网页木马是一种以 JavaScript,VBScript,CSS 等页面元素作为攻击向量,利用浏览器及插件中的漏洞,在客户端隐蔽地下载并执行恶意程序的基于 Web 的客户端攻击。网页木马的表现形式是一个或一组有内嵌链接关系的页面/脚本,有漏洞的客户端在访问该(组)页面时会“过路式下载”木马等恶意程序。网页木马通过这种被动攻击模式,能隐蔽、有效地将恶意程序植入客户端,这已经成为恶意程序传播的一种重要方式。近年来,围绕网页木马的攻防博弈在持续进行。首先阐述网页木马的机理和特点,然后从检测、特征分析、防范这 3 个方面对网页木马防御方的研究进行总结和分析,最后对网页木马攻防双方的发展趋势进行讨论。
网页木马是近年来出现的一种新形态的恶意代码,它通常被人为置入Web服务器端的HTML页面中,目的在于向客户端传播恶意程序:客户端访问该页面时,它利用客户端浏览器及其插件的漏洞将恶意程序自动植入客户端。网页木马的表现形式是一个或一组有链接关系、含有(用JavaScript等脚本语言编写的)恶意代码的HTML页面,恶意代码在该(组)页面被客户端浏览器加载、渲染的过程中被执行并利用浏览器及插件中的漏洞隐蔽地下载、安装、执行病毒或间谍软件等恶意可执行文件。网页木马是一种客户端攻击方式,相比较蠕虫等通过网络主动进行自我复制、自我传播,网页木马部署在网站服务器端,在用户浏览页面时发起攻击。这种客户端攻击方式可以有效地绕过防火墙的检测,隐蔽地、有效地在客户端植入恶意代码,进而在用户不知情的情况下自动完成恶意可执行文件的下载、执行,国外将这种攻击方式称为Drive-by-Download(国内直译为“过路式下载”或“偷渡式下载”)。
网页木马多被用于让客户端过路式下载“盗号木马”,窃取客户端个人信息,它已经成为黑客谋求经济利益的重要工具。围绕着网页木马逐渐形成了具有一定规模、分工明确的地下经济链:股票账号、信用卡账号乃至游戏账号等都可能被盗号木马窃取,甚至网上虚拟货币也在黑客盗取的目标范围之内[1]。除了形成一种相对独立的以盗号为目的的地下经济链,网页木马也作为整个互联网地下经济生态链中的一个重要环节[2,3]:作为恶意程序传播的一种重要方式,网页木马可以使客户端过路式下载任意流氓软件、僵尸程序等,攻击者从而可以在流氓软件发行商处获得推广分成或者利用大量“肉鸡”形成的僵尸网络来发动大规模攻击。
网页木马凭借其自身的独有特点成为了安全领域的学术研究热点。2005 年开始,国内外各级安全学术会议上陆续都有围绕网页木马防御的相关论文发表。围绕网页木马的攻防博弈在持续进行:攻击者不断采用一些新的手段来提高网页木马攻击成功率以及增强其隐蔽性;防御方安全研究人员随着对网页木马研究的深入,不断提出相应的检测和防范方法。
………………
网页木马机理与防御技术 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/FRkS4ZRxsog 提取码: 5m7f