论文研究-网页木马现状分析与监测研究 .pdf

发布时间：2022-05-30 发布人：admin 分类：说明书资料大小：0.35M 资料格式：pdf 举报版权申诉

weixin_39840650-11557478-4744300845194745040.pdf-第1页.png

第1页 / 共10页

weixin_39840650-11557478-4744300845194745040.pdf-第2页.png

第2页 / 共10页

weixin_39840650-11557478-4744300845194745040.pdf-第3页.png

第3页 / 共10页

weixin_39840650-11557478-4744300845194745040.pdf-第4页.png

第4页 / 共10页

weixin_39840650-11557478-4744300845194745040.pdf-第5页.png

第5页 / 共10页

weixin_39840650-11557478-4744300845194745040.pdf-第6页.png

第6页 / 共10页

weixin_39840650-11557478-4744300845194745040.pdf-第7页.png

第7页 / 共10页

weixin_39840650-11557478-4744300845194745040.pdf-第8页.png

第8页 / 共10页

文本预览

中国科技论文在线 http://www.paper.edu.cn 网页木马现状分析与监测研究# 诸葛建伟* （清华大学信息网络工程研究中心，北京 100084）摘要：由于地下经济链的驱动，网络犯罪者已频繁地在中国万维网上构建木马网络，用于攻击普通因特网用户的客户端主机，窃取虚拟资产从而获得非法收入。对中国万维网上的网页木马安全威胁现状进行了深入分析，包括背景、发展历程、驱动根源和技术机理，并构建了基于客户端蜜罐技术和动态行为分析的木马网络监测方法，对国内万维网上最常被访问的网站进行了采样分析，监测结果显示其中 1.49%的网站被恶意挂马，进一步对确认挂马网站进行追踪分析揭示了背后复杂而庞大的网页木马网络，并对典型网页木马案例进行了深入剖析和展示。监测结果和案例研究验证了网页木马安全威胁在国内万维网上的泛滥。关键词：计算机安全；木马网络监测；客户端蜜罐；恶意代码；地下经济中图分类号：TP393 Investigation and Measurement on Web-based Malware ZHUGE Jianwei (Network Research Center, Tsinghua University, Beijing 10084) Abstract: Driven by the underground economy, cyber criminals are on the rise and use the Web-based Malware networks to exploit innocent Internet users, steal the virtual assets from the exploited computers and sell them for money. We give the overview of the trojan network phenomenon on the Chinese Web, including its background, history, driven root causes and technical mechanisms. Furthermore, we introduce the measurement method based on the client honeypots and dynamic behavior analysis, and we use this method to measure Web-based Malware networks on the Chinese Web, our measurements show that about 1.49% of the examined websites redirect the visitors to Web-based Malware networks. We also perform detailed analysis of the identified malicious websites and reveal the obfuscated and immense Web-based Malware, and we present a representative case study of this specific threat. Our measurement results and detailed case study proofs the prevalence of Web-based Malware on the Chinese Web. Key words: computer security; trojan network measurement; client honeypot; malware; underground economy 0 引言万维网(WWW)作为因特网上的主要应用，在中国已经得到了广泛普及，截至 2007 年底，中国万维网上网站总数已达 150 万，超过 2.1 亿的因特网用户通过万维网进行信息搜索、在线娱乐、网络购物和电子金融等，充分享受着万维网给日常生活带来的便利性和灵活性[1]。网络游戏、即时通信等网络应用中均普遍提供虚拟货币和装备等虚拟资产，这些虚拟资产在真实世界中也存在一定价值。以窃取普通因特网用户的虚拟资产并获得经济利益为目标，恶意攻击者（或被称为“黑客”）在万维网上构建网页木马网络，攻击存在安全漏洞的因特网用户主机，植入盗号木马等恶意代码，对因特网用户虚拟资产进行窃取和出售，并形成了分工明确的地下经济链。以万维网为载体构建恶意网站的攻击方式在国外也较为普遍，研究者从 2006 年左右也开始关注这种安全威胁，最初的工作包括微软研究院的 HoneyMonkey 项目[2]和 Moshchuk 等人[3]对 Spyware 的采样监测，他们均采用客户端蜜罐技术自动分析页面并检测其是否恶意，基金项目：高等学校博士学科点专项科研基金资助课题(200800011019) 作者简介：诸葛建伟(1980-)，男，副研究员，主要研究方向：网络与系统安全. E-mail: zhugejw@cernet.edu.cn - 1 -

