iT邦幫忙

18

什麼是惡意檔案執行攻擊(Malicious File Execution)?

ithelp 2008-02-04 11:33:3212171 瀏覽

在2007 OWASP Top 10中特別提到一項新興的網頁安全問題,他們稱為由Web應用程式引入外部惡意程式的「惡意檔案執行攻擊(Malicious File Execution)」,這項資安威脅的意思是?通常是以哪些管道散播的?
OWASP十大Web資安漏洞 (2007 OWASP Top 10)中,2007年新進榜的就是Malicious File Execution,也就是Web應用程式引入來自外部的惡意檔案並執行檔案內容。這個新的趨勢也表示問題的嚴重程度。
那麼,究竟什麼是Malicious File Execution呢?其實它還是指惡意網頁問題(Malicious Webpage)。手法上,主要透過植入惡意網頁程式碼(Malicious Script)或是惡意連結(Malicious Link)到正常的網站中,而瀏覽網頁的無辜網民將因此遭受攻擊︰電腦被植入惡意程式,變成駭客蒐集帳號密碼與操控的傀儡。這種方式絕大部分的攻擊都是針對IE瀏覽器而來,只要IE或是Windows沒有更新就可能成為駭客攻擊的目標。
一般來說,惡意網頁的結構可分為兩類型:第一型會植入惡意連結到被入侵網頁中。而第二型則是將編碼過程式碼,直接嵌到被入侵網頁中
研究中發現,駭客可以透過很多種技巧,規避掃毒軟體或是IDS、防火牆偵測,最常見的就是編碼的網頁內容(Encoded Scripts),使用這項JavaScript技巧可以在瀏覽器上才動態產生網頁內容,此類特殊的技巧原本用途是給Ajax使用,但卻讓駭客可以恣意變形程式碼,規避特徵檢查。
常用的惡意網頁攻擊程式碼,都針對微軟環境,特別是以一般人常用的IE瀏覽器的弱點,作為重點攻擊對象,常見的「掛馬」弱點如下:
* MS07-017︰動態游標漏洞(Windows Animated Cursor (.ANI) Remote Exploit)
* MS07-004︰VML遠端程式碼執行的漏洞(VML Remote Code Execution,編號929969)
* MS06-071︰XML核心服務遠端程式碼執行漏洞(XML Core Services Remote Code Execution,編號928088)
* MS06-057︰Windows Shell 中因WebViewFolderIcon ActiveX 物件引起的參數驗證方式不正確,而造成問題
* MS06-014︰MDAC元件的遠端程式碼執行漏洞(MDAC Remote Code Execution)

只要無辜的使用者一瀏覽到這些內含漏洞攻擊碼的網頁,就會出發所謂的Drive-by Download,進而被安裝後門軟體等惡意程式。以這種管道散播惡意程式,比駭客傳統的手動入侵或是電子郵件等攻擊方法,更加快速而且廣泛。如果一般民眾經常瀏覽的網站、時事新聞站臺,或是論壇,甚至各大公司學校首頁的內容含有惡意連結,駭客即可快速獲得大量的殭屍主機。
根據Google線上安全網站資料顯示,我們可以看到情況的嚴重性。截至5月21日為止,他們已檢測1200萬個可疑連結,約100萬個網頁連結判定為Drive-by download惡意程式的行為。Google已將惡意網站的偵測結果反映在搜尋處理中,不少臺灣常見網站也因為被視為惡意網站,即使具優先的檢索排名,使用者仍無法直接點選瀏覽。

總歸來說,Malicious File Execution,是透過修改大眾經常瀏覽的網站,植入惡意連結,以攻擊IE瀏覽器的弱點為主要目標,造成使用者一旦瀏覽該網頁就被安裝惡意程式,進而被竊取資料與密碼。這種Web攻擊影響的範圍非常廣泛,我們必須正視這樣的攻擊行為,否則資料外洩問題絕對無法停止。


0
john651216
iT邦研究生 1 級 ‧ 2008-04-20 12:12:37

謝謝分享

0
5min
iT邦好手 10 級 ‧ 2008-04-20 17:07:00

謝謝分享

0
海綿寶寶
iT邦大神 1 級 ‧ 2008-04-23 22:56:44

瀏覽器的弱點再次證明一點

方便性與安全性成反比

0
tgunlu
iT邦研究生 1 級 ‧ 2008-04-26 15:31:26

謝謝分享

0
fanylu60
iT邦研究生 1 級 ‧ 2008-04-26 16:40:28

感謝提供分享

0
yce701116
iT邦研究生 1 級 ‧ 2008-04-26 16:54:59

感謝分享這個資訊

0
plutosrita
iT邦研究生 1 級 ‧ 2008-05-04 10:46:03

謝謝分享

0
tyc1220
iT邦研究生 1 級 ‧ 2008-05-15 02:30:58

謝謝分享

我要留言

立即登入留言