互联网安全的头号杀手——网页攻击
技术与开发
本期技术专家:须益华
趋势科技(中国)有限公司 技术支持主管
浏览网页,是每个网民都无法回避的,但你是否意识到,就是这样一个再平常不过的行为,却蕴藏着可怕的危险?当你仅仅因为好奇打开了一个看似正常的网页,让我们来看看接下来会发生什么:频繁弹出网页窗口;电脑里突然多出了很多木马病毒;电脑完全不听你“指挥”了;你的私密照片被人公布到互联网上;QQ、游戏账号被盗;股票莫名其妙地被人高买低卖了;银行账号中的资金不翼而飞……不用怀疑,用搜索引擎搜一下,类似的真实案例比比皆是,而这些事件的幕后黑手就是——网页攻击!更为可怕的是,如今网页攻击已经如此泛滥:几乎每一次打开陌生的网页,你都有可能遭遇网页攻击。
网页攻击成安全最大威胁
网页攻击,简单地说就是利用网页为载体发起的攻击。在互联网的发展过程中,网络所面临的安全威胁一直存在并越来越严重,而安全威胁的载体也一直在变化着。最初,恶意软件或病毒被嵌入到可执行文件中,将可执行文件作为恶意软件载体(如宏病毒)。数年后,伴随着Internet的迅猛发展,电子邮件被作为新的病毒载体,更大范围更迅速地传播病毒(如 “我爱你”和“梅丽莎”病毒)。
而今天,网页成了恶意软件、病毒等最喜欢的载体。从2005年开始,利用网页发起的攻击逐年上升,在2007年,更是呈爆炸式增长, 大量的网页被用作恶意软件、病毒等的传播工具。2007年,搜索巨头Google公布的一组调查数据显示,10%的网页含有恶意代码,即平均每十个搜寻结果里,就有一个含有可能会破坏用户电脑的隐藏性恶意程序;而反病毒厂商江民科技也曾发布类似数据:80%以上的用户是因为浏览网页而感染病毒……
2008年,网页攻击将成为互联网安全的头号杀手!利用网页发起的攻击会变得更加普遍,而网页攻击的范围也越来越广:金融类网站、银行网站、门户网站、热门社区网站都成为黑客瞄准的对象,一旦这些网站被黑客攻破植入恶意代码,给用户带来的损失将是难以估量的。
黑客为何偏爱网页攻击
从上面的安全威胁的载体变化也可以看出,可执行文件或电子邮件被选作恶意软件、病毒载体,它们具有2个明显的特征:被广泛地使用和被保护得最少,这使得黑客发起的攻击不易被觉察,同时能波及到更多的人。而网页攻击成为黑客偏爱自然也少不了这个原因:目前几乎每位互联网用户,都被反垃圾邮件技术和反病毒邮件技术所保护,而如果通过网页发动攻击,那么黑客的成功率会更高。
另一方面,互联网环境和技术的发展也为黑客发起网页攻击提供了一些“便利”。譬如Web 2.0 的各种技术 (如ActiveX、 Javascript等) 频频采用下载式触发 (drive-by-download),很多操作都是在后台自动完成的,用户难以觉察,因此用户只要登录恶意网站便可能遭受感染。而随着越来越多的 Web 2.0 网站的兴起,不断出现了更多具有互动能力的 Web 应用程序,而这些程序也成为攻击者热衷利用的载体,恶意程序、病毒作者会不断寻找这些程序技术上的瑕疵,用以执行他们的恶意程序代码。
由于网页攻击可以在用户完全没有察觉的情况下进入网络,而浏览网页又是最常见的网络行为,因此对于攻击者而言,这种攻击方式无疑最具吸引力,成功率也最高。
你了解这些网页攻击行为吗
相信很多人都曾遭遇过网页攻击,譬如访问一个网页后,IE被绑架,每次打开IE都指向一个固定的页面,这就是一种典型的网页攻击行为。目前,来自网页的威胁表现形式可以说是多种多样,我们先来了解一些最常见的网页攻击行为。
1.网站挂马
黑客通常利用网站服务器的漏洞获取写操作权限,并偷偷窜改访问量高的页面(如主页),在网页中嵌入恶意链接或恶意代码,这种招术就是网站挂马。
通常这些恶意链接或代码会利用访问者浏览器(如IE、Firefox等)的热门漏洞,一旦用户不小心访问该挂马的网站,会在无任何察觉的情况下感染病毒和恶意代码。正常网站被入侵后携带病毒也属于这种攻击。
譬如趋势科技曾监测到的一个恶性网页威胁(网页地址为hxxp://xx.9{block}.org/ip/1.htm),该网页含近150个病毒感染客户端,其中包括104个木马程序,并且90%以上的木马程序均为盗号木马。这一恶意网页通过以下两种方式到达客户机器:一种是利用客户网络中的ARP病毒,将该网页链接插入到流经HTTP代理服务器的所有HTTP网页中;其次,感染互联网上Web服务器上的网页文件,被插入如上链接。
据查,在国内广泛使用的浏览器插件(BHO)中,一些近期很热门的漏洞也被这一病毒利用并进行大肆传播。用户一旦上网浏览了病毒网页,该网页就会被IE自动执行。由于病毒网页中包含利用IE iFrame 的代码,将导致IE被先后复位到10个网站的近30个恶意网页。紧接着,一连串的恶意网页会利用IE和BHO漏洞直接下载至少4个“下载者”病毒。一旦“下载者”病毒登录到用户机器就会根据自身携带的配置参数,自动批量下载其它病毒,直至下载上百只以上不同种类的病毒。
2.网络钓鱼
网络钓鱼是指一种企图通过在网络沟通中伪装成可信实体,欺骗性地获得敏感信息(如用户名、密码、信用卡信息等)的一种攻击手段。电子支付网站(如淘宝、eBay、PayPal等)和网上银行(如工商银行网上银行等) 是最常见的钓鱼网站伪装目标.
