網(wǎng)頁(yè)木馬的攻擊與防御知識(shí)

　　什么叫網(wǎng)頁(yè)木馬?

　　網(wǎng)頁(yè)木馬就是表面上偽裝成普通的網(wǎng)頁(yè)文件或是將惡意的代碼直接插入到正常的網(wǎng)頁(yè)文件中，當(dāng)有人訪問時(shí)，網(wǎng)頁(yè)木馬就會(huì)利用對(duì)方系統(tǒng)或者瀏覽器的漏洞自動(dòng)將配置好的木馬的服務(wù)端下載到訪問者的電腦上來(lái)自動(dòng)執(zhí)行。

　　網(wǎng)頁(yè)木馬的攻擊方式有哪些?

　　主動(dòng)攻擊方式，就是攻擊者通過各種欺騙，引誘等手段，誘使用戶訪問放置有網(wǎng)頁(yè)木馬的網(wǎng)站，如果用戶不小心訪問了該惡意網(wǎng)站，就有可能感染惡意軟件。這種攻擊方式常見的案例有，攻擊者在各種論壇、聊天室、博客留言等用戶集中的區(qū)域發(fā)布各種色情內(nèi)容的連接、在各種在線游戲的聊天頻道中發(fā)布各種中獎(jiǎng)抽獎(jiǎng)信息、使用各種即時(shí)通訊軟件手動(dòng)或通過之前被感染的用戶自動(dòng)向聯(lián)系人發(fā)送帶欺騙性質(zhì)的網(wǎng)站鏈接等。

　　被動(dòng)攻擊方式，是指攻擊者通過入侵互聯(lián)網(wǎng)上訪問量大的站點(diǎn)，并在其頁(yè)面中插入網(wǎng)頁(yè)木馬的代碼，目前在IDC機(jī)房和企業(yè)內(nèi)網(wǎng)中流行的通過ARP欺騙插入惡意網(wǎng)頁(yè)鏈接也屬于被動(dòng)攻擊方式，這種攻擊方式屬于廣撒網(wǎng)的攻擊方式，訪問到該網(wǎng)站的用戶都有可能感染其所帶網(wǎng)頁(yè)木馬種植的惡意軟件。

　　雖然沒有具體的統(tǒng)計(jì)結(jié)果，不過從最近的各安全公司發(fā)布的攻擊趨勢(shì)來(lái)看，網(wǎng)頁(yè)木馬主動(dòng)攻擊和被動(dòng)攻擊的發(fā)起頻率差不多。如果用戶不慎訪問了有可能帶有網(wǎng)頁(yè)木馬的網(wǎng)站，如何識(shí)別正在發(fā)生的網(wǎng)頁(yè)木馬攻擊?用戶可以根據(jù)以下的幾個(gè)最常見的現(xiàn)象來(lái)判斷：

　　系統(tǒng)反應(yīng)速度：目前攻擊者構(gòu)建網(wǎng)頁(yè)木馬所使用的IE瀏覽器漏洞，包括最新的MS07004 VML漏洞，都是利用構(gòu)造大量數(shù)據(jù)溢出瀏覽器或組件的緩沖區(qū)來(lái)執(zhí)行攻擊代碼的，因此，用戶遭受溢出類的網(wǎng)頁(yè)木馬的攻擊時(shí)，通常系統(tǒng)的反應(yīng)會(huì)變得十分緩慢，CPU占用率很高，瀏覽器窗口沒有響應(yīng)，也無(wú)法使用任務(wù)管理器強(qiáng)行關(guān)閉。另外，在一些內(nèi)存小于512M的系統(tǒng)上，溢出類的網(wǎng)頁(yè)木馬攻擊時(shí)，系統(tǒng)會(huì)頻繁的對(duì)磁盤進(jìn)行讀寫操作(物理內(nèi)存不夠用，系統(tǒng)自動(dòng)擴(kuò)大虛擬內(nèi)存)。