中国科技论文在线 http://www.paper.edu.cn 并发现了一定数量的实际攻击案例从而验证了恶意网站安全威胁在万维网上的普遍存在。 Google 的 Provos 等人[4, 5]更进一步利用搜索引擎数据对万维网上的恶意网站威胁进行了更广范围的监测，从而能够评估这种安全威胁在因特网的分布情况。而在国内，虽然反病毒厂商也已经对这种威胁进行了充分关注，并在其产品中包含了一些初步的检测和防护功能，但研究领域针对网页木马机理和现状进行深入分析和监测的工作还很少。张昊等人针对网页木马的检测，提出了基于判断矩阵法的网页恶意脚本检测方法[6]；郑先伟等人对通过 ARP 欺骗网页劫持进行挂马的攻击技术进行了分析[7]。在本文中，我们主要关注中国万维网上的网页木马现象，将首先回顾其背景和发展历程，并对这一安全威胁的技术机理进行深入剖析；进一步地，我们结合客户端蜜罐技术和动态分析方法构建了针对网页木马的监测方法，并通过采样分析了近 14.5 万个中国因特网用户最常访问的网站，从中发现了 2,149 个 (占总监测网站数的 1.49%)恶意网站；对这些确认的挂马网站，我们进行了更为深入的链接分析，从而能够揭示出由挂马网站、跳转站点、木马宿主网站所构成的复杂且庞大的网页木马网络，以及其中危害面最广的木马宿主站点；基于实际监测结果，我们对发现的最为活跃的一个案例进行了全面剖析，该案例涉及了 206 个不同域名的挂马网站，这些网站将访问流量重定向至 18dd.net 域名下的网页木马，对浏览器和一些相关应用软件中存在安全漏洞进行攻击，从而植入各类盗号木马对受害主机虚拟资产进行窃取。 1 网页木马安全威胁背景和根源 1.1 网页木马安全威胁的相关定义首先我们如下定义与网页木马这一特定安全威胁相关的概念。网页木马：对浏览器和相关应用软件进行攻击的一类恶意代码，通常以网页脚本语言如 Javascript 实现，通过破解访问这些恶意网页木马的客户端中存在的安全漏洞，获得客户端系统的完全控制权限。在黑客社区的行话中，通常将其简称为“网马”。盗号木马：以从受害主机窃取有价值或敏感信息和资产为目标的一类特洛伊木马。挂马网站：被植入恶意脚本，将网站访问流量重定向至网页木马，使得存在安全漏洞的访问主机被其攻击并导致植入恶意代码的一类恶意网站。木马宿主：在万维网上提供网页木马和/或盗号木马的宿主站点。网页木马网络: 由挂马网站、木马宿主站点及中间的跳转站点通过网页中的嵌入链接或自动重定向所构成的恶意攻击网络。恶意攻击者通过这种方式大规模地攻击和感染普通因特网用户主机，窃取各种虚拟资产从而牟取经济利益。 1.2 网页木马安全威胁背景和发展历程网页木马这种安全威胁在中国万维网上出现于 2003 年甚至更早，在此之前，国内黑客社区还主要由政治事件、炫耀技术能力、追求社区威望等动机所驱动，但随着网络游戏和虚拟交易的日益流行，一些恶意攻击者寻找出通过攻击普通因特网用户从而快速获利的网络犯罪途径，并形成了分工明确，组织严密的地下经济链，而网页木马是其中最为主要的方式之一。表 1 列举了网页木马在国内发展过程中出现的重要案例，CHM 网马、IceFox、06014 网马和 ANI 网马均是不同时期在国内万维网上最为流行的网页木马，均攻击 Windows 操作系统缺省安装中存在的系统层安全漏洞。而最近两年来，恶意攻击者开始倾向于从广泛使用 - 2 -

