一名安全專家在本周指出，利用網(wǎng)站入侵使用者PC的黑客，現(xiàn)在已經(jīng)越來越知道如何隱藏惡意代碼。

用于攻擊PC的代碼，通常用JavaScript編寫，大多藏在Flash動(dòng)畫中或自我打亂，使試圖檢查網(wǎng)頁源代碼的人員難以察覺， Arbor Networks 資深軟件工程師Jose Nazario在溫哥華召開的CanSecWest安全大會(huì)上的演示中指出。

“模糊化工具簡(jiǎn)單而有效，”Nazario說。“他們利用模糊化伎倆就可以躲過簡(jiǎn)單的簽名比對(duì)，”他提及依靠簽名來檢測(cè)惡意網(wǎng)站的技術(shù)時(shí)說道。簽名可以說是已知攻擊的指紋。

Web攻擊已愈來愈普遍。據(jù)StopBadware.org稱，有成千上萬的網(wǎng)站上可能安裝有惡意代碼，其中大部份網(wǎng)站是被攻破的網(wǎng)站，然后攻擊者一般通過Web瀏覽器的安全漏洞將木馬或其它惡意代碼植入用戶PC中。

而許多攻擊都是利用JavaScript。最初攻擊者在攻擊中利用普通的JavaScript，不過這種情況已經(jīng)發(fā)生改變，Nazario說。他已發(fā)現(xiàn)一種名為“makemelaugh”的腳本功能，它可下載截獲銀行信息和Paris Hilton的Flash動(dòng)畫的木馬，安裝一個(gè)工具使用戶PC成為傀儡網(wǎng)絡(luò)的一部分。

攻擊者還試圖編寫惡意網(wǎng)站，只在同一臺(tái)PC上加載一次他們的惡意代碼，希望以此騙過安全專業(yè)人士，Nazario稱。此外，一種叫做NeoSploit的工具包還會(huì)識(shí)別瀏覽器種類，然后選擇適當(dāng)?shù)墓舴绞?，他說。

不過安全人員也有辦法調(diào)查攻擊，Nazario說。“由于JavaScript在被瀏覽器使用前必須先解碼，這給攻擊者造成限制。只要你能在瀏覽器外加以分析，就能夠找到處理辦法，”他說。

我們也可以使打散的代碼變得易讀，因?yàn)樗话闶怯煤?jiǎn)單的Base64編碼來進(jìn)行模糊化，而非真正的加密，Nazario說。他建議使用NJS、SpiderMonkey和Rhino來檢查腳本代碼。Flash文件則可用一種叫做Flasm的程序進(jìn)行分析，他指出。

惡意JavaScript代碼可嵌入到網(wǎng)頁中，并通常在用戶使用任何普通的瀏覽器查看頁面時(shí)，不向使用者發(fā)出警告就開始運(yùn)行。攻擊者企圖引誘你訪問他們建立的惡意網(wǎng)站；另外，利用一種叫做跨網(wǎng)站腳本的常見弱點(diǎn)，黑客還可以通過一個(gè)可信網(wǎng)站發(fā)動(dòng)攻擊。

要防范惡意JavaScript代碼，網(wǎng)絡(luò)瀏覽者可以禁用JavaScript功能，但那樣也使許多網(wǎng)站的功能受到限制。另一個(gè)方法是使用擁有已知不良網(wǎng)站黑名單的安全工具，像McAfee的SiteAdvisor或Google的工具欄或者桌面軟件。

此外，你還可以利用Exploit Prevention Labs的LinkScanner，它可監(jiān)控進(jìn)入PC的流量并阻止已知攻擊。

責(zé)任編輯：德東

查看本文國(guó)際來源