作业说明
作业正文
1.实践内容
Web浏览器的技术发展与安全威胁
Web浏览器战争与技术发展
- 现代Web浏览器的基本结构与机理:
- 现代web浏览器指的是能够符合“现行标准”,并被互联网用户所接受使用的web浏览器软件。
- 目前现代的web浏览器要求能够理解和支持HTML和XHTML、Cascading Style Sheets(CSS)、ECMAScript及W3C Document Object Model(DOM)等一系列标准,现代浏览器的基本结构如下所示:
Web浏览器的安全问题与威胁
- Web浏览器软件的安全困境三要素:
- 复杂性:现在web浏览器软件由于需要支持HTTP、HTTPs、FTP等多种类型的应用层协议浏览,符合HTML、XHTML、CSS等一系列的页面标准规范,支持JavaScript、Flash、Java、silverlight等多种客户端执行环境变得非常复杂,这意味着更多的错误和安全缺陷。
- 可扩展性:目前几乎所有的现代浏览器软件都支持第三方插件扩展机制,并通过JavaScript等客户端脚本执行环境、沙箱和虚拟机来执行富Internet应用程序,但是第三方扩展插件的开发过程缺乏安全保障,出现安全漏洞的情况更为普遍。
- 连通性:现代web浏览器本身是为用户实现“随时随地浏览互联网”这一目的而存在,因此浏览器软件始终工作在联网状态,一旦存在安全漏洞,很容易被网络上的威胁源所利用和攻击。
- Web浏览器安全威胁位置:web浏览环境中的每一个组件都面对着各种不同类型的安全威胁:
- 针对传输网络的网络安全协议安全威胁:网络监听与协议栈攻防技术(4、5章)
- 针对Web端系统平台的安全威胁:针对windows桌面系统的渗透攻击与恶意代码(7、9章)
- 针对Web浏览器软件及插件程序的渗透攻击威胁:恶意攻击者在地下经济链的驱动下,通过客户端渗透攻击向互联网用户桌面系统中植入恶意木马程序,窃取隐私信息并以此牟取非法利益。
- 针对互联网用户的社会工程学攻击威胁:利用进行web浏览器的用户存在的人性、心理等方面的弱点,实施社会工程学攻击,来尝试骗取互联网用户的敏感个人隐私信息,如网络钓鱼攻击。
Web浏览端的渗透攻击威胁——网页木马
网页木马安全威胁的产生背景
网页木马(网马):具有特洛伊木马的特性——被隐蔽地挂接在一些提供真实内容的网页上,用户访问这些网页时,网页木马就会不知不觉向用户计算机中植入恶意程序。具有更高的复杂性。
- 网页木马的产生与发展背景
- 从恶意网页脚本中孕育和发展出来的。
- 如早去的浏览器网页劫持、网页炸弹等。
- 黑客进一步发现在浏览端执行的恶意网页脚本能够利用客户端软件安全漏洞来获得到访问权的机会,在浏览端植入恶意程序或进行其他操作,从而发展出网页木马这种比较新颖的网络攻击技术。
- 网页木马发展与流行的驱动力————黑客地下经济链:
- 窃取和出售虚拟资产获取非法赢利的地下经济链在国内黑帽子社区中执行运营很多年,经过多年的发展,网络虚拟资产盗窃的黑客地下经济链已经具备分工明确、隐蔽性高等特点。
- 网络虚拟资产盗窃的黑客地下经济链结构:
- 网页木马存在的技术基础————Web浏览端安全漏洞
- 使得网页木安全威胁持续存在的根源是:web浏览端软件中存在安全漏洞,这些漏洞为网页木马进入并感染受害主机提供必要的技术基础条件。
- 网页木马的本质核心:利用脚本语言实现对web浏览端软件安全漏洞的渗透攻击,从而向客户端主机中植入恶意程序。
- 网页木马的特性:
- 网页木马所攻击的安全漏洞的存在位置多样化,包括web浏览器自身、浏览器插件、关联某些web文件的应用程序等等(这几类软件代码都设计web浏览过程)。
- 由于互联网用户对应用软件的在线升级和补丁安装过程没有像微软系统软件一样自动化和实时,一些流行的应用软件中的安全漏洞留给网页木马的攻击事件窗口会长一点。
- 一些影响范围广的安全漏洞,如
MS06-014会被网页木马持续地利用,以攻击那些长时间不进行系统升级与补丁更新,或者安装老旧操作系统版本的互联网用户计算机
网页木马的机理分析
- 网页木马的定义特性:
- 网页木马从本质特性上来说:利用了现代Web浏览器软件中所支持的客户端脚本执行能力,针对Web浏览端软件安全漏洞实施客户端渗透攻击,从而取得在客户端主机的远程代码执行权限来植入恶意程序。
- 网页木马:是对Web浏览端软件进行客户端渗透攻击的一类恶意移动代码,通常以网页脚本语言如JavaScript、VBScirpt实现,或以Flash、PDF等恶意构造的Web文件形式存在,通过利用Web浏览端软件中存在的安全漏洞,获得客户端计算机的控制权限以植入恶意程序。
- 对网页木马机理的全方位分析与理解:
- 网页木马采用客户端渗透攻击形式,需要web浏览端软件来访问构造的恶意web页面内容才能触发渗透攻击过程。因此,网页木马攻击是被动式的,需要通过一些技术方法来诱使互联网用户来访问网页木马页面。
- 网页木马的攻击技术流程:
- 病毒编写者负责实现网页木马和传统的盗号木马,并使用免杀技术方法使之躲避反病毒软件的检测;
- 黑站长/网站骇客出卖访问者或者攻陷不安全的网站,出售这些网站的访问流量;
- “信封”盗窃者在木马宿主站点上放置网页木马和传统盗号木马,并通过在大量网站中嵌入恶意链接将访问者重定向至网页木马,从而构建网页木马攻击网络;
- 受害者在访问挂马网站的时候,就会自动地链接到网页木马并被其攻击,植入传统盗号木马,进而被窃取“信封”和虚拟资产。
- 网页木马攻击网络具有如下特性:
- 多样化的客户端渗透攻击位置和技术类型;
- 分布式、复杂的微观链接结构;
- 灵活多变的混淆与对抗分析能力。
- 网页木马的本质核心————浏览器渗透攻击
- 网页木马的本质核心:是利用web浏览端软件安全漏洞的渗透攻击代码。
- 网页挂马机制:
- 网页挂马:在编写完网页木马渗透攻击代码之后,为了使得能够有终端用户使用他们可能存在安全漏洞的Web浏览端软件来访问网页木马,攻击者还需要将网页木马挂接到一些拥有客户访问流量的网站页面上。
- 网页挂马的四种策略:
- 内嵌HTML标签:如iframe、frame等等,将网页木马链接嵌入到网站首页或其他页面中。为了达到更好地隐蔽性和灵活性,攻击者还经常利用层次嵌套的内嵌标签,引入一些中间的跳转站点并进行混淆,从而构建复杂且难以追溯的网页木马攻击网络。通常将内嵌框架设置为不可见,例如:
<iframe src=http://www.trojan.com/ width=0 height=0></iframe> - 恶意script脚本:利用script脚本标签通过外部引用脚本的方式来包含网页木马,例如:
<script src="URL to Trojan"> - 内嵌对象链接:利用图片、Flash等内嵌对象中的特定方法完成指定页面的加载,如flash中的
LoadMovie()方法等。 - ARP欺骗挂马:在安全防护严密的拥有大量访问流量的网站,在同一以太网网段内,攻击者利用ARP欺骗方法进行中间人攻击,劫持所有目标网站出入的网络流量,并在目标网站的HTML反馈包中注入恶意脚本,从而时期成为将网络访问流量链接至网页木马的挂马站点。
- 内嵌HTML标签:如iframe、frame等等,将网页木马链接嵌入到网站首页或其他页面中。为了达到更好地隐蔽性和灵活性,攻击者还经常利用层次嵌套的内嵌标签,引入一些中间的跳转站点并进行混淆,从而构建复杂且难以追溯的网页木马攻击网络。通常将内嵌框架设置为不可见,例如:
- 混淆机制:对抗反病毒软甲的检测,并提高反病毒工程师的分析难度,从而使得网页木马攻击网络更加难以被检测和摧毁。
- 目前在网页木马中使用比较广泛的混淆方法主要有:
- 将代码重新排版,去除缩进、空行、换行、注释等,同时将网页木马中的变量名替换为一组合法的随机字符串,使其失去自我描述的能力,从而干扰阅读分析;
- 通过大小写变换、十六进制编码、escape编码、unicode编码等方法对网页木马进行编码混淆;
- 通过通用或定制的加密工具对网页木马进行加密得到密文,然后使用脚本语言中包含的解密函数,对密文进行解密,再使用
document.write()或eval()进行动态输出或执行,此类混淆方法例如XXTEA网页加密工具; - 利用字符串运算、数学运算或特殊函数可以混淆代码,一个典型的例子是通过字符串替换函数将网页木马中的一些字符替换为其他字符构成混淆后代码,然后在运行时首先替换回原先的字符,然后进行动态执行;