中国科技论文在线 http://www.paper.edu.cn 的应用程序中发掘安全漏洞，并构建针对这些应用层安全漏洞的网页木马。在网页木马在国内的发展历程中，一些有组织团伙利用网页木马所进行的网络犯罪案件也被公安部门破获，并引起了媒体和网民的广泛关注和讨论。其中一个著名案件为发生于 2004 年 11 月，一个有组织的网络犯罪团伙构建了与首放证券网站非常相似的钓鱼网站并植入网页木马，使得访问钓鱼网站的客户端主机被植入“证券大盗”木马并被窃取股票帐户信息，犯罪团伙通过操纵窃取帐户中的股票和资金牟取了 38 万余元的非法收入1。最终该案件的主要犯罪人被判处无期徒刑，这也是国内对于网络犯罪最严厉的判罚。2007 年破获的“熊猫烧香”案件则是当时国内最引人关注的网络安全事件，也第一次全面地向公众揭示出网页木马背后严密的地下经济链2。主要犯罪者提供“熊猫烧香”病毒和相关的技术支持，而另一犯罪者通过构建恶意网站使得访问主机被植入“熊猫烧香”，窃取受害主机上的网游帐号和装备等网络虚拟资产进行获利。但由于通过网页木马网络、网络共享、移动存储等多种方式传播的“熊猫烧香”病毒快速感染了上百万的因特网主机，造成严重破坏，从而引起了反病毒厂商和公安部门的关注。2007 年 2 月“熊猫烧香”案件嫌疑犯被逮捕，在被捕之前他们通过出售病毒、窃取并出售网游帐号及装备获利 24 万余元，主要犯罪人被判处 4 年有期徒刑，这与“证券大盗”案件的判罚相比要轻很多，一个主要原因是目前国内的法律体系无法对窃取虚拟资产进行量刑，而是以破坏计算机信息系统罪进行判罚。表 1 国内网页木马安全威胁知名案例 Tab. 1 The Most Known Cases of Web-based Malware in China 名称攻击漏洞 CHM 网马 MS03-014 MS04-040 IceFox MS04-040 06014 网马 MS06-014 时间 03.07 04.09 04.11 证券大盗 06.07 MS06-014, 共享 07.02 熊猫烧香 /U 盘 MS07-017 07.03 ANI 网马 Office 网马 MS09-043 08.06 10.02 极光网马 MS10-002 说明国内最早出现并流行的网马之一国内知名且广泛使用的网马通过网马植入证券盗号木马,获利 38 万, 主犯被判处无期徒刑 2006 年国内最流行的网马 2007 年国内最重要的网络案件, 获利 24 万, 主犯被判处 4 年有期徒刑 2007 年国内流行的网马之一 2009 年国内流行的网马之一 2010 年国内流行的网马之一尽管这些案件和判罚对网络犯罪者形成了一定的威慑，但由于目前尚无针对虚拟资产盗窃的惩罚性法律条款，同时对网页木马进行监控与响应的基础设施平台和调查处置的人力资源均非常薄弱，因此国内黑帽子“黑客”社区利用网页木马网络进行虚拟资产窃取的现象仍然非常猖獗。究其根源，网页木马这种特定安全威胁出现并一直存在的原因包括经济层面由利益所驱动的地下经济链，以及技术层面在大量因特网普通用户主机上存在的特定安全漏洞。 1.3 网页木马背后驱动的地下经济链窃取和出售虚拟资产获取非法盈利的地下经济链在国内黑帽子“黑客”社区中持续运营了多年，也在驱动着网页木马这一特定安全威胁一直危害着普通因特网用户。通过多年发展，这一地下经济链已具备分工明确、隐蔽性较高等特性，以下我们将对其进行深入分析和刻画， 1 http://www.shoufang.com.cn/ggb/dadao.htm 2 http://tech.sina.com.cn/focus/Worm_Nimaya/index.shtml - 3 -

