教你几招识别和防御Web网页木马

原创 2007年10月16日 09:04:00
根据反病毒厂商Sophos今年的第一、第二季度报告,网页已经超过电子邮件成为恶意软件传播时最喜欢使用的途径,通过网页传播的恶意软件平均每月增加300多种。而对用户来说,因为用户自己在互联网浏览时的安全意识薄弱、系统及软件的补丁升级的缺失、还有企业中安全管理上的不足,网站已成为和移动设备、企业局域网并列的安全主要威胁之一。

  网页木马就是网页恶意软件威胁的罪魁祸首,和大家印象中的不同,准确的说,网页木马并不是木马程序,而应该称为网页木马“种植器”,也即一种通过攻击浏览器或浏览器外挂程序(目标通常是IE浏览器和ActiveX程序)的漏洞,向目标用户机器植入木马、病毒、密码盗取等恶意程序的手段。常见的网页木马攻击手段有哪些?用户应该如何识别及防御来自网页木马的攻击?笔者将在本文为用户细细道来:

  攻击者常用的网页木马攻击手段按照用户交互程度,可以分为主动攻击和被动攻击两种。
  主动攻击方式,就是攻击者通过各种欺骗,引诱等手段,诱使用户访问放置有网页木马的网站,如果用户不小心访问了该恶意网站,就有可能感染恶意软件。这种攻击方式常见的案例有,攻击者在各种论坛、聊天室、博客留言等用户集中的区域发布各种色情内容的连接、在各种在线游戏的聊天频道中发布各种中奖抽奖信息、使用各种即时通讯软件手动或通过之前被感染的用户自动向联系人发送带欺骗性质的网站链接等。

  被动攻击方式,是指攻击者通过入侵互联网上访问量大的站点,并在其页面中插入网页木马的代码,目前在IDC机房和企业内网中流行的通过ARP欺骗插入恶意网页链接也属于被动攻击方式,这种攻击方式属于广撒网的攻击方式,访问到该网站的用户都有可能感染其所带网页木马种植的恶意软件。

  虽然没有具体的统计结果,不过从最近的各安全公司发布的攻击趋势来看,网页木马主动攻击和被动攻击的发起频率差不多。如果用户不慎访问了有可能带有网页木马的网站,如何识别正在发生的网页木马攻击?用户可以根据以下的几个最常见的现象来判断:系统反应速度:目前攻击者构建网页木马所使用的IE浏览器漏洞,包括最新的MS07004 VML漏洞,都是利用构造大量数据溢出浏览器或组件的缓冲区来执行攻击代码的,因此,用户遭受溢出类的网页木马的攻击时,通常系统的反应会变得十分缓慢,CPU占用率很高,浏览器窗口没有响应,也无法使用任务管理器强行关闭。另外,在一些内存小于512M的系统上,溢出类的网页木马攻击时,系统会频繁的对磁盘进行读写操作(物理内存不够用,系统自动扩大虚拟内存)。

  进程变化情况:有少数的IE浏览器漏洞不属于缓冲区溢出的漏洞,比如去年初出现的MS06014 XML漏洞,用户在遭受使用它所构造的网页木马的攻击时,系统反应不会有明显的变化或者磁盘读写,顶多有时会短暂出现系统等待的沙漏图标,不过时间很短,用户一不留意就会错过。这种情况下,用户可以打开任务管理器或使用Process Explorer,查看是否有非用户启动的Iexplore.exe进程、名字比较奇怪的进程等来判断是否遭受了网页木马的攻击。

  浏览器显示:攻击者在使用网页木马的被动攻击方式时,通常会在被其控制的合法网站上使用HTML中的iframe语句或java script方式来调用网页木马,如果用户在打开某个合法网站时,发现IE浏览器左下角的状态栏一直显示一个和当前浏览网站一点关系都没有的地址,同时系统响应变得很慢,或者是鼠标指针变成沙漏形状,便有可能正在遭受网页木马的攻击。

  安全软件报警:安全软件报警也许是对用户来说最安全的一种网页木马攻击迹象,但目前市面上有相当多的反病毒软件检测不出用java script和vbscript 进行过加密的网页木马,因此反病毒软件不报警不一定说明网站就是安全的。

  攻击手法花样翻新,网页木马防不胜防,处于技术弱势地位的用户如何进行防御:
  1、系统补丁要及时更新,绝大部分的网页木马受害者都忽略了自己所使用的系统及应用软件的补丁升级。毕竟只有极少数的攻击者会使用昂贵的0day 浏览器漏洞来做网页木马,及时更新系统及软件的安全补丁可以防御大部分的网页木马。