网络钓鱼一般通过电子邮件或即时消息等途径进行,常诱使用户在假冒的网站上输入详细信息,除此之外,电话联系的手段也会被用到,网络钓鱼属于利用社会工程学技术来诱骗用户的一种。
目前网络钓鱼非常猖獗,很多热门事件都是网络钓鱼利用的对象。比如iPhone刚在美国推出,黑客就掌握时机展开网络钓鱼诈骗活动:一只名为TROJ_AYFONE.A的木马借着用户浏览某些恶意网站时暗中植入系统,在用户每次启动IE 时,监控用户上网行为。一旦受害者利用Google、MSN、Yahoo进行与 iPhone相关的搜寻时,就会跳出一个与关键词相关的弹出式窗口,或者被导向植入恶意程序的网站。譬如当用户输入“iPhone.com”,浏览器不会开启Apple 的官方网站,而是转向http://www.{BLOCKED}hone.com这个钓鱼网站,引诱用户在此订购 iPhone。然而,用户可能难以察觉,因为这个木马程序会伪造网址,在浏览器的网址列中显示 www.iphone.com 。
由于地下市场可供应网络钓鱼工具套件,而且在线据点容易取得 (域名注册费用较为便宜),因此网络钓鱼诈骗攻击行为也是逐年上升。
3.网页木马
网页木马是指一类嵌有恶意脚本的网页,通常是用HTML、VBS、JS、Java Apple、PHP等脚本语言编写。这种网页通常会窜改浏览器首页设定,强迫用户访问广告或恶意网站,有些恶意脚本用来收集用户的网站浏览历史和隐私信息,用来分析用户上网行为和投放定向广告,无故弹出广告和网页恶作剧属于此类。
举例来说,恶意程序作者可能在网页中加入 Javascript 程序代码,在网页加载时将浏览器转向特定网址,然后在浏览器中加载其它 Javascript 程序代码。这能让恶意程序作者使用简单而无害,而且看似正常的命令,在用户的浏览器中任意插入各种恶意程序代码。这些程序代码可能从事各种活动,例如扫瞄用户的书签与 Cookie,并将收集到的信息传送至网络罪犯设立的服务器,而不被用户发现。许多用户会选择让浏览器记住特定网站的用户名称与密码。因此,取得浏览器中的书签之后,网络罪犯便能从中找出用户的在线银行网站,而取得用户的 Cookie 便能让他们插入用户的名称与密码。如此一来,网络罪犯便能取得用户的银行账户信息。
另一个例子是恶意 Javascript 程序代码能重新将用户书签中某些看起来较有趣的网址重新对应至网络罪犯的服务器。此服务器能设置网络钓鱼网页,引诱用户透露机密信息。由于用户可能误以为这是正常网页 (因为用户是从他们的最爱清单中直接点选) 而输入机密信息,导致这些数据遭窃。其它可能的威胁还包括取得计算机的控制权,用以发动服务阻断式攻击,散发垃圾邮件,对傀儡网络下达命令与进行控制,以及导致用户计算机违反企业规定等。
防范来自网页的威胁
网页攻击给网络安全造成的危害不言而喻,那么又该怎样来进行防范操作呢?既然网页威胁是由多个方面因素造成的,因此需要用户以及用户企业从不同的方面着手,才能尽量降低网页威胁带来的损失。
首先作为软件开发商的商家,在依靠用户群获取丰厚利润的同时,也应该同时承担着相关的社会责任。因为其软件产品出现的一系列严重漏洞,已经成为木马病毒传播的“快速通道”。所以这些应用软件厂商在挣钱的同时,应该多注意一下软件代码编写的审查,避免安全漏洞接二连三的出现,让自家的应用软件成为一个名副其实的“病毒下载器”。
另外安全厂商作为网络安全的主要服务商,除了不断的开发出全新的安全产品,来对已知的网络威胁进行防范以外。还需要及时提醒用户最新的网络威胁,从而避免用户被入侵或上当受骗,在第一时间里维护用户的个人信息安全。
对于用户来说,需要从两个方面着手进行操作。首先及时修复系统以及相关程序的安全漏洞,这样可以有效的防范网页木马等通过漏洞来进行的入侵。其次就是自身安全意识的提高。比如用户在遇到远程用户发送的文件,或是收到网络中奖等信息的话,一定要首先去官方查看有没有相关的服务,然后打电话去官方的客户进行核实,从而避免自己因此而上当受骗蒙受损失。