中国科技论文在线 http://www.paper.edu.cn 展示在这一地下经济链中的不同参与者，以及他们之间的交互关系。如图 1 所示，“黑客” 地下经济链中包括如下不同参与者。病毒编写者黑站长/网络骇客网马、盗号木马免杀服务￥￥网站访问流量 “信封”盗窃者￥￥ “信封”－帐号/密码对虚拟资产盗窃者￥￥虚拟资产虚拟资产卖家￥￥虚拟资产玩家地下黑市虚拟资产市公开市场市 Fig. 1 The Model of Underground Economy Chain on Stealing and Sailing Virtual Assets 图 1 虚拟资产盗窃销售地下经济链结构 ①病毒编写者：病毒编写者是由经济利益驱动的一些恶意骇客，他们拥有一定程度的计算机编程能力和技术背景，能够获取公开揭露的漏洞和相应渗透攻击代码信息，并且有能力根据公开的漏洞报告和渗透攻击代码开发他们自己的破解工具或木马程序，然后他们出售这些恶意代码以及躲避杀毒软件的免杀服务进行获利。 ②黑站长/网站骇客：一些个人网站站长利用免费资源吸引了许多访问者，但其中部分黑站长经常出卖他们的顾客，通过植入恶意脚本将网站流量出售给“信封”盗窃者，这意味着不知情的访问者将被这些恶意网站重定向至木马宿主，从而受到攻击。网站骇客则攻击较为知名但存在漏洞的网站，获得网站控制权，从而能够出售其访问流量。 ③“信封”盗窃者：“信封”是地下经济链中的行话，指的是窃取的账号和密码信息。 “信封”盗窃者只需掌握很少的攻击技能，他们通常从病毒编写者那购买木马或木马产生器，从黑站长/网站骇客那购买网站流量，而他们只需要利用这些资源就可以构建网页木马网络，从而窃取各种类型的“信封”。 ④虚拟资产盗窃者：虚拟资产盗窃者可以没有任何技术知识，但他们对地下经济链有深入的了解，他们了解什么网游比较流行，什么样的虚拟资产能卖个好价钱。他们从“信封” 盗窃者处购买“信封”，登陆网游或 QQ 账号来盗取有价值的虚拟资产，此外，他们也会盗取其他有价值的虚拟商品，如容易记忆的 QQ 号等。在获得虚拟资产以后，他们通常再出售给他人，贩卖 QQ 账号、Q 币、网游装备等虚拟资产已经形成了一个繁荣的地下黑市。 ⑤虚拟资产卖家：地下经济链中的另一个重要参与者是虚拟资产卖家，他们创建在线虚拟商店，构成了产业链的流通环节，这些商店在国内主要的在线交易平台上都很常见。虚拟资产卖家从地下黑市低价购买窃取的虚拟资产，然后在公开市场上向玩家出售，由于购买和出售的价格存在较大差异，他们得以从中获得收益。 ⑥玩家：玩家是网络游戏、即时通信软件增值服务的狂热用户，他们通常是以青少年为主，由于对游戏等在线娱乐的痴迷和狂热，他们经常花费大量金钱购买虚拟资产，构成了地下经济链的基础。 1.4 网页木马存在的技术基础——安全漏洞另一个使得网页木马安全威胁持续存在的根源是普通因特网用户用于访问万维网的浏 - 4 -

