高廷紅

臨沂大學(xué)沂水分校，山東 臨沂 276400

網(wǎng)頁(yè)木馬是指表面上偽裝成普通的網(wǎng)頁(yè)文件或是將惡意的代碼直接插入到正常的網(wǎng)頁(yè)文件中，當(dāng)有人訪問(wèn)時(shí)，網(wǎng)頁(yè)木馬就會(huì)利用對(duì)方系統(tǒng)或者瀏覽器的漏洞自動(dòng)將配置好的木馬的服務(wù)端下載到訪問(wèn)者的電腦上來(lái)自動(dòng)執(zhí)行。

1 背景和根源

網(wǎng)頁(yè)木馬這種安全威脅在中國(guó)萬(wàn)維網(wǎng)上出現(xiàn)于 2003 年甚至更早，在此之前，國(guó)內(nèi)黑客社區(qū)還主要由政治事件、炫耀技術(shù)能力、追求社區(qū)威望等動(dòng)機(jī)所驅(qū)動(dòng)，但隨著網(wǎng)絡(luò)游戲和虛擬交易的日益流行，一些惡意攻擊者尋找出通過(guò)攻擊普通因特網(wǎng)用戶從而快速獲利的網(wǎng)絡(luò)犯罪途徑，并形成了分工明確，組織嚴(yán)密的地下經(jīng)濟(jì)鏈，而網(wǎng)頁(yè)木馬是其中最為主要的方式之一。

網(wǎng)頁(yè)木馬存在的技術(shù)基礎(chǔ) ——安全漏洞。另一個(gè)使得網(wǎng)頁(yè)木馬安全威脅持續(xù)存在的根源是普通因特網(wǎng)用戶用于訪問(wèn)萬(wàn)維網(wǎng)的瀏覽器和相關(guān)應(yīng)用軟件中存在的安全漏洞，這些安全漏洞為網(wǎng)頁(yè)木馬進(jìn)入并感染受害主機(jī)提供了必要條件。

2 網(wǎng)頁(yè)木馬的實(shí)質(zhì)

網(wǎng)頁(yè)木馬的實(shí)質(zhì)是利用漏洞向用戶傳播木馬下載器。網(wǎng)頁(yè)木馬實(shí)際上是一個(gè)HTML網(wǎng)頁(yè)，與其它網(wǎng)頁(yè)不同的是該網(wǎng)頁(yè)是黑客精心制作的，用戶一旦訪問(wèn)了該網(wǎng)頁(yè)就會(huì)中木馬。為什么說(shuō)是黑客精心制作的呢。因?yàn)榍度朐谶@個(gè)網(wǎng)頁(yè)中的腳本恰如其分地利用了IE瀏覽器的漏洞，讓IE在后臺(tái)自動(dòng)下載黑客放置在網(wǎng)絡(luò)上的木馬并運(yùn)行（安裝）這個(gè)木馬，也就是說(shuō)，這個(gè)網(wǎng)頁(yè)能下載木馬到本地并運(yùn)行（安裝）下載到本地電腦上的木馬，整個(gè)過(guò)程都在后臺(tái)運(yùn)行，用戶一旦打開這個(gè)網(wǎng)頁(yè)，下載過(guò)程和運(yùn)行（安裝）過(guò)程就自動(dòng)開始。

3 可能被網(wǎng)頁(yè)木馬利用的漏洞

3.1 利用URL格式漏洞

此類網(wǎng)頁(yè)木馬是利用URL格式漏洞來(lái)欺騙用戶。構(gòu)造一個(gè)看似JPG格式的文件誘惑用戶下載，但事實(shí)上用戶下載的卻是一個(gè)EXE文件。此類攻擊，具有相當(dāng)?shù)碾[蔽性，利用URL欺騙的方法有很多種，比如起個(gè)具有誘惑性的網(wǎng)站名稱或使用易混的字母數(shù)字掉包進(jìn)行銀行網(wǎng)絡(luò)釣魚，還有漏洞百出的“%30%50”之類的Unicode編碼等等。

3.2 通過(guò)ActiveX控件制作網(wǎng)頁(yè)木馬

通過(guò) ActiveX 把普通的軟件轉(zhuǎn)化為可以在主頁(yè)直接執(zhí)行的軟件的網(wǎng)頁(yè)木馬，此類網(wǎng)頁(yè)木馬對(duì)所有的系統(tǒng)和IE版本都有效，缺點(diǎn)是瀏覽網(wǎng)頁(yè)木馬時(shí)會(huì)彈出對(duì)話框，詢問(wèn)是否安裝此插件。病毒作者通常是偽造微軟、新浪、Google等知名公司的簽名，偽裝成它們的插件來(lái)迷惑用戶。

3.3 利用WSH的缺陷

利用WSH修改注冊(cè)表，使IE安全設(shè)置中“沒(méi)有標(biāo)記為安全的ActiveX控件和插件”的默認(rèn)設(shè)置改為啟用，然后再利用一些可以在本地運(yùn)行EXE程序的網(wǎng)頁(yè)代碼來(lái)運(yùn)行病毒。它的危害在于，可以利用IE的安全漏洞提升權(quán)限達(dá)到本地運(yùn)行任意程序的后果。

