https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

Web掛馬新技術大公開:Flash 掛馬

2009 / 11 / 19
No-Name
Web掛馬新技術大公開:Flash 掛馬

現今網站被掛馬已經是很普遍存在的問題,一般社會大眾上網時不經易就會點選到這些,躲在正常網站後的惡意連結,讓無辜的受害者,在瀏覽網頁無任何異常感
覺就直接下載惡意程式並直接安裝在電腦上,過程甚至不會有任何的詢問訊息。
 
最近接觸到掛馬網站是二年前在國內某資安單位內,在執行資安業務時檢測網站發現,當時的掛馬技術以現在來看是相當粗糙,只是入侵網站並在網站原始碼上加上用<iframe>指令,指定連結到那個惡意連結,目前網路犯罪集團,最常利用此手法入侵一些大型網站或是透過入侵網路套件漏洞,進而大量入侵相同漏洞網站,並植入網馬程式讓一般使用者瀏覽網站就被植入惡意程式。

下面是前陣子研究某套件安全性,在網路上發現許多使用該套件網站都被駭客入
侵後,並植入網馬連結於網站首頁中(見圖 1)。

為什麼網馬連結要編碼轉換,主要是目前防毒軟體針對網站內容檢測方式,是網站
上字串檢測是否有符合網馬或惡意網址,由此駭客透過編碼轉換方式來隱藏真實惡意網址,以躲過防毒軟體偵測。(註:當時發現該惡意網址並未有任何一家防毒廠商列為惡意來源!)

更不易被偵測的Flash掛馬

目前掛馬方式已從原始的直接在網站上寫入明碼,進展到為了躲避防毒軟體偵測進
而編碼轉換,以目前流行的掛馬技術,是結合Flash掛馬或是透過發現系統0-day弱點來掛馬,駭客總是想讓人不知道,但又要所有人點選下載惡意程式。

Flash掛馬技術比編碼轉換更不容易被防毒軟體偵測,主要原因在於Flash檔案在網站已經是轉換特定格式,惡意網址在Flash檔案裡就如同是在蛋殼受到保護,防毒偵測並無法了解Flash檔案中是否有異常連結(見圖2)。

在網站原始碼中看到有個GG.SWF的Flash檔案,下載分析Flash原始檔案,發現該GG.SWF連結無法下載,再看一下連結發現flash.asp?id=''+Flashver+'',其中Flashver是代表flash版本,再結合上一層發現惡意網址原始程式碼分析,發現該程式實際Flash網馬位置,並下載flash檔案發現最終的惡意程式(見圖3)。

Flash網馬分析

上例發現目前駭客會直接入侵網站後並掛上一個判斷flash,嘗試建立一個新的Flash SWF9檔案的ActiveX元件,並獲得元件中$version參數的值,將其保存到Flashver變數中,當程式不出現[object Error]錯誤,表示系統有使用ActiveX功能,這時才會檢查Flashver中是否包含特定的版本號字樣,如果是,表示系統有Flash漏洞存在。

在判斷系統存在漏洞,即使用Flashver變數為參數訪問flash.asp,連結真正的惡意程式碼內容,要得到真正的惡意程式碼位置,就必須知道符合該漏洞要求的Flashver值到底是什麼,將此值正確地加入iframe的URL連結中。

Flashver的變數來自於元件中$version參數,主要用於IE瀏覽器元件的Flash SWF9控制功能中該參數的值的形式為"win 9,0,x,0",因此,會判斷使用者瀏覽器種類以及使用那一個版本,存在那一個版本漏洞,進而下載符合版本的惡意flash網馬,並執行檔案中網馬連結。企業IT人員面對此類Flash網馬,應於用戶端修補flash漏洞弱點,並更新防毒軟體。

研究套件弱點 搜尋同樣使用的網站入侵

商業駭客入侵掛馬流程,除了一般尋找網站常見漏洞,SQL Injection、檔案權限設計不良等,目前還透過網站開發常使用到的套件進行分析研究出,可能存在的安全性漏洞,進而結合搜尋引擎找尋網路上使用相同套件的網站,並進而入侵網站取得控制權限(見圖4)。

在取得網站控制權限之後,套一句駭客常講的話就是-要做什麼就做什麼。當然網站就變成駭客散佈網馬的平台,通常網站管理者都不知網站已經變成散佈的平台,如果使用者瀏覽到含有惡意連結網站,即會下載木馬程式並自動啟動於電腦中,駭
客木馬程式會偽裝成系統檔案隱藏(見圖5),並進行側錄帳號密碼動作(見圖6)。

建議在網站系統撰寫完,可以透過安全檢測工具或者請滲透測試廠商進行系統安全檢測,如果有使用套件開發系統,應該注意開發套件來源是否源始碼內有不明程式,使用套件應更改預設目錄路徑、資料庫名稱、變數名稱等,網站伺服器可於目
錄中新增Robots.txt,限制搜尋引擎來讀取網站敏感資料。

結論

現今駭客行為已從單純技術的展示,演進到了商業行為,商業駭客會以組織運作的模式進行,本篇只是簡單介紹一下目前駭客掛馬技術實際應用,對於網馬處理,常見到一些網管人員直接將被更改的原始碼做刪除或是更新程式,在這裡建議如網站
被掛入網馬指令,不單只是要清除原始程式上的網馬,更要檢查伺服器主機是否已被植入木馬程式或是有安全漏洞,網站被掛馬只是駭客最後行為,在這之前主機一定有被取得檔案讀寫的控制權限。

網站設計者可以在網路上就可以容易取得一些已經開發好的程式,如購物網站、公告系統、討論區程式或可直接應用功能,這類套件可省去不少開發時間,但公開程式碼駭客也可輕易的取得,並研究是否存在安全性風險,在使用套件時要注意到原
始的檔案內容是否有存在惡意網馬程式,使用套件時要注意程式的原始資訊是否公開,如原始路徑、後台管理預設位置、控制檔案等,這些都是用網路套件安全需注意的事項。

*本文作者為資安講師,擅長網路封包分析、電腦鑑識、駭客偵防技術。