中国科技论文在线 http://www.paper.edu.cn 览器和相关应用软件中存在的安全漏洞，这些安全漏洞为网页木马进入并感染受害主机提供了必要条件。表 2 近年来中国万维网上网页木马主要利用的安全漏洞数量情况系统层安全漏洞 Tab. 2 The Numbers of Major Vulnerabilities Exploited by the Web-based Malware in China 年份 2003 2004 2005 2006 2007 应用层安全漏洞总计 1 6 5 11 22 1 6 5 9 10 0 0 0 2 12 表 2 给出了从 2003 年至 2007 年被国内流行的网页木马所广泛利用的主要安全漏洞数量情况。表 2 体现出两个趋势：首先，网页木马所利用的安全漏洞数量曾增长趋势，这也反映出网页木马安全威胁的不断发展；此外，近年来攻击者在仍然关注系统层安全漏洞利用的同时，更加关注对普通使用应用软件安全漏洞的发掘和利用。 2 网页木马威胁机理调查研究 2.1 网页木马网络总体技术流程网页木马网络的基本攻击技术流程如图 2 所示：病毒编写者负责实现网页木马和传统的盗号木马，并使用免杀技术方法使之躲避反病毒软件的检测；黑站长/网站骇客出卖网站访问者或攻陷不安全站点，出售这些网站的访问流量；“信封”盗窃者在木马宿主放置网页木马和传统盗号木马，并通过在大量网站中嵌入恶意链接将访问者重定向至网页木马，从而构建网页木马网络；受害者在访问挂马网站时，就会自动地连接网页木马并被其攻击，植入传统盗号木马，进而被窃取“信封”和虚拟资产。病毒编写者 “信封”盗窃者受害者木马程序和服务放置网页木马和盗号木马被网页木马攻击破解黑站长/网站骇客网站访问流量构建木马网络植入盗号木马将网站访问者重定向至木马被窃取虚拟资产网页木马盗号木马个人网站网站破解图 2 网页木马网络的整体攻击技术流程 Fig. 2 The Attack Technical Flow of Web-based Malware Network 2.2 网页木马和盗号木马网页木马网络的总体攻击技术流程中涉及两种不同形态的木马程序，即网页木马和盗号木马。网页木马是一种进行客户端攻击的恶意代码形态，通常是利用系统层或应用层的安全漏洞，从而获得访问网页木马受害主机的远程控制权。病毒编写者通常也实现网页木马生成器，可供其他没有任何编程技术的参与者自动生成网页木马。网页木马所采取的免杀方法主要包括：①通过通用或定制的加密工具对网页木马进行加密；②通过大小写变换、十六进制编码、 - 5 -

中国科技论文在线 http://www.paper.edu.cn unicode 编码等方法对网页木马进行编码混淆；③修改网页木马文件掩码欺骗反病毒软件； ④对网页木马文件结构进行混淆，伪装正常文件；⑤将网页木马分割至多个文件。盗号木马是在传统的远程控制木马基础上发展出来的一类专用木马，通常以窃取主机访问、QQ 等即时通信软件、网络游戏的“信封”为目的，在万维网上和地下黑市都能够很容易获得。我们在地下黑市中发现了各种不同版本针对 QQ 的盗号木马，以及针对各种流行网络游戏的盗号木马。病毒编写者在发布盗号木马之前通常都进行了一系列的免杀机制处理，从而能够躲避几乎所有主流反病毒软件的检测，主要的免杀技术方法包括：修改程序入口地址、在代码中插入花指令、使用二进制加壳工具、对脱壳代码进行进一步混淆、定位并消除特征码等。 2.3 网络访问流量重定向机制为了将挂马网站的访问流量重定向至网页木马宿主站点，攻击者通常使用如下四类策略。内嵌 HTML 标签第一类策略使用内嵌 HTML 标签，如 iframe, frame 等，将网页木马链接嵌入到网站首页或其他页面中。为了达到更好的隐蔽性和灵活性，攻击者还经常利用层次嵌套的内嵌标签，引入一些中间的跳转站点并进行混淆，从而构建复杂且难以追溯的庞大网页木马网络。在实际中最常用于网页挂马的内嵌标签为 iframe，其功能为在页面中创建一个内嵌的框架用于包含和显示其他文档页面，当包含页面被浏览器打开时，被包含的页面也会同时被请求并显示在内嵌框架中。攻击者利用了 iframe 标签的这一特性用于直接或间接地嵌入网页木马，并通常将内嵌框架设置为不可见从而避免引起受害者注意，例如：属于通过内嵌标签达成流量重定向这类策略的还有利用 frame 标签、使用 body 标签的 onload 事件、在 CSS 标签中包含网页木马链接等。但与 iframe 标签相比，这些方法在实际中非常少见。恶意脚本第二类也是很常用的重定向策略是利用 script 标签通过跨站脚本(XSS: Cross-Site Scripting)包含网页木马。跳转脚本通常使用 document.write 生成包含网页木马链接的 iframe 内嵌标签，或者比较少见的 windows.open 函数弹出一个新的 HTML 窗口连接网页木马进行攻击。内嵌对象第三类重定向策略基于调用第三方应用软件或浏览器帮助对象（BHO）的内嵌对象。当攻击者发现这些第三方应用软件或 BHO 中存在某些可利用的安全漏洞，他们会通过构造相应的内嵌对象，通过在挂马页面中包含，从而在其被打开时攻击存有漏洞的软件，从而获得目标主机的控制权。 ARP 欺骗挂马在以上三类重定向策略基础上，攻击者还在使用一种危害度更高的网页挂马构建策略－ ARP 欺骗挂马。这种方法不需要真正地攻陷目标网站，在攻击安全防护严密的拥有大量访问用户的知名网站时非常有效，在同一以太网网段内，攻击者通过 ARP 欺骗方法就可以进行中间人攻击，劫持所有目标网站出入的网络流量，并可在目标网站的 HTML 反馈包中注入任意的恶意脚本，从而使其成为将网络访问流量重定向至木马宿主的挂马站点。通过 ARP - 6 -

