• / 28
  • 下载费用:5 金币  

网页木马原理与防御机制.ppt

关 键 词:
网页 木马 原理 防御 机制
资源描述:
网页木马原理与防御机制,杨成 2015140210马冬 2015140218章华 2015140209,,目录,第一节.网页木马简介第二节.网页木马工作机制第三节.网页木马防御技术第四节.网页木马小实验,第一节.网页木马简介,网页木马是在宏病毒、木马等恶意代码基础上发展出来的一种新形态的恶意代码。类似于宏病毒通过Word 等文档中的恶意宏命令实现攻击。网页木马一般通过 HTML 页面中的一段恶意脚本达到在客户端下载、执行恶意可执行文件的目的,而整个攻击流程是一个“特洛伊木马式”的隐蔽的、用户无察觉的过程,因此,国内研究者通常称该种攻击方式为“网页木马”。,1、网页木马的定义,第一节.网页木马简介,网页木马多被用于让客户端过路式下载“盗号木马”,窃取客户端个人信息,它已经成为黑客谋求经济利益的重要工具。围绕着网页木马逐渐形成了具有一定规模、分工明确的地下经济链:股票账号、信用卡账号乃至游戏账号等都可能被盗号木马窃取,甚至网上虚拟货币也在黑客盗取的目标范围之内。 除了形成一种相对独立的以盗号为目的的地下经济链,网页木马也作为整个互联网地下经济生态链中的一个重要环节:作为恶意程序传播的一种重要方式,网页木马可以使客户端过路式下载任意流氓软件、僵尸程序等,攻击者从而可以在流氓软件发行商处获得推广分成或者利用大量“肉鸡”形成的僵尸网络来发动大规模攻击。,第一节.网页木马简介,1)网页木马的利用向“大众化”发展 网页木马近年来有着从“专业化”向“大众化”的发展趋势:早期攻击页面的编写及网页挂马需要具备一定攻防技术基础的黑客才能完成,而现在,普通网民也可以随意构建并发布网页木马。这种变化趋势在于两方面原因:一是大量的网页木马自动构建工具的存在,普通网民仅简单操作这些工具便可定制出针对特定漏洞的网页木马。另一方面,普通网民不需要掌握任何复杂的网页挂马手段,仅仅通过社交网站就可以大范围地推送恶意链接,加之Twitter、新浪微博等会对用户上传的URL做短链接处理,这种恶意链接有很强的隐蔽性。 随着网页木马的利用向“大众化”的发展,网页木马在互联网上的分布更加广泛。一个可能的研究方向是根据网页木马自动生成工具的指纹特征进行网页木马检测与防范。,2、网页木马的发展趋势,第一节.网页木马简介,2)攻击向量载体向 PDF,Flash 文档格式扩展 网页木马以 HTML 页面作为攻击向量载体,在浏览器加载、渲染HTML 页面时,利用浏览器及其插件的漏洞实现恶意程序的下载、执行。近年来,攻击者开始在PDF和Flash等文档中嵌入恶意脚本,利用 PDF,Flash 阅读器的漏洞来下载、执行恶意程序.攻击向量的载体已经从 HTML 页面扩展到 PDF,Flash 等文档.通过PDF文档进行客户端攻击,呈一种上升趋势。,2、网页木马的发展趋势,第一节.网页木马简介,3) 目标攻击平台向手机平台扩展 近年来,智能手机的市场份额在逐步扩大,技术也在不断发展。智能手机浏览环境的逐步发展给用户带来了越来越好的使用体验,但同时也将攻击者的攻击目标吸引到了手机平台。iPhone,Android等主流手机平台均存在大量的安全漏洞,而浏览环境的安全漏洞又占据了其中的大部分。 2007年iPhone首次发布后不久,便被攻击者通过 Safari浏览器上的漏洞攻破,而在 2010年3月Pwn2Own全球攻击者大赛上,两名欧洲黑客仅用 20s的时间便通过Safari浏览器成功攻破iPhone。目前,针对手机平台的网页木马虽然没有大规模爆发,但由于手机平台浏览环境中存在大量漏洞,针对手机平台的网页木马仍然是一种潜在的安全威胁,值得关注。,2、网页木马的发展趋势,第二节.