　　進(jìn)程變化情況：有少數(shù)的IE瀏覽器漏洞不屬于緩沖區(qū)溢出的漏洞，比如去年初出現(xiàn)的MS06014 XML漏洞，用戶在遭受使用它所構(gòu)造的網(wǎng)頁(yè)木馬的攻擊時(shí)，系統(tǒng)反應(yīng)不會(huì)有明顯的變化或者磁盤讀寫，頂多有時(shí)會(huì)短暫出現(xiàn)系統(tǒng)等待的沙漏圖標(biāo)，不過時(shí)間很短，用戶一不留意就會(huì)錯(cuò)過。這種情況下，用戶可以打開任務(wù)管理器或使用Process Explorer，查看是否有非用戶啟動(dòng)的Iexplore.exe進(jìn)程、名字比較奇怪的進(jìn)程等來(lái)判斷是否遭受了網(wǎng)頁(yè)木馬的攻擊。

　　瀏覽器顯示：攻擊者在使用網(wǎng)頁(yè)木馬的被動(dòng)攻擊方式時(shí)，通常會(huì)在被其控制的合法網(wǎng)站上使用HTML中的iframe語(yǔ)句或java script方式來(lái)調(diào)用網(wǎng)頁(yè)木馬，如果用戶在打開某個(gè)合法網(wǎng)站時(shí)，發(fā)現(xiàn)IE瀏覽器左下角的狀態(tài)欄一直顯示一個(gè)和當(dāng)前瀏覽網(wǎng)站一點(diǎn)關(guān)系都沒有的地址，同時(shí)系統(tǒng)響應(yīng)變得很慢，或者是鼠標(biāo)指針變成沙漏形狀，便有可能正在遭受網(wǎng)頁(yè)木馬的攻擊。

　　安全軟件報(bào)警：安全軟件報(bào)警也許是對(duì)用戶來(lái)說最安全的一種網(wǎng)頁(yè)木馬攻擊跡象，但目前市面上有相當(dāng)多的反病毒軟件檢測(cè)不出用java script和vbscript 進(jìn)行過加密的網(wǎng)頁(yè)木馬，因此反病毒軟件不報(bào)警不一定說明網(wǎng)站就是安全的。

　　應(yīng)該如何防御網(wǎng)頁(yè)木馬的攻擊?

　　1、系統(tǒng)補(bǔ)丁要及時(shí)更新，絕大部分的網(wǎng)頁(yè)木馬受害者都忽略了自己所使用的系統(tǒng)及應(yīng)用軟件的補(bǔ)丁升級(jí)。畢竟只有極少數(shù)的攻擊者會(huì)使用昂貴的0day 瀏覽器漏洞來(lái)做網(wǎng)頁(yè)木馬，及時(shí)更新系統(tǒng)及軟件的安全補(bǔ)丁可以防御大部分的網(wǎng)頁(yè)木馬。

　　2、安裝并及時(shí)更新反病毒軟件，用戶可盡量選擇網(wǎng)頁(yè)木馬查殺能力較強(qiáng)的反病毒軟件，并及時(shí)更新病毒特征庫(kù)，這樣的話，即使網(wǎng)頁(yè)木馬使用了最新的加密技術(shù)躲過反病毒軟件的檢測(cè)，但較新的病毒特征庫(kù)也能盡可能用戶免受緊跟網(wǎng)頁(yè)木馬而來(lái)的惡意軟件的損害。

　　3、使用第三方瀏覽器，由于目前互聯(lián)網(wǎng)上常見的網(wǎng)頁(yè)木馬所使用的是針對(duì)IE瀏覽器及其ActiveX控件的漏洞，因此，使用Firefox/Opera等非IE內(nèi)核的第三方瀏覽器可以從源頭上堵住網(wǎng)頁(yè)木馬的攻擊，不過第三方瀏覽器在頁(yè)面兼容性上稍遜IE瀏覽器，而且一些特別的網(wǎng)頁(yè)，如各種使用ActiveX密碼登陸控件的網(wǎng)上銀行不能使用第三方瀏覽器登陸，用戶在瀏覽這類網(wǎng)頁(yè)時(shí)可使用IE瀏覽器。

　　4、養(yǎng)成安全的網(wǎng)站瀏覽習(xí)慣，用戶應(yīng)該養(yǎng)成安全的網(wǎng)站瀏覽習(xí)慣，不要隨便點(diǎn)擊各種來(lái)源不明，說明帶有引誘語(yǔ)言的鏈接，防止落入攻擊者的陷阱;遇到合法網(wǎng)站被攻擊者攻陷并掛上網(wǎng)頁(yè)木馬，用戶也應(yīng)該報(bào)告網(wǎng)站管理員。