中国科技论文在线 http://www.paper.edu.cn 欺骗进行实际的挂马攻击已经被发现多次，如 2007 年 10 月针对 Nod32 中国站点的 ARP 欺骗挂马攻击3. 这种攻击策略对国内万维网构成了更加严重的威胁，由于很大一部分国内的网站均托管在 ISP 和网站托管服务商，而这些分布稠密的网站中一旦被攻陷一点，攻击者就可以通过 ARP 欺骗方法对同一网段的其他网站实施 ARP 欺骗挂马攻击。 3 基于客户端蜜罐技术的网页木马威胁监测研究为了更好的了解网页木马所构成的安全威胁及其在国内万维网上的实际流行情况，我们研究实现了基于客户端蜜罐技术的网页木马网络监测方法，并对国内万维网上最常被访问的网站进行了采样监测和追踪分析。 3.1 基于客户端蜜罐技术的网页木马监测方法对万维网全部网站进行检测需要庞大的计算资源，因此我们首先采用了一个采样分析策略，从所有网站中选取了近 14.5 万个普通因特网用户最常访问的网站作为监测样本集。注意到大概 72%的网民使用搜索引擎从万维网上获取信息[1]，我们使用了国内最为常用的百度和 Google 搜索引擎作为采样途径，并根据百度搜索风云榜和 Google 热榜提供的信息选择了属于 12 个分类的 200 个网民最常使用的搜索词，以百度和 Google 搜索引擎对这些搜索词所获取的搜索结果网站列表作为监测分析的样本集。为了对这些采样网站中涉及的网页木马进行准确检测和深入追踪，我们基于客户端蜜罐技术提出了网页木马网络监测方法，与之前相关工作已有方法不同的是，我们结合了高交互式和低交互式蜜罐，并分为两个步骤完成监测任务：首先对采样网站集中的每个站点利用高交互式客户端蜜罐技术进行是否挂马网站的检测，基本的思想是在一个受监控蜜罐环境中使用常用浏览器访问待检测网站，根据对监控的动态行为分析结果判定该网站是否实际对客户端蜜罐进行攻击，即是否被恶意挂马；在第二个步骤，使用低交互式蜜罐方式实现一个网页爬取工具，通过模拟交互获取已确认为挂马网站及背后连接网页木马网络的全面信息。这种两步骤的监测方法使得能够同时保证良好的可扩展性和深入的追踪分析。我们的高交互式客户端蜜罐在 VMware Server 软件中通过虚拟机构建，每个客户端蜜罐采用缺省安装的 Windows XP SP2 操作系统，以及附带的 Internet Explorer 6，此外我们也安装了一些常用的应用软件和 BHO，从而代表普通因特网用户所使用的不安全客户端主机，然后采用内部实现的 MwSniffer 恶意代码动态行为分析工具和 HoneyBow 恶意代码自动采集器[8]搭建完整的受控高交互式客户端蜜罐环境。MwSniffer 工具利用 API Hooking 技术动态监控特定进程的动态行为，包括：进程和线程创建、文件系统操作、注册表操作、网络行为记录和监听端口等。而 HoneyBow 工具则通过监控文件系统操作和对比文件系统列表差异方法自动采集感染高交互式蜜罐主机的恶意代码样本。为了进行快速的挂马网站检测，我们利用了十台高性能服务器，并在每台服务器中安装了 3 至 5 个高交互式客户端蜜罐环境，并调度这些客户端蜜罐对采样网站集进行逐一分析，每个客户端蜜罐在获得一个待检测网站后，使用 IE 浏览器访问该网站，在访问过程中 MwSniffer 工具将有效地发现试图感染客户端的挂马网站，并进行标识，HoneyBow 工具则在其恢复前自动获取植入的木马样本。通过 2 分钟的动态分析之后，虚拟机被重新恢复到初始状态进行下一个待检测网站的分析。 3 http://www.nod32club.com/forum/thread-27215-1-1.html - 7 -