网页木马工作机制,1、网页木马的典型攻击流程,图1.网页木马的典型攻击流程图,第二节.网页木马工作机制,网页木马采用一种被动攻击模式(即pull-based模式):攻击者针对浏览器及插件的某个特定漏洞构造、部署好攻击页面之后,并不像发送垃圾邮件那样主动将内容推送给受害用户(即push-based模式),而是被动地等待客户端发起的页面访问请求。 其典型攻击流程如上面的图1所示:1、客户端访问攻击页面;2、服务器做出响应,将页面内容返回给客户端;3、页面被浏览器加载、渲染,页面中包含的攻击向量在浏览器中被执行并尝试进行漏洞利用;4、存在该漏洞的客户端被攻破,进而下载、安装。5、执行恶意程序。,1、网页木马的典型攻击流程,第二节.网页木马工作机制,网页木马的核心在于利用客户端浏览器及其插件的漏洞获得一定权限,达到下载并执行恶意程序的目的。网页木马利用的漏洞主要归为下述两类:1)任意下载API类漏洞 2)内存破坏类漏洞,2、网页木马的漏洞利用机理,第二节.网页木马工作机制,网页木马的核心在于利用客户端浏览器及其插件的漏洞获得一定权限,达到下载并执行恶意程序的目的。网页木马利用的漏洞主要归为下述两类:1)任意下载API类漏洞 2)内存破坏类漏洞,2、网页木马的漏洞利用机理,第二节.网页木马工作机制,1)任意下载API类漏洞 一些浏览器插件在用来提供下载、更新等功能的 API 中未进行安全检查,网页木马可以直接利用这些API下载和执行任意代码,如:新浪 UC 网络电视 ActiveX 控件DonwloadAndInstall 接口任意文件下载漏洞、百度超级搜霸输入验证漏洞等。 在一些复杂的攻击场景中,攻击者将多个API组合,完成下载和执行任意文件的目的。如 MS06-014 漏洞的利用需要3个插件的不安全API分别完成恶意可执行文件的下载、本地保存、执行。,2、网页木马的漏洞利用机理,第二节.网页木马工作机制,2) 内存破坏类漏洞 网页木马常常利用 JavaScript,VbScript 脚本向浏览器的内存空间填充恶意可执行指令(ShellCode),并利用该类漏洞触发执行流跳转,将执行流跳转到 ShellCode,ShellCode 负责下载和执行恶意可执行文件. 按照触发执行流跳转的原理,该类漏洞又可分为: use-after-free型漏洞:典型的,如 MS09-002、“极风”、“极光”等漏洞。黑客精心构造,利用空间已经释放掉的函数指针或对象指针实际上并未被删除或者置为 null,将指针指向的内存空间填充恶意指令或者精巧的数据,当程序的其他部分再次引用该指针时,引起恶意指令的执行或者控制逻辑的改变。,2、网页木马的漏洞利用机理,第二节.网页木马工作机制,溢出漏洞:典型的,如联众游戏ActiveX溢出漏洞、暴风影音ActiveX参数超长溢出、超星阅读器ActiveX参数溢出漏洞、real player ActiveX 参数溢出、迅雷ActiveX漏洞等。一般由于插件API对参数长度、格式等检查不严格所致,如API接受了过长的参数造成缓冲区溢出,进而覆盖了函数返回地址等,在黑客的精心构造下,使得程序执行流跳转到预先放入内存的ShellCode。浏览器解析漏洞:use-after-free 型漏洞和API溢出漏洞通常通过脚本恶意调用API触发,而浏览器解析漏洞一般在浏览器解析畸形构造的HTML文档或其中包含的CSS文档、XML文档时被触发,造成执行流跳转到预先放入内存中的恶意可执行指令,如MS08-078 Microsoft Internet Explorer处理 XML 远程代码执行漏洞等。,2、网页木马的漏洞利用机理,第二节.网页木马工作机制,在网页木马发展初期,攻击者自己搭建站点来部署攻击页面并利用一些社会工程学方法诱使网民访问;网民的安全意识逐渐增强,使得攻击者不得不去寻找新的手段来增加攻击页面访问量,其中最主要的手段就是网页挂马。 