一名安全專(zhuān)家在本周指出，利用網(wǎng)站入侵使用者PC的黑客，現(xiàn)在已經(jīng)越來(lái)越知道如何隱藏惡意代碼。

用于攻擊PC的代碼，通常用JavaScript編寫(xiě)，大多藏在Flash動(dòng)畫(huà)中或自我打亂，使試圖檢查網(wǎng)頁(yè)源代碼的人員難以察覺(jué)， Arbor Networks 資深軟件工程師Jose Nazario在溫哥華召開(kāi)的CanSecWest安全大會(huì)上的演示中指出。

“模糊化工具簡(jiǎn)單而有效，”Nazario說(shuō)。“他們利用模糊化伎倆就可以躲過(guò)簡(jiǎn)單的簽名比對(duì)，”他提及依靠簽名來(lái)檢測(cè)惡意網(wǎng)站的技術(shù)時(shí)說(shuō)道。簽名可以說(shuō)是已知攻擊的指紋。

Web攻擊已愈來(lái)愈普遍。據(jù)StopBadware.org稱(chēng)，有成千上萬(wàn)的網(wǎng)站上可能安裝有惡意代碼，其中大部份網(wǎng)站是被攻破的網(wǎng)站，然后攻擊者一般通過(guò)Web瀏覽器的安全漏洞將木馬或其它惡意代碼植入用戶(hù)PC中。

而許多攻擊都是利用JavaScript。最初攻擊者在攻擊中利用普通的JavaScript，不過(guò)這種情況已經(jīng)發(fā)生改變，Nazario說(shuō)。他已發(fā)現(xiàn)一種名為“makemelaugh”的腳本功能，它可下載截獲銀行信息和Paris Hilton的Flash動(dòng)畫(huà)的木馬，安裝一個(gè)工具使用戶(hù)PC成為傀儡網(wǎng)絡(luò)的一部分。

攻擊者還試圖編寫(xiě)惡意網(wǎng)站，只在同一臺(tái)PC上加載一次他們的惡意代碼，希望以此騙過(guò)安全專(zhuān)業(yè)人士，Nazario稱(chēng)。此外，一種叫做NeoSploit的工具包還會(huì)識(shí)別瀏覽器種類(lèi)，然后選擇適當(dāng)?shù)墓舴绞?，他說(shuō)。

不過(guò)安全人員也有辦法調(diào)查攻擊，Nazario說(shuō)。“由于JavaScript在被瀏覽器使用前必須先解碼，這給攻擊者造成限制。只要你能在瀏覽器外加以分析，就能夠找到處理辦法，”他說(shuō)。

我們也可以使打散的代碼變得易讀，因?yàn)樗话闶怯煤?jiǎn)單的Base64編碼來(lái)進(jìn)行模糊化，而非真正的加密，Nazario說(shuō)。他建議使用NJS、SpiderMonkey和Rhino來(lái)檢查腳本代碼。Flash文件則可用一種叫做Flasm的程序進(jìn)行分析，他指出。

惡意JavaScript代碼可嵌入到網(wǎng)頁(yè)中，并通常在用戶(hù)使用任何普通的瀏覽器查看頁(yè)面時(shí)，不向使用者發(fā)出警告就開(kāi)始運(yùn)行。攻擊者企圖引誘你訪問(wèn)他們建立的惡意網(wǎng)站；另外，利用一種叫做跨網(wǎng)站腳本的常見(jiàn)弱點(diǎn)，黑客還可以通過(guò)一個(gè)可信網(wǎng)站發(fā)動(dòng)攻擊。

要防范惡意JavaScript代碼，網(wǎng)絡(luò)瀏覽者可以禁用JavaScript功能，但那樣也使許多網(wǎng)站的功能受到限制。另一個(gè)方法是使用擁有已知不良網(wǎng)站黑名單的安全工具，像McAfee的SiteAdvisor或Google的工具欄或者桌面軟件。

此外，你還可以利用Exploit Prevention Labs的LinkScanner，它可監(jiān)控進(jìn)入PC的流量并阻止已知攻擊。

責(zé)任編輯：德東

查看本文國(guó)際來(lái)源