中国科技论文在线 http://www.paper.edu.cn 对检测到的挂马网站，我们采用第二步骤基于低交互式蜜罐技术的轻量级网页爬虫，对挂马网站页面和通过内嵌标签、script 脚本等方式递归包含的网页进行获取，并进行网页木马网络的链接分析。由于网页木马普遍采用加密和混淆机制躲避反病毒软件的检测，我们目前尚未在爬虫中实现对网页木马加密和混淆的处理机制，因此这一步骤无法获得进一步植入的木马样本，但通过结合 MwSniffer 和 HoneyBow 工具，我们能够获取一个网页木马网络的链接关系、网页木马和植入盗号木马样本等全部原始信息，从而能够有效支持进一步的取证分析。 3.2 中国万维网的网页木马监测结果基于上述的网页木马监测方法，我们一共从 144,587 个国内万维网最常被访问的采样网站中检测出 2,149 个挂马网站，这也意味着国内万维网上至少 1.49%的网站包含恶意攻击内容，对普通因特网用户构成威胁。表 3 给出了 12 个不同网站分类中包含挂马站点的分布情况，我们发现资源下载类、运动娱乐类、电影视频类和聊天虚拟社区类网站较其他类别威胁度更高，这一结果也符合我们的预期。但同时所有类别中都发现了占一定比例的挂马网站，这说明所有网民都面临着网页木马的威胁，无论其偏好于浏览哪一类站点。 Tab. 3 The Measurement Result on Web-based Malware on the Sampled Websites on Chinese Web 表 3 国内万维网采样网站集的网页木马检测结果聊天虚拟社区网站类别搜索关键字检测网站数挂马网站占比 1.92% 资源下载 1.88% 运动娱乐 1.84% 电影视频 1.73% 1.34% 1.25% 1.24% 1.20% 1.20% 0.73% 0.65% 0.45% 1.49% 20,547 27,649 23,472 8,115 20,105 36,700 13,237 8,829 20,518 19,138 9,799 7,402 144,587 394 520 423 140 269 459 164 106 246 139 64 33 2,149 22 31 25 6 23 29 14 6 17 15 6 6 200 游戏新闻资讯黑客门户导航行业资讯电子金融电子商务用户空间消重后总计为了进一步评测现有的主流反病毒软件对网页木马网络安全威胁的检测能力，我们利用 MwScanner 恶意代码扫描工具对监测发现的 2,149 个挂马网站中采集的网页木马和植入盗号木马进行了扫描识别。MwScanner 集成了 9 个国内外主流反病毒引擎（包括卡巴斯基、趋势、瑞星、金山、江民等），并利用这些引擎最新发布的病毒库对待分析文件进行扫描，从而标定其是否恶意代码以及属于哪种恶意代码。扫描结果显示检测率最高的国外厂商反病毒引擎对传统盗号木马的检测率为 83.6%，而对网页木马的检测率仅为 25.4%，而检测率最高的国内厂商反病毒引擎对传统盗号木马的检测率为 88.7%，对网页木马的检测率则为 36.7%，从这一数据可以看出，网页木马安全威胁中采用的免杀机制对反病毒引擎带来了非常大的挑战，同时普通因特网用户仅仅依赖反病毒软件也仍然面临一定程度上的网页木马安全威胁。对这 2,149 个确认的挂马网站，我们进一步通过轻量级爬虫工具对其进行链接关系的分析，从而揭示出背后结构复杂的庞大网页木马网络。图 3 给出了一个网页木马网络结构的示例图，从中我们可以看到挂马网站、跳转网站和木马宿主站点通过一系列的内嵌链接将网站访问者重定向至木马宿主，从而实施攻击。 - 8 -

分享到：

赞收藏

资料库

论文研究-网页木马现状分析与监测研究 .pdf

相关推荐

开发技术

热门标签

最新资料