小李平时很喜欢泡论坛,这天他到自己常去的一个论坛回帖之后,电脑莫名其妙地重启,重新开机之后感觉系统变得很慢。莫非帖子中暗藏机关?小李更新杀毒软件的病毒库后一查,果然自己的系统中了木马……
论坛往往是一个网站中人气最旺的地方,但很少有人注意到论坛给浏览者带来的安全问题,而像小李这样的遭遇却是真实存在的!下面我们就为大家“挖”出论坛帖子中暗藏的害人陷阱。
浏览帖子有隐忧
现在很多论坛程序在开发时,会添加一些扩展功能,例如:可以在帖子中引用UBB标签,可以在帖子中隐藏网页真实地址,可以在个人签名中加入特殊效果等。
这些功能虽然方便了浏览者,但同时也带来很多安全隐患。恶意攻击者可能借助这些功能,使用网页木马等攻击浏览者的系统。我们在这里模拟攻击者,为大家揭露这些攻击手法。
制造“陷阱”
选择任一功能稍微强大的论坛(例如动网,它在国内非常流行,而且所带的扩展功能非常多)下手。
先利用网页木马生成器制作木马网页,它利用的是IE浏览器漏洞。打开网页木马生成器,单击 “选择”按钮,然后选择木马程序mm.exe,生成2个文件:mm.chm和mm.html1)。将这两个文件以及木马程序mm.exe上传到网站空间中,就可以得到一个木马网页,地址以mm.html结尾,例如:http://www.***.com/mm.html)。
图1 利用网页木马生成器生成木马网页
接下来就是利用论坛的一些扩展功能暗布“陷阱”,使浏览者在无意间打开帖子时中招。
使用陷阱
1.陷阱一:文字诱骗
通过帖子中的文字诱骗你单击木马网页链接,这是论坛帖子中最常见的“陷阱”。
攻击者进入准备下手的论坛,申请账号,然后到其中任一版块发表帖子。帖子内容一般是带有诱惑性的信息:
[url= http://www.***.com/mm.html]这里有最新最热的游戏资料和demo下载,赶快进来吧![/url]
输入完毕之后,发表帖子。
小提示:这里发表帖子使用的“[url] [/url]”标签是动网论坛的内置标签,可以起到链接的作用,其他论坛也有使用此标签的。
当你浏览这个帖子时,会发现帖子中只显示了文本内容:
这里有最新最热的游戏资料和demo下载,赶快进来吧!
一般不清楚的人都会好奇地打开查看,从而打开了木马网页http://www.***.com/mm.html,使自己的系统被种植了木马。
其实只要把鼠标指针放到文字上,就会在IE浏览器的左下角显示这个链接的真实地址http://www.***.com/mm.html2)。
图2 碰到这样的帖子,可得多个心眼