不安分的网页—网页木马的守株待兔

三. 系统漏洞凑热闹：挂马王“MS06-014”与“MS07-017”
当MIME头部解析漏洞基本销声匿迹后，入侵者除了通过第三方插件引发浏览器漏洞以外，还能利用系统漏洞进行入侵吗？答案是肯定的，虽然系统漏洞大家都“补”上了，但是总会有一些意外特例存在，例如真正存在漏洞的文件并未被更新或者在某种条件下被旧版本恢复，这时候即使所有的安全报告都显示它是“打过补丁”的，但是它仍然引发了理应已经补上的漏洞，如大名鼎鼎的系统漏洞“MS06-014”，虽然微软早已发布安全更新，可是仍然有一部分用户遭其毒手，所以在国内，它又被称为“挂马王”。

2006年4月11日，微软发布了一个等级标记为“严重”的安全更新，代号为“MS06-014”，它的描述为“MS06-014：MDAC功能存在可能允许执行代码的漏洞”，这个漏洞实际上由至少3种系统组件配合引发，首先是被大量应用于Web2.0交互的核心AJAX技术所需的HTTP数据请求组件“Microsoft.XMLHTTP”，它被入侵者设置为获取一个网络空间上放置的恶意木马程序；接下来，本次漏洞的主角“Adodb.Stream”出场，它将XMLHTTP组件获取的数据写入用户的系统中，这两个组件的搭配完成了一次恶意程序的下载过程；最终，入侵者构造一个“Shell.Application”组件将下载完成的恶意程序执行，就完成了这个漏洞的所有步骤。
虽然厂商及时发布了补丁，但是或许是因为MDAC这个数据库操作组件的环境依赖性质，一部分用户的组件实际上并未成功修补，从而埋下了一个隐患，当用户浏览到某个被植入这个漏洞触发代码的网站时，邪恶的代码就在后台悄悄下载执行了。

而另一个，则是相对出名的“MS07-017”漏洞，官方定义名称为“Microsoft Windows动画光标畸形ANI头结构远程栈溢出漏洞”，也就是俗称的“ANI漏洞”，它刚问世的时候就引发了一场轰动，因为它是以“0day”的方式出现的。

许多用户对“动画光标”的概念不太清晰，其实你可以简单的将它理解为动画形式的鼠标指针——点击“开始”、“运行”，输入“cursors”回车，如果你在配置Windows组件时选择了“动画光标”，那么这里就会看到一些类似图标的文件，在任意一个文件上单击右键查看属性，你会发现它的文件类型描述为“动态光标”，后缀名是“.ani”——这就是“ANI漏洞”称呼的由来。

这次的漏洞根源是由于厂商考虑不周，导致系统在渲染畸形的光标、动画光标文件或图标时没有正确验证文件头部中所指定的文件大小，从而导致数据缓冲区溢出导致执行任意指令，入侵者最常见的手段就是构造一个特殊的动态光标格式文件，并在它的相应位置放置执行代码，然后编写一个用于加载这个光标文件的网页，当用户访问到这样的页面时，加载光标的CSS样式表行为CURSOR被触发，从而导致恶意代码被执行，这可以被称为“类似一句话木马”，因为它只需要一个漏洞文件和相应样式表代码便能执行入侵者的指令，如下载远程文件执行等。

四. 逃避查杀的技术：加密加密再加密
毫无疑问，在现在各大反病毒产品和安全工具围堵拦截的形势下，直接傻乎乎的将自己的恶意代码以原本的明文形式呈现出来是初学者的做法，这样的后果通常只有一个：被安全工具检测并查杀。
于是现在流行的恶意代码大都经过了一种被称为“加密”的手段进行处理，由于浏览器交互脚本的“弱语言”特征，入侵者可以将一句指令代码任意书写，而最终它依然能被脚本解释器正常执行，例如“clsid:BD96C556-65A3-11D0-983A-00C04FC29E36”可以拆开写为“clsid:BD”+“96C556-”+“65A3-11D0-983A-00”+“C04FC29E36”，最终结合起来，它仍然能被脚本解释器所理解，但是安全厂商载入浏览器中用于监视文件中敏感字符的恶意代码检测组件就叫苦了，它可不认识这种拆来拆去的东西最终表达了什么东西，而且它的功能也不包含有类似脚本解释器一样的执行功能，最终它就将这段恶意代码视为无物而放行了。
后来随着技术发展，检测组件开始具备敏感字符检测与代码组合分析的功能，于是新的加密手法再次出现，通过一种特殊的脚本指令“eval”，入侵者可以将一段代码改头换面写成风牛马不相及的内容，最终在多次奇妙的eval指令配合解密代码的工作后，它又神奇的被解释执行了，依旧留下那摸不着头脑的检测组件在一旁晾鱼干，即使有安全厂商专门编写了一套用于中介性质的脚本解释接口也无济于事。
但是我们没法去责怪安全厂商，如果要彻底杜绝这些问题，那还不如让安全厂商自己写一套完整的脚本解释器算了，但这样是非常不现实的。
我们只能祈祷，系统漏洞越少越好、工具漏洞越少越好……

五. 结语：防御——难以言说的话题
面对如此浩瀚网海，普通网民根本无法得知下一次漏洞将会出现在哪个组件身上，所以，它是防不胜防的，我们只能寄希望于一些相对强大的安全工具，如360安全卫士、安全巡警等，它们都提供了较齐全的系统漏洞更新检测与第三方工具漏洞更新功能，高级用户可通过使用微点主动安全防御、SSM等HIPS工具加以抵挡，结合反病毒产品的运作，力求将漏洞危害降到最低限度。
在这样的网络中，我们别无选择。

上一页  [1] [2] [3]