网页挂马是近几年来黑客的主流攻击方式之一,在2008年到2010年间,网页挂马攻击更是成为了黑客最主要的攻击手段。根据瑞星“云安全”系统监测,2008年到2010年间,客户端受到恶意网马的年攻击次数达到千万级别。虽然近两年来,网络钓鱼攻击已经在数量上超越了网页挂马攻击,但是网页挂马攻击所带来的危害依然巨大,不仅对网站的安全运行造成威胁,对客户端用户来说,网马攻击将直接造成游戏账号密码及银行账号密码被窃取、敏感信息泄露等严重影响。
常见挂马方式解析
网页挂马攻击指黑客在入侵网站成功获取网站权限以后,在网站的页面中插入一些代码,当浏览者访问到这些包含有恶意代码的网页时,就会在不知不觉中执行相应的漏洞利用程序。这些程序可以在浏览者的电脑上下载并执行木马程序,导致浏览者的电脑成为黑客的肉鸡。挂马操作可以有多种方式实现,以下是比较常见的几种挂马攻击手段。
1.框架挂马
框架挂马是指在网页中创建一个宽度和高度都为0的框架,在访问网页时,从网页表面是无法通过肉眼看到这个框架的,只能通过网页源码分析或抓包的方式查看到相应的数据信息。
2. JS文件挂马
JS文件挂马是指黑客插入JS代码到网页中,同时恶意篡改网站文件中的JS文件代。一般来讲,那些被全站引用的JS代码最容易被黑客挂马。
3. JS变形加密
JS变形加密一般是使用某种加密方式对JS文件挂马代码进行加密处理,黑客通过加密代码的方式隐藏了该信息。
4. body挂马
body挂马是通过向body标签插入恶意代码实现的,当用户访问挂有以上代码的网页时,页面就会自动跳转去执行黑客指定的恶意页面,从而导致挂在恶意页面的木马在本地被执行。
5. 隐蔽挂马
黑客将一段Javascript代码放在一些比较隐蔽的位置,当页面执行时,会通过DOM操作的方式创建框架访问黑客指定的挂马页面,从而实现恶意代码的执行。
6. css中挂马
黑客可以利用CSS代码来实现挂马,当网页代码执行到body部分时,会根据CSS定义的背景图片地址进行访问,而访问的内容是通过javascript伪协议的方式执行相应的恶意代码。
网页挂马的防范
据瑞星安全专家介绍,对于普通用户来说,防范网页挂马攻击可以从以下几方面做起。
1. 使用较安全的操作系统版本及浏览器。Windows7的安全性和兼容性较vista及先前版本有很大的提高,而且Windows7下IE8默认开启了数据执行保护(DEP),可以在一定程度上保护客户端系统免受恶意代码的攻击。同样类似,firefox、chrome浏览器也有一定的恶意网址和代码拦截的功能。
2. 安装安全防护软件。网页挂马已经流行多年,随着安全服务厂商对网页挂马攻击方式研究的不断深入,目前大多数的安全防护软件都具备恶意网址拦截和网马攻击拦截的功能,用户只需要在客户端环境中安装安全防护软件就可以对恶意网页挂马攻击行为进行拦截,下图为永久免费的瑞星杀毒软件V16(下载地址http://www.rising.com.cn/2012/v16/)对目前网络环境中正在传播的网页挂马代码的拦截提示信息。
图:瑞星杀毒软件V16拦截网页挂马代码
3. 用户也可以通过浏览器安全参数设置及可信站点设置等信息防范网页木马攻击行为,如禁用浏览器ActiveX控件和插件脚本就可以在一定程度上减少被攻击的概率,浏览器Internet选项中安全表单项中可以找到相关的详细设置。