  2、安装并及时更新反病毒软件,用户可尽量选择网页木马查杀能力较强的反病毒软件,并及时更新病毒特征库,这样的话,即使网页木马使用了最新的加密技术躲过反病毒软件的检测,但较新的病毒特征库也能尽可能用户免受紧跟网页木马而来的恶意软件的损害。

  3、使用第三方浏览器,由于目前互联网上常见的网页木马所使用的是针对IE浏览器及其ActiveX控件的漏洞,因此,使用Firefox/Opera等非IE内核的第三方浏览器可以从源头上堵住网页木马的攻击,不过第三方浏览器在页面兼容性上稍逊IE浏览器,而且一些特别的网页,如各种使用ActiveX密码登陆控件的网上银行不能使用第三方浏览器登陆,用户在浏览这类网页时可使用IE浏览器。

  4、养成安全的网站浏览习惯,用户应该养成安全的网站浏览习惯,不要随便点击各种来源不明,说明带有引诱语言的链接,防止落入攻击者的陷阱;遇到合法网站被攻击者攻陷并挂上网页木马,用户也应该报告网站管理员。 

基于机器学习的网页木马识别方法研究_陈时敏

  • 2016年01月13日 11:36
  • 1.31MB
  • 下载

教你几招识别和防御Web网页木马

根据反病毒厂商Sophos今年的第一、第二季度报告,网页已经超过电子邮件成为恶意软件传播时最喜欢使用的途径,通过网页传播的恶意软件平均每月增加300多种。而对用户来说,因为用户自己在互联网浏览时的安全...
  • ecitnet
  • ecitnet
  • 2007-10-16 09:04:00
  • 402

如何进行网站挂马检测与清除

转自:http://sec.chinabyte.com/206/8919706.shtml 不完全统计,90%的网站都被挂过马,挂马是指在获取网站或者网站服务器的部分或者全部权限后,在网页文...
  • yu422560654
  • yu422560654
  • 2012-06-29 10:27:29
  • 17282

腾讯大牛教你web前后端漏洞分析与防御-CSRF

跨站请求伪造攻击CSRF(Cross Site Request Forgy) csrf是让用户在不知情的情况,冒用其身份发起了一个请求 点击不知情链接,图片url.src 发送给http:/...
  • qq_33936481
  • qq_33936481
  • 2017-08-24 10:09:23
  • 417

腾讯大牛教你web前后端漏洞分析与防御-密码安全

需求:NodeJS->接入层->密码管理,加密密码作用信息摘要算法(哈希算法)这种函数是一种摘要算法,你给他输入一个任意长的数据A他给你返回固定长度的数据B,也称B为“指纹”。 明文 -> 密文 雪...
  • qq_33936481
  • qq_33936481
  • 2017-08-26 21:51:45
  • 647

“上传漏洞”安全检测网站详解

“上传漏洞”安全检测网站详解 “上传漏洞”入侵是目前对网站最广泛的入侵方法。90%的具有上传页面的网站,都存在上传漏洞。本文将介绍常见的上传漏洞及其防范技巧。  一、能直接上传asp文件的漏洞 (...
  • junweifan
  • junweifan
  • 2012-05-26 11:47:08
  • 3477

Web恶意代码检测方法

1  引言     随着Web2.0网站的普及和互动性的增强,统计显示Web应用漏洞已成为互联网的最大安全隐患,2009年第一季度截获的挂马网站(网页数量)总数目为 197676188个,平均每天截...
  • qiuzhi__ke
  • qiuzhi__ke
  • 2016-07-28 18:23:41
  • 3272

腾讯大牛教你web前后端漏洞分析与防御-信息泄露

利用OAuth思想防止资料泄露 去掉数据库查询 改用调用Token拒绝服务DOS 模拟正常用户 大量占用服务器资源(上线)->系统崩溃 类型 TCP半连接 HTTP连接 DNS 分布式拒绝服务攻击D...
  • qq_33936481
  • qq_33936481
  • 2017-08-24 21:46:42
  • 615

教你几招对付银行里态度恶劣的工作人员

刚看了一篇口水帖,不仅勾起了我不爽的回忆:一次去工行提钱,提款机人多,前台是一小伙。我递了张卡进去:“取2000”那粉面小生头都没抬:“小额到提款机取”我怒:“多少算小额”那小子抬头瞧我一眼,眼神极不...
  • qiufa
  • qiufa
  • 2006-12-05 10:12:00
  • 657

一步一步教你来识别病毒

  很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就懵了,那么...
  • gudufuyun
  • gudufuyun
  • 2007-06-03 18:17:00
  • 342
收藏助手
不良信息举报
您举报文章:教你几招识别和防御Web网页木马
举报原因:
原因补充:

(最多只允许输入30个字)