安全技巧 防范可恶的网页木马

SnakeHu 2007-11-08

客户端防范木马的手段已经很多,国内也有不少公司研发出很多不错的工具,我们这次主要谈服务器网站该如何防范。

掘马,这是北京智恒联盟科技有限公司在一年前就开始对网页木马进行深入研究的一项重要研究成果,该系统在这时推出,无疑将是全国网管人员一个最有力的助手。

据不完全统计,我国目前网站接近10%的网站都被挂马,包括国内著名商业网站,政府网站,有日访问量百万计数的,也有刚刚建好就被挂上的,尤其以高校网站最为严重,已经成为重灾区。令人惊讶的是,前不久北京某IDC机房,经检测居然95%的服务器均以被挂马,大多是不太知名的商业网站,我们已经通过某些渠道邮件通知了部分网站。

首先来认识一下网页木马的危害,首先是盗号木马,占目前网页木马的70%以上,盗取各类游戏帐号,QQ帐号,银行帐号等每个“信使”在黑市能卖好几块,每天动辄数以千计,利润相当可观,所以目前占了主流;其次是捕获“肉鸡”,黑客们常以此作为炫耀的资本,当然“肉鸡”也是可以卖钱的,我国已经成为全球“僵尸网络”数量最多的国家,而北京也是全国最高,另外,美国是僵尸网络控制服务器最多的国家,这不能不令人担忧。这些僵尸网络可用来发起分布式拒绝服务攻击,最大流量通常都会在10G以上,足够可以摧毁一个城域骨干网,可以摧毁任意一台服务器;我国目前的主机数量在急速上升,信息化水平在很多高呼声中已经在发展中国家排名比较靠前了,但整体安全水平仍落后于很多国家,是相对严重滞后的,而我国的少年黑客数量并不在少数,在全球也能排到前十位。除此以外,还有下载类木马,后门类木马等等。客户端防范木马的手段已经很多,而且,国内也有不少公司研发出很多不错的工具,在此不一一列举,我们这次主要谈服务器网站该如何防范。

网页木马的制作教程在网上随处可见,工具也是随处可以下载到,已经不是什么高深的“技术活”了。另外,挂一个马也是件很轻松有趣的事情,方法很多,通过网络广告插入恶意代码,在2007年5月allyes网站广告系统被攻击,使用该系统的网易、新浪、Tom、QQ等知名站点统统给挂了马,死伤无数,惨不忍睹。ARP欺骗,不需要控制所有客户机,能控制一个就够了,而且非常“省力”,无需改变任何机器的配置就可以实现子网内最大程度的攻击。相同的思路,DNS欺骗挂马也是如出一辙,杀伤力很大,足以让人“谈马色变”。此外,挖掘ActiveX漏洞的技术越来越成熟,这类漏洞数量呈现爆发式的增长,如,暴风影音、迅雷、Yahoo! Messenger、MSN、RealPlayer、新浪 UC、阿里巴巴淘宝旺旺、Macromedia Flash、WinZip、Adobe Reader 等。

windows操作系统,常被利用来挂马的漏洞,统计如下:

MS06-001——Microsoft Windows图形渲染引擎WMF格式代码执行漏洞

MS06-014——Microsoft MDAC RDS.Dataspace ActiveX控件远程代码执行漏洞

MS06-057——Microsoft IE WebViewFolderIcon远程整数溢出漏洞

MS06-071 ——Microsoft XML核心服务XMLHTTP控件内存破坏漏洞

MS07-017——Microsoft Windows动画光标畸形ANI头结构远程栈溢出漏洞

MS07-004——Microsoft Windows矢量标记语言缓冲区溢出漏洞

MS07-027——Microsoft Windows媒体服务器mdsauth.dll控件远程代码执行漏洞

其他还有:

MS04-023 Microsoft HTML Help任意代码执行漏洞

MS05-001 Microsoft IE Help ActiveX控件本地安全域绕过漏洞

MS06-004 Microsoft IE WMF图形解析内存破坏漏洞

MS06-005 Microsoft Windows Media Player畸形位图文件处理堆溢出漏洞

MS06-013 Microsoft IE CreateTextRange远程代码执行漏洞

MS06-055 Microsoft IE畸形VML文档处理缓冲区溢出漏洞

MS06-067 Microsoft IE daxctle.ocx KeyFrame方法堆溢出漏洞

MS06-068 Microsoft Agent Active控件远程堆溢出漏洞

MS06-073 Microsoft Visual Studio “WMI Object Broker”控件代码执行漏洞

MS07-009 Microsoft IE ADODB.Connection对象Execute函数内存破坏漏洞

以上种种迹象表明,打补丁,将是防范网页木马最有力的措施之一,打上补丁是不是就安全大吉,高枕无忧了吗?没有,还远远没有,网页编程中的漏洞也是层出不穷,SQL 注入攻击已经流行已久,在某个隐蔽的位置插入几行代码还是很轻松的一件事情。如何在浩瀚的程序中发现网页木马?这成了最为关注的焦点。的确,靠人工的发现是多么的不切实际,不仅仅要花较大的功夫,对技术人员要求也是相当的高,现在黑客的挂马手法又在不断提高,要快速、准确的识别判断那些恶意代码对我们提出了较高的挑战。北京智恒联盟的“掘马”,经过几次升级,截止发稿日,已经能够检测超过2000多种常见网页木马(含变种)。此外,系统地功能也在逐渐完善,不仅仅可以检测问题代码,还可以进行定位,提供完整解决方案;另外,还集成了漏洞检测,包括各类系统漏洞、ActiveX等等。

挂马的种类在增加,但网页木马检测的方法已经逐渐清晰并智能化,在数以万计的程序代码中寻找出挂马的蛛丝马迹再也不是件难事,有了“掘马”可以和网页木马说再见了。

相关推荐