网页挂马是通过内嵌链接将攻击脚本/攻击页面嵌入到一个正规页面或利用重定向机制将对正规页面的访问重定向至攻击页面。其特点是:当浏览器访问页面时,无需用户点击,页面中的内嵌链接指向的内容就会被自动加载,如〈img〉标签等。 Google的研究指出,其搜索结果中 1.3%的页面为被挂马网页,网页挂马已经成为攻击者在部署网页木马时普遍采用的手段:一方面,它有更好的隐蔽性;另一方面,攻击者通过一定的挂马策略可以很好地保证攻击脚本/攻击页面在客户端的加载量。,3、 网页木马部署,第三节.网页木马防御技术,网页木马结构复杂、对抗机制灵活多变,防御方有必要对捕获到的网页木马样本进行特征分析:一方面可以把握网页木马的变化发展趋势,另一方面也可以了解网页木马最新的对抗机制。分析到的网页木马特征可被用来指导网页木马的检测和防范。我们可把他们分为三类:1)网站服务器端的网页挂马防范2)基于代理的网页木马防范3)客户端的网页木马防范,第三节.网页木马防御技术,网页挂马有多种途径,主要包括利用网站服务器系统漏洞、利用内容注入等应用程序漏洞、通过广告位和流量统计等第三方内容挂马等。 利用网站服务器端系统漏洞来篡改网页内容,是常见的一种网页挂马途径,网站服务器端可以通过及时打系统补丁以及部署一些入侵检测系统来增强自身的安全性。攻击者还常利用应用程序中的 XSS(cross-site-script,跨站脚本、SQL 注入等漏洞。虽然目前学术界对 XSS,SQL 注入的检测、防范研究比较多,但却仍然没有一种统一解决的方案。攻击者挂马的途径多种多样,网站服务器端在网页挂马防范中,除了应关注系统及应用上的安全漏洞,也有必要对页面中的第三方内容进行一定的安全审计。,1)网站服务器端的网页挂马防范,第三节.网页木马防御技术,“检测-阻断”式的网页木马防范方法 客户端访问的任何页面都首先在该代理处用基于行为特征的检测方法进行网页木马检测,若判定访问的页面被挂马,就给客户端返回一个告警。“检测-阻断”式的网页木马防范方法要做到检测的有效性、用户体验的透明性,即,既要在代理处有效检测出被挂马页面并阻止客户端浏览器加载该页面,同时也不能使客户端在用户体验上有明显差别.,2)基于代理的网页木马防范,第三节.网页木马防御技术,基于脚本重写的网页木马防范方法 在代理处并不判定页面是否含有恶意内容,而是重写页面中的脚本,用一个自定义的脚本库对页面脚本中函数调用、属性获取等操作进行封装,封装函数中包含一些实时的安全检查代码,主要基于已知漏洞函数的参数超长等特征进行网页木马检测。被重写后的页面在被客户端加载时会自动执行封装函数中定义的安全检查,若发现与已知漏洞特征相匹配,则终止该段脚本执行。与在代理处进行网页木马检测的网页木马防范方法相比,该方法在代理处只进行页面重写,根据已知漏洞特征插入实时检查点。这类基于已知漏洞特征的网页木马防范方法的明显缺点是无法防范利用未知漏洞的网页木马。,2)基于代理的网页木马防范,第三节.网页木马防御技术,基于浏览器不安全功能隔离的网页木马防范方法 这是一个利用代理进行浏览器不安全功能隔离的网页木马防范框架。该方法认为,页面解析器、脚本引擎等属于浏览器中的不安全模块,提出了网页木马防范的一条新思路:将这些不安全模块隔离在代理处,客户端浏览器只负责将渲染效果呈现。具体实现可如下描述:在代理处完成页面解析、脚本执行等操作,用 JavaScript 描述当前页面的 DOM 树结构,并将该段JavaScript代码传递给客户端浏览器;客户端浏览器通过执行该段脚本重构出 DOM 树结构,最终展现出与直接访问页面一样的效果 该种方法试图由代理负责解析页面和执行脚本,但却带来了较大的时间代价,不适于实际应用。,2)基于代理的网页木马防范,第三节.