网络挂马入侵流程线索调查方法研究.docx

??

?

??

网络挂马入侵流程线索调查方法研究

?

?

?

?

?

??

?

?

?

随着信息科学技术的快速发展，计算机网络已经深入到人们日常生活的每个角落。人们每天都会登陆不同的网站浏览信息。网络技术在给我们的生活带给极大便利的同时，也存在很多安全隐患。黑客人侵网站并实施挂马，受害者只要浏览了这些被挂马的网站，木马就会自动下载到受害者主机上运行。这些木马可以窃取用户在登陆窗口内输入的敏感信息，例如：用户名、密码，甚至完全控制受害者主机。可以说网页挂马对网络用户构成了严重的威胁。分析网页挂马案件的入侵流程，进而通过技术手段查找出黑客的线索（如lP地址、电子邮箱帐号、等等）对公安机关的侦查、取证工作有着重要的意义。

1网页挂马案件入侵流程及相关网络安全技术分析

网页挂马案件的入侵流程如图1所示。首先，黑客会利用网络攻击技术入侵某些存在安全漏洞的网站，从而获得这些网站的控制权。接下来，黑客会在被入侵网站的主页文件中植入_句挂马代码，从而实现网站挂马。最后，当网络中的用户浏览“被挂马”的网站时，如果用户使用的IE浏览器存在相应的安全漏洞，则木马会被植入用户主机并运行，用户主机成为受黑客控制的“肉鸡”。黑客可以盗取“肉鸡”上的敏感信息（如网银帐号），也可以控制“肉鸡”向其他主机发起DDOS攻击。

1.1入侵网站

由于大型的门户网站如“新浪”、“搜狐”等，通常具备比较严密的网络安全防御措施、难于攻破，因此黑客通常不会选择此类网站作为攻击对象。一些日访问量在3000—5000人次的中等规模网站成为黑客入侵的首选目标，例如游戏网站、政府机关、高校、公司机构的网站，等等。在入侵网站时，目前最流行的攻击技术是“SQL注入攻击”和“缓冲区溢出攻击”。

“SQL注入攻击”是由于开发网站的技术人员缺乏足够的网络安全意识，未对用户提交的参数进行严格的检查，就将参数直接提交给后台的数据库运行，这些参数里面可能包含黑客提交的恶意指令，通过在被入侵网站上执行这些指令，黑客可以达到完全控制网站的目的。例如，在lP地址为的服务器上安装了[来自WwW.L]一台电子商务网站，该网站的网页文件lookpro.asp存在“SQL注入漏洞”，黑客使用下面这条URL链接访问lookpro.asp，即可在目标服务器上建立一个名为aaa、密码为bbb的用户。http：//192.168.O.l/shop-s/lookpro.asp?id=48;execmaster．.xp_cmdshell”netuseraaabbb/add”。黑客就是通过这样一系列的指令达到完全控制一台服务器的目的。

“缓冲区溢出攻击”是由于应用程序未对通过网络接收到的参数的长度进行检查，就将接收到的参数直接存放到自己的缓冲区中。如果接收到的参数长度超过预留缓冲区的大小，就会导致“缓冲区溢出”。黑客通过精心构造溢出代码，可以实现完全控制一台主机的目的。

目前，很多中等规模的网站选择“SQLServer2000+ASP”的网站架构。SQLServer2000数据库通过1433端口提供远程访问服务，如果SQLServer2000数据库未及时安装补丁acute;则1433端口存在“缓冲区溢出”漏洞。黑客可以“1433端口溢出攻击”完全控制一台Weh服务器。

1.2为网站主页挂马

用户在访问网站时[来自www.lw5u.CoM]，通常是先进入网站的主页，然后再通过主贞上的链接进入到自己感兴趣的页面。因此，主页是访问频率最高的页面，黑客为了达到快速传播木马的目的，通常选择主页作为挂马的对象。

下面给If-个典型的挂马代码，将这句代码加入到被挂马网站的主页文件(例如lndex．asp)的任何一处位置，即可实现网站挂马。iframesrc=”http://包含木马程序的服务器lP地址／l.html”;width=“0”height=”O”frarneborder=”O”／iframe。这是一种框架挂马方式，用户访问index．asp之后，会自动到包含木马程序的服务器上下载并浏览1．html，这个1．html会利用IE浏览器漏洞自动下载并运行木马程序（例如l.exe），由于这里将框架的高度、宽度和边框粗细均设置为O，因此受害者在浏览index.asp时不会察觉到任何变化。通过以上分析我们发现，黑客不需要将l.html和l.exe上传到被挂马网站，只须修改被挂马网站的主页文件(index.asp)，即可实现网站挂马，因而具备很强的隐蔽性。

1.3植入并运行木马

当网络中的用户浏览“被挂马”网站时，如果用户使用的IE浏览器存在相应的安全漏洞，则木马会被植入用户主机并运行，用户主机成为受黑客控制的‘肉鸡”。黑客可以盗取‘肉鸡”上的敏感信息（如网银帐号），也可以控制“肉鸡”