)的攻擊者會使用昂貴的0day 瀏覽器漏洞來做網(wǎng)頁木馬���,及時更新系統(tǒng)及軟件的安全補丁可以防御大部分的網(wǎng)頁木馬�。
2���、 安裝并及時更新反病毒軟件���,用戶可盡量選擇網(wǎng)頁木馬查殺能力較強的反病毒軟件,并及時更新病毒特征庫�,這樣的話,即使網(wǎng)頁木馬使用了最新的加密技術(shù)躲過反病毒軟件的檢測�����,但較新的病毒特征庫也能盡可能用戶免受緊跟網(wǎng)頁木馬而來的惡意軟件的損害��。
3、 使用第三方瀏覽器�,由于目前互聯(lián)網(wǎng)上常見的網(wǎng)頁木馬所使用的是針對IE瀏覽器及其ActiveX控件的漏洞,因此�����,使用Firefox/Opera等非IE內(nèi)核的第三方瀏覽器可以從源頭上堵住網(wǎng)頁木馬的攻擊���,不過第三方瀏覽器在頁面兼容性上稍遜IE瀏覽器�����,而且一些特別的網(wǎng)頁����,如各種使用ActiveX密碼登陸控件的網(wǎng)上銀行不能使用第三方瀏覽器登陸�����,用戶在瀏覽這類網(wǎng)頁時可使用IE瀏覽器�����。
4��、 養(yǎng)成安全的網(wǎng)站瀏覽習慣,用戶應(yīng)該養(yǎng)成安全的網(wǎng)站瀏覽習慣�,不要隨便點擊各種來源不明,說明帶有引誘語言的鏈接��,防止落入攻擊者的陷阱�;遇到合法網(wǎng)站被攻擊者攻陷并掛上網(wǎng)頁木馬,用戶也應(yīng)該報告網(wǎng)站管理員��。
徹底防范網(wǎng)頁木馬看似并不是難事����,其實是一項工程浩大的系統(tǒng)項目��,需要每一個細節(jié)都十分注意�����。
