网页木马机理与防范对策

摘 要

随着计算机网络技术的迅速发展，网络安全问题已变得越来越受到人们的重视，网络攻击形式多种多样，很多蠕虫病毒、木马病毒等植入到某些网页中，给网络用户带来了很大的安全隐患，网页木马通过利用浏览器或插件的一些漏洞，在客户端下载并执行一些恶意程序进行网络攻击，它已经成为了目前恶意程序传播的一种重要方式，本文主要阐述了网页木马的机理和特点，重点分析了木马的检测以及木马的特征，并针对这些特点进行了一些相应防范对策的探讨。

【关键词】网页木马 木马机理 攻击 防范

由于网页木马制作简单、传播速度快、破坏力强。挂马形式多等原因，已经成为恶意程序传播中最常见的形式之一，给互联网用户造成严重的安全威胁。

目前国内外很多研究人员围绕网页木马的防御进行了深入的探讨与研究，同时攻击者也在采用一些更先进的手段来提高木马的攻击隐蔽性，用以提高木马的攻击成功率，因此，网页木马的机理与防范对策研究已成为了当前计算机工作者的一个重要课题。

1 网页木马工作机理与特征

（1）网页木马定义。网页木马是在宏病毒、木马等恶意代码基础上发展出来的一种新形态的恶意代码。类似于宏病毒通过Word 等文档中的恶意宏命令实现攻击。网页木马一般通过 HTML 页面中的一段恶意脚本达到在客户端下载、执行恶意可执行文件的目的，而整个攻击流程是一个“特洛伊木马式”的隐蔽的、用户无察觉的过程，因此，国内研究者通常称该种攻击方式为“网页木马”。

（2）网页木马典型攻击流程。网页木马采用的是一种被动的攻击模式，攻击者将网页木马部署在服务器端，被动的等待客户端发起访问请求，一旦有客户端访问攻击页面，服务器就将页面内容反馈给客户端，页面通过浏览器及插件漏洞将客户端攻破，进而下载、安装、执行恶意程序。其攻击流程图如图1。

（3）网页木马的漏洞利用机理。网页木马的漏洞利用机理主要是通过利用客户端浏览器以及插件的漏洞来获取攻击权限，一旦获取攻击权限后就会进行恶意程序的下载和执行。这些漏洞的脚本语言主要是JavaScript等，一方面在于浏览器提供了脚本语言与插件间进行交互的 API，攻击脚本通过畸形调用不安全的 API 便可触发插件中的漏洞；另一方面，攻击者也可以利用脚本的灵活特性对攻击脚本进行一定的混淆处理来对抗反病毒引擎的安全检查。网页木马利用的漏洞主要有两类，一类是任意下载 API 类漏洞，另一类是内存破坏类漏洞。

（4）网页木马涉及的关键手段。网页木马采用基于Web的客户端攻击方式，它作为一种新型的恶意代码，在结构和组成上与普通的病毒恶意代码有很大区别，在木马程序中，攻击者通常采用一些灵活多变的攻击技术和手段来提高网页木马的成功率和隐蔽性。攻击者通常采用“环境探测+动态加载”的模式来应对客户端环境的复杂多样性，采用一种all-in-one 的方式将针对不同漏洞的攻击代码全部包含进单个攻击页面中。但这种方式能使得浏览器反应迟缓，容易引起用户的察觉，为了提高攻击的隐蔽性和成功率，攻击者采用“一个探测页面+多个攻击脚本/攻击页面”的“环境探测+动态加载”模式，这种模式在提升攻击成功率的同时，也增加了攻击的隐蔽性和攻击效率。此外，网页木马还具有增强自身隐蔽性的手段，攻击者往往采用混淆免杀、人机识别、动态域名解析等一些技术手段来提升攻击的隐蔽性。

2 网页木马防范对策研究

根据网页木马的防范位置，可以从三个方面入手，它们分别是基于网站服务器端的网页挂马防范、基于代理的网页木马防范以及基于客户端网页木马防范。

（1）基于网站服务器端网页挂马防范。网站服务器端网页挂马防范是网页木马防范中的第一个环节，网站挂马的主要途径有：利用网站服务器系统漏洞、利用内容注入等应用程序漏洞、通过广告位和流量统计等第三方内容挂马等。利用网站服务器系统漏洞来进行攻击是一种常见的网页挂马途径，攻击者利用服务器的漏洞获取权限后，可以对页面进行篡改。因此，网站服务器应打好系统漏洞补丁，或按照一些入侵检测系统来防范这些木马程序的攻击。

3用网站服务器系统漏洞

（1）基于代理的网页木马防范。基于代理的网页木马防范是在页面被客户端浏览器加载之前，在一个 shadow 环境（即代理）中对页面进行一定的检测或处理。主要可以从几个方面着手：一是“检测-阻断”式的网页木马防范方法，这种方法是在代理处进行网页木马检测；二是基于脚本重写的网页木马防范方法；三是基于浏览器不安全功能隔离的网页木马防范方法。这种方法主要由代理来解析页面并执行脚本，它需要大量的时间，在实际应用中难以适应。（2）基于客户端网页木马防范。基于客户端网页木马防范主要应用在客户端，比较常见的方法有URL 黑名单过滤、浏览器安全加固、操作系统安全扩展等。通过Google来检测索引库中的页面，生成一个URL黑名单，然后Google的搜索引擎会将URL黑名单中的搜索结果进行标记。浏览器安全加固是通过在浏览器中增加一些检测功能来对浏览器进行安全加固，操作系统安全扩展主要用来阻断网页木马攻击流程中未经用户授权的恶意可执行文件下载、安装/执行环节。

4 总结

网络木马是恶意程序在网络中传播的一种常见方式，它主要是通过网络客户端对服务器的访问，利用系统安全漏洞隐蔽的将网页木马恶意程序植入到客户端，客户端通过浏览网页，执行恶意程序后感染木马病毒，给计算机用户带来严重危害，基于Web的被动攻击模式能将网页木马感染到大量的客户端，它具有隐蔽性高、传染快等特点，因此，安全研究人员必须对网页木马高度重视，应针对网页木马的机理、特征进行多方面的研究，才能针对其结果做出相应的防范措施，避免网页木马的扩散与传播，对于网络安全人员来说，网页木马的防范工作将是一项任重而道远的工作。

作者单位

湖北十堰市高级技工学校 湖北省十堰市 442011

相关热词搜索： 机理 木马 对策 防范 网页