4 網(wǎng)絡(luò)木馬的攻擊策略

為了將掛馬網(wǎng)站的訪問(wèn)流量重定向至網(wǎng)頁(yè)木馬宿主站點(diǎn)，攻擊者通常使用如下四類策略。

4.1 內(nèi)嵌HTML標(biāo)簽

第一類策略使用內(nèi)嵌HTML標(biāo)簽，如iframe, frame等，將網(wǎng)頁(yè)木馬鏈接嵌入到網(wǎng)站首頁(yè)或其它頁(yè)面中。為了達(dá)到更好的隱蔽性和靈活性，攻擊者還經(jīng)常利用層次嵌套的內(nèi)嵌標(biāo)簽，引入一些中間的跳轉(zhuǎn)站點(diǎn)并進(jìn)行混淆，從而構(gòu)建復(fù)雜且難以追溯的龐大網(wǎng)頁(yè)木馬網(wǎng)絡(luò)。

4.2 惡意腳本

第二類也是很常用的重定向策略是利用script標(biāo)簽通過(guò)跨站腳本（XSS: Cross-Site Scripting）包含網(wǎng)頁(yè)木馬。跳轉(zhuǎn)腳本通常使用document.write生成包含網(wǎng)頁(yè)木馬鏈接的 iframe。內(nèi)嵌標(biāo)簽，或者比較少見(jiàn)的windows.open函數(shù)彈出一個(gè)新的HTML窗口連接網(wǎng)頁(yè)木馬進(jìn)行攻擊。

4.3 內(nèi)嵌對(duì)象

第三類重定向策略基于調(diào)用第三方應(yīng)用軟件或?yàn)g覽器幫助對(duì)象（BHO）的內(nèi)嵌對(duì)象。當(dāng)攻擊者發(fā)現(xiàn)這些第三方應(yīng)用軟件或BHO 中存在某些可利用的安全漏洞，他們會(huì)通過(guò)構(gòu)造。相應(yīng)的內(nèi)嵌對(duì)象，通過(guò)在掛馬頁(yè)面中包含，從而在其被打開時(shí)攻擊存有漏洞的軟件，從而獲得目標(biāo)主機(jī)的控制權(quán)。

4.4 ARP欺騙掛馬

第四類是攻擊者使用一種危害度更高的網(wǎng)頁(yè)掛馬構(gòu)建策略——ARP欺騙掛馬。這種方法不需要真正地攻陷目標(biāo)網(wǎng)站，在攻擊安全防護(hù)嚴(yán)密的知名網(wǎng)站時(shí)非常有效，在同一以太網(wǎng)網(wǎng)段內(nèi)，攻擊者通過(guò)ARP欺騙方法就可以進(jìn)行中間人攻擊，劫持所有目標(biāo)網(wǎng)站出入的網(wǎng)絡(luò)流量，并可在目標(biāo)網(wǎng)站的HTML反饋包中注入任意的惡意腳本，從而使其成為將網(wǎng)絡(luò)訪問(wèn)流量重定向至木馬宿主的掛馬站點(diǎn)。

5 網(wǎng)頁(yè)木馬的防范策略

網(wǎng)頁(yè)木馬的防范只靠殺毒軟件和防火墻是遠(yuǎn)遠(yuǎn)不夠的，因?yàn)橐坏┖诳褪褂昧朔磸椂丝诘膫€(gè)人版木馬，那么殺毒軟件和防火墻就無(wú)可奈何，所以，網(wǎng)頁(yè)木馬的防范要從它的原理入手，從根子上進(jìn)行防范。主要采取的防范策略有：

1）及時(shí)安裝安全補(bǔ)??；

2） 改名或卸載最不安全的ActiveXObject（IE插件）；

3）提高IE的安全級(jí)別，禁用腳本和ActiveX控件。

6 結(jié)論

當(dāng)今網(wǎng)絡(luò)，反病毒軟件日益增多，使用的反病毒技術(shù)越來(lái)越先進(jìn)，查殺病毒的能力逐漸提高，但病毒制作者并不會(huì)罷休，反查殺手段不斷升級(jí)，新的病毒層出不窮，形式也越來(lái)越多樣化，為了躲避查殺，病毒自身的隱蔽性越來(lái)越高。網(wǎng)頁(yè)木馬對(duì)普通的因特網(wǎng)用戶構(gòu)成了嚴(yán)重的威脅，要做到有效防范，從而阻止網(wǎng)絡(luò)犯罪者通過(guò)網(wǎng)頁(yè)木馬獲得非法收入。

[1]韓法旺.Web網(wǎng)頁(yè)木馬研究初探[J].科技信息，2008(19).

[2]呂磊.基于行為分析的網(wǎng)頁(yè)木馬檢測(cè)技術(shù)研究[J].哈爾濱工業(yè)大學(xué)學(xué)報(bào)，2009.