防范两种挂马攻击新手段

2011-11-09郑先伟

中国教育网络 2011年11期

文/郑先伟

防范两种挂马攻击新手段

文/郑先伟

9月与10月的安全投诉事件中网页挂马的数量在继续减少。从我们近段时间掌握的网页挂马数据分析来看，攻击者正在千方百计地使用新技术手段规避主动挂马检测系统的扫描。有一种手段是将攻击代码隐藏于多媒体文件（Flash文件、视频文件或音频文件）中而不是直接在网页代码中使用JavaScript脚本，因为多媒体文件解码占用的系统资源较多，一般的主动挂马检测系统并不会对这类文件进行解码分析，也就无法判断出文件中的攻击代码。还有一种规避的方式是在被控的网站中放置独立链接的挂马网页，由于是独立的链接，所以主动挂马检测系统通过爬虫的方式是无法获得这类挂马网页链接的，也就无从进行检测，而攻击者自己可以通过向用户发送完整的挂马网页链接地址来进行攻击。这类方式同样也被用在钓鱼网站和网页后门控制程序中。

2011年9月～2011年10月教育网安全投诉事件统计

关注恶意后门程序

9月和10月没有新增影响特别严重的蠕虫病毒，流行较多的依然是盗号类的木马病毒程序。近期需要关注的是一类感染系统动态库文件的恶意后门程序，这类后门程序会通过感染系统中的LPK.dll文件（该文件用于对系统多语言环境提供支持）来达到劫持.exe执行文件的目地。由于LPK.dll文件可以被系统上的绝大部分.exe文件调用，所以对这类病毒的清除非常复杂，即便是在格式化系统盘后重装系统的情况下，用户二次感染的几率也很高。如果用户发现自己系统中存在多个LPK.dll文件，就有可能是感染此类病毒。一旦发现感染，请到各杀毒软件厂商的主页下载相应的专杀工具进行查杀。

近期新增严重漏洞评述

微软10月份发布了8个安全公告，其中2个为严重等级，6个为重要等级，共修补Windows系统、IE浏览器、Office软件、Windows开发软件及访问控制软件中的23个安全漏洞。涉及IE浏览器的多个安全漏洞可能被用来进行网页挂马攻击，用户应该尽快利用系统自带的更新功能安装相应的补丁程序。除微软外，Adobe公司也针对其旗下的PDF编辑及阅读软件Acrobat／Reader、Flash播放软件Flash Player发布了相应的安全公告及最新版本，修补了这几个软件之前版本中的多个安全漏洞，其中包括一个正在网络上被利用的Flash Player远程代码执行的0day漏洞。用户应该尽快下载最新版本的Acrobat／Reader软件和Flash Player软件安装。漏洞的详细信息请参见：

http://www.adobe.com/support/security/bulletins/apsb11-24.html

http://www.adobe.com/support/security/bulletins/apsb11-26.html

还有一个要关注的厂商公告是Oracle公司今年10月份发布的例行安全公告，修复了其公司下Oracle数据库、Sun Solairs系统、Oracle Text组件、Oracle Waveset组件、Oracle OpenSSO组件、Java程序等产品中的76个安全漏洞。这些漏洞的详情参见：

http://www.oracle.com/technetwork/topics/security/cpuoct2011-330135.html

http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html

除了上述漏洞外，8月底Apache和Nginx这两款常用的Web服务软件爆出严重的安全漏洞，值得广大管理员注意。

Apache Http Server软件拒绝服务攻击漏洞

影响系统：Apache httpd server 的所有版本。

漏洞信息：Apache是目前网络上使用最为广泛的Web应用程序。当Apache程序处理包含大量Ranges头的HTTP请求时，ByteRange过滤器存在一个错误，使得攻击者可以向服务器发送特制HTTP请求，消耗大量内存，造成应用程序崩溃。

要成功利用漏洞，需要Apache http服务器启用Byte Range filter和mod_deflate/mod_gzip，这2个功能可以提高网站打开大型PDF文档和图片的速度。

漏洞危害：攻击者可以远程发送特制的数据包，从而导致使用Apache程序的Web服务器资源被全部消耗。目前攻击代码已经在网络上被公布。

解决办法：目前厂商已经在最新的版本中修补了这些漏洞，请管理员尽快更新相应的版本：