来源:http://www.lembed.com/malware-hides-behind-javascript-pngs-bypass-browser-security/
Web攻击 使用编码为图像的恶意软件,通过iframe 注入的方式,来逃脱一般检测。
Security_web_1_hp
新发现的跨站点脚本攻击使用原有黑客攻击的简单变种 , 这种 严重混淆的传播恶意软件的方式,甚至刚开始逃脱了专家们的注意。
这里提到的专家是来自Sucuri,该安全研究专家破获rogue Apache modules的web服务攻击,并发现Google是如何通过其自动网络爬虫传播unthinkingly spreading malware。
Peter Gramantik在 Sucuri’s blog博客中详细分析了这种新的攻击,受到大量的评价是因为其不遗余力的伪装。一开始它被加载到隐藏的iframe中,它本身就包括大量的JavaScript代码。一个可能的攻击手段逐渐浮出了水面:这个JavaScript文件被命名为”jquery.js”,但是它不是我们知晓的jquery web库。
这个库完成的是加载另外一个文件,来自同一个域的png图片。然后,这个png图片看似没有什么问题,但仔细看看这个jquery.js文件透露了一个小的循环,它提取另一个脚本:一种编码为图像文件的元数据的二进制数据。
这第二个脚本,创建一个全新的iframe – 一个位于屏幕外,以免被人看到 – 并从第三方域加载新代码到iframe,想必充满敌意。 Gramantik指出,这构成了“可爱的小技巧目的都为偷渡式下载和SEP(搜索引擎中毒)攻击。” 他还指出,使用PNG文件是任意的选的,因为数据可以通过其他类型图像夹带。
Web浏览器有一些混乱的方式,其中不乏完美的,能加载或显示内容。 很常见的是已经多次作为恶意软件载体“数据:”URI 。 通常它允许图像通过内联代码显示出来,但它也被无数次走私不需要的数据到网页中。 早在2007年,Windows的bug甚至允许URI系统被滥用来执行任意代码 。 (已经被修补)
这种新的攻击之所以让人大跌眼镜,因为它使用了很多步骤来规避服务器和客户端上都有的传统安全检查。 但大多数恶意软件不会这样一路检测到底,所以这种未被发现的攻击危险很大。 网络恶意软件首要目标就是服务器,因为一个攻破的服务器可以在短期内传播恶意软件到几千不知情的终端。 当这些真正的威胁没有出现在您的服务器上,或者被发现,威胁就很难停止。
评论关闭。