安全技术谈:网页挂马工作原理完全分析
作者:晓兵 来源:赛迪网 发布时间:2008-12-15 12:41:00
通常,微软IE工作过程描述如下:
作为网页挂马的散布者,其目的是将木马下载到用户本地,并进一步执行,当木马获得执行之后,就意味着会有更多的木马被下载,进一步被执行,进入一个恶性的循环,从而使用户的电脑遭到攻击和控制。为达到目的首先要将木马下载到本地。根据上图的流程,常见的方式有以下几种:
1.将木马伪装为页面元素。木马则会被浏览器自动下载到本地。
2.利用脚本运行的漏洞下载木马
3.利用脚本运行的漏洞释放隐含在网页脚本中的木马
4.将木马伪装为缺失的组件,或和缺失的组件捆绑在一起(例如:flash播放插件)。这样既达到了下载的目的,下载的组件又会被浏览器自动执行。
5.通过脚本运行调用某些com组件,利用其漏洞下载木马。
6.在渲染页面内容的过程中利用格式溢出释放木马(例如:ani格式溢出漏洞)
7.在渲染页面内容的过程中利用格式溢出下载木马(例如:flash9.0.115的播放漏洞)
在完成下载之后,执行木马的方式有以下几种:
1.利用页面元素渲染过程中的格式溢出执行shellcode进一步执行下载的木马
2.利用脚本运行的漏洞执行木马
3.伪装成缺失组件的安装包被浏览器自动执行
4.通过脚本调用com组件利用其漏洞执行木马。
5.利用页面元素渲染过程中的格式溢出直接执行木马。
6.利用com组件与外部其他程序通讯,通过其他程序启动木马(例如:realplayer10.5存在的播放列表溢出漏洞)
在与网马斗争的过程中,为了躲避杀毒软件的检测,一些网马还具有了以下行为:
1.修改系统时间,使杀毒软件失效
2.摘除杀毒软件的HOOK挂钩,使杀毒软件检测失效
3.修改杀毒软件病毒库,使之检测不到恶意代码。
4.通过溢出漏洞不直接执行恶意代码,而是执行一段调用脚本,以躲避杀毒软件对父进程的检测。
网页挂马的检测
传统的检测防御方式:
1.特征匹配。将网页挂马的脚本按脚本病毒处理进行检测。但是网页脚本变形方、加密方式比起传统的PE格式病毒更为多样,检测起来也更加困难。
2.主动防御。当浏览器要做出某些动作时,做出提示,例如:下载了某插件的安装包,会提示是否运行,比如浏览器创建一个暴风影音播放器时,提示是否允许运行。在多数情况下用户都会点击是,网页木马会因此得到执行。
3.检查父进程是否为浏览器。这种方法可以很容易的被躲过且会对很多插件造成误报。
安天防线的行为分析方式:
1.检测伪装文件格式。通过对文件格式精确的识别,判断页面元素是否为伪装的恶意代码。
2.检查页面元素来源是否为长期散布网页挂马的站点。
3.检测特定函数调用堆栈实现。
(a)区分用户下载文件,浏览器自动下载文件。
(b)检测已知缓冲区漏洞。
(c)检测进程创建调用堆栈、调用参数是否和浏览器常规一致,以检测未知漏洞造成的文件执行。
4.对文件执行进行监控,检测文件执行参数等特征。
5.对部分目录写文件操作进行监控。
6.检测系统时钟修改。
7.检测对系统DLL内存镜像修改(导入、导出表、函数体内容)。
8.检查PE文件和CAB包裹的数字签名。
9.特定文件格式检测,检测已知的格式溢出。
通过对以上几项的加权处理,可以实现有效对已知和未知网页挂马的检测。
猜你喜欢
- 核心提示: 何时执行目标导向内容优化战略?当你确定目标,并有耐心评估网站表现时,这一战略就起作用。当然,这一过程可能花一些时间,需要不断进行
- ixwebhosting主机推出中文站后,有说要推出中文客服,但,推出中文客服还需要一段时间,在没有推出中文客服之前,我们如果有问题的话,需
- 整理了一些Godaddy主机的Apache转到Tomcat的文档扩展名。因Apache处理的文档受.htaccess 设置的影响,而转到及由
- 基于Windows平台下IIS运行的网站总给人一种感觉就是脆弱。早期的IIS确实存在很多问题,不过我个人认为自从Windows Server
- 最新dedecms5.6删除文章对应删除图片本代码没改dede代码!只加了删除方法到里面!覆盖就可以了!覆盖时备份好文件!您也可以看着对应修
- 1:“曾经有一个很好的网站摆在我的面前,可是我没有好好维护,等到失去的时候才追悔莫及,人世间最痛苦的事情莫过于此。如果上天能够给我一个好站,
- 动易其实也是一个很强大的CMS,但是听说PHP+SQL的速度比Access的速度要快.关键是,我现在动易的Access数据库已经过了300M
- 什么是首页降权?它和GOOGLE的沙盒效应是同一个概念的吗?在看这篇文章时,我们必须要搞清楚这个概念。GOOLE沙盒效应即Sandbox效应
- 据统计,在所有黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得2000年YAHOO网站遭受的攻击事例,当时黑
- 个人化搜索给传统SEO(搜索引擎优化)带来的冲击是全方位的,虽然其影响将在今后的时间内逐渐显现出来,目前过早地对其下任何结论都显得草率,但无
- Godaddy上建站,架设的是DEDE内容管理系统,你可能会问Godaddy主机支持DEDE的采集功能吗?Godaddy主机支持DEDE的采
- 昨日下午,易观国际分析师曹飞撰文称《卓越亚马逊将会成为淘宝未来最大的竞争对手》,该文认为,卓越亚马逊作为B2C商业模式的代表,和以平台模式的
- 2009年应届毕业生的各大校园招聘会近日拉开序幕,一个大学生求职论坛上的一篇题为“写给HR的一封信”
- 那些被封站心怀愤懑的朋友就不要看了,本帖希望能有较有深度以及技术性的讨论,而不欢迎谩骂。几个问题1、百度竞价排名开展之后的过去7年内,虽然竞
- 结合工作经验,在这里笔者给企业网管员提供一些保障企业网络安全的建议,帮助他们用以抵御网络入侵、恶意软件和垃圾邮件。定义用户完成相关任务的恰当
- 软件环境:redhat6.2 Qmail1.3硬件环境:HP Netserver E60 128M内存 单网卡1.什么是mail relay
- 1、简介说明在安装Procmail及Sanitizer后,系统都只能处理寄进服务器内的信件,无法处理利用邮件服务器来寄出病毒信,因此在安装P
- 为了能在已经存在iis6的服务器上运行自己的java程序,经过历时半年的尝试,今天终于搞定了,好开心啊。最开始是用iis直接连接tomcat
- 1、Google提交http://www.google.com/addurl/?hl=zh_CN2、百度提交http://www.baidu
- 多人共同协作的群体博客,需要一个明确的协作规范,虽然目前月光博客还不是多人更新的博客,但也有一些写作规范,这里进行了一些总结,以便未来的某些