轉自：2010 亞太資安論壇心得筆記

這次臨時去亞太資安論壇，主�是因為 Darkhero 的介紹，且主題剛好是我有興趣的網�安全；所以就拜託了 Neo �大讓我去�課囉。

�了一整天下來，很多都是廠商在介紹產�，觀念部份�而都是�調�彈 (但實作技術上都比以�進步很多) 。

��阿碼科技的場次倒是讓我�常驚豔�主�是他們本身在這個業界就�常有�，而且這次分享的內容��技術�，讓我�常有��感。

這次阿碼科技的分享主�內容是「網�掛馬�，以下我就簡單分享這次的筆記與心得。

Malware 是什麼？

其實就是用來控制被攻擊電腦的惡�軟體，�是�必經�使用者�許就能�端連線的桌�控制工具。

而常看到的�� Script 或 Iframe 標籤所連�的 JavaScript ，其實�是用來下載 Malware 的工具程�。

網�掛馬的途徑

網�掛馬的方�分�三種途徑：

Web

一般常見的就是��後端技術 (例如 ASP � PHP � JSP 等等) ，然後使用 SQL Injection 等常見的 Web 攻擊手法，把木馬掛到 Web 應用程�當中。

LAN

利用使用者�作上的�忽，感染他們的電腦，����域網路的 ARP �包來�主機�掛馬的動作。常見的工具有 zxarps.exe ，它�以��網內的使用者所訪�的所有網站�入惡�的 HTML 碼，例如 iframe 。

WAN

部份�知��牌的網路設備 (例如 Layer 4 / Layer 7 switch) 存在著�洞，駭客就利用它來讓連線的用戶被導�惡�的網站。

Malzilla 解掛碼工具

阿碼科技�供了以下測試用的掛碼網�：

• http://zcrack.org/a
• http://zcrack.org/cookie

然後�� Malzilla 來就�以攔截到 http://zcrack.org/a 的原始 HTML 碼：

<html>
<head>
  <META NAME = "ROBOTS" CONTENT = "NOARCHIVE" >
  <META NAME = "ROBOTS" CONTENT = "NOINDEX" >
  <META NAME = "ROBOTS" CONTENT = "NONE" >
</head>
<body>
<div id="imgs"> <script src='go.jpg'></script><script src='2.jpg'></script><script src='3.jpg'></script><script src='4.jpg'></script><script src='5.jpg'></script><script src='5.1.jpg'></script><script src='6.jpg'></script><script src='7.jpg'></script><script src='8.jpg'></script>
</body>
</html>

主��以看到木馬��多個 <script> 標籤去組�，這會讓 Sever 端的防毒很難�測出它的存在。

而這些 JavaScript 就會動態組�出所謂的 Exploits (或稱為 Dropper � Downloader )，讓特定的�覽器執行後去下載真正的惡�程� (Malware) 。

因為這些 Exploits 是動態組�，所以�容易被�測出來，因此�借�一些工具來找出真正的 JavaScript 。

Burp Suite �以幫我們攔截網� HTML ，然後進行�當的修改 (例如把 JavaScript 的 eval 改為 alert ) ，讓我們能看到真正會被執行的 JavaScript 長什麼樣�。

圖解掛馬�程

一般掛碼分為三個步驟：

1. Cracker 想辦法攻擊�些網站的�洞 (就是上��到的三種途徑) ，並把 Url Generator 放到它們上�；通常��較大的知�網站越容易�為被攻擊目標。

2. 使用者去�覽這些被攻擊的網站的��時，就會被導�置有惡� JavaScript Exploits 的網站。

3. 當下載回來的 JavaScript Exploits 被特定�覽器執行時 (例如 IE6 ) ，就會�次連到�一個真正存放惡�軟體的網站將該惡�軟體下載回來執行。

�測的難度如下圖所示：

因為 JavaScript �以�� JavaScript 來產生新的 JavaScript ，使得 Url Generator � Exploits 很容易變形，增加了�測的難度。

Exploits 難以�測的原因

• ç›®å‰�çš„ Exploites 都å�šäº†æ¨¡çµ„化，ä¸�å�Œçš„ç€�覽器有ä¸�å�Œçš„掛馬方å¼�。

• 如果 Exploites é€�é�Ž Browser Agent çš„æ–¹å¼�識別ç€�覽器的話，很容易被資安廠商é€�é�Žæ›´æ”¹ Agent çš„æ–¹å¼�å�µæ¸¬åˆ°ã€‚所以目å‰�çš„ Exploits 大多都是é€�é�Žç€�覽器支æ�´çš„特性來識別ç€�覽器，這樣就更能精準確èª�使用者的ç€�覽器，é�¿å…�被資安廠商的自動檢測掛馬程å¼�給å�µæ¸¬å‡ºä¾†ã€‚

• Exploites 也會先行利用å�µæ¸¬åˆ°çš„ç€�覽器特性為 Key 來å°�自己的程å¼�碼進行編碼，這樣就更能增加自動檢測掛馬程å¼�çš„å�µæ¸¬é›£åº¦ã€‚

Cracker 掛馬的難度

• è¦�讓被攻擊網站的安全檢測工具都檢查ä¸�出來。

• 在網路上的任何節點也ä¸�能被å�µæ¸¬åˆ°ã€‚

• è¦�隨時注æ„�ç€�覽器的æ¼�洞。

• 必須知é�“資安廠商的 IP ，é�¿å…�自己的網站被列入黑å��單。

資安廠商因應的�策

• Web Application Firewall

• 使用白å��單網å�€ï¼Œåˆ¤æ–· Script 的來æº�是å�¦å�ˆæ³•ã€‚

心得

其實以�也研究�有關 IIS 與 ASP 的資安議題，也在實際上線的網站上被 Cracker 攻擊�，那時就覺得網站安全是一門很深的學�。

今天�在阿碼科技的 CTO �中，瞭解了這些相當紮實且淺顯易懂的觀念，真是此行最大的收穫�

資安的世界真是複雜�有趣呀~