網絡威脅之識別和防御Web網頁木馬

　　網頁木馬就是網頁惡意軟件威脅的罪魁禍首，和大家印象中的不同，准確的說，網頁木馬並不是木馬程序，而應該稱為網頁木馬“種植器，也即一種通過攻擊浏覽器或浏覽器外掛程序（目標通常是IE浏覽器和ActiveX程序）的漏洞，向目標用戶機器植入木馬、病毒、密碼盜取等惡意程序的手段。常見的網頁木馬攻擊手段有哪些？用戶應該如何識別及防御來自網頁木馬的攻擊？

　　本文將為大家細細道來：

　　攻擊者常用的網頁木馬攻擊手段按照用戶交互程度，可以分為主動攻擊和被動攻擊兩種。

　　主動攻擊方式：

　　就是攻擊者通過各種欺騙，引誘等手段，誘使用戶訪問放置有網頁木馬的網站，如果用戶不小心訪問了該惡意網站，就有可能感染惡意軟件。這種攻擊方式常見的案例有，攻擊者在各種論壇、聊天室、博客留言等用戶集中的區域發布各種色情內容的連接、在各種在線游戲的聊天頻道中發布各種中獎抽獎信息、使用各種即時通訊軟件手動或通過之前被感染的用戶自動向聯系人發送帶欺騙性質的網站鏈接等。

　　被動攻擊方式：

　　是指攻擊者通過入侵互聯網上訪問量大的站點，並在其頁面中插入網頁木馬的代碼，目前在IDC機房和企業內網中流行的通過ARP欺騙插入惡意網頁鏈接也屬於被動攻擊方式，這種攻擊方式屬於廣撒網的攻擊方式，訪問到該網站的用戶都有可能感染其所帶網頁木馬種植的惡意軟件。

　　雖然沒有具體的統計結果，不過從最近的各安全公司發布的攻擊趨勢來看，網頁木馬主動攻擊和被動攻擊的發起頻率差不多。如果用戶不慎訪問了有可能帶有網頁木馬的網站，如何識別正在發生的網頁木馬攻擊？用戶可以根據以下的幾個最常見的現象來判斷：

　　系統反應速度：

　　目前攻擊者構建網頁木馬所使用的IE浏覽器漏洞，包括最新的MS07004 VML漏洞，都是利用構造大量數據溢出浏覽器或組件的緩沖區來執行攻擊代碼的，因此，用戶遭受溢出類的網頁木馬的攻擊時，通常系統的反應會變得十分緩慢，CPU占用率很高，浏覽器窗口沒有響應，也無法使用任務管理器強行關閉。另外，在一些內存小於512M的系統上，溢出類的網頁木馬攻擊時，系統會頻繁的對磁盤進行讀寫操作（物理內存不夠用，系統自動擴大虛擬內存）。

進程變化情況：

　　有少數的IE浏覽器漏洞不屬於緩沖區溢出的漏洞，比如去年初出現的MS06014 XML漏洞，用戶在遭受使用它所構造的網頁木馬的攻擊時，系統反應不會有明顯的變化或者磁盤讀寫，頂多有時會短暫出現系統等待的沙漏圖標，不過時間很短，用戶一不留意就會錯過。這種情況下，用戶可以打開任務管理器或使用Process Explorer，查看是否有非用戶啟動的Iexplore.exe進程、名字比較奇怪的進程等來判斷是否遭受了網頁木馬的攻擊。

　　浏覽器顯示：

　　攻擊者在使用網頁木馬的被動攻擊方式時，通常會在被其控制的合法網站上使用HTML中的iframe語句或java script方式來調用網頁木馬，如果用戶在打開某個合法網站時，發現IE浏覽器左下角的狀態欄一直顯示一個和當前浏覽網站一點關系都沒有的地址，同時系統響應變得很慢，或者是鼠標指針變成沙漏形狀，便有可能正在遭受網頁木馬的攻擊。

　　安全軟件報警：

　　安全軟件報警也許是對用戶來說最安全的一種網頁木馬攻擊跡象，但目前市面上有相當多的反病毒軟件檢測不出用java script和vbscript 進行過加密的網頁木馬，因此反病毒軟件不報警不一定說明網站就是安全的。

　　攻擊手法花樣翻新，網頁木馬防不勝防，處於技術弱勢地位的用戶如何進行防御：

　　1、系統補丁要及時更新，絕大部分的網頁木馬受害者都忽略了自己所使用的系統及應用軟件的補丁升級。畢竟只有極少數的攻擊者會使用昂貴的0day 浏覽器漏洞來做網頁木馬，及時更新系統及軟件的安全補丁可以防御大部分的網頁木馬。

　　2、安裝並及時更新反病毒軟件，用戶可盡量選擇網頁木馬查殺能力較強的反病毒軟件，並及時更新病毒特征庫，這樣的話，即使網頁木馬使用了最新的加密技術躲過反病毒軟件的檢測，但較新的病毒特征庫也能盡可能用戶免受緊跟網頁木馬而來的惡意軟件的損害。

　　3、使用第三方浏覽器，由於目前互聯網上常見的網頁木馬所使用的是針對IE浏覽器及其ActiveX控件的漏洞，因此，使用Firefox/Opera等非IE內核的第三方浏覽器可以從源頭上堵住網頁木馬的攻擊，不過第三方浏覽器在頁面兼容性上稍遜IE浏覽器，而且一些特別的網頁，如各種使用ActiveX密碼登陸控件的網上銀行不能使用第三方浏覽器登陸，用戶在浏覽這類網頁時可使用IE浏覽器。

