过滤不严QQ绿盾成摆设
安全阵线
QQ是大家最常用的通讯工具,也是恶意网站传播眷顾的地方之一。很多人中毒或者上了钓鱼网站的当,就是因为点击了QQ里面的恶意网址。有些恶意网址会伪装成QQ安全中心认可的安全网址,让人防不胜防。以前绕过QQ安全中心的方法已经失效了,目前一种利用某些网站的搜索服务,伪造网址绕过QQ安全中心的新方法正在大面积流传。我们该如何防范呢?
QQ安全中心原理
QQ安全中心显示网址有3种标志。
■代表的是QQ安全中心认为安全的网址,这种网址直接单击就能够打开。
■代表的是未知网站,无法给出安全性判断(图1)。
■代表的是不安全的链接(图2)。
QQ安全中心的工作原理非常简单,它就是通过常见的黑白名单来进行判断的。首先腾讯把知名的网站地址加入白名单,而把自己收集的恶意网站地址,以及QQ网友举报的网址添加到黑名单。
当用户发送网址信息后,安全中心会对发送的网址信息进行对比,然后根据黑白名单中的数据库信息进行判断。判断完成以后,会在信息中添加相应的提示图标和信息,防止用户误入黑客设置的网络陷阱里面。
利用搜索服务骗取绿盾
突破QQ安全中心的原理也非常简单。就是把需要发送的恶意网址,伪装成白名单中某个知名网站的网址,这样QQ安全中心也会认为这个网址就是那个“知名网站”,从而轻易地突破QQ安全中心的分析判断。
以前网上很流行用#构造特殊的链接,可以绕过QQ网站链接过滤的审核,成为安全网址,不过这种方式目前已经失去效果了。但这并不表示黑客就不可能再伪装安全网址了,他们有新的方法。他们利用某些知名网页的搜索服务来实现跳转,这样构造的特殊链接就可以通过QQ安全中心认证。
现在很多黑客都是利用工具来伪装网址的,我们以《Ghost-HK Team 木马地址伪装器》为例分析伪装的过程。运行《Ghost-HK Team 木马地址伪装器》,在“请输入您的网马地址”中输入需要发送的恶意网址,这里以www.muma.cn为例(图3)。
输入完成后,在下面选择需要伪装的知名网站信息。这里点击“迅雷伪装”按钮,然后程序会在“伪装后的地址”中生成一长串地址信息,这就是经过伪装后的恶意网址。现在点击“复制到剪贴板”按钮,然后将它复制到QQ聊天窗口里面,再通过QQ消息发送该网址即可(图4)。
防范技巧
不要随便打开QQ中发送的网址,特别是陌生的网址。如果要打开网址,不要只看标志,还要看网址是否存在跳转的,例如http://pro.163.com/56113830/../event.ng/Type=&Redirect=http://www.52cmd.cn等带有两个地址链接(就是网址中有两个http),是典型的跳转网址,这样的网址千万不要打开。此外,还要及时给系统打补丁,堵上常用软件漏洞,最好还安装可以拦截网页木马的安全辅助工具。
小提示:
如果想打开某一个网页,但是又不能确定它是否安全,可以使用《影子系统》软件进行测试。《影子系统》软件可以营造一个虚拟的系统环境,在里面打开网页,不管网页是否有病毒,关闭《影子系统》后一切都会被还原,这样就可以在安全的环境下看陌生的网页了。