网页木马防御技术,URL 黑名单过滤 Google 将基于页面静态特征进行机器学习的检测方法与基于行为特征的检测方法相结合,对其索引库中的页面进行检测,生成一个被挂马网页的URL黑名单,Google搜索引擎会对包含在URL黑名单中的搜索结果做标识。 基于URL黑名单过滤的最大问题在于时间上的不实时以及范围上的不全面:被挂马页面的数目每月都会有一定的增加,虽然Google周期性地检测页面,但一个页面很可能在被Google判定为良性之后被挂马,用户随后浏览该页面时就可能遭到攻击。尽管Google爬取了大量页面并对其进行检测,但仍无法保证100%的覆盖面。,3)客户端网页木马防范,第三节.网页木马防御技术,浏览器安全加固 通过在浏览器中增加HeapSpray/Shellcode检测和已知漏洞利用特征检测等功能来实现浏览器的安全加固。 比如 Firefox 浏览器就修改了它的脚本解析引擎 SpiderMonkey,在其中增加了对 ShellCode的检测。具体实现为:在脚本引擎中监测每次字符串赋值,采用 libemu( libemu是一个开源的 ShellCode 检测和分析工具,它使用“启发式GetPC 探测”的策略来判断目标内存区域是否含有 ShellCode)检测内存区域是否包含 ShellCode。一旦libemu 检测到浏览器内存空间存在ShellCode,脚本引擎就停止脚本的后续执行,防止客户端受到攻击。,3)客户端网页木马防范,第三节.网页木马防御技术,操作系统安全扩展 有些专家认为,浏览器由于存在各种漏洞,是一个不安全的环境,但客户端的操作系统是一个相对安全的环境。他们提出的 BLADE 对操作系统作一定的安全扩展,阻断网页木马攻击流程中未经用户授权的恶意可执行文件下载、安装/执行环节:任何通过浏览器进程下载的可执行文件都被放入一个虚拟的、权限受限的隔离存储空间,只有经过用户确认的下载文件才会被转移到真实的文件系统中。BLADE虽然在一定程度上阻断了恶意可执行文件在客户端的下载、执行,但是并未阻止网页木马被客户端加载和执行。,3)客户端网页木马防范,第四节.网页木马小实验,框架挂马 在页面里插入隐藏框架: 如在网页中插入一段如下的HTML 代码   , 中width 和height属性为0 意味着该框架不可见, 受害者若不查HTML 源码很难发现该网马。这是一段最常用的网马注入代码, 只要在网页码中搜索iframe 即可发现网马。利用JavaScript 引入网页木马 利用JavaScript 的window.open 方法打开一个不可见的新窗口, 例如:window.open( 网马地址,,toolbar=no, location=no,directories= no, status= no, menubar= no, scrollbars,width= 1, height= 1) ; ,,利用body 的onload 属性引入网马使用onload 属性可以使网页在加载完成时跳转到网马地址, 示例如下: 我们假定木马网站为淘宝网,下面是内嵌框架方式,淘宝网实际打开但并未在网页中显示,将其大小值改变在下一页就会发现淘宝网被默认的打开。,,Thank You,
展开阅读全文
1
  金牌文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:网页木马原理与防御机制.ppt
链接地址:http://www.gold-doc.com/p-257037.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们
copyright@ 2014-2018 金牌文库网站版权所有
经营许可证编号:浙ICP备15046084号-3
收起
展开