- 修改网页木马文件掩码欺骗反病毒软件,或对网页木马文件结构进行混淆,来伪装正常文件,甚至将网页木马代码拆分至多个文件等。
- 目前在网页木马中使用比较广泛的混淆方法主要有:
网页木马的检测和分析技术
- 基于特征码匹配的传统检测方法:灵活多变的混淆机制以及分布式复杂的链接结构使得其失效。
- 基于统计与机器学习的静态分析方法:针对网页木马所采用的代码混淆或隐藏内嵌链接的特征进行检测,但仍停留在外在形态层次上。
- 基于动态行为结果判定的检测分析方法:利用行为特性,构建蜜罐环境,根据在访问过程中是否发生了非预期系统变化,来判定是否挂马。
- 基于模拟浏览器环境的动态分析检测方法:以脚本执行引擎为核心,通过模拟实现DOM模型、页面解析与渲染、ActiveX等第三方控件构建出一个虚拟的低交互式客户端蜜罐环境,进行脚本解释,还原真实状态,分析检测。
- 网页木马检测分析技术综合对比:
- 静态分析:试图通过特征码匹配和机器学习方法,在网页木马的外在形态层次上构建较为准确的检测方法;
- 动态分析:实质上是从网页木马的外部表现行为出发,根据网页木马成功攻击客户端软件后对系统造成的行为后果进行判定。仅能判定是否是网页木马,而无法提供目标组件、利用漏洞位置与类型更为全面的攻击语义信息。
网页木马防范措施
- 提升操作系统与浏览器软件的安全性,如第三方插件自动更新
- 安装反病毒软件
- 养成良好的浏览习惯,借助安全评估工具的帮助,避免访问安全性低的网站
揭开网络钓鱼的黑幕
网络钓鱼:是社会工程学在互联网中广泛实施的一种典型攻击方式,通过大量发送声称来自于银行或其他机构的欺骗性垃圾邮件,意图引诱出个人敏感信息。
网络钓鱼攻击的技术内幕
-
案例一——在攻陷的服务器上钓鱼:攻击者在互联网上扫描并攻陷存有安全漏洞的服务器,然后在上面实施网络钓鱼攻击。过程如下:
- 攻击者扫描网段,寻找有漏洞的服务器;
- 服务器被攻陷,并安装一个
Rootkit或口令保护的后门工具; - 攻击者从加密的后门工具获得对服务器的访问权,并下载已经构建完毕的钓鱼网站内容,进行一些网站搭建配置测试工作,使得钓鱼网站上线运行;
- 攻击者下载群发电子邮件工具,并大规模散发包含假冒钓鱼网站信息的欺骗性垃圾邮件;
- 网页浏览的流量开始到达里钓鱼网站,潜在的受害者开始访问假冒的钓鱼网站内容,并受欺骗给出个人敏感信息,攻击者通过服务器后台脚本收集这些个人敏感信息。
-
案例二——部署重定向服务搭建钓鱼攻击网络:攻击者充分利用大量被攻陷的服务器资源,部署更加复杂、更具生存性的钓鱼攻击网络。
-
网络钓鱼攻击技术策略:
- 首先架设支撑钓鱼攻击的底层基础设施;
- 欺骗大量互联网用户访问钓鱼网站;
- 具体欺骗技巧:
- 在指向假冒网站的链接中使用IP地址代替域名;
- 注册发音相似或形似的DNS域名,并在上面架设假冒网站;
- 在一个假冒钓鱼网站的电子邮件HTML内容中嵌入一些指向真实的目标网站链接,从而使得用户的网站网浏览器,大多数HTTP链接是指向真实的往目标网站,而仅有少数的关键链接指向假冒的网站;
- 对假冒网站的URL进行编码和混淆。很多用户不会注意到或者理解url链接被做过什么处理,并会假设它是良性的;
- 企图攻击用户网络浏览器存在的漏洞,使之隐藏消息内容的实质;
- 将假冒的钓鱼网站配制成记录用户提交的所有数据,并进行不可察觉的日志,然后将用户重定向到真实的网站;
- 架设一个假冒网站作为目标机构真实网站的代理,并偷摸的记录未使用SSL加密保护的口令信息,甚至为假冒域名注册一个有效的SSL证书,从而对SSL加密保护的口令信息进行记录;
- 通过恶意代码在受害者计算机上安装一个恶意的浏览器助手工具,然后尤其将受害者定向到假冒的钓鱼网站;
- 使用恶意代码去修改受害者计算机上用来维护DNS域名和IP地址映射的本地hosts文件。
网络钓鱼攻击的防范
- 对以索取个人敏感信息的邮件提高警惕性;
- 充分利用浏览器安全访问提示;
- 涉及网上金融操作时,务必重要网站真实性,尽量使用U盾代替证书或口令。
2.实践过程
3.学习中遇到的问题及解决
- 问题1:
- 问题1解决方案:
- 问题2:
- 问题2解决方案: