网站挂马来袭　联想网御提供主动防御

【赛迪网-IT技术报道】随着中国互联网的发展，安全问题越来越多，由于受到巨额经济利益的驱使，网站挂马尤为猖獗。2009年8月江苏警方破获了一起特大制售木马病毒案，涉案金额高达3000余万元。据统计，截止2009年9月我国网民数量已达到3.6亿，而另一方面的统计显示地下黑色产业链的规模也将达到100亿，其对企业用户带来的间接损失则无法估量。

2010年初，国内广泛使用的Web论坛—Discuz!7.x、主流下载软件迅雷（Thunder5.9.14.1246）、网际快车（Amazesoft FlashGet 3.x）和网络传送带（Net Transport）相继爆出安全漏洞。黑客可以精心构建恶意网站，利用这些漏洞偷偷在客户端电脑中安装木马软件，窃取用户的QQ、网游和银行卡等机密信息，并形成僵尸网络。

黑客如何通过网站挂马赚钱

首先，应该明确挂马只是一个途径，在访问恶意站点的客户端电脑中安装木马软件才是其根本目的。电脑被种植木马就变成了一台傀儡机，攻击者可以在电脑中做任何操作，包括：盗取各类用户账号，如QQ账号、网银账号、网游账号、管理员账号；盗窃各种重要机密的文件资料；非法转账；破坏数据；完全控制电脑等等。攻击者将盗取的账号信息、游戏装备等变卖获利；被攻击主机也将成为僵尸网络中的一员，攻击者利用僵尸网络进行收费的DDoS攻击是赚钱的另一种手段。由于网站挂马隐蔽性强，感染了“木马”的主机就成为埋藏在组织内部的定时炸弹。

如何防范网站挂马攻击

网站挂马一般可以分为以下几个流程：

1.制作黑页：针对客户端软件存在的漏洞，黑客构建的包含恶意代码的网页；

2.网站挂马：利用SQL注入、XSS跨站脚本等攻击入侵合法网站并嵌入可跳转到黑页的链接；

3.下载木马：客户端访问被挂马网站，并跳转到黑页，这是由于客户端软件存在漏洞会执行恶意代码自动下载木马软件。

上述流程涉及了三个主体：被挂马网站、黑页（也叫做挂马源）、有漏洞的客户端软件。要解决网站挂马问题，就要从这三方面入手。

·消除被挂马网站

·增强客户端的安全性

·阻止客户端访问挂马网站、黑页

目前，中国已有280万注册网站，网站开发水平参差不齐，特别是Web2.0的广泛应用，增强交互水平的同时也大大增加了被挂马的可能性，据全球知名反恶意软件组织StopBadware的研究显示：全球的挂马站点52%来自中国。而要想从客户端解决问题也并非易事，企业中的大量终端安装了众多的应用软件，难以有效保证所有终端都是安全的。

因此，检测并阻止客户端访问挂马网站、黑页是最佳的解决方案。对企业用户来讲，在网关处进行统一防护非常重要。

联想网御恶意站点检测与阻断模块

联想网御公司在其全线网关产品中集成了恶意站点检测与阻断模块，该模块维护实时更新的恶意站点数据库。部署联想网御网关产品后，对内网用户访问的目标站点进行安全检查，当内网用户访问的站点是被恶意挂马的站点时，网关会阻断该访问，并向访问者的浏览器推送告警信息“阻断访问挂马网站”。

联想网御恶意站点检测与阻断模块工作示意图

联想网御恶意站点库包含可信站点和恶意站点两大类，恶意站点库又细分为挂马网站和挂马源两种类型，覆盖了中国已注册的400多万个网站。为保证可靠性，会实时对网络站点进行检查，并根据检查结果定期对全库进行更新。对于不在可信站点和恶意站点数据库的新网站，网关则通过实时分析网页的行为动作来确定访问的安全性。当某网页试图执行程序、下载可执行文件等敏感操作时判别其为恶意网站并进行拦截，同时也会将这个网页的URL加入到恶意站点数据库中。由于采用了基于行为动作的分析技术，使得攻击者无论是采用老的挂马代码，还是全新的基于IE、Office、Flash、AdobeReader等流行软件漏洞的挂马代码，都可以进行有效拦截。此外，由于大量的恶意站点都使用了JavaScript脚本来书写攻击代码，联想网御恶意站点检测与阻断模块集成了JavaScript脚本检测技术来检测挂马网站。

联想网御UTM、IPS产品不仅可以阻止内部客户端访问外部挂马站点，还可以通过深度过滤功能，准确拦截SQL注入、XSS跨站脚本和针对系统漏洞的攻击，从而防止内部网站被挂马。

内外兼顾，联想网御网关产品可以有效保障企事业单位用户免受网站挂马的危害，为各种业务的正常运转提供强有力地防护。