首先,我们要理解为什么黑客们愿意选择Web作为其攻击的媒介。原因有四个方面,一是其它方式现在的防护措施相对健全,如email系统可采用反病毒软件、邮件过滤等技术来保护。二是Web方式灵活而广泛,用户更容易遭受感染。如果用户的浏览器有漏洞,或者使用不当都有可能感染恶意代码。第三个原因是,黑客们通过Web可以很容易地找到用户,如前些日子黑客们就曾利用SQL注入式攻击进入了许多网站,在用户单击网站上的连接时,要么将用户重定向到恶意网站,要么借被感染的网站直接侵入用户计算机。第四个原因,Web恶意程序的更新速度很快,一般仅需一两天就可完成。
不妨看看近来发生的一些安全威胁。研究人员发现许多服务器在遭受攻击之后,在用户或其它网站访问时将冒着遭受跨站脚本攻击和其它的危险。还有,黑客们将Iframe攻击扩大到许多知名的站点,并将恶意代码植入到英国政府的网站中使更多的遭受攻击。据有关机构研究发现,90%的网站都有漏洞,易受攻击。
仔细黑客攻击的技术特点,我们可以发现,他们主要采用了六种伎俩:
一、信誉劫持
这种情况下,黑客们主要针对合法站点展开攻击,他们可能会修改网站的内容,添加一些恶意的脚本或HTML代码。或利用信任关系,影响大量的用户。据调查有驻有恶意内容的80%的站点都是被劫持的。再有,用于针对Web服务器的漏洞可以影响大量的站点。黑客们这样做的原因其实就是一个字“钱”。
二、下载器
黑客可以攻击网站,一旦进入系统,就会安装小的下载程序。这种程序一般有rootkit的性质,因此它一旦得逞就很难检测。而这种程序一旦运行,它就可以下载其它组件。这种下载器可以灵活地修改内容,并轻易地将漏洞利用与相继发生的恶意软件安装分离开来,从而可以避免一些实时的检测。而且这种下载器所引起的后果是层叠式的,一连串的。
下面我们看一些攻击的实例,如下图1:
在上例中,驱动式攻击已经攻击了站点,并安装了systknk.exe。这是一个下载器木马程序。然后,它又会下载另外三个文件:DLLGH8JKD1Q*.EXE,但是需要注意,有些文件本身又是下载器。这真是恶梦连连!请看下图2:
这是在三十秒之后观察的结果,可以看出,此处又下载了几个文件,并已经在受害计算机上运行了。而且一分钟之后,它们又会下载更多的文件,其中的许多文件将继续下载其它的内容,进一步控制受害机器。