　　4、養成安全的網站浏覽習慣，用戶應該養成安全的網站浏覽習慣，不要隨便點擊各種來源不明，說明帶有引誘語言的鏈接，防止落入攻擊者的陷阱；遇到合法網站被攻擊者攻陷並掛上網頁木馬，用戶也應該報告網站管理員。

進程變化情況：

　　有少數的IE浏覽器漏洞不屬於緩沖區溢出的漏洞，比如去年初出現的MS06014 XML漏洞，用戶在遭受使用它所構造的網頁木馬的攻擊時，系統反應不會有明顯的變化或者磁盤讀寫，頂多有時會短暫出現系統等待的沙漏圖標，不過時間很短，用戶一不留意就會錯過。這種情況下，用戶可以打開任務管理器或使用Process Explorer，查看是否有非用戶啟動的Iexplore.exe進程、名字比較奇怪的進程等來判斷是否遭受了網頁木馬的攻擊。

　　浏覽器顯示：

　　攻擊者在使用網頁木馬的被動攻擊方式時，通常會在被其控制的合法網站上使用HTML中的iframe語句或java script方式來調用網頁木馬，如果用戶在打開某個合法網站時，發現IE浏覽器左下角的狀態欄一直顯示一個和當前浏覽網站一點關系都沒有的地址，同時系統響應變得很慢，或者是鼠標指針變成沙漏形狀，便有可能正在遭受網頁木馬的攻擊。

　　安全軟件報警：

　　安全軟件報警也許是對用戶來說最安全的一種網頁木馬攻擊跡象，但目前市面上有相當多的反病毒軟件檢測不出用java script和vbscript 進行過加密的網頁木馬，因此反病毒軟件不報警不一定說明網站就是安全的。

　　攻擊手法花樣翻新，網頁木馬防不勝防，處於技術弱勢地位的用戶如何進行防御：

　　1、系統補丁要及時更新，絕大部分的網頁木馬受害者都忽略了自己所使用的系統及應用軟件的補丁升級。畢竟只有極少數的攻擊者會使用昂貴的0day 浏覽器漏洞來做網頁木馬，及時更新系統及軟件的安全補丁可以防御大部分的網頁木馬。

　　2、安裝並及時更新反病毒軟件，用戶可盡量選擇網頁木馬查殺能力較強的反病毒軟件，並及時更新病毒特征庫，這樣的話，即使網頁木馬使用了最新的加密技術躲過反病毒軟件的檢測，但較新的病毒特征庫也能盡可能用戶免受緊跟網頁木馬而來的惡意軟件的損害。

　　3、使用第三方浏覽器，由於目前互聯網上常見的網頁木馬所使用的是針對IE浏覽器及其ActiveX控件的漏洞，因此，使用Firefox/Opera等非IE內核的第三方浏覽器可以從源頭上堵住網頁木馬的攻擊，不過第三方浏覽器在頁面兼容性上稍遜IE浏覽器，而且一些特別的網頁，如各種使用ActiveX密碼登陸控件的網上銀行不能使用第三方浏覽器登陸，用戶在浏覽這類網頁時可使用IE浏覽器。

　　4、養成安全的網站浏覽習慣，用戶應該養成安全的網站浏覽習慣，不要隨便點擊各種來源不明，說明帶有引誘語言的鏈接，防止落入攻擊者的陷阱；遇到合法網站被攻擊者攻陷並掛上網頁木馬，用戶也應該報告網站管理員。

進程變化情況：

　　有少數的IE浏覽器漏洞不屬於緩沖區溢出的漏洞，比如去年初出現的MS06014 XML漏洞，用戶在遭受使用它所構造的網頁木馬的攻擊時，系統反應不會有明顯的變化或者磁盤讀寫，頂多有時會短暫出現系統等待的沙漏圖標，不過時間很短，用戶一不留意就會錯過。這種情況下，用戶可以打開任務管理器或使用Process Explorer，查看是否有非用戶啟動的Iexplore.exe進程、名字比較奇怪的進程等來判斷是否遭受了網頁木馬的攻擊。

　　浏覽器顯示：

　　攻擊者在使用網頁木馬的被動攻擊方式時，通常會在被其控制的合法網站上使用HTML中的iframe語句或java script方式來調用網頁木馬，如果用戶在打開某個合法網站時，發現IE浏覽器左下角的狀態欄一直顯示一個和當前浏覽網站一點關系都沒有的地址，同時系統響應變得很慢，或者是鼠標指針變成沙漏形狀，便有可能正在遭受網頁木馬的攻擊。

　　安全軟件報警：

　　安全軟件報警也許是對用戶來說最安全的一種網頁木馬攻擊跡象，但目前市面上有相當多的反病毒軟件檢測不出用java script和vbscript 進行過加密的網頁木馬，因此反病毒軟件不報警不一定說明網站就是安全的。

　　攻擊手法花樣翻新，網頁木馬防不勝防，處於技術弱勢地位的用戶如何進行防御：

　　1、系統補丁要及時更新，絕大部分的網頁木馬受害者都忽略了自己所使用的系統及應用軟件的補丁升級。畢竟只有極少數的攻擊者會使用昂貴的0day 浏覽器漏洞來做網頁木馬，及時更新系統及軟件的安全補丁可以防御大部分的網頁