網際論壇 - 寬頻使用 / 防毒防駭討論 - 〔教學〕網頁木馬如何識別和防禦
» 遊客:  註冊 | 登錄 | 幫助
 

與 Facebook 朋友分享 !!       
作者:
標題: 〔教學〕網頁木馬如何識別和防禦 上一主題 | 下一主題
  虎力係
  資深會員 
  飄向北方~


  積分 4158
  發文 358
  註冊 2007-8-23
  來自 台灣
  狀態 離線
#1  〔教學〕網頁木馬如何識別和防禦

網頁木馬就是網頁惡意軟件威脅的罪魁禍首,和大家印象中的不同,準確的說,網頁木馬並不是木馬程序,而應該稱為網頁木馬「種植器」,也即一種通過攻擊瀏覽器或瀏覽器外掛程序(目標通常是IE瀏覽器和ActiveX程序)的漏洞,向目標用戶機器植入木馬、病毒、密碼盜取等惡意程序的手段。

根據反病毒廠商Sophos今年的第一、第二季度報告,網頁已經超過電子郵件成為惡意軟件傳播時最喜歡使用的途徑,通過網頁傳播的惡意軟件平均每月增加300多種。而對用戶來說,因為用戶自己在互聯網瀏覽時的安全意識薄弱、系統及軟件的修正包升級的缺失、還有企業中安全管理上的不足,網站已成為和移動設備、企業局域網並列的安全主要威脅之一。
常見的網頁木馬攻擊手段有哪些?用戶應該如何識別及防禦來自網頁木馬的攻擊?筆者將在本文為用戶細細道來:

攻擊者常用的網頁木馬攻擊手段按照用戶交互程度,可以分為主動攻擊和被動攻擊兩種。

主動攻擊方式,就是攻擊者通過各種欺騙,引誘等手段,誘使用戶訪問放置有網頁木馬的網站,如果用戶不小心訪問了該惡意網站,就有可能感染惡意軟件。這種攻擊方式常見的案例有,攻擊者在各種論壇、聊天室、博客留言等用戶集中的區域發佈各種色情內容的連接、在各種在線遊戲的聊天頻道中發佈各種中獎抽獎信息、使用各種即時通訊軟件手動或通過之前被感染的用戶自動向聯繫人發送帶欺騙性質的網站鏈接等。

被動攻擊方式,是指攻擊者通過入侵互聯網上訪問量大的站點,並在其頁面中插入網頁木馬的代碼,目前在IDC機房和企業內網中流行的通過ARP欺騙插入惡意網頁鏈接也屬於被動攻擊方式,這種攻擊方式屬於廣撒網的攻擊方式,訪問到該網站的用戶都有可能感染其所帶網頁木馬種植的惡意軟件。

雖然沒有具體的統計結果,不過從最近的各安全公司發佈的攻擊趨勢來看,網頁木馬主動攻擊和被動攻擊的發起頻率差不多。如果用戶不慎訪問了有可能帶有網頁木馬的網站,如何識別正在發生的網頁木馬攻擊?用戶可以根據以下的幾個最常見的現象來判斷:

系統反應速度:目前攻擊者構建網頁木馬所使用的IE瀏覽器漏洞,包括最新的MS07004 VML漏洞,都是利用構造大量數據溢出瀏覽器或組件的緩衝區來執行攻擊代碼的,因此,用戶遭受溢出類的網頁木馬的攻擊時,通常系統的反應會變得十分緩慢,CPU佔用率很高,瀏覽器窗口沒有響應,也無法使用任務管理器強行關閉。另外,在一些內存小於512M的系統上,溢出類的網頁木馬攻擊時,系統會頻繁的對磁盤進行讀寫操作(物理內存不夠用,系統自動擴大虛擬內存)。


程變化情況:有少數的IE瀏覽器漏洞不屬於緩衝區溢出的漏洞,比如去年初出現的MS06014 XML漏洞,用戶在遭受使用它所構造的網頁木馬的攻擊時,系統反應不會有明顯的變化或者磁盤讀寫,頂多有時會短暫出現系統等待的沙漏圖標,不過時間很短,用戶一不留意就會錯過。這種情況下,用戶可以打開任務管理器或使用Process Explorer,查看是否有非用戶啟動的Iexplore.exe進程、名字比較奇怪的進程等來判斷是否遭受了網頁木馬的攻擊。
覽器顯示:攻擊者在使用網頁木馬的被動攻擊方式時,通常會在被其控制的合法網站上使用HTML中的iframe語句或java script方式來調用網頁木馬,如果用戶在打開某個合法網站時,發現IE瀏覽器左下角的狀態欄一直顯示一個和當前瀏覽網站一點關係都沒有的地址,同時系統響應變得很慢,或者是鼠標指針變成沙漏形狀,便有可能正在遭受網頁木馬的攻擊。
全軟件報警:安全軟件報警也許是對用戶來說最安全的一種網頁木馬攻擊跡象,但目前市面上有相當多的反病毒軟件檢測不出用java script和vbscript 進行過加密的網頁木馬,因此反病毒軟件不報警不一定說明網站就是安全的。

攻擊手法花樣翻新,網頁木馬防不勝防,處於技術弱勢地位的用戶如何進行防禦:

1、 系統修正包要及時更新,絕大部分的網頁木馬受害者都忽略了自己所使用的系統及應用軟件的修正包升級。畢竟只有極少數的攻擊者會使用昂貴的0day 瀏覽器漏洞來做網頁木馬,及時更新系統及軟件的安全修正包可以防禦大部分的網頁木馬。

2、 安裝並及時更新反病毒軟件,用戶可盡量選擇網頁木馬查殺能力較強的反病毒軟件,並及時更新病毒特徵庫,這樣的話,即使網頁木馬使用了最新的加密技術躲過反病毒軟件的檢測,但較新的病毒特徵庫也能盡可能用戶免受緊跟網頁木馬而來的惡意軟件的損害。

3、 使用第三方瀏覽器,由於目前互聯網上常見的網頁木馬所使用的是針對IE瀏覽器及其ActiveX控件的漏洞,因此,使用Firefox/Opera等非IE內核的第三方瀏覽器可以從源頭上堵住網頁木馬的攻擊,不過第三方瀏覽器在頁面兼容性上稍遜IE瀏覽器,而且一些特別的網頁,如各種使用ActiveX密碼登陸控件的網上銀行不能使用第三方瀏覽器登陸,用戶在瀏覽這類網頁時可使用IE瀏覽器。

4、 養成安全的網站瀏覽習慣,用戶應該養成安全的網站瀏覽習慣,不要隨便點擊各種來源不明,說明帶有引誘語言的鏈接,防止落入攻擊者的陷阱;遇到合法網站被攻擊者攻陷並掛上網頁木馬,用戶也應該報告網站管理員。


2008-2-21 07:33 PM
查看資料  訪問主頁  發短消息   編輯文章  引用回覆
  moya0916
  一般會員 
 


  積分 231
  發文 41
  註冊 2007-10-14
  來自 Taiwan
  狀態 離線
#2  

感謝大大分享
好文...


2008-2-27 01:06 AM
查看資料  發短消息   編輯文章  引用回覆

可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題

論壇跳轉選單:  


Processed in 0.035017 second(s), 6 queries Powered by Discuz! / Comsenz Technology Ltd.
本論壇所有文章及貼圖均為網友自行發表,不代表論壇立場 ! 文章內容若涉及侵權、違法等情事,請知會版主處理。
Copyright @ 2001~ 2015 By 網際論壇