淺析郵件木馬技術
木馬技術應該不用介紹,正所謂好事不出名壞事傳千里,通過木馬技術進行網絡攻擊的丑事但凡有些安全意識的互聯網用戶都應該知曉。不過利用郵件木馬技術對企業用戶進行攻擊的潮流還是從近幾年開始的。任何防御都應該建立在理解的基礎上,所以本篇文章就談一談郵件木馬技術的內容。
1、網頁木馬技術
早期的網頁木馬主要有兩個文件,一個為html網頁文件,另外一個為木馬文件。如果瀏覽者的操作系統中存在漏洞,在訪問網頁文件時便會自動執行木馬程序。由于殺毒軟件的查殺,后期的網頁木馬開始利用框架網頁,例如,將框架網頁嵌入在正常網頁中,由于框架網頁的寬度和高度均為0,所以在網頁中不會有視覺上的異常,不容易被察覺。后面陸續出現利用 JavaScript、JavaScript變形加密、css、Java、圖片偽裝等多種方式將框架網頁代碼進行轉換變形等處理,使其更難被發現和被殺毒軟件查殺。
入侵者一方面在個人網站、商業網站以及門戶網站等上面放置網頁木馬,控制個人計算機、盜取個人賬號、出售流量等來牟取商業利益;另外還將這些網頁木馬制作成網頁文件,大量發送垃圾郵件,如果接收者一不小心打開了網頁文件,計算機將會感染和傳播木馬病毒,安全風險極高。
2、文件捆綁技術
文件捆綁的核心原理就是將b.exe附加到a.exe的末尾,當a.exe被執行的時候,b.exe也跟著執行了。早期的文件捆綁技術比較簡單,文件捆綁器比較容易被查殺,后面逐漸出現通過利用資源來進行文件捆綁,在PE文件中的資源可以是任意的數據,將木馬程序放入資源中,執行正常程序后再釋放木馬程序。
在郵件木馬中,捆綁木馬攻擊是最常見的一種攻擊方式,比較直接,只要打開郵件中的捆綁的文件,則會執行木馬程序。常見以下幾種捆綁文件類型:
(1)應用程序安裝文件。這類可執行文件往往偽裝成一個setup圖標的安裝文件。
(2)Ebook電子圖書文件。Ebook電子圖書是一種可執行的文件,這類文件是將html等文件通過編譯生成一個可執行文件。
(3)Flash文件。Flash文件有兩種類型,一種是可執行的flash文件,直接運行就可以觀看flash;另外一種是以.swf結尾的文件,需要單獨的Flash播放軟件播放。
文件捆綁的核心就是將一個正常的文件跟木馬文件捆綁,捆綁時會修改文件圖標,以假亂真,誘使用戶打開這類文件,達到控制計算機或者傳播病毒的目的。、
3、應用軟件漏洞利用技術
利用應用軟件漏洞而制作的木馬程序,很難識別,危害最高。Office軟件中的Word、PowerPoint、Excel,Adobe Reader,超星圖書瀏覽器等都出現過高危安全漏洞,在日常辦公中這些文件被廣泛使用,利用應用軟件的漏洞制作的木馬,跟正常文件沒有什么區別,當用戶打開時,會執行木馬程序和打開正常的文件。入侵者往往利用應用軟件漏洞來制作木馬,將這些看似正常的文件通過郵件發送給被攻擊者,在這種郵件木馬技術的基礎上,被攻擊者一旦打開郵件中的文件,感染木馬病毒的幾率非常高。
【編輯推薦】
