现在网上的网页木马多是几套固定的代码,变化并不多,包括脚本代码的加密方式,几乎也都是解释型的加密,由于黑客都是进行的流程化挂马,国外的黑客对于自动化分析网页木马也已经有了丰厚的成果。国内我所见过的自动化网马分析系统有360安全卫士和安恒等,其他包括国内的各大杀毒安全公司,现在几乎也都有一套自己的网马分析系统。
“挂马”这个词目前我们似乎经常能听到,那么什么是挂马呢?挂马就是黑客入侵了一些网站后,将自己编写的网页木马嵌入被黑网站的主页中,利用被黑网站的流量将自己的网页木马传播开去,以达到自己不可告人的目的。例如很多游戏网站被挂马,黑客的目的就是盗取浏览该网站玩家的游戏账号,而那些大型网站被挂马,则是为了搜集大量的肉鸡。网站被挂马不仅会让自己的网站失去信誉,丢失大量客户,也会让我们这些普通用户陷入黑客设下的陷阱,沦为黑客的肉鸡。下面就让我们来了解这种时下最流行的黑客攻击手段。
一、挂马的核心:木马
从“挂马”这个词中我们就可以知道,这和木马脱离不了关系。的确,挂马的目的就是将木马传播出去,挂马只是一种手段。挂马使用的木马大致可以分为两类:一类是以远程控制为目的的木马,黑客使用这种木马进行挂马攻击,其目的是为了得到大量的肉鸡,以此对某些网站实施拒绝服务攻击或达到其他目的(目前绝大多数实施拒绝服务攻击的傀儡计算机都是挂马攻击的受害者)。另一类是键盘记录木马,我们通常称其为盗号木马,其目的不言而喻,都是冲着我们的游戏帐号或者银行帐号来的。目前挂马所使用的木马多数属于后者。
二、木马的免杀伎俩
作为挂马所用的木马,其隐蔽性一定要高,这样就可以让用户在不知不觉中运行木马,也可以让挂马的页面存活更多的时间。黑客为了让木马躲避杀毒软件的查杀,使用的伎俩很多。通常使用的方法有:加壳处理:关于壳的概念我们曾经介绍过,就是为了让别人无法修改编译好的程序文件,同时压缩程序体积。木马经过加壳这一道工序后就有可能逃过杀毒软件的查杀,这也是为什么我们装了杀毒软件还会感染老病毒的原因。虽然目前的杀毒软件都支持对程序脱壳后再查杀,但只局限于一些比较热门的加壳程序,例如 aspack、UPX 等,而碰上一些经过冷门加壳程序处理后的木马时,就无能为力了。所以加壳仍是黑客比较常用的免杀伎俩之一。
三、冷门的加壳程序
修改特征码:杀毒软件是根据病毒特征码来判定一个程序是否是病毒的。杀毒软件在对程序进行检测时,如果在程序中发现了病毒特征码,就将该程序判定为病毒。黑客当然也明白这个道理,于是他们会修改木马中被定为特征码的部分代码,将其加密或使用汇编指令将其跳转,这样杀毒软件就无法在木马中找到病毒特征码,自然也就不会将其判定为病毒了。
虽然这两种方法都可以躲过杀毒软件的查杀,但是我们还是有办法阻止木马运行的,具体方法将在防范部分讲到。那么木马是如何“挂”在网站上的呢?这里我们以“灰鸽子”木马为例,演示一下黑客挂马的过程。演示用的“灰鸽子”木马已经经过免杀处理,杀毒软件无法查杀。
自动化分析网页木马需要一个好的页面分析系统,分离页面中的各种静态元素资源和脚本内容,同时需要一个模拟的脚本解释引擎和沙盒环境等。我这里仅说下我的两个小思路:
1.纯静态分析
只需要取到页面的静态内容,仅仅需要使用正则匹配分离出HTML内容和脚本内容,直接分析HTML内容,剩下的将分离出来的脚本内容丢给脚本解释引擎执行,当然这里有些小瓶颈,但我们可以改造脚本解释引擎,对某些网马所使用的关键函数进行处理,不难分离OBJECT和SHELLCODE之类的关键内容。javascript的解释引擎我们可以选择蜘蛛猴,当然这个东西有个致命的缺点,如果黑客使用VBSCRIPT或者封装代码进入FLASH等没有静态代码内容的文件执行脚本的话,很难再进行自动分析。
2.沙盒分析
鉴于第一种方式的种种缺点,我们仍然可以使用沙盒方式分析,直接把网马丢到真实的浏览器中跑,但之前我们需要使用第一个老思路先使用解决到几个关键的脚本函数,类似下脚本断点吧,输出关键内容或针对脚本的行为进行分析。IE的话我们可以使用COM HOOK,而FF甚至不需要大力气我们可以直接使用Greaseamonkey插件等。
以上仅仅是隐晦的说了两个小思路,没有涉及实际内容。我也是在慢慢摸索,“黑客”的挂马方式肯定是会越来越高级,这就需要我们广大的网络爱好者去不断的探索学习。
文章出自:http://hi.baidu.com/wajika/blog/item/074d7ba14468dd87471064b0.html
分享到:
相关推荐
MDecoder是一款自动化的网页挂马分析检测工具。可对网页进行自动化的解密与分析,探测是否被挂马,所挂网页木马利用何种漏洞,并可一键生成专业的挂马分析日志。
网页挂马分析专家MDecoder,这是一款非常强大的网页挂马分析工具,欢迎下载
网页挂马工作原理完全分析,希望识货的人过来赶快拿啊~~
网页挂马代码:X利用方式网页挂马代码:X利用方式
快速便捷分析挂马网站,你的分析助手。使用方便易懂。
本版本在1.0的基本上增加智能分析功能,对网页文件中存在的可疑代码有红色显示出来!! 修复功能能对网页中所有包含关键字的代码进行清除。 敬请用户朋友提出意见和建议!!
基于网页挂马的基础原理进行描述和讲解,对网页挂马有一定的了解
护卫神·网页挂马清理工具是一款完全免费的专业清理网页挂马代码的绿色实用小工具,主要是针对网页被频繁挂马的情况而研发的小软件,可以帮助您从海量文件中迅速定位挂马代码并清除,减少您的工作量。 Tags: 挂马...
网站挂马扫描分析器MScaner v0.3 仅供参考。
MDecoder-挂马监测分析工具用于安全扫描分析
基于HTTP会话过程跟踪的网页挂马攻击检测方法
挂马网站分析追溯技术与实践,您不可或缺的一本书
本文件内涵多种挂马代码。含有HTM JS调用等等,涉及到网页函数。
木马守护神 网页挂马清理,还是很好用的 欢迎交流使用
案例背景:狩猎女神项目组于2007年10月进行的中国万维网挂马现象采样分析过程中,发现了一个庞大的木马网络,宿主站点为18dd.net,大量被挂马网站最终都将访
近年来挂马网页对Web安全造成严重威胁,客户端的主要防御手段包括反病毒软件与恶意站点黑名单。反病毒软件采用特征码匹配方法,无法有效检测经过加密与混淆变形的网页脚本代码;黑名单无法防御最新出现的恶意站点。...
行业资料-交通装置-web挂马网页的识别方法.zip
内容简介:2007 年 10 月,北京大学计算机科学技术研究所信息安全工程研究中心蜜网课题组的成员在利用蜜网系统分析挂马网站时,发现了一个域名为 18dd.ne
10个挂马代码10个挂马代码10个挂马代码
JS文件挂马代码分析,可以看看,打开cookie.js文件后,发现其中